Şirketler çalışanlarının parmak izlerini aldıklarında neleri riske atarlar?

İşverenin kontrol yetkileri ne kadar ileri gidebilir? İlginç bir cevap, Gizlilik Garantisi'nin dikkatini çeken, personelin gerçekten işte olup olmadığını kontrol etmek için parmak izi kullanan bir okulla ilgili yakın tarihli bir davadan geliyor.

Bu durum, okulun sorumluluklarına ışık tutmanın yanı sıra, ofiste veya diğer işyerlerinde gizliliğin ihlali nedeniyle cezalandırılabilecek davranışlardan kaçınmak için çok faydalı öneriler sunan Kurumun 2025/167 sayılı hükmüyle sonuçlanan bir şikâyete yol açtı.

Kısaca davaya bakalım, Garantör neye karar verdi ve biyometrik verilerin kullanımı konusunda neden çok dikkatli olunması gerektiğine bakalım. İşte bilmeniz gerekenler.

Somut örnek ve okullarda biyometrik verilerin kullanımı

Calabria'daki bir yükseköğrenim kurumu, katılımı kaydetmek ve vandalizm ve hasar eylemlerini önlemek amacıyla, rozet ve parmak izinin bir araya getirilmesiyle çalışan, jargonla "biyometrik tanıma sistemi" olarak bilinen bir sistem kullanmıştı.

İlginçtir ki, kurulumunu aynı idari, teknik ve yardımcı çalışanlar talep etmişti, şüpheli varlık kartı tespit araçlarına müdahale edilmesi üzerine. Tüm hikayeyi hatırlatan Garantör hükmünde belirtildiğine göre, 36 çalışandan 34'ü verilerin kullanımına yeşil ışık yakmış, vermeyenlere ise sadece rozet kullanma alternatifi garanti edilmişti.

Bu yeniliği hoş karşılamayanlar da oldu, hatta Kuruma şikâyette bulunuldu, araştırıldı ve ortaya çıkanlara göre karar verildi.

Parmak izlerinin kullanımına ilişkin yasal gerekçenin bulunmaması

Garantör, 167/2025 sayılı hükümle biyometrik verilerin işlenmesini hukuka aykırı ilan etti ve okulu GDPR'nin bazı temel hükümlerini ihlal ettiği için 4 bin avro para cezasına çarptırdı. Karar, parmak izlerini ve diğer biyometrik verileri gelişmiş korumaya tabi hassas veriler arasında sınıflandıran 679/2016 sayılı Tüzüğe dayanıyordu.

Madde 9'a göre, parmak izi gibi verilerin ofiste işlenmesi, özel düzenlemeler veya toplu sözleşmelerle öngörülen istisnalar ve her durumda çalışanlara yeterli koruma sağlanması haricinde genel olarak yasaktır. Her durumda, işleme:

• güvenlik ihtiyaçları gibi, yalnızca örgütsel nedenlere dayandırılamayan kamu yararına yanıt vermek;
• Hedeflenen amaç bakımından gereklilik ve orantılılık ölçütlerine uyulur.

Kullanıma yalnızca aynı madde 9'da listelenen koşullardan birinin varlığında izin verilir, ancak - Garantör tarafından yapılan soruşturmada tespit edildiği üzere - bunlar burada geçerli değildir. Hüküm, biyometrik verilerin işlenmesinin işyerinde yalnızca aşağıdaki durumlarda izin verildiğini belirtmeyi amaçlamaktadır:

Birlik veya Üye Devlet hukuku veya Üye Devlet hukuku uyarınca bir toplu sözleşme ile yetkilendirildiği ölçüde, veri sorumlusunun veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal koruma hukuku alanındaki yükümlülüklerini yerine getirmesi ve belirli haklarını kullanması amacıyla gerekli olması ve veri sahibinin temel hakları ve çıkarları için uygun güvenceler sağlanması.

Söz konusu olayda, GDPR hükümlerine uymadan veya hükümleri dikkatlice okumadan bu tespit sistemini benimseyen okulun davranışının hukuki bir dayanağı bulunmamaktadır.

