- within Accounting and Audit, Technology and Transport topic(s)
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı (“İlke Kararı”), 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanmıştır. Karar, çalışanların mesai ve devam takibinde kullanılan parmak izi, yüz tanıma ve benzeri biyometrik sistemlere ilişkin önemli değerlendirmeler içermektedir.
Son yıllarda çalışan devam takibinin dijitalleştirilmesi ve işyeri güvenliğinin artırılması amacıyla parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik tanımlama sistemlerinin kullanımında artış gözlemlenmektedir. Kurul ise yayımladığı İlke Kararı’nda, mesai takibi amacıyla biyometrik veri kullanılmasının kişisel verilerin korunması hukuku bakımından istisnai nitelikte değerlendirilmesi gerektiğini ortaya koymaktadır.
1. Yasal Dayanak Değerlendirmesi
Kurul, İlke Kararı’nda, 4857 sayılı İş Kanunu kapsamında işverenlerin çalışma sürelerinin kayıt altına alınmasına ilişkin yükümlülükleri bulunduğunu kabul etmekle birlikte, bu yükümlülüğün biyometrik sistemler aracılığıyla yerine getirilmesini zorunlu kılan açık bir yasal düzenleme bulunmadığını vurgulamıştır. Bu nedenle, mesai takibi amacıyla biyometrik veri işlenmesinin hukuki dayanağı bakımından ayrıca değerlendirilmesi gerektiği belirtilmiştir.
2. Açık Rızanın Geçerliliğine İlişkin Yaklaşım
İlke Kararı’nda, iş ilişkisinin tarafları arasındaki güç dengesi dikkate alınarak, çalışanlardan alınan açık rızanın her somut olay bakımından özgür iradeye dayanıp dayanmadığının değerlendirilmesi gerektiği ifade edilmiştir. Çalışanın rıza vermeme veya verdiği rızayı geri çekme konusunda gerçek ve etkili bir seçim hakkına sahip olmadığı durumlarda, açık rızanın geçerliliği konusunda tereddütler ortaya çıkabileceği belirtilmiştir.
Kurul ayrıca, biyometrik sistemlerin sürdürülebilirliği açısından açık rızanın geri alınmasının uygulamayı doğrudan etkileyebileceğine dikkat çekmiş ve mesai takibi amacıyla biyometrik veri işlenmesinin yalnızca açık rıza şartına dayandırılmasının çoğu durumda yeterli bir hukuki zemin oluşturmayacağı sonucuna varmıştır.
3. Ölçülülük İlkesi ve Alternatif Yöntemler
İlke Kararı’nın temel dayanaklarından biri de ölçülülük ilkesidir. Kurul, kişisel veri işleme faaliyetlerinde amaca ulaşmak için kişilerin temel hak ve özgürlüklerine en az müdahale eden yöntemin tercih edilmesi gerektiğini hatırlatmıştır.
Mesai takibi amacı bakımından değerlendirildiğinde;
- Şifreli kart veya PIN tabanlı sistemler,
- RFID/NFC teknolojisine dayalı kimlik kartları,
- Geleneksel imza ve devam çizelgeleri,
- Denetçi gözetiminde gerçekleştirilen giriş-çıkış kayıtları
gibi alternatif yöntemlerin mevcut olduğu belirtilmiştir.
Kurul, mesai takibinin sınırlı idari bir amaç olduğunu, bu amaç doğrultusunda biyometrik veri işlenmesinin çoğu durumda ölçülülük ilkesini karşılamayacağını ve aynı sonucun daha az müdahaleci yöntemlerle elde edilebildiğini değerlendirmiştir.
4. Yargı Kararları ile Uyumlu Yaklaşım
Kurul’un değerlendirmeleri, konuya ilişkin yargı içtihadıyla da paralellik göstermektedir.
Anayasa Mahkemesi, 10 Mart 2022 tarihli kararında, bir belediyede parmak izi sistemiyle mesai takibi yapılmasına ilişkin başvuruyu incelemiş ve biyometrik veri kullanımının kapsamı, sınırları ve güvencelerine ilişkin açık bir kanuni düzenleme bulunmaması nedeniyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine hükmetmiştir.
Benzer şekilde Danıştay 12. Dairesi de avuç içi damar okuyucu sistemiyle gerçekleştirilen mesai takibine ilişkin uyuşmazlıkta, biyometrik veri işlenmesinin gereklilik ve ölçülülük kriterleri bakımından değerlendirilmesi gerektiğini belirtmiş; söz konusu karar, Danıştay İdari Dava Daireleri Kurulu tarafından da onanmıştır.
5. Sonuç ve Değerlendirme
Kurul’un İlke Kararı, mesai takibi amacıyla biyometrik veri işlenmesine ilişkin uygulamaların, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) hukuka uygunluk şartları ve genel ilkeleri çerçevesinde yeniden değerlendirilmesi gerektiğini ortaya koymaktadır.
Kararda özellikle, mesai takibi amacıyla gerçekleştirilen biyometrik veri işleme faaliyetlerinin, KVKK’nın 6. maddesinde düzenlenen veri işleme şartları ile 4. maddesinde yer alan ölçülülük ilkesi bakımından önemli riskler barındırdığı vurgulanmıştır. Bu nedenle işverenlerin mevcut uygulamalarını gözden geçirmeleri ve mümkün olduğu ölçüde daha az müdahaleci alternatif yöntemleri tercih etmeleri önem taşımaktadır.
Kurul ayrıca, İlke Kararı’nda ortaya koyduğu yaklaşımın uygulamada dikkate alınması gerektiğini vurgulamış ve bu kapsamda söz konusu ilkelere aykırı uygulamaların tespiti hâlinde veri sorumluları hakkında KVKK madde 18 kapsamında idari yaptırımlar uygulanabileceğini belirtmiştir.
Bu doğrultuda, çalışan devam ve mesai takibinde biyometrik veri kullanan kurum ve kuruluşların mevcut uygulamalarını KVKK, Kurul kararları ve ilgili yargı içtihatları doğrultusunda gözden geçirmeleri, olası uyum risklerini yeniden değerlendirmeleri ve gerekli uyum çalışmalarını hayata geçirmeleri tavsiye edilmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
