Mesai Takibinde Biyometrik Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun Yeni İlke Kararı

Yazar: Av. İrem Deniz ÇİÇEK

Kişisel Verileri Koruma Kurulunun 29/04/2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, 02 Haziran 2026 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu karar, iş yaşamında dijitalleşme ve güvenlik gerekçeleriyle yaygın olarak kullanılan parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik veri temelli devam takip sistemlerinin hukuka uygunluğunu kökten değiştiren bir dönüm noktası niteliğindedir. Bu ilke kararı doğrultusunda; biyometrik verilerin özel nitelikli kişisel veri vasfı, işçi-işveren ilişkisindeki yapısal güç dengesizliğinin açık rızaya etkisi, mevzuattaki yasal boşluklar ve veri işlemenin anayasal bir ilkesi olan “ölçülülük” kriterini inceleyeceğiz.

Gelişen kitle iletişim ve bilişim teknolojileri, işyerlerindeki yönetimsel süreçlerin ve çalışan denetim mekanizmalarını da dijitalleştirmiştir. İşverenler işçinin çalışma sürelerini denetlemek ve işyeri güvenliğini tesis etmek amacıyla uzun yıllardır çeşitli takip yöntemlerine başvurmaktadır. Son dönemde ise hızlı sonuç ve doğruluk payının yüksekliği gibi operasyonel avantajlar sebebiyle parmak izi okuyucuları, yüz tanıma sistemleri ve retina tarayıcıları gibi biyometrik tanımlama yöntemlerinin kullanımı hızla artmıştır. Ancak, bireyin en mahrem ve değiştirilemez nitelikteki biyolojik özelliklerini esas alan bu sistemler, Kişisel Verilerin Korunması Hukuku bakımından son derece ciddi riskler barındırmaktadır. Kişisel Verileri Koruma Kurulunun 29/04/2026 tarihli ve 2026/921 sayılı İlke Kararı, bu teknolojik yönelim ile temel hak ve özgürlüklerin korunması arasındaki hassas dengede hukuki bir sınır çizme ihtiyacından doğmuştur. Kurul, intikal eden yoğun ihbar ve şikayetleri değerlendirerek, işyerlerinde mesai takibi amacıyla biyometrik veri işlenmesinin anayasal ve yasal sınırlarını kesin bir biçimde tayin etmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinde, özel nitelikli kişisel veriler sınırlı sayma yoluyla düzenlenmiştir. Yasa koyucu, taşıdıkları önem ve kötüye kullanım halinde doğurabilecekleri ağır mağduriyetler sebebiyle biyometrik verileri bu kategoride açıkça zikretmiştir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün olmadığından, biyometrik verilerin kanunda öngörülen katı koruma rejimine tabi olduğu tartışmasızdır.

Mevzuatımızda biyometrik verinin kapsamlı bir tanımı bulunmamakla birlikte, 5490 sayılı Nüfus Hizmetleri Kanunu’nun 3’üncü maddesinin ff bendinde bu kavram; elektronik sistemler aracılığıyla kimlik tespit ve doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü veriler olarak tanımlanmıştır. Uluslararası literatürde ve Avrupa Genel Veri Koruma Tüzüğü’nde (GDPR) ise kavram daha geniş ele alınarak; bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin spesifik teknik işlemlerden kaynaklanan veriler olarak kabul edilmiştir. Bu bağlamda parmak izi, retina ve iris fizyolojik; yüz ve el geometrisi fiziksel; ses tınısı, imza dinamikleri veya klavye kullanım alışkanlıkları ise davranışsal biyometrik verilere örnek teşkil eder.

Biyometrik verileri genel nitelikli verilerden ya da değiştirilebilir şifrelerden ayıran en temel özellik, hassas ve geri döndürülemez bir yapıya sahip olmalarıdır. Bir kart veya şifre çalındığında yenisiyle ikame edilebilirken; bir bireyin parmak izinin, yüz modelinin veya retina haritasının ele geçirilmesi halinde bu verilerin değiştirilmesi ya da geri alınması imkansızdır. Bu durum, veri güvenliği ihlallerinde ilgili kişiyi ömür boyu sürebilecek sistemik risklere ve hak mahrumiyetlerine maruz bırakmaktadır.

