MESAİ TAKİBİ AMACIYLA BİYOMETRİK VERİ İŞLENMESİNE İLİŞKİN İLKE KARARININ DEĞERLENDİRİLMESİ
Kişisel Verileri Koruma Kurulu (“Kurul”), 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı ile işverenler tarafından çalışanların mesai takibinin biyometrik tanımlama sistemleri aracılığıyla gerçekleştirilmesine ilişkin önemli değerlendirmelerde bulunmuş ve konuya ilişkin uygulama esaslarını ortaya koymuştur.
İlke Kararı, 02.06.2026 tarihli ve 33268 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girerek özellikle işyerlerinde yaygın olarak kullanılan parmak izi, yüz tanıma, iris taraması ve benzeri biyometrik sistemlerin hukuki dayanağı, açık rıza şartı ve ölçülülük ilkesi bakımından değerlendirilmesi açısından önem arz etmektedir.
Kurul, söz konusu Karar ile yalnızca biyometrik verilerin özel nitelikli kişisel veri niteliğine dikkat çekmekle kalmamış, aynı zamanda işçi-işveren ilişkisinin doğasından kaynaklanan güç dengesizliğinin açık rızanın geçerliliği üzerindeki etkisini de ayrıntılı biçimde ele almıştır.
Biyometrik Verilerin Hukuki Niteliği ve İşlenme Şartları
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6. maddesinde biyometrik veriler, özel nitelikli kişisel veriler arasında sayılmıştır. Kanun koyucu tarafından sınırlı sayma yöntemiyle belirlenen bu veri kategorisi, işlenmesi bakımından genel nitelikli kişisel verilere kıyasla daha sıkı koruma mekanizmalarına tabi tutulmuştur.
Her ne kadar Kanun’da biyometrik veriye ilişkin kapsamlı bir tanım bulunmasa da, biyometrik veriler genel olarak kişilerin fiziksel, fizyolojik veya davranışsal özelliklerinden elde edilen ve kimlik tespitine olanak sağlayan veriler olarak kabul edilmektedir. Parmak izi, avuç içi damar izi, retina ve iris verileri ile yüz tanıma verileri bu kapsamda değerlendirilmektedir.
Kurul, biyometrik verilerin ele geçirilmeleri halinde değiştirilememeleri veya geri alınamamaları nedeniyle diğer kişisel verilere kıyasla daha yüksek risk taşıdığına dikkat çekmiş ve bu verilerin korunmasının büyük önem arz ettiğini vurgulamıştır.
Mesai Takibinde Açık Rızaya Dayanılmasının Değerlendirilmesi
Kurul tarafından yapılan değerlendirmede, çalışma sürelerinin takip edilmesine ilişkin yükümlülüklerin 4857 sayılı İş Kanunu ve ilgili mevzuatta düzenlenmiş olduğu, ancak bu takibin biyometrik veriler aracılığıyla gerçekleştirilmesini öngören açık bir kanuni düzenleme bulunmadığı belirtilmiştir.
Bu nedenle mesai takibi amacıyla gerçekleştirilen biyometrik veri işleme faaliyetlerinin uygulamada ağırlıklı olarak ilgili kişinin açık rızasına dayandırıldığı görülmektedir.
Kanun’un 3. maddesi uyarınca açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir. Dolayısıyla açık rızanın hukuken geçerli kabul edilebilmesi için bu üç unsurun birlikte gerçekleşmesi gerekmektedir.
Ancak Kurul, işçi ile işveren arasındaki ilişkinin doğası gereği tarafların eşit konumda bulunmadığını ve işveren lehine bir güç dengesizliğinin mevcut olduğunu vurgulamıştır. Çalışanın biyometrik veri işleme faaliyetini reddetmesi veya sonradan rızasını geri çekmesi halinde iş ilişkisinin etkilenebileceği yönündeki endişeler dikkate alındığında, verilen rızanın gerçekten özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütlerin bulunduğu ifade edilmiştir.
Bu nedenle Kurul, mesai takibi amacıyla biyometrik veri işlenmesinin yalnızca açık rızaya dayandırılmasının kural olarak yeterli bir hukuki zemin oluşturmayacağı sonucuna ulaşmıştır.
Ölçülülük, Gereklilik ve Veri Minimizasyonu İlkeleri Açısından Değerlendirme
İlke Kararının en dikkat çekici yönlerinden biri, biyometrik veri işleme faaliyetinin Kanun’un 4. maddesinde yer alan genel ilkeler çerçevesinde değerlendirilmesidir.
Kanun’un 4. maddesi uyarınca kişisel verilerin işlenmesinde “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunludur. Kurul, bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için yalnızca bir işleme şartına dayanmasının yeterli olmadığını; aynı zamanda genel ilkelere de uygun olması gerektiğini vurgulamıştır.
