MAKALE

MESAİ TAKİBİ AMACIYLA BİYOMETRİK VERİ İŞLENMESİNE İLİŞKİN KVKK İLKE KARARININ İŞ HUKUKU VE KİŞİSEL VERİLERİN KORUNMASI HUKUKU AÇISINDAN DEĞERLENDİRİLMESİ

12.06.2026 - 13:53 Okunma Süresi: 4 Dk

Kişisel Verileri Koruma Kurulu tarafından 29.04.2026 tarih ve 2026/921 sayılı İlke Kararı ile mesai takibi amacıyla biyometrik veri işlenmesine ilişkin önemli bir karar verilmiştir. Söz konusu kararla özellikle işverenlerin çalışan devam kontrolü amacıyla kullandıkları parmak izi, yüz tanıma, iris veya retina tarama sistemlerinin hukuki dayanakları yeniden tartışmaya açılmış ve uygulamada yaygın olarak kullanılan birçok yöntemin Kişisel Verilerin Korunması Kanunu (“KVKK”) bakımından hukuka aykırılık riski taşıdığına işaret edilmiştir.

Bilindiği üzere biyometrik veriler, KVKK’nın 6. maddesi kapsamında özel nitelikli kişisel veri olarak kabul edilmektedir. Parmak izi, yüz geometrisi, retina veya iris verileri gibi biyometrik veriler kişiye özgü, değiştirilemez ve ele geçirilmeleri halinde telafisi güç sonuçlar doğurabilecek niteliktedir. Bu sebeple biyometrik verilerin işlenmesi, sıradan kişisel verilere kıyasla daha sıkı hukuki şartlara bağlanmıştır.

İş hukuku bakımından değerlendirildiğinde, işverenin işyerinde çalışma sürelerini takip etme ihtiyacı doğmaktadır. Nitekim 4857 sayılı İş Kanunu ve ilgili mevzuat hükümleri uyarınca işveren, işçinin çalışma sürelerini, fazla çalışmalarını ve dinlenme sürelerini izlemek ve gerektiğinde ispatlamakla yükümlüdür. Ancak bu yükümlülük, işverenlere mesai takibini mutlaka biyometrik sistemlerle gerçekleştirme yetkisi vermemektedir. Başka bir ifadeyle, çalışma sürelerinin kayıt altına alınmasına ilişkin hukuki zorunluluk ile bu kaydın biyometrik veri işlenmesi yoluyla yapılması birbirinden farklı hususlardır.

Kurul kararının temel dayanağı da bu noktada ortaya çıkmaktadır. Mevcut mevzuatta mesai takibinin biyometrik veriler kullanılarak yapılmasını zorunlu veya açıkça mümkün kılan özel bir kanuni düzenleme bulunmamaktadır. Bu nedenle biyometrik veri işleme faaliyetinin KVKK m.6’da düzenlenen veri işleme şartlarından hangisine dayandırılacağı sorunu gündeme gelmektedir.

Uygulamada işverenler çoğu zaman çalışanlardan alınan açık rızaya dayanmakta ise de Kurul, işçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın her zaman özgür iradeye dayandığının kabul edilemeyeceğini belirtmiştir. Gerçekten de işçinin işe alınma, iş ilişkisinin sürdürülmesi veya kariyerine ilişkin kaygılar sebebiyle rıza vermek zorunda hissedebilmesi mümkündür. Bu durumda verilen rızanın özgür iradeyle açıklanmış geçerli bir açık rıza olarak değerlendirilmesi güçleşmektedir.

Bunun yanında Kurul, veri işlemenin hukuka uygunluğunun yalnızca bir işleme şartının varlığı ile sınırlı olmadığını, KVKK’nın 4. maddesinde düzenlenen genel ilkelere de uygun olması gerektiğini vurgulamıştır.

Özellikle ölçülülük ilkesi bakımından yapılan değerlendirme dikkat çekicidir. Ölçülülük ilkesi, veri işleme faaliyetinin ulaşılmak istenen amaç bakımından gerekli ve elverişli olmasını, ayrıca aynı sonucun daha hafif müdahale araçlarıyla elde edilip edilemeyeceğinin araştırılmasını gerektirir.

Mesai takibi bakımından değerlendirildiğinde şifreli kart sistemleri, PIN uygulamaları, RFID veya NFC tabanlı kartlar, imza föyleri ve benzeri yöntemlerin mevcut olduğu görülmektedir. Çalışanların işe giriş ve çıkış saatlerinin kayıt altına alınması amacı, biyometrik veri işlenmesine gerek kalmaksızın bu yöntemlerle de sağlanabilmektedir. Dolayısıyla biyometrik veri işlenmesi, amaca ulaşmak için zorunlu bir araç niteliğinde değildir. Kurul da bu gerekçeyle, çalışanın açık rızası bulunsa dahi biyometrik veri kullanımının ölçülülük kriterini karşılamayabileceği sonucuna ulaşmıştır.

Kanaatimizce söz konusu İlke Kararı, işverenlerin yönetim hakkı ile çalışanların temel hak ve özgürlükleri arasında kurulması gereken dengeyi hatırlatması bakımından önem taşımaktadır. İşverenlerin işyerinde düzeni sağlama, çalışma sürelerini kontrol etme ve kayıt altına alma yetkileri bulunmakla birlikte bu yetkilerin kullanımı kişilik haklarının ve özel hayatın korunması hakkının sınırları içerisinde kalmalıdır. Teknolojik gelişmelerin sunduğu imkanlar, kişisel verilerin korunmasına ilişkin anayasal ve yasal güvenceleri ortadan kaldırmamaktadır.

Sonuç olarak Kurul’un 2026/921 sayılı İlke Kararı, mesai takibi amacıyla biyometrik veri işlenmesinin mevcut hukuki çerçevede oldukça istisnai bir alan oluşturduğunu ortaya koymaktadır. Karar doğrultusunda işverenlerin mevcut uygulamalarını gözden geçirmeleri, biyometrik sistemler yerine daha az müdahaleci alternatif yöntemlere yönelmeleri ve KVKK’nın veri minimizasyonu, gereklilik ve ölçülülük ilkelerine uygun hareket etmeleri hukuki risklerin önlenmesi açısından önem arz etmektedir.