Kurul kararında biyometrik verilerin özel nitelikli kişisel veri kapsamında yer aldığı hatırlatıldı. Parmak izi, yüz görüntüsü, iris ve retina verileri ile ses tınısı gibi kişiye özgü verilerin, kişinin kimliğini kesin olarak belirleyebilmesi nedeniyle en yüksek koruma gerektiren veri kategorileri arasında bulunduğu ifade edildi.
AÇIK RIZA YETERLİ DEĞİL
Kararda, biyometrik verilerin kötü niyetli kişilerin eline geçmesi halinde ilgili kişiler açısından ciddi mağduriyetler doğurabileceği vurgulandı. KVKK, işçi ile işveren arasındaki güç dengesizliği nedeniyle çalışanlardan alınan açık rızanın her zaman özgür iradeye dayandığının kabul edilemeyeceğini belirtti. Kurul, biyometrik veri işleme faaliyetlerinde hukuka uygunluğun sağlanmasının veri sorumlularının yükümlülüğü olduğunu dile getirerek, tüm kurum ve kuruluşları gerekli teknik ve idari tedbirleri almaya çağırdı. Kurul, mesai takibi için biyometrik sistemlerin zorunlu olmadığını, aynı sonucun daha az müdahaleci yöntemlerle de elde edilebileceğini aktardı. Kararda, şifreli kartlar, PIN tabanlı sistemler, RFID veya NFC kimlik kartları, imza çizelgeleri ve denetçi gözetiminde giriş-çıkış kontrolü gibi yöntemlerin tercih edilmesi gerektiği ifade edildi.