Bu kapsamda mesai takibi amacıyla biyometrik veri işlenmesinin;
• Amaca ulaşmak bakımından gerekli olup olmadığı,
• Aynı sonuca ulaşılmasını sağlayacak daha az müdahaleci yöntemlerin bulunup bulunmadığı,
• Veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlükleri üzerindeki etkisinin ölçülü olup olmadığı,
hususlarının ayrıca değerlendirilmesi gerektiği belirtilmiştir.
Kurul, uygulamada şifreli kart sistemleri, PIN kodu uygulamaları, RFID/NFC kartları, imza çizelgeleri veya denetçi gözetiminde giriş sistemleri gibi alternatif yöntemlerin yaygın şekilde kullanılabildiğine dikkat çekmiştir.
Bu nedenle, mesai takibi gibi sınırlı bir idari amacın gerçekleştirilmesi için biyometrik veri işlenmesinin çoğu durumda zorunlu olmadığı ve alternatif yöntemlerin varlığı karşısında ölçülülük ilkesini karşılamadığı değerlendirilmiştir.
Anayasa Mahkemesi ve Danıştay Kararlarının İlke Kararına Etkisi
Kurul, İlke Kararında yüksek yargı organlarının konuya ilişkin kararlarına da geniş şekilde yer vermiştir.
Anayasa Mahkemesinin 10.03.2022 tarihli ve 2018/11988 başvuru numaralı kararında, bir belediyede görev yapan memurun mesai takibinin parmak izi sistemi ile yapılmasına ilişkin uygulama incelenmiştir. Mahkeme, biyometrik veriler aracılığıyla gerçekleştirilen mesai takibine ilişkin temel esasları düzenleyen açık bir kanuni dayanak bulunmadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.
Kararda, özel nitelikli kişisel verilerin işlenmesine ilişkin müdahalelerin ancak yeterli kanuni dayanağın bulunması halinde meşru kabul edilebileceği vurgulanmıştır.
Öte yandan Danıştay 12. Dairesinin 2021/3870 Esas ve 2023/2548 Karar sayılı ilamında da mesai takibinde avuç içi damar okuyucu kullanılmasına ilişkin işlem hukuka aykırı bulunmuştur.
Söz konusu karar, Danıştay İdari Dava Daireleri Kurulu tarafından da onanmış ve biyometrik veri işleme faaliyetlerinin Kanun’un 4. maddesinde düzenlenen ölçülülük ilkesi kapsamında değerlendirilmesi gerektiği kabul edilmiştir.
Kurulun İlke Kararı da bu yargısal içtihatlarla uyumlu bir yaklaşım benimsemekte ve mesai takibi amacıyla biyometrik veri kullanımına oldukça dar bir alan bırakmaktadır.
İşverenler Bakımından Sonuçları
İlke Kararı, çalışan devam kontrolünü biyometrik sistemler üzerinden gerçekleştiren işverenler bakımından önemli sonuçlar doğurmaktadır.
Kurulun değerlendirmesi doğrultusunda, mevcut mevzuatta açık bir kanuni düzenleme bulunmadığı sürece mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinin hukuka uygunluğunun sağlanması oldukça güç görünmektedir.
Bunun yanında, çalışanlardan alınan açık rızanın tek başına yeterli kabul edilmeyeceği yönündeki yaklaşım, uygulamada uzun yıllardır kullanılan parmak izi ve yüz tanıma sistemlerinin yeniden değerlendirilmesini zorunlu hale getirmektedir.
Bu kapsamda işverenlerin;
• Çalışan devam kontrol sistemlerini gözden geçirmeleri,
• Biyometrik veri işlenmesini gerektirmeyen alternatif sistemlere yönelmeleri,
• Veri minimizasyonu ve ölçülülük ilkelerine uygun çözümler tercih etmeleri,
• KVKK uyum süreçlerini güncellemeleri,
önem arz etmektedir.
Aksi halde veri sorumluları hakkında Kanun’un 18. maddesi kapsamında idari yaptırımlar uygulanması gündeme gelebilecektir.
SONUÇ
Kurulun 2026/921 sayılı İlke Kararı, mesai takibi amacıyla biyometrik veri işlenmesine ilişkin bugüne kadar oluşan yargısal içtihatları ve veri koruma hukukunun temel prensiplerini bir araya getirerek önemli bir uygulama çerçevesi ortaya koymaktadır.
Kararda özellikle işçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın her zaman özgür iradeye dayanmadığı, biyometrik veri işlemenin ancak istisnai durumlarda haklı gösterilebileceği ve alternatif yöntemlerin bulunduğu hallerde ölçülülük ilkesinin sağlanamayacağı vurgulanmıştır.
Bu doğrultuda, işverenlerin çalışan devam kontrolüne ilişkin uygulamalarını yeniden değerlendirmeleri ve biyometrik tanımlama sistemleri yerine daha az müdahaleci yöntemleri tercih etmeleri, hem Kanun’a uyumun sağlanması hem de olası idari yaptırımların önüne geçilmesi bakımından büyük önem taşımaktadır.