Teknolojik gelişmeler ışığında çalışan giriş-çıkış saatleri ve çalışma sürelerinin takibinde elektronik sistemler giderek daha yaygın şekilde kullanılmaktadır. Özellikle son yıllarda parmak izi, yüz tanıma, avuç içi damar izi, iris veya retina taraması gibi biyometrik tanımlama sistemleri, çalışanların devam durumunu kontrol etmek amacıyla tercih edilen yöntemler arasında yer almaya başlamıştır. Ancak bu sistemlerin kullanımı, kişisel verilerin korunması hakkı bakımından önemli hukuki tartışmaları da beraberinde getirmektedir.
Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, çalışan devam kontrol sistemlerinde biyometrik veri işlenmesine ilişkin uygulamaları hem açık rıza hem de ölçülülük ilkesi bakımından yeniden değerlendirmeyi gerekli kılmaktadır.
Bu bilgi notunda, söz konusu İlke Kararı’nın arka planını, hukuki gerekçelerini ve özellikle işverenlerin kurumsal uyum süreçlerine olası yansımalarını ele alacağız.
Sürecin Arka Planı: Biyometrik Verilerin Hukuki Niteliği
Avrupa Genel Veri Koruma Tüzüğü ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında biyometrik veriler özel nitelikli kişisel veri olarak kabul edilmektedir. Bu verilerin kişiyi özgün biçimde teşhis etmeye elverişli olması ve niteliği gereği değiştirilmesinin çoğu durumda mümkün olmaması, biyometrik verilerin korunmasını son derece hassas hale getirmektedir.
İş mevzuatı kapsamında çalışma sürelerinin kayıt altına alınması ve gerektiğinde ispatlanabilmesi önem taşımakta olup, işverenlerin bu kapsamda hukuken korunmaya değer bir menfaatinin bulunduğu açıktır. Bununla birlikte Kurul, çalışma sürelerinin kayıt altına alınmasının biyometrik veri işlenmesini zorunlu kılmadığını; bu yükümlülüğün mutlaka parmak izi, yüz tanıma veya benzeri biyometrik sistemlerle yerine getirileceğine ilişkin açık bir kanuni düzenleme bulunmadığını vurgulamaktadır.
Bu nedenle mesai takibi amacıyla biyometrik veri işleme faaliyetlerinin yalnızca bir hukuki sebebe dayanması yeterli görülmemekte; aynı zamanda gereklilik, ölçülülük, amaca bağlılık ve veri minimizasyonu ilkeleri çerçevesinde ayrıca değerlendirilmesi gerekmektedir.
Kurul Neleri Değerlendirdi ve Hangi Gerekçelere Dayandı?
Kurul, mesai takibi amacıyla biyometrik veri işlenmesini değerlendirirken uygulamanın hukuki zeminindeki iki temel noktaya dikkat çekmiştir: açık rızanın geçerliliği ve ölçülülük ilkesi.
İlk olarak, uygulamada birçok işverenin biyometrik veri işleme süreçlerini çalışandan alınan açık rızaya dayandırdığı görülmektedir. Ancak işçi ve işveren arasındaki ast-üst ilişkisi ve yapısal güç dengesizliği, çalışanın açık rızasının gerçekten özgür iