Kişisel Verileri Koruma Kurumu (KVKK), son dönemde kurum ve kuruluşların çalışan devam takibini dijitalleştirmek ve güvenliği artırmak amacıyla biyometrik tanımlama sistemlerine yönelmesini masaya yatırdı. Kuruma intikal eden ihbar ve şikayetlerde bu durumun sıkça karşılaşılan hususlardan biri hâline geldiğini belirten KVKK, resmî internet sitesi üzerinden kritik bir açıklama yayımladı ve iş yerlerinde mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesinin hukuka aykırılık teşkil edebileceğini net bir şekilde vurguladı.
Biyometrik tanımlama sistemleri; parmak izi, yüz tanıma, iris ve retina taraması gibi hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip görünse de kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturmaktadır. Özellikle işçi-işveren ilişkisinde mevcut olan yapısal güç dengesizliği, açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler doğurmaktadır. Bu nedenle biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerekmektedir.
Yasal düzenlemeler ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmamaktadır. Dolayısıyla mevcut durumda biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesi kabul edilemez. Mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasının b, c, ç, d, e, f ve g bentlerinde yer alan diğer işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle, uygulamada söz konusu faaliyetlerin a bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği görülmektedir.
Ancak, tarafların eşit konumda olmadığı, taraflardan birinin diğeri üzerinde etkili olduğu veya taraflar arasında güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışana rıza göstermeme veya rızasını geri çekme imkanının etkin bir biçimde sunulmaması ya da rıza göstermemenin çalışan açısından muhtemel olumsuzluklar doğurabilmesi durumunda çalışanın gerçek bir seçeneğe sahip olduğu söylenemez. Bu şartlar altında rızanın özgür iradeye dayandığından da söz etmek mümkün olmayacaktır. Ayrıca rızanın geri alınabilmesi, biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyeceğinden biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesi de kural olarak yeterli bir hukuki zemin oluşturmamaktadır.
Öte yandan, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu yani işlendikleri amaçla bağlantılı olma durumu, alternatif yöntemlerin tüketilip tüketilmediği yani işlendikleri amaçla sınırlı olma boyutu ve müdahalenin boyutu yani işlendikleri amaçla ölçülü olma kriterleri açısından ayrı ayrı değerlendirilmesi gerekmektedir. Ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında bu kriterleri karşılamayan bir uygulama, ilgili kişinin açık rızası bulunsa dahi Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında hukuka aykırı kabul edilecektir.
Sonuç olarak mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği ve geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin ölçülülük kriterini sağlamayacağı değerlendirilmiştir. Bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID ya da NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerekmektedir.
Belirtilen tüm bu hususlar, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden biri olarak duyurulmuştur. Bu kurallara ve esaslara uygun hareket edilmediğinin tespiti halinde, ilgili veri sorumluları hakkında Kanun’un 18’inti maddesi hükümleri gereği işlem tesis edileceği hususunda kamuoyu bilgilendirilmiş ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından İlke Kararı alınmasına karar verilmiştir.
Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 29.04.2026 Tarihli ve 2026/921 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu
Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hususlardan biri de çalışan devam takibini dijitalleştirme ve güvenliği artırma amacıyla kurum ve kuruluşların giderek artan ölçüde biyometrik tanımlama sistemlerine yönelmesidir.
Biyometrik tanımlama sistemleri (parmak izi, yüz tanıma, iris ve retina taraması gibi) hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip görünse de kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturmaktadır. Özellikle işçi-işveren ilişkisinde mevcut olan yapısal güç dengesizliği, açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler doğurmaktadır. Bu nedenle biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerekmektedir.
Yasal düzenlemeler ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığından mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesi hukuka aykırılık teşkil edebilecektir.
Bu çerçevede, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasında yer alan diğer işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle, uygulamada söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği görülmektedir. Ancak, tarafların eşit konumda olmadığı, taraflardan birinin diğeri üzerinde etkili olduğu veya taraflar arasında güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışana rıza göstermeme veya rızasını geri çekme imkânının etkin bir biçimde sunulmaması ya da rıza göstermemenin çalışan açısından muhtemel olumsuzluklar doğurabilmesi durumunda çalışanın gerçek bir seçeneğe sahip olduğu söylenemeyeceğinden rızanın özgür iradeye dayandığından da söz etmek mümkün olmayacaktır.
Ayrıca rızanın geri alınabilmesi, biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyeceğinden biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesi de kural olarak yeterli bir hukuki zemin oluşturmayacaktır.
Öte yandan, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu (işlendikleri amaçla bağlantılı olma), alternatif yöntemlerin tüketilip tüketilmediği (işlendikleri amaçla sınırlı olma) ve müdahalenin boyutu (işlendikleri amaçla ölçülü olma) açısından ayrı ayrı değerlendirilmesi gerekmekte olup bu kriterleri karşılamayan bir uygulama, ilgili kişinin açık rızası bulunsa dahi hukuka aykırı kabul edilecektir.
Sonuç olarak,
- Mevzuatta, çalışma sürelerinin takibine ilişkin hükümler bulunmakla birlikte takibin ne şekilde gerçekleştirileceğine ya da takibin biyometrik veri işlenmesi suretiyle yapılması gerektiğine dair açık hüküm bulunmadığı dikkate alındığında mevcut durumda biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesinin kabul edilemeyeceği,
- Dolayısıyla, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasının (b), (c), (ç), (d), (e), (f) ve (g) bentlerinde yer alan işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği ancak işçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu ve bu yönüyle tek başına yeterli bir hukuki zemin oluşturmadığı,
- Ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında ilgili kişilerin açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı
değerlendirilmiş olup bu itibarla;
– Mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiğine,
– Belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınmasına karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
