KVKK’dan İlke Kararı: Mesai Takibinde Biyometrik Veri Kullanımına Sıkı Yaklaşım
Resmî Gazete’nin 02.06.2026 tarihli nüshasında yayımlanan Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı ile çalışanların mesai takibi amacıyla biyometrik veri işlenmesine dair önemli değerlendirmeler kamuoyu ile paylaşılmıştır.
Son yıllarda işverenler tarafından çalışan devam takibinin dijitalleştirilmesi ve güvenliğin artırılması amacıyla parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemlerinin kullanımının yaygınlaştığı görülmektedir. Kurul, söz konusu uygulamaları kişisel verilerin korunması hukuku açısından değerlendirmiş ve mesai takibi amacıyla biyometrik veri kullanımına ilişkin önemli tespitlerde bulunmuştur.
Kurul Neden Bu Kararı Aldı?
Kurul kararında öncelikle biyometrik verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel veri olduğu ve bu nedenle daha sıkı koruma rejimine tabi bulunduğu hatırlatılmıştır. Kararda ayrıca işverenlerin çalışma sürelerini takip etme ve belgeleme yükümlülüğünün 4857 sayılı İş Kanunu ve ilgili düzenlemelerde yer aldığı, ancak bu takibin biyometrik veriler işlenerek yapılmasını öngören açık bir kanuni düzenleme bulunmadığı vurgulanmıştır. Bu nedenle Kurul, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6’ncı maddesinde düzenlenen “kanunlarda açıkça öngörülme” şartına dayandırılamayacağı sonucuna ulaşmıştır.
Açık Rıza ve Ölçülülük Değerlendirmesi
Uygulamada mesai takibi amacıyla biyometrik veri işlenmesinin çoğu zaman çalışanlardan alınan açık rızaya dayandırıldığı görülmektedir. Ancak Kurul, işçi ve işveren arasındaki güç dengesizliği nedeniyle çalışanların verdikleri açık rızanın her zaman özgür iradeye dayanıp dayanmadığının tartışmalı olduğunu değerlendirmiştir. Bunun yanında, açık rızanın geri alınabilir nitelikte olması nedeniyle biyometrik tanımlama sistemlerinin sürdürülebilirliği bakımından da tek başına yeterli bir hukuki dayanak oluşturmadığı ifade edilmiştir.
Kurulun kararında öne çıkan bir diğer husus ise ölçülülük ilkesidir. Karara göre, mesai takibi gibi sınırlı bir idari amaç için biyometrik veri işlenmesi, aynı sonuca daha az müdahaleci yöntemlerle ulaşılmasının mümkün olduğu durumlarda ölçülülük ilkesine aykırılık teşkil edebilecektir.
Bu kapsamda Kurul, mesai takibinin;
- Şifreli kart veya PIN tabanlı sistemler,
- RFID/NFC kimlik kartları,
- Geleneksel imza yöntemleri,
- Kâğıt bazlı devam çizelgeleri,
- Denetçi gözetiminde elle giriş uygulamaları
gibi alternatif yöntemlerle gerçekleştirilebileceğini belirtmiştir. Sonuç olarak Kurul, geçerli bir açık rıza bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamadığı değerlendirmesinde bulunmuştur.
İşverenler Açısından Sonuçlar
Karar, çalışan giriş-çıkış kontrolü amacıyla parmak izi, yüz tanıma veya benzeri biyometrik sistemler kullanan işverenler açısından önemli sonuçlar doğurabilecek niteliktedir. Kurul;
- Mesai takibi amacıyla biyometrik veri kullanımının mevcut hukuki zeminde sorunlu olduğunu,
- Kanunlarda açıkça öngörülme şartının bulunmadığını,
- Açık rızanın tek başına yeterli bir hukuki dayanak oluşturmadığını,
- Ölçülülük ilkesinin sağlanmadığını,
ortaya koymuş ve veri sorumlularının alternatif yöntemleri değerlendirmesi gerektiğini vurgulamıştır. Ayrıca Kurul, söz konusu hususların Kanun’un 12’nci maddesi kapsamında alınması gereken idari ve teknik tedbirler arasında olduğunu belirtmiş; bu ilkelere aykırı uygulamaların tespiti halinde Kanun’un 18’inci maddesi kapsamında işlem tesis edilebileceğini ifade etmiştir.
