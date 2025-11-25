Biyometrik veriler; parmak izi, yüz, avuç içi, retina gibi kişiyi diğerinden ayıran, biricik ve genellikle bir ömür boyu değişmeyen özel nitelikli kişisel verilerdir.

Biyometrik veriler; parmak izi, yüz, avuç içi, retina gibi kişiyi diğerinden ayıran, biricik ve genellikle bir ömür boyu değişmeyen özel nitelikli kişisel verilerdir. Teknolojinin gelişmesiyle işverenler, mesai takibi amacıyla çalışanların biyometrik verilerini işlemeye başlamıştır. Ancak Danıştay ve Kişisel Verileri Koruma Kurulu; manyetik kart okuma, imza çizelgesi, mobil onay gibi daha az müdahaleci alternatifler varken biyometrik yöntemler ile mesai takibini çoğu durumda hukuka aykırı bulmaktadır. Öyleyse işverenler; hukuki, idari ve cezai yaptırım riski taşıyan biyometrik veri işleme faaliyetlerini bu kapsamda gözden geçirmelidir.

Biyometrik Veri

Kişisel Verileri Koruma Kurumu'nun (“Kurum”) 25 Mart 2025 tarihli “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'inde de yayımladığı üzere biyometrik veri; “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”1

Biyometrik Veri İşleme Şartı: Açık Rıza

Biyometrik veriler, ömür boyu değişmeyen ve kişiyi diğer kişilerden ayırt eden verilerdir. Parmak izi, retina, avuç içi, yüz, el şekli, iris gibi veriler, kişinin fizyolojik nitelikli biyometrik verisidir. Biyometrik veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu'na (“Kanun”) göre özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin işlenmesi için aşağıdaki şartlardan birinin varlığı gerekir:

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

d) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

e) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

f) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

g) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

h) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Mesai takibi amacıyla biyometrik veri işlenmesinde, ilgili kişinin açık rızası dışında diğer şartların varlığı mümkün görünmemektedir. Nitekim kanunların biyometrik veri işlemeye izin vermesi, söz konusu hükmün şüpheye yer vermeyecek kadar açık olmasını gerektirir.2 Türk hukukunda, mesai takibi amacıyla biyometrik veri işlenebileceğine dair kanun hükmü bulunmamaktadır. Mesai takibi amacıyla biyometrik veri işleme, işverenin işçiyi denetleme ve gözetleme hakkının tesisi için de zorunlu değildir. Zira zorunluluk halinde, işverenin mesai takibini başka herhangi bir veri işleyerek yapamaması gerekir. Halbuki mesai takibi başka şekillerde de yapılabilir. Örneğin; manyetik kart okuyucu, imza çizelgesi, çift aşamalı giriş çıkış takibi (SMS/mobil kod/mobil onay) gibi yöntemler kullanılabilir. Benzer şekilde işveren, bir an için mesai takibi amacını iş sağlığı ve güvenliği amacıyla değiştirse dahi, iş sağlığını ve güvenliğini biyometrik veri haricinde başka veriler işleyerek de sağlayabilir. Örneğin; iş sağlığına ve güvenliğine tehdit oluşturan alanlara kamera yerleştirebilir, denetimleri sıklaştırabilir, çalışan eğitimleri düzenleyebilir.

Biyometrik veri işlemek için tek şart açık rıza ise, açık rızanın ne olduğunu açıklamak gerekir. Açık rıza, veri sahibinin:

(i) belirli bir konuya ilişkin,

(ii) bilgilendirmeye dayanan ve

(iii) özgür iradeyle açıklanan rızasıdır.

Bir beyana “açık rıza” diyebilmemiz için bu üç unsur birlikte var olmalıdır. Ayrıca veri sahibi, rızasını dilediğinde geri alabilmelidir. Kurum soruşturmalarında ve yargı kararlarında işçinin açık rızasına soru işareti ile yaklaşılmaktadır ve açık rızanın unsurları özellikle incelenmektedir. Nitekim işçi-işveren ilişkisinde işçinin dezavantajlı konumu özgür iradesine ket vurabilmektedir. İşçinin rıza göstermeme veya rızasını geri alma imkanının olmaması veya bu durumların işçi aleyhinde olumsuzluğa neden olması halinde, özgür iradeden bahsedemeyiz.

Açık Rıza Olsa da Ölçülülük İlkesi

Açık rızanın:

(i) belirli bir konuya ilişkin (Sadece mesai takibi amacıyla biyometrik veri işleme faaliyetine özgü hazırlanan aydınlatma metni ile)

(ii) bilgilendirmeye dayanarak (İşçinin bu veri işleme faaliyetinin tüm aşamalarından, yöntemlerinden ve sonuçlarından haberdar edildiği)

(iii) özgür iradeyle (İşçinin rıza göstermeme ihtimalinin mümkün olduğu ve bu durumun işçi aleyhine olumsuzluk yaratmadığı)

alındığı kabul edilse dahi mesai takibi amacıyla biyometrik veri işlenmesi çoğu durumda hukuki kabul edilmeyecektir. Zira açık rıza, gerekenden fazla veri işlenmesini meşrulaştırmayacaktır.3 Veri sorumlusu işveren, açık rızaya dayanmalı ve aynı zamanda Kanun'un 4. Maddesinde yer alan genel ilkelere uymalıdır. Öyleyse, açık rızaya dayanan biyometrik veri işleme faaliyeti özellikle;

a) Temel hak ve özgürlüklerin özüne dokunmamalı,

b) Mesai takibi amacı için bağlantılı, sınırlı ve ölçülü olmalıdır.

Kurum ve yargı kararlarında ölçülülük ilkesi ihtiyatla değerlendirilmektedir. Ölçülülük ilkesi, amaç ile araç arasındaki makul dengedir. Ölçülülük ilkesi ışığında veri sorumlusu işveren, ilgili kişilerden minimum düzeyde veri talep etmelidir. Daha az sınırlayıcı müdahale ile aynı amaca ulaşabiliyorsa, daha çok sınırlayan müdahale ölçüsüz kabul edilmektedir. İşveren, mesai takibi amacına, kişinin ömrü boyunca değişmeyen, biricik biyometrik verisi haricinde genel nitelikli verisini işleyerek ulaşabiliyorsa, biyometrik veri işleme faaliyeti ölçüsüzdür. Ölçülülük ilkesi, her somut olay özelinde değerlendirilir. Örneğin, yüksek güvenlik gerektiren nükleer santrale girişte biyometrik veri işleyebilirken4 tehlike arz etmeyen depoya girişte biyometrik veri işlemek ölçüsüz kalabilir. Nitekim Danıştay da 16.05.2023 tarihli kararında, üstün güvenlik önlemi alma gerekliliğine dair somut bir veri olmaması nedeniyle avuç içi biyometrik veri işleme yöntemiyle mesai takibinin hukuka aykırı olduğuna karar vermiştir.5

Mesele, işverenin meşru amacını sağlamak için “Minimum düzeyde hangi veriyi işleyebilirim?” sorusuna doğru cevap vermesidir.

İş yerinde mesai takibi, yüz tanıma teknolojisine alternatif yöntemlerle yapılabilir mi?

Manyetik kart sistemi, imza çizelgesi, RFID (Radio Frequency Identification) etiketi, cep telefonuna gelen mobil onay kodu veya SMS'i sisteme girme mesai takibi için alternatif yöntemlerdir.6 Ancak bazı işverenler, imza çizelgesi yönteminin kişinin başkası yerine imza atabilmesi, manyetik kart sisteminin ise kişinin başkasının kartını da okutabilmesi nedeniyle verimsiz olduğunu öne sürebilir. Bu durumda Kurum, mesai takibinin “işçilerin başkası yerine imza atma veya kart okutma gibi yöntemlere başvurmaması adına uyarılması ve tespit edildiğinde uygulanabilecek yaptırımlar belirlenerek bu hususta işçilere bilgilendirme yapılmak suretiyle kötü niyetli kullanımların önüne geçilmesi ile sağlanması” gerektiğini savunmaktadır.7 Örneğin, iş yerine girişte formların imzalandığı alanda kamera kaydı alınması yüz tanıma sistemine alternatif sayılabilir.

Bazı işverenler, üstün güvenlik ihtiyacı nedeniyle iş yerinin yalnızca belirli bir bölümüne girişte biyometrik veri işlemenin ölçülü olacağını değerlendirebilir. Elbette, tüm işçilerin biyometrik verisini işlemektense yalnızca belirli departmanda çalışanların biyometrik verisini işlemek veri minimizasyonu ilkesi ile daha uyumludur. Ancak bu durumda dahi Kurum, alternatif yöntemlere öncelik verebilir. Örneğin, kâğıt üretiminde faaliyet gösteren işveren, iş yerinin tehlikeli sınıfta yer aldığı, işin yüksek bütçeli yatırım gerektirdiği, en büyük kazaların kâğıt yapma makinelerinden kaynaklandığı, iş kazalarının ölüme neden olabildiği, eğitimsiz çalışanın başkasının kartı ile ilgili alana girebileceği gerekçeleriyle üretim bölümüne girişte yüz tanıma sistemi kullanmaktadır. Ancak Kurum, bu gerekçeleri biyometrik veri işleyecek yeterlilikte görmemiştir. İşveren, işçilerin biyometrik verilerinin kayıtlarını tutmadan yalnızca benzersiz bir kodlama ile girişi-çıkışı takip ettiğini savunsa da Kurum, işverenin mesai takibi ve iş güvenliğini sağlama amaçlarına daha az müdahaleci yöntemlerle ulaşabileceği kanaatindedir.8 Neticede Kurum, işverenin mesai takibi amacıyla biyometrik veri işleme faaliyetini hukuka aykırı bulmuştur ve 500.000 TL idari para cezasına hükmetmiştir.

Yaptırımlar ve Kurum Kararları

Kanun'un 12. maddesinin 1. fıkrası uyarınca veri sorumlusu, hukuka aykırı kişisel veri işleme faaliyetlerini önlemek amacıyla gerekli her türlü idari ve teknik tedbiri almakla yükümlüdür. Bu yükümlülüğe aykırılık halinde Kurum, Kanun'un 18. maddesine göre idari para cezası uygulayabilir. 2025 yılında, veri güvenliğine ilişkin yükümlülüğe aykırılık halinde idari para cezası tutarı 204.285 TL ile 13.620.402 TL arasında değişmektedir.

Kurum, idari para cezasına bir soruşturma neticesinde başvurabilir. Soruşturma ise Kurum tarafından re'sen veya şikâyet üzerine başlatılır. İşçilerin kişisel verilerini korumak için Kurum'a şikâyet yoluna başvurmaları mümkündür ve sık karşılaştığımız bir durumdur. Bu nedenle işverenler, yürüttükleri veri işleme faaliyetlerini gözden geçirmelidir ve hukuka aykırı olanları durdurmalıdır. Zira Kurum, işçilerin şikâyeti üzerine başlattığı, işverenin mesai takibi için biyometrik veri işleme faaliyetini konu alan iki soruşturmada da idari para cezası vermiştir: 2020 tarihli kararda 200.000 TL9, 2022 tarihli kararda ise 500.000 TL10 idari para cezasına hükmetmiştir.

Türkiye Cumhuriyeti Anayasası'nın 20. maddesi uyarınca herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Hukuka aykırı kişisel veri işleme faaliyeti, veri sahibinin kişilik hakkını ihlal edebilir. Gerçekten de Kanun'un 14. maddesi uyarınca veri sahibinin, genel hükümlere göre tazminat talep etme hakkı saklıdır. Bu durumda, işverenin hukuka aykırı veri işleme faaliyeti nedeniyle kişilik hakkını ihlal ettiğini iddia eden işçi, maddi ve manevi tazminat talebinde bulunabilir. Ayrıca, kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması, ele geçirilmesi ve yok edilmemesi Türk Ceza Kanunu'nda hapis cezası ile cezalandırılması gereken suç olarak tanımlandığı unutulmamalıdır.

Hukuka aykırı kişisel veri işleme faaliyetinin hukuki (tazminat davası), idari (Kurum'un idari para cezası) ve cezai yaptırımları olabilir. Öyleyse, bu riskleri bertaraf etmek için somut olay özelinde üstün güvenlik gerektiren bir durum olmadığı sürece, işverenler mesai takibi amacıyla biyometrik veri işleme faaliyetinde bulunmamalıdır.

