Öğretmenlerin Mesaisini Yüz Tanıma Sistemiyle Takip Eden Özel Okula 700 Bin TL Ceza!
KVKK, öğretmenlerin yüz tanıma sistemiyle mesai takibini hukuka aykırı bularak okula ceza verdi; biyometrik veri işleme kuralları açıklanıyor.
Teknolojik gelişmeler iş süreçlerini hızlandırırken, özellikle eğitim kurumları ve özel sektör işletmeleri giriş–çıkış kontrolünde dijital sistemlere giderek daha fazla yöneliyor. Ancak “kolaylık” ve “verimlilik” vadeden bu teknolojiler, yanlış uygulandığında ciddi kişisel veri ihlallerine yol açabiliyor.
İstanbul’daki bir özel okulda yaşanan son olay, biyometrik verilerin işlenmesine ilişkin hukuki sınırların ne kadar kritik olduğunu bir kez daha gündeme taşıdı.
Kişisel Verileri Koruma Kurumu (KVKK), öğretmenlerin mesaisini yüz tanıma sistemiyle takip eden okula 700.000 TL idari para cezası verdi.
Bu karar hem eğitim kurumları hem de özel sektör için önemli bir emsal niteliğindedir.
Okul, 2021’den beri çalışanların giriş–çıkışını yüz tanıma sistemi üzerinden takip ediyordu. Ancak öğretmenler, daha az müdahaleci yöntemler (kartlı geçiş, manyetik sistem, PIN vb.) varken biyometrik veri işlenmesinin hukuka aykırı olduğunu belirterek Kurum’a başvurdu.
KVKK, yaptığı incelemede okulun çalışanlardan açık rızayı özgür iradeyle almadığını, kullanılan yöntemin ölçülülük ilkesini ihlal ettiğini ve “en hafif yöntem–en az veri” yaklaşımının gözetilmediğini tespit etti.
Biyometrik Veri Neden Bu Kadar Hassas?
Yüz görüntüsü, parmak izi, iris, damar haritası gibi veriler özel nitelikli kişisel veri kategorisindedir. Bu veriler:
- Kişinin kimliğini benzersiz biçimde belirler,
- Değiştirilemez ve geri alınamaz,
- Sızması hâlinde telafisi güç zararlar doğurabilir.
Bu nedenle KVKK, biyometrik veri işlenmesini yalnızca zorunlu hâllerde, özgür iradeyle verilmiş açık rıza ile ve ölçülülük ilkesine uygun şekilde mümkün görür.
KVKK Kararının Temel Gerekçeleri
1. Açık rıza özgür iradeyle alınmadı.
İşveren–çalışan ilişkisi güç dengesizliği içerir. Bu nedenle “imzalattık, rıza aldık” yaklaşımı hukuken geçerli sayılmıyor.
Rıza vermeyen çalışanın işini kaybetme ihtimali varsa, bu rıza geçersiz kabul edilir.
2. Daha hafif yöntemler varken yüz tanıma sistemi ölçüsüz bulundu.
Mesai takibi gibi amaçlar için şu yöntemler mevcutken yüz tanıma gereksiz bulundu:
- Kartlı geçiş
- PIN kodu
- Manyetik turnike
- Manuel imza çizelgesi
Biyometrik veri kullanımı, orantısız bir müdahale olarak değerlendirildi.
3. Amaç–araç ilişkisi kurulamadı.
Giriş–çıkış kontrolü için biyometrik veri zorunlu değildir.
Bu nedenle yöntem amaçla bağlantılılık ve veri minimizasyonu ilkelerini ihlal etti.
Eğitim Kurumları ve Şirketler İçin Çıkarılacak Dersler
- Biyometrik veri, son çare olmalıdır.
Daha hafif bir yöntem aynı sonucu sağlıyorsa biyometrik veri işleme hukuka aykırıdır. - Açık rıza baskı altında alınamaz.
“Rızayı vermezsen sisteme giremezsin” yaklaşımı geçersizdir. - Aydınlatma yükümlülüğü eksiksiz yerine getirilmeli.
Hangi verinin neden toplandığı açık ve anlaşılır şekilde anlatılmalıdır. - Veri saklama süreleri belirlenmelidir.
Biyometrik verilerin süresiz saklanması kesinlikle yasaktır. - Teknik ve idari tedbirler güçlendirilmelidir.
Yetkisiz erişim, veri sızıntısı ve dışa aktarım risklerine karşı gerekli önlemler alınmalıdır.
Bu Karar Neden Emsal Niteliğinde?
Eğitim kurumları ve özel sektör, sık kullanılan kamera sistemleri, kartlı geçişler veya öğrenci–personel takip yöntemleri konusunda sınırların daha net hale geldiğini artık bilmek zorunda.
KVKK’nın yaklaşımı, “rıza varmış gibi gösterme” veya “zorunluymuş gibi sunma” yöntemlerinin artık hiçbir şekilde kabul edilmeyeceğini güçlü bir şekilde ortaya koyuyor.
700 bin TL’lik ceza, biyometrik veri kullanımının sıkı bir hukuki denetim altında olduğunu bir kez daha gösteriyor.
Teknoloji hayatı kolaylaştırabilir; ancak hiçbir teknoloji, bireyin mahremiyet hakkının ve kişisel verilerinin korunması ilkesinin önüne geçemez.
Doğru yaklaşım:
En az veri – En düşük risk – En yüksek güvenlik.
Rasyotek’in KVKK Uzmanları Yanınızda
Biyometrik veri kullanımı, çalışan verilerinin işlenmesi, aydınlatma yükümlülükleri, veri minimizasyonu, risk analizleri ve uyumluluk süreçleri gibi konular yüksek hassasiyet gerektirir.
Rasyotek’in deneyimli KVKK uzman ekibi, eğitim kurumlarından büyük ölçekli şirketlere kadar tüm kurumların bu tür süreçleri mevzuata uygun şekilde tasarlamasına destek olmaktadır.
Teknolojik çözümlere geçmeden önce; hukuki risk analizi, veri işleme değerlendirmesi ve KVKK uyumluluk danışmanlığı almanız hem cezai yaptırımları hem de itibar kaybını önlemenize yardımcı olur.