Finans Sektörü Açısından Değerlendirme
Kararın finans sektörü açısından ayrıca değerlendirilmesi gerekmektedir. Bankalar ve diğer finansal kuruluşlar, müşteri verileri ve kritik bilgi sistemleri nedeniyle yüksek güvenlik standartlarına tabi olarak faaliyet göstermektedir. Nitekim Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik‘te “biyometrik kimlik doğrulama bileşeni”, kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla kullanılan kişiye özgü ölçülebilir biyolojik veya davranışsal karakteristikler olarak tanımlanmıştır. Yönetmelik kapsamında biyometrik doğrulama yöntemleri, bilgi sistemleri güvenliği ve kimlik doğrulama süreçlerinde kullanılabilen güvenlik mekanizmaları arasında yer almaktadır.
Bu nedenle Kurulun İlke Kararı’nın, bankacılık sektöründe biyometrik doğrulama yöntemlerinin tamamen yasaklandığı şeklinde yorumlanması doğru olmayacaktır. Karar yalnızca çalışanların mesai takibi amacıyla biyometrik veri işlenmesini konu almakta olup; kritik sistemlere erişim kontrolü, veri merkezi güvenliği veya elektronik bankacılık hizmetlerinde kullanılan biyometrik doğrulama mekanizmalarına ilişkin herhangi bir değerlendirme içermemektedir. Bununla birlikte karar, biyometrik veri işleme faaliyetlerinin değerlendirilmesinde gereklilik, veri minimizasyonu ve ölçülülük ilkelerinin belirleyici olduğunu açık biçimde ortaya koymaktadır. Bu nedenle finansal kuruluşların da biyometrik veri işleme faaliyetlerini her bir kullanım amacı bakımından ayrı ayrı değerlendirmeleri ve mevcut uygulamalarını gözden geçirmeleri faydalı olacaktır.
Sonuç
2026/921 sayılı İlke Kararı, çalışanların mesai takibinde biyometrik veri kullanımına ilişkin yaklaşımı netleştirmiştir. Kurul, mesai takibi amacıyla biyometrik veri işlenmesinin; kanunlarda açıkça öngörülme şartına dayandırılamayacağını, açık rızanın tek başına yeterli bir hukuki dayanak oluşturmadığını ve alternatif yöntemlerin varlığı karşısında ölçülülük ilkesini karşılamadığını ortaya koymuştur. Nitekim Kurulun değerlendirmeleri, Anayasa Mahkemesi ve Danıştay kararlarında ortaya konulan yaklaşım ile de uyumlu olup, biyometrik verilerin mesai takibi amacıyla işlenmesine ilişkin uygulamalarda kanunilik ve ölçülülük ilkelerinin belirleyici olduğunu bir kez daha teyit etmektedir.
Bu çerçevede işverenlerin ve veri sorumlularının mevcut uygulamalarını gözden geçirmeleri, alternatif yöntemleri değerlendirmeleri ve biyometrik veri işleme faaliyetlerini yalnızca veri işleme şartları açısından değil, Kanun’da yer alan genel ilkeler bakımından da yeniden ele almaları önem arz etmektedir.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
Makalenin yazarı Vahdet Deniz AKÇAOĞLU, 2007 – 2009 yılları arasında özel bir bankanın İç Kontrol Merkezi Başkanlığı’nda Denetçi olarak, 2009 yılından 2018 yılına kadar aynı bankanın Uyum Başkanlığı’nda Ürün ve Hizmetler Uyum Kontrol Yöneticisi olarak görev yaptı. 2019 yılından itibaren de İç Kontrol ve Uyum Başkanlığı’nda Etik ve Mevzuat Takip Yöneticisi olarak görev yapmaktadır. Bankacılık ve sermaye piyasası mevzuatı ile kurumsal yönetim, etik, iç sistemler konuları başta olmak üzere banka ve finans kurumlarını ilgilendiren her türlü mevzuat üzerinde çalışmaktadır.
Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı:
Loading...
Reload document