Kanun’un 6’ncı maddesinin üçüncü fıkrası uyarınca, özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenebilmesi için “kanunlarda açıkça öngörülme” veya fıkrada sayılan diğer istisnai şartların varlığı aranmaktadır. İşçi-işveren ilişkisinde işverenin yönetim hakkı ve denetim yükümlülüğü çerçevesinde, 4857 sayılı İş Kanunu’nun 63, 67 ve 75’inci maddeleri ile İş Kanunu’na İlişkin Çalışma Süreleri Yönetmeliği’nin 9’uncu maddesi büyük önem taşımaktadır. İlgili mevzuat, işverene işçilerin çalışma sürelerini “uygun araçlarla belgelemek” ve takip etmek hususunda açık bir yasal yükümlülük yüklemektedir. Ancak Kurul, İlke Kararı’nda bu hususa net bir şerh düşmüştür: İş Hukuku mevzuatında çalışma sürelerinin belgelenmesi genel bir yükümlülük olarak düzenlenmiş olsa da, bu takibin münhasıran biyometrik veri işleyen sistemlerle yapılması gerektiğine veya yapılabileceğine dair hiçbir  açık hüküm bulunmamaktadır. Dolayısıyla, normun yorumlanmasında kanunilik ilkesi dar tutulmalı ve genel içerikli belgelendirme yükümlülükleri, biyometrik veri işlenmesinin yasal dayanağı olarak kabul edilmemelidir. Bu doğrultuda, mesai takibinde biyometrik veri işleme faaliyeti Kanun’un 6/3-b maddesindeki “kanunlarda açıkça öngörülme” hukuki sebebine dayandırılamaz.

Yasal bir zorunluluğun bulunmadığı durumlarda veri sorumlusu işverenler, çalışanlardan “açık rıza” alma yoluna gitmektedir. Kanun’un 3’üncü maddesi uyarınca açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Rızanın hukuken geçerli olabilmesi için, rıza göstermeme veya verilen rızayı geri çekme hakkının kişiye hiçbir olumsuz sonuç doğurmadan, etkin bir biçimde tanınmış olması gerekir.

Kurul, İlke Kararı’nda işçi ve işveren arasındaki güç dengesizliğine dikkat çekmiştir. Çalışanın parmak izi veya yüz tanıma sistemine dahil olmayı reddetmesi halinde işini kaybetme, mobbinge uğrama veya ayrımcılığa maruz kalma korkusu taşıması kaçınılmazdır. Bu psikolojik ve ekonomik baskı altında verilen rızanın “özgür iradeye” dayandığını söylemek hukuken mümkün değildir. Ayrıca rızanın doğası gereği her zaman geri alınabilir olması, işyerinde kurulan biyometrik takip sistemlerinin sürekliliği ve uygulanabilirliğiyle bağdaşmamaktadır. Bir çalışanın rızasını geri çekmesi durumunda, işverenin o çalışan için alternatif bir sistem kurmak zorunda kalacak olması, sistemin bütünsel amacını sakatlamaktadır. Bu nedenlerle açık rıza, mesai takibinde biyometrik veri işlenmesi için tek başına yeterli ve sürdürülebilir bir hukuki zemin sunmamaktadır.

Kanun’un 4’üncü maddesinde düzenlenen genel ilkeler, tüm veri işleme faaliyetlerinin çatısını oluşturur ve ilgili kişinin açık rızası olsa dahi bu ilkelere aykırı veri işlenemez. Bu ilkelerin en önemlilerinden biri de verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesidir. Bir veri işleme faaliyetinin ölçülü kabul edilebilmesi için amaca ulaşmaya elverişli olması, amaca ulaşmak için zorunlu olması ve müdahalenin boyutu ile ulaşılmak istenen amaç arasında makul bir dengenin bulunması gerekir.

Ölçüçülük

Ölçülülük değerlendirmesinin en kritik eşiği, mesai takibine daha az hak ihlaline yol açan, daha hafif yöntemlerle ulaşılmasının mümkün olup olmadığıdır. Kurul İlke Kararı’nda, personelin işe devam durumunun tespiti amacıyla kullanılabilecek veri minimizasyonuna uygun birçok alternatifi açıkça listelemiştir:

  • Şifreli kart sistemleri,
  • PIN tabanlı giriş sistemleri,
  • RFID / NFC özellikli personel kimlik kartları,
  • Geleneksel imza çizelgeleri ve kağıt bazlı devam takip formları,
  • Denetçi gözetiminde manuel (elle) giriş yöntemleri.

Bu alternatiflerin varlığı, mesai takibi gibi rutin bir idari işlem için bireyin değiştirilemez biyometrik verilerinin işlenmesinin zorunlu olmadığını, dolayısıyla sınırlı ve ölçülü olma ilkesinin açıkça ihlal edildiğini ortaya koymaktadır.

