Konu: Kişisel Verileri Koruma Kurulu’nun (Kurul) 29/04/2026 tarihli ve 2026/921 sayılı İlke Kararı, 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı.

1. Giriş

Karar ile mesai (çalışma devam) takibi amacıyla parmak izi, yüz tanıma, avuç içi/damar okuma gibi biyometrik tanımlama sistemlerinin kullanılması, geçerli bir açık rıza alınsa dahi kural olarak hukuka aykırı bulunmuştur. Bu sirkülerde kararın gerekçeleri özetlenmekte ve işverenlerin atması gereken somut adımlar ele alınmaktadır.

2. Kararın özü

Kurul, mesai takibinde biyometrik veri işlenmesini iki temel eksen üzerinden hukuka aykırı bulmaktadır:

  • Açık rıza tek başına yeterli değildir. İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle çalışanın rızasının özgür iradeye dayandığı kabul edilemez; ayrıca rıza her zaman geri alınabildiğinden sisteme süreklilik kazandırmaz.
  • Ölçülülük ilkesi sağlanamaz. Şifreli kart/PIN, kâğıt bazlı imzalı çizelge, RFID/NFC kart veya denetçi gözetiminde elle giriş gibi daha az müdahaleci alternatiflerin varlığı, biyometrik veri işlemeyi gereksiz ve ölçüsüz kılar.

3. Kurul’un temel tespitleri

  • Biyometrik veri özel nitelikli kişisel veridir. 6698 sayılı Kanun’un 6’ncı maddesi kapsamında yer alır; hassas ve geri döndürülemez niteliği (ele geçirilmesi hâlinde değiştirilememesi) nedeniyle ihlali ilgili kişi açısından ağır sonuçlar doğurur.
  • Kanunda açıkça öngörülme yoktur. 4857 sayılı İş Kanunu ve Çalışma Süreleri Yönetmeliği işvereni çalışma sürelerini “uygun araçlarla belgelemekle” yükümlü kılar; ancak takibin biyometrik yöntemle yapılacağına dair açık bir kanuni düzenleme bulunmamaktadır.
  • Yargı içtihadı aynı yöndedir. Anayasa Mahkemesi’nin 10/03/2022 tarihli (2018/11988) kararı ile Danıştay kararları, temel esasları belirleyen bir düzenleme olmaksızın biyometrik mesai takibini özel hayata saygı ve kişisel verilerin korunması hakkına aykırı bulmuştur.
  • Değerlendirme üçlü kriterle yapılır. Yöntemin amaca uygunluğu, alternatiflerin tüketilip tüketilmediği ve müdahalenin boyutu ayrı ayrı değerlendirilir; bu kriterleri karşılamayan uygulama açık rıza bulunsa dahi hukuka aykırıdır.

4. İlke Kararına uyulmaması durumunda ortaya çıkabilecek hususlar

Kurul, biyometrik mesai takibini Kanun’un 12’nci maddesi kapsamındaki teknik ve idari tedbir yükümlülüğü ile ilişkilendirmiş; bu İlke Kararına aykırı hareket eden veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanabileceğini duyurmuştur. İlke Kararları tüm veri sorumluları bakımından bağlayıcı olup, mevcut uygulamaların karar doğrultusunda gecikmeksizin gözden geçirilmesi büyük önem taşımaktadır.

5. Sonuç

Kurul’un İlke Kararı, mesai takibi amacıyla biyometrik veri kullanımının açık rıza ile dahi meşrulaştırılamayacağını ve daha az müdahaleci alternatifler varken bu yöntemin ölçülülük ilkesine aykırı olduğunu açık biçimde ortaya koymaktadır. Bu nedenle, biyometrik mesai takip sistemi kullanan işverenlerin mevcut uygulamalarını ivedilikle gözden geçirmesi, alternatif yöntemlere geçmesi ve ilgili veri işleme süreçlerini güncellemesi hem KVKK’ya uyumun sağlanması hem de idari yaptırım riskinin azaltılması bakımından kritik önem taşımaktadır.

Kişisel Verilerin Korunması Kanunu kapsamındaki detaylı hukuki değerlendirme ile diğer tüm hukuki danışmanlık hizmetleri için bizimle iletişime geçebilirsiniz.

Saygılarımızla,

 

İletişim:

Av. Tuğçe Gültekin

Şirket Ortağı
tugce.gultekin@tr.ey.com
(212) 315 30 00