Kişisel Verileri Koruma Kurulunun Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı

Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 29/04/2026 tarihli ve 2026/921 sayılı İlke Kararı (“İlke Kararı”) 2 Haziran 2026 tarihinde Resmi Gazete’de yayımlandı.

Kişisel Verileri Koruma Kurumuna çalışan devam takibini dijitalleştirme ve güvenliği artırma amacıyla kurum ve kuruluşların giderek artan ölçüde biyometrik tanımlama sistemlerine yönelmesi üzerine ihbar ve şikayetlerin intikal ettiği belirtilmiştir. Biyometrik tanımlama sistemlerinin (örn. parmak izi, yüz tanıma, iris ve retina taraması) hızlı, doğru ve manipülasyona dirençli özelliklerinin cazip görünse de kişisel verilerin korunması hukuku bağlamında hassas bir alan oluşturmakta olup özellikle işçi-işveren ilişkisinde mevcut olan güç dengesizliğinin açık rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddütler doğurmakta olduğu belirtilmiştir. Bu sebeple biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerektiği vurgulanmıştır.

Yukarıdaki tespitlerden hareketle İlke Karar kapsamında öne çıkan hususlar aşağıdaki şekildedir:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 5490 sayılı Nüfus Hizmetleri Kanunu ve Avrupa Genel Veri Koruma Tüzüğü’nde yer alan biyometrik veri tanımlarına yer verilmiş olup bu kapsamda kişiye ait parmak izi ve retina / iris verisinin fizyolojik; yüz ve el geometrisinin fiziksel; ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıklarının davranışsal biyometrik verilere örnek gösterilebileceği belirtilmiştir.
• Biyometrik verilerin hassas nitelikte ve geri döndürülemez bir yapıya sahip olması nedeniyle Kanun’un gerekçe metninde de belirtildiği üzere işbu verilerin öğrenilmesi durumunda ilgili kişilerin mağduriyetine yol açması ihtimali bulunduğundan korunmalarının büyük önem taşıdığı açıklanmıştır.
• İş Kanunu ve ilgili mevzuat ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığından mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesinin hukuka aykırılık teşkil edebileceği belirtilmiştir.
• Bu kapsamda mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasında yer alan diğer işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle, uygulamada söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiğinin görüldüğü belirtilmiştir. Ancak taraflar arasında güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışana rıza göstermeme veya rızasını geri çekme imkanının etkin bir biçimde sunulmaması ya da rıza göstermemenin çalışan açısından muhtemel olumsuzluklar doğurabilmesi durumunda çalışanın gerçek bir seçeneğe sahip olduğu söylenemeyeceğinden rızanın özgür iradeye dayandığından da söz etmenin mümkün olmayacağı belirtilmiştir.
• Rızanın geri alınabilmesinin ise biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyeceğinden bahisle biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesinin de kural olarak yeterli bir hukuki zemin oluşturmayacağı ifade edilmiştir.
• İlke Kararı’nda Anayasa Mahkemesi Genel Kurulunun 2018/11988 başvuru numaralı 10/03/2022 tarihli kararında 657 sayılı Devlet Memurları Kanunu’nda ve 5393 sayılı Belediye Kanunu’nda mesai takibi amacıyla özel nitelikli kişisel verilerin işlenmesi ve bu bağlamda biyometrik veri temelli takip sistemlerinin kullanılmasına dair temel esasları ve ilkeleri belirleyen bir düzenleme bulunmadığından başvuruya konu işyerinde parmak izi sistemi ile mesai takibine başlanmasına ilişkin müdahalenin kanunilik şartını sağlamadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkını ihlal ettiğine karar verildiği belirtilmiştir.
• Bununla birlikte, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu (işlendikleri amaçla bağlantılı olma), alternatif yöntemlerin tüketilip tüketilmediği (işlendikleri amaçla sınırlı olma) ve müdahalenin boyutu (işlendikleri amaçla ölçülü olma) açısından ayrı ayrı değerlendirilmesinin gerekmekte olduğu ve işbu kriterleri karşılamayan bir uygulamanın, ilgili kişinin açık rızası bulunsa dahi hukuka aykırı kabul edileceği açıklanmıştır.
• İşlendikleri amaçla bağlantılı ve sınırlı olma ilkesinin kişisel veri işleme faaliyetinin amacı gerçekleştirmeye yönelik en az müdahaleci yöntem olmasını gerektirdiği belirtilerek mesai takibi bakımından değerlendirildiğinde uygulamada şifreli kart veya PIN tabanlı sistemler geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminden elle giriş gibi alternatif yöntemlerin mevcut olduğunun görüldüğü belirtilmiş olup bu alternatiflerin varlığının biyometrik veri işlemenin zorunlu olmadığını açıkça ortaya koyduğu ifade edilmiştir.
• Ölçülülük değerlendirmesi bakımından ise mesai takibinin sınırlı bir amaç olup bu denli yoğun bir veri işleme müdahalesini haklı kılmak bakımından çoğu durumda yetersiz kaldığı ifade edilmiştir. Söz konusu kişisel verilerin başka kişisel veri işleme faaliyetleriyle birleştirilerek farklı amaçlarla kullanılabilme veya kötüye kullanılma ihtimali de dikkate alındığında mesai takibi amacıyla biyometrik veri işlenmesinin ölçülülük ilkesinin ihlali anlamına geleceği açıklanmıştır.
• İlke Kararı’nda, Danıştay 12. Dairesinin 2021/3870 esas ve 2023/2548 karar sayılı kararında, personelin mesai takibinde avuç içi damar okuyucu sistemi kullanılmasına ilişkin işlemin özel nitelikli kişisel verilerin işlenmesinde gereklilik ve ölçülülük ilkeleri çerçevesinde hukuka aykırı bulunduğu, anılan kararın ise Danıştay İdari Dava Daireleri Kurulunun 2024/225 esas ve 2024/2625 karar sayılı kararıyla “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi çerçevesinde özel nitelikli kişisel veri işleme faaliyetinde amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerekliliğine vurgu yapılarak hukuka uygun bulunduğu belirtilmiştir.

İşbu değerlendirmeler sonucunda

• Mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiğine karar verilmiştir.
• Belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceği belirtilmiştir.

İlke Kararı’na buradan ulaşabilirsiniz.