Kişisel verilerin işlenmesinde temel ilkelerin ihlali

Soruşturma sonunda Otorite , okulun biyometrik verileri işleyerek GDPR'nin 5, 6 ve 9. maddeleri uyarınca yasalılık, doğruluk, gereklilik ve şeffaflık ilkelerini ihlal ettiğini açıkladı. Para cezasından kaçınmak için, sistemin kullanımının askıya alınması ve toplanan verilerin silinmesi enstitü için yeterli değildi, çünkü davranış zaten yasadışı olarak kabul ediliyordu.

Garantör, okulun izlediği amacın parasal bir yaptırımdan kaçınmak için yeterli olmadığını, bunun yerine muameleyi "geniş kapsamlı", belirtilen ilkelerle uyuşmayan ve uygun bir düzenleyici temele sahip olmayan bir muamele olarak değerlendirdi.

Ayrıca, işlemenin “sadece” 34 kişiyi ilgilendirdiği ve alternatif kayıt yöntemleri sunulduğu takdirde dahi, Kurum, işlenen verilerin niteliğini göz önünde bulundurarak ihlalin ciddiyetini vurgulamıştır.

İdari yaptırımlardan kaçınmak için çalışanın onayı yeterli değildir

Sadece bu değil. Yaptırımdan kaçınmak için, ilgili çalışanların tespite onay vermiş olması yeterli değildi. Aslında, Garantör, çeşitli hükümlerde, biyometrik verilerin işlenmesine ilişkin yasal dayanak eksikliğinin, çalışanların onayıyla bile doldurulamayacağını açıklığa kavuşturmuştu.

Rıza, ister kamu ister özel olsun, iş yerinde işleme için yeterli bir muafiyet değildir, çünkü istihdam ilişkisinin ilgili tarafları arasındaki asimetri vardır. Aslında, işveren ve çalışan arasındaki tabi olma ilişkisinin kendisi gerçek bir seçim özgürlüğünün kanıtlanmasını zorlaştırır. Bu nedenle Garantör – önceki bir hükmü hatırlatarak – şunu yineler:

Tüm PA'lar için biyometrik katılım tespit sistemlerinin sistematik, genelleştirilmiş ve farklılaştırılmamış bir şekilde sunulması varsayımı, Avrupa mevzuatının bu konudaki kısıtlamaları, bu doğrulama biçimlerinin müdahaleci niteliği ve verilerin özel doğasından kaynaklanan sonuçlar nedeniyle orantılılık ilkesine hiçbir şekilde uyumlu olarak değerlendirilemez (bkz. hüküm 167/2019).

Ne değişir?

Çok özel bir yönelim temelinde (ve yüz tanıma alanında da zaten görülen), Garantör , biyometrik verilerin işyerinde kullanılmasının , yalnızca çalışanların haklarını koruyan özel bir yasa tarafından öngörülmesi halinde izin verildiğini bir kez daha vurguladı. İşleme her zaman kamu yararına yanıt vermeli ve takip edilen amaç açısından zorunluluk ve orantılılık kriterlerine uymalıdır.

Bu nedenle, katılımın kaydedilmesi ve ilgili garantiler amacıyla biyometrik verilerin işlenmesini öngören özel hükümlerin bulunmaması durumunda, uygun bir yasal dayanak ve belirli bir kural olmadığı için ilgili işleme yasal olarak gerçekleştirilemez. Açıkça, yaptırım uygulanan okul, İtalyan ve Avrupa yasalarının öngördüğü hususlara ilişkin olarak çok fazla "kolaylıkla" ve dikkatsizlikle hareket etmiştir. Biyometrik verilerin kullanımı, bunun yerine, yalnızca ilgili tarafların doğrudan korunması için katı bir düzenleyici çerçeveye saygı gösterilerek mümkündür.

Ve Otorite tarafından hatırlatıldığı üzere, işleme her zaman yeterli, ilgili ve başlatıldığı amaçlar açısından gerekli olanla sınırlı olmalıdır. İşveren her zaman aynı amaca ulaşmak için daha az müdahaleci yöntemler olup olmadığını değerlendirmelidir. Katılımı kaydetme ve ilgili garantiler amaçları için biyometrik verilerin doğru işlenmesine ilişkin özel hükümler yoksa, para cezası riskine girmemek için ilgili faaliyetlerden kaçınılmalıdır.