Biyometrik Verilerin İşlenmesi Açıklandı

Son zamanlarda, Hollanda Veri Koruma Otoritesi (AP), çalışanların katılım ve zaman kaydı için parmak izlerini tarayan bir şirkete 725,000 avroluk büyük bir para cezası verdi. Parmak izi gibi biyometrik veriler, GDPR'nin 9. Maddesi anlamında özel kişisel verilerdir. Bunlar, belirli bir kişiye kadar izlenebilen benzersiz özelliklerdir. Ancak, bu veriler genellikle örneğin kimlik tespiti için gerekenden daha fazla bilgi içerir.

Bu nedenle bunların işlenmesi, insanların temel hakları ve özgürlükleri alanında büyük riskler taşımaktadır. Bu veriler yanlış ellere geçerse, bu potansiyel olarak telafisi mümkün olmayan hasarlara yol açabilir. Biyometrik veriler bu nedenle iyi korunmaktadır ve yasal bir istisna olmadığı sürece, bunların işlenmesi GDPR'nin 9. Maddesi uyarınca yasaktır. Bu durumda, AP söz konusu şirketin bir istisna özel kişisel verilerin işlenmesi için.

Parmak izi

GSYİH bağlamındaki parmak izi ve istisnalardan biri, yani zorunluluk, daha önce bloglarımızdan birinde şunları yazmıştık: 'GDPR'yi ihlal eden parmak izi'. Bu blog, istisna için diğer alternatif zemine odaklanmaktadır: izin. Bir işveren, şirketinde parmak izi gibi biyometrik veriler kullandığında, mahremiyet açısından çalışanının izniyle yeterli olabilir mi?

İzni ile bir spesifik, bilgili ve açık irade ifadesi GDPR'nin 4. maddesinin 11. maddesine göre, bir kişinin kişisel verilerinin işlenmesini bir beyan veya açık bir aktif eylemle kabul ettiği. Bu istisna bağlamında, işverenin yalnızca çalışanlarının izin verdiğini değil, aynı zamanda bunun açık, belirli ve bilgilendirilmiş olduğunu da göstermesi gerekir.

AP, işverenin sadece parmak iziyle işe başlama niyetini tamamen kaydettiği iş sözleşmesini imzalamanın veya personel el kitabını almanın bu bağlamda yeterli olmadığını sonucuna vardı. İşveren, kanıt olarak, örneğin, çalışanlarının biyometrik verilerin işlenmesi hakkında yeterince bilgilendirildiğini ve ayrıca bunların işlenmesi için (açıkça) izin verdiklerini gösteren politika, prosedürler veya diğer belgeleri sunmalıdır.

Eğer izin çalışan tarafından verilirse, sadece 'açık' Ayrıca 'serbestçe verildiAP'ye göre, 'Açık' örneğin yazılı izin, imza, izin vermek için e-posta gönderme veya iki adımlı doğrulama ile izin anlamına geliyor. 'Serbestçe verilmiş' ise arkasında hiçbir zorlama olmaması gerektiği anlamına geliyor (söz konusu davada olduğu gibi: parmak izinin taranmasını reddettiğinizde, müdür/yönetim kurulu ile bir görüşme yapılıyor) veya izin farklı bir şeyin koşulu olabilir.

'Serbestçe verilen' koşulu, çalışanların parmak izlerini kaydettirmekle yükümlü olması veya söz konusu durumda olduğu gibi bunu bir yükümlülük olarak deneyimlemesi durumunda, her durumda işveren tarafından karşılanmaz. Genel olarak, bu gereklilik kapsamında, AP, işveren ile çalışan arasındaki ilişkiden kaynaklanan bağımlılık göz önüne alındığında, çalışanın kendi rızasını serbestçe vermesinin olası olmadığını düşünmüştür. Bunun tersinin işveren tarafından kanıtlanması gerekecektir.

Bir çalışan, çalışanlarından parmak izini işlemek için izin ister mi? Daha sonra AP, bu davanın bağlamında, prensipte buna izin verilmediğini öğrenir. Sonuçta, çalışanlar işverenlerine bağımlıdır ve bu nedenle genellikle reddetme konumunda değildirler. Bu, işverenin izin gerekçesine asla başarılı bir şekilde güvenemeyeceği anlamına gelmez.

Ancak işverenin, çalışanlarının parmak izleri gibi biyometrik verilerini işlemek için rızaya dayalı itirazını başarılı kılmak için yeterli kanıta sahip olması gerekir. Biyometrik verileri şirketiniz içinde kullanmayı mı düşünüyorsunuz yoksa işvereniniz örneğin parmak izinizi kullanmak için sizden izin mi istiyor? Bu durumda, hemen harekete geçip izin vermek değil, önce uygun şekilde bilgilendirilmek önemlidir. Kanun & More avukatları gizlilik alanında uzmandır ve size bilgi sağlayabilir. Bu blog hakkında başka sorularınız mı var? Lütfen iletişime geçin Law & More.