KVKK’dan Mesai Takibi Amacıyla Biyometrik Veri İşlenmesine İlişkin İlke Kararı

Yeni Gelişme

Kişisel Verileri Koruma Kurulu’nun (“Kurul“) 29.04.2026 tarihli ve 2026/921 sayılı Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı (“İlke Kararı“), 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı.

İlke Kararı’nda Kurul, çalışan devam takibinin dijitalleştirilmesi ve güvenliğin artırılması amacıyla biyometrik tanıma sistemlerinin kullanımına ilişkin Kurum’a intikal eden ihbar ve şikâyetleri değerlendirmektedir.

Karar Ne Diyor?

Kurul, parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik verilerin hassas nitelikte ve geri döndürülemez yapısı nedeniyle kişisel verilerin korunması hukuku bakımından özel bir risk alanı oluşturduğunu belirtmektedir. İlke Kararı’nda Avrupa Genel Veri Koruma Tüzüğü’ndeki (“GDPR“) biyometrik veri tanımına da atıf yapılarak, bu verilerin kişiyi özgün biçimde teşhis etmeye veya teyit etmeye yarayan fiziksel, fizyolojik veya davranışsal özelliklere ilişkin özel teknik işlemeden kaynaklanan kişisel veriler olduğu hatırlatılmaktadır.

Kurul, 4857 sayılı İş Kanunu ve ilgili ikincil mevzuatta çalışma sürelerinin takip edilmesi ve belgelenmesine ilişkin hükümler bulunduğunu; bununla birlikte mesai takibinin biyometrik yöntemlerle yapılmasını açıkça öngören herhangi bir düzenlemenin mevcut olmadığını vurgulamaktadır.

Bu tespitle bağlantılı olarak Kurul, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6. maddesinin üçüncü fıkrasında sayılan özel nitelikli kişisel veri işleme şartlarını mesai takibi bağlamında iki aşamalı bir analiz çerçevesinde değerlendirmektedir.

İlk aşamada Kurul, (b) “kanunlarda açıkça öngörülme” başta olmak üzere (b)-(g) bentlerindeki işleme şartlarının mesai takibi amacıyla gerçekleştirilen biyometrik veri işleme faaliyetlerinde uygulama alanı bulmadığını tespit etmektedir. Mesai takibine özgü biyometrik veri işleme için kanuni bir dayanak bulunmadığından (b) bendindeki şartın karşılanamadığı; benzer şekilde diğer bentlerde aranan koşulların da bu faaliyet bakımından oluşmadığı değerlendirilmektedir.

İkinci aşamada ise Kurul, uygulamada fiilen başvurulan (a) “açık rıza” şartının da tek başına yeterli hukuki zemin oluşturmadığını ortaya koymaktadır. İşçi-işveren ilişkisindeki yapısal güç dengesizliği nedeniyle çalışanın rıza göstermeme ya da rızasını geri alma imkânına gerçek anlamda sahip olup olmadığı ciddi biçimde tartışmalıdır. Öte yandan rızanın geri alınabilmesi, biyometrik tanımlama sisteminin sürekliliğini ve uygulanabilirliğini doğrudan zedelemektedir. Bu nedenle Kurul, açık rızanın bu bağlamda özgür iradeye dayandığından söz edilemeyeceğini ve dolayısıyla geçerli bir hukuki zemin oluşturmayacağını değerlendirmektedir.

Kurul ayrıca Kanun’un 4. maddesi kapsamında bağımsız bir ölçülülük değerlendirmesi de yapmaktadır. Bu değerlendirmede; yöntemin amaca uygunluğu, daha az müdahaleci alternatiflerin tüketilip tüketilmediği ve müdahalenin boyutu ayrı ayrı sorgulanmaktadır. Uygulamada şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ve denetçi gözetiminde elle giriş gibi yöntemlerin mevcut olması, biyometrik veri işlemenin zorunlu olmadığını açıkça ortaya koymaktadır. Bu nedenle Kurul, geçerli bir açık rıza bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin ölçülülük kriterini karşılamayacağını değerlendirmektedir.

Sonuç ve Uygulamaya Etkileri

Kurul, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6. maddesinde yer alan özel nitelikli kişisel veri işleme şartlarından herhangi birine dayandırılamayacağını; açık rızaya dayanılması hâlinde dahi işçi-işveren ilişkisindeki güç dengesizliği ve rızanın geri alınabilirliği nedeniyle bunun yeterli hukuki zemin oluşturmayacağını ortaya koymuştur. Kurul ayrıca, geçerli bir açık rızanın varlığından bağımsız olarak biyometrik veri işlemenin Kanun’un 4. maddesinde düzenlenen ölçülülük ilkesini de ihlal ettiğini tespit etmiştir.

Bu çerçevede veri sorumlularının aşağıdaki adımları ivedilikle değerlendirmesi önem arz etmektedir:

• Parmak izi, yüz tanıma veya benzeri biyometrik yöntemlerle mesai takibi yapan veri sorumluları, mevcut sistemlerin yasal dayanağını yeniden gözden geçirmelidir.
• Biyometrik sistemlerin yerini şifreli kart veya PIN tabanlı sistemler, RFID/NFC kimlik kartları, geleneksel imza ya da kâğıt bazlı devam çizelgeleri veya denetçi gözetiminde elle giriş gibi daha az müdahaleci alternatifler almalıdır.
• “Çalışanın açık rızası alınmıştır” argümanına güvenerek mevcut sistemi sürdürmek, Kurul’un açıkça reddettiği bir yaklaşım olup yaptırım riskini ortadan kaldırmamaktadır.
• Konuya ilişkin iç politika belgeleri ve çalışan bilgilendirme süreçlerinin de İlke Kararı doğrultusunda güncellenmesi gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.