6698 sayılı KVKK'ya göre, bir şirketin, çalışanlarının işe giriş-çıkış saatlerini takip etmek amacıyla 'parmak izi okuma' sistemi kullanması, hangi tür kişisel veri işleme faaliyetidir ve hangi hukuki şartlara tabidir?

Parmak izi, bir kişiyi özgün olarak tanımlayan bir özellik olduğu için, KVKK m.6 uyarınca 'biyometrik veri'dir ve 'özel nitelikli kişisel veri' kategorisindedir. Bu tür verilerin işlenmesi, genel kişisel verilere göre çok daha sıkı şartlara bağlanmıştır. Kural olarak, özel nitelikli kişisel verilerin işlenmesi ilgilinin 'açık rızasına' tabidir. Bir işverenin, işe giriş-çıkış takibi gibi bir amaçla çalışanından parmak izi verisini işlemesi için, öncelikle çalışanın bu konuda, KVKK'nın aradığı şartlara uygun (belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan) 'açık rızasını' alması gerekir. İşçi-işveren arasındaki güç dengesizliği nedeniyle, bu rızanın 'özgür iradeyle' verilip verilmediği tartışmalıdır ve Kurul tarafından sıkı bir denetime tabidir. 'Kanunlarda açıkça öngörülme' (m.6/3-b) şartı da bu durumda genellikle mevcut değildir. Ayrıca, işverenin 'ölçülülük' ilkesi (m.4/2-ç) gereği, aynı amaca (giriş-çıkış takibi) daha az müdahaleci bir yöntemle (kart okutma, imza atma gibi) ulaşıp ulaşamayacağını da değerlendirmesi gerekir. Eğer daha az müdahaleci bir yöntem mümkünse, parmak izi gibi hassas bir verinin işlenmesi ölçüsüz kabul edilebilir. Son olarak, işverenin bu faaliyeti için Kurul tarafından belirlenen ek güvenlik önlemlerini de alması zorunludur.