Kişisel Verileri Koruma Kurulu (KVKK)'nun Resmi Gazete'de yayımlanan "ilke kararı"nda;
Çalışanların mesai ve devam takipleri için parmak izi, yüz tarama, iris okuma gibi yöntemlerin kullanılmasıyla ilgili olarak;
- Mevzuatta, çalışma sürelerinin takibininin ne şekilde gerçekleștirileceğine ya da takibin biyometrik veri işlenmesi suretiyle yapılması gerektiğine dair açık hüküm bulunmadığı,
- Biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesinin kabul edilemeyeceği,
- Söz konusu faaliyetlerin açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği ancak işçi - işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu,
- Ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında ilgili kişilerin açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanunun 4'üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı değerlendirilerek,
- Mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiği hususları kamuoyunun bilgisine sunuldu.
Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 29.04.2026 Tarihli ve 2026/921 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu
Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hususlardan biri de çalışan devam takibini dijitalleştirme ve güvenliği artırma amacıyla kurum ve kuruluşların giderek artan ölçüde biyometrik tanımlama sistemlerine yönelmesidir.
Biyometrik tanımlama sistemleri (parmak izi, yüz tanıma, iris ve retina taraması gibi) hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip görünse de kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturmaktadır. Özellikle işçi-işveren ilişkisinde mevcut olan yapısal güç dengesizliği, açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler doğurmaktadır. Bu nedenle biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerekmektedir.
Yasal düzenlemeler ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığından mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesi hukuka aykırılık teşkil edebilecektir.
Bu çerçevede, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasında yer alan diğer işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle, uygulamada söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği görülmektedir. Ancak, tarafların eşit konumda olmadığı, taraflardan birinin diğeri üzerinde etkili olduğu veya taraflar arasında güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışana rıza göstermeme veya rızasını geri çekme imkânının etkin bir biçimde sunulmaması ya da rıza göstermemenin çalışan açısından muhtemel olumsuzluklar doğurabilmesi durumunda çalışanın gerçek bir seçeneğe sahip olduğu söylenemeyeceğinden rızanın özgür iradeye dayandığından da söz etmek mümkün olmayacaktır.
Ayrıca rızanın geri alınabilmesi, biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyeceğinden biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesi de kural olarak yeterli bir hukuki zemin oluşturmayacaktır.
Öte yandan, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu (işlendikleri amaçla bağlantılı olma), alternatif yöntemlerin tüketilip tüketilmediği (işlendikleri amaçla sınırlı olma) ve müdahalenin boyutu (işlendikleri amaçla ölçülü olma) açısından ayrı ayrı değerlendirilmesi gerekmekte olup bu kriterleri karşılamayan bir uygulama, ilgili kişinin açık rızası bulunsa dahi hukuka aykırı kabul edilecektir.
Sonuç olarak,
- Mevzuatta, çalışma sürelerinin takibine ilişkin hükümler bulunmakla birlikte takibin ne şekilde gerçekleştirileceğine ya da takibin biyometrik veri işlenmesi suretiyle yapılması gerektiğine dair açık hüküm bulunmadığı dikkate alındığında mevcut durumda biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesinin kabul edilemeyeceği,
- Dolayısıyla, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasının (b), (c), (ç), (d), (e), (f) ve (g) bentlerinde yer alan işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği ancak işçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu ve bu yönüyle tek başına yeterli bir hukuki zemin oluşturmadığı,
- Ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında ilgili kişilerin açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı
değerlendirilmiş olup bu itibarla;
- Mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiğine,
- Belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınmasına karar verilmiştir.
Kamuoyuna saygıyla duyurulur.