Çalışanların imzaladığı kişisel veri rıza metinlerinin de işe girmekte mecburi olduğu için belirleyici olamayacağına dikkat çeken Kurum, şirkete 125 bin lira para cezası ile çalışanın kişisel bilgilerini imha etme cezası verdi.

KVKK’ya başvuran bir e-ticaret çalışanı, yaklaşık bir yıl çalıştıktan sonra istifa ettiği işyerinde özel kişisel verilerinin açık rızası olmadan işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, yurtdışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığı şikayetinde bulundu. “E-ticaret pazar yerleri yetkilisi” olarak görev yaptıktan sonra istifa eden çalışan, rakip bir firmada çalışmak üzere istifa ettiği bilgisinin şirket tarafından öğrenildiğini, bu nedenle tarafına ödenen eğitim ücretinin iadesinin istendiğini ve iş sözleşmesindeki rekabet yasağına aykırı davranışları nedeniyle brüt ücretinin 12 katı tazminat ödenmesinin de talep edildiğini ifade etti. Rekabet ihlalini kabul etmeyen çalışan, kişisel verilerine yönelik şirketten talepte bulundu.

Şirket de KVKK’ya verdiğini yanıtta, parmak izi ve yüz tarama sisteminin şirketin ve çalışanların güvenliğini sağlamak amacıyla kullanıldığını, şikayetçi çalışandan parmak izinin bu kapsamda alındığını, tanımlama sonrası bu verilerin üçüncü kişiler ile paylaşılmadığı ifade etti.

KVKK, şikayetle ilgili kararında, kişisel veriler kişinin izniyle alınsa bile, alınan iznin aşırı miktarda veri toplanmasını meşrulaştırmayacağını vurgulayarak, parmak izi ve yüz tarama verilerinin “şirket çalışanlarının güvenliği” ihtiyacı ile orantısız olduğunu bildirdi. KVKK, manyetik kart okuyucu ve kontrol listesi gibi yöntemlerin kullanılması mümkünken, biyometrik veri işlenmesinin ölçülülük ilkesine uymadığını bildirdi.

Şirketin kişisel verileri işleme gerekçesi olarak ileri sürdüğü iş sözleşmesi maddesini de değerlendiren Kurum, çalışanın iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığını, dolayısıyla rıza metnini kabul etme şansı olmadığını vurgulayarak, şirketteki veri sorumlusuna 125 bin lira ceza verdi. KVKK ayrıca, hukuka aykırı işlendiği tespit edilen biyometrik veri faaliyetine son verilmesini, söz konusu verilerin imha edilerek kendilerine bilgi verilmesi talebinde bulundu.