Kişisel Verileri Koruma Kurulu’nun Resmi Gazete’de yayımlanan kararı, işyerlerinde mesai takibi amacıyla kullanılan parmak izi ve yüz tanıma sistemlerinin hukuka aykırı sonuçlar doğurabileceğine dikkat çekerek işverenlere daha az müdahaleci alternatif yöntemlere yönelme çağrısında bulundu.
İşyerlerinde çalışanların mesai giriş ve çıkışlarını takip etmek amacıyla kullanılan parmak izi ve yüz tanıma sistemleri, Kişisel Verileri Koruma Kurulu’nun (KVKK) yeni ilke kararıyla yeniden gündeme geldi. Resmi Gazete’de yayımlanarak yürürlüğe giren karar, biyometrik verilerin mesai takibi amacıyla kullanılmasının hukuki ve teknik açıdan ciddi riskler taşıdığına dikkat çekti.
KARAR RESMİ GAZETE’DE YAYIMLANDI
Kişisel Verileri Koruma Kurulu’nun 29 Nisan 2026 tarihli ve 2026/921 sayılı İlke Kararı, 2 Haziran 2026 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kararda, çalışanların işe giriş ve çıkış saatlerinin kontrolü amacıyla biyometrik veri işlenmesinin çoğu durumda Kişisel Verilerin Korunması Kanunu bakımından sorun teşkil edebileceği vurgulandı.
Türkiye genelinde çok sayıda kamu kurumu ve özel sektör işletmesinde kullanılan parmak izi, yüz tanıma ve benzeri sistemlerin hukuki dayanaklarının dikkatle değerlendirilmesi gerektiği ifade edildi.
‘MESAİ TAKİBİ İÇİN ZORUNLU DEĞİL’
Kurul, işverenlerin çalışma sürelerini kayıt altına alma yükümlülüğünün bulunduğunu kabul etmekle birlikte, bu yükümlülüğün mutlaka biyometrik sistemlerle yerine getirilmesini zorunlu kılan bir mevzuat hükmünün bulunmadığını belirtti.
Kararda, personel devam kontrolünün farklı yöntemlerle de sağlanabileceğine işaret edilerek, biyometrik verilerin kullanılmasının ancak gerekli ve ölçülü olduğu durumlarda değerlendirilebileceği kaydedildi.
BİYOMETRİK VERİLER ÖZEL KORUMA ALTINDA
KVKK, parmak izi, yüz geometrisi, iris taraması ve benzeri biyometrik bilgilerin “özel nitelikli kişisel veri” kapsamında yer aldığını hatırlattı. Bu verilerin diğer kişisel verilere göre daha hassas kabul edildiği belirtilirken, ele geçirilmeleri halinde değiştirilememeleri veya geri alınamamaları nedeniyle çok daha yüksek düzeyde koruma gerektirdiği vurgulandı. Kurul, biyometrik verilerin işlenmesinde veri güvenliği ve temel hakların korunmasının öncelikli olması gerektiğine dikkat çekti.
AÇIK RIZA TEK BAŞINA YETERLİ GÖRÜLMEDİ
Kararın öne çıkan bölümlerinden biri de çalışanlardan alınan açık rızaya ilişkin değerlendirme oldu. Kurul, işçi ile işveren arasındaki ilişkinin doğası gereği taraflar arasında güç dengesi bulunmadığını belirterek, çalışanların verdikleri rızanın her durumda özgür iradeye dayanıp dayanmadığının tartışmalı olabileceğini ifade etti.
Bu nedenle çalışanın açık rıza vermiş olmasının tek başına biyometrik veri işleme faaliyetini hukuka uygun hale getirmeyeceği değerlendirmesinde bulunuldu.
ANAYASA MAHKEMESİ KARARI HATIRLATILDI
Kurul, daha önce Anayasa Mahkemesi tarafından verilen bir karara da atıfta bulundu. Söz konusu kararda, bir kamu kurumunda parmak iziyle mesai takibi yapılmasının yeterli yasal dayanağa sahip olmadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiği sonucuna varılmıştı. KVKK, bu kararın biyometrik veri kullanımına ilişkin değerlendirmelerde önemli bir referans niteliği taşıdığına işaret etti.
İlke kararında özellikle “ölçülülük” ilkesine dikkat çekildi. Kurula göre, çalışanların mesai takibi gibi idari amaçlarla biyometrik verilerinin işlenmesi, aynı sonuca ulaşabilecek daha az müdahaleci yöntemlerin bulunduğu durumlarda gerekli ve orantılı kabul edilmiyor. Bu nedenle işverenlerin, çalışanların temel haklarına daha az müdahale eden alternatif yöntemleri tercih etmeleri gerektiği belirtildi.
ALTERNATİF SİSTEMLER ÖNERİLDİ
Kurul, mesai kontrolünün sağlanabilmesi için biyometrik yöntemler dışında kullanılabilecek çeşitli uygulamalara da yer verdi. Buna göre; şifreli kart ve pın tabanlı giriş sistemleri, rfıd veya nfc teknolojisiyle çalışan personel kartları, imza çizelgeleri, görevli denetiminde tutulan manuel kayıt sistemleri, çalışan takibinde tercih edilebilecek alternatif yöntemler arasında gösterildi.
İŞVERENLERE YAPTIRIM UYARISI
Resmi Gazete’de yayımlanan karara göre, mesai takibi amacıyla biyometrik veri işlenmesinin Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinde belirtilen işleme şartlarından herhangi birine dayanmaması halinde hukuka aykırılık gündeme gelebilecek.
Kurul ayrıca, ilke kararında belirtilen esaslara aykırı hareket eden veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında idari yaptırım uygulanabileceği uyarısında bulundu.
Kararın, personel giriş-çıkış kontrolünü parmak izi veya yüz tanıma sistemleriyle gerçekleştiren çok sayıda işyeri için önemli sonuçlar doğurabileceği değerlendiriliyor. Uzmanlar, işletmelerin mevcut uygulamalarını gözden geçirerek veri koruma mevzuatına uygun alternatif sistemlere yönelmelerinin önem taşıdığı görüşünde birleşiyor.