Mesai takibi, özü itibariyle sınırlı bir idari ve organizasyonel amaçtır. Bu amaca karşılık çalışanların parmak izi veya yüz hatları gibi yüksek riskli özel nitelikli verilerinin veri tabanlarında dijital matrisler halinde saklanması, amaca oranla aşırı ve orantısız bir müdahaledir. Bu verilerin merkezi sistemlerde toplanması, siber saldırılar neticesinde veri sızıntılarına zemin hazırlayabileceği gibi, çalışanların işyeri içinde sürekli takibi ve profil çıkartılması gibi yan amaçlara hizmet etme riskini de barındırmaktadır. Dolayısıyla, meşru amaç ile araç arasında bulunması gereken makul denge bozulmuştur.

Kurulun 2026/921 sayılı İlke Kararı, Türk yargı dünyasındaki istikrarlı kararlarla da tam bir uyum içerisindedir. Nitekim Anayasa Mahkemesi Genel Kurulunun 10/03/2022 tarihli ve 2018/11988 başvuru numaralı kararında; bir kamu kurumunda parmak izi taraması ile mesai takibi yapılmasının, kanunilik şartını taşımadığı gerekçesiyle Anayasa’nın 20’nci maddesinde güvence altına alınan “kişisel verilerin korunmasını isteme hakkını” ihlal ettiğine hükmedilmiştir. Kurulun son İlke Kararı, yargının bu kararlı tutumunu idari alanda da mutlak bir uygulama kuralı haline getirmiştir.

Karar Sonucu

Kişisel Verileri Koruma Kurulunun 2026/921 sayılı İlke Kararı uyarınca, mevcut yasal düzende mesai takibi amacıyla parmak izi, yüz tanıma, iris, retina veya benzeri biyometrik sistemlerin kullanılması hukuka aykırı hale gelmiştir. Çalışanlardan alınmış olan açık rızalar, taraflar arasındaki güç dengesizliği ve ölçülülük ilkesinin çiğnenmesi nedenleriyle bu faaliyeti hukuka uygun kılmaya yetmemektedir. Bu doğrultuda, bünyesinde biyometrik sistemlerle mesai takibi yapan tüm veri sorumlusu şirket ve kurumların, Kanun’un 18’inci maddesinde öngörülen idari para cezaları ve yaptırımlarla karşılaşmamak adına ivedilikle şu aksiyonları alması gerekmektedir:

  • Biyometrik veri işleyen tüm devam takip sistemlerinin (parmak izi, yüz tanıma vb.) kullanımı derhal sonlandırılmalıdır.
  • Mesai takibi yükümlülüğü, İlke Kararı’nda önerilen RFID/NFC kartlar, PIN kodları veya geleneksel imza yöntemleri gibi daha az müdahaleci alternatiflerle ikame edilmelidir.
  • Bugüne kadar mesai takibi amacıyla toplanmış, saklanmış ve işlenmiş olan tüm çalışan biyometrik verileri ile bu verilerden üretilen dijital şablonlar/matrisler, KVKK Veri İmha Yönetmeliği’ne uygun olarak güvenli bir şekilde silinmeli veya yok edilmelidir.
  • Şirketlerin Kişisel Veri İşleme Envanterleri, VERBİS kayıtları, çalışan aydınlatma metinleri ve ilgili veri güvenliği politikaları yeni duruma uygun olarak revize edilmelidir.

Sonuç

Unutulmamalıdır ki, dijitalleşmenin hızı ve operasyonel kolaylıklar, bireyin temel hak ve özgürlüklerinin, özellikle de değiştirilemez nitelikteki biyometrik bütünlüğünün önüne geçemez. Kurulun bu ilke kararı, iş hukukunda işçinin kişilik haklarının korunması ve veri koruma hukukunda minimizasyon ilkesinin tesisi adına atılmış en radikal ve koruyucu adımlardan biridir.

Yazar: Av.İrem Deniz ÇİÇEK

Anayasa Mahkemesi Genel Kurulu Kararı, Başvuru No: 2018/11988, Karar Tarihi: 10/03/2022.

Kişisel Verileri Koruma Kurulu İlke Kararı, “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, Karar No: 2026/921, Karar Tarihi: 29/04/2026, T.C. Resmî Gazete, Sayı: 33268, Yayın Tarihi: 02/06/2026.

Kişisel Verileri Koruma Kurulu Kararı, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”, Karar No: 2018/10, Karar Tarihi: 31/01/2018.

Kişisel Verileri Koruma Kurulu Kararı, Karar No: 2020/915, Karar Tarihi: 01/12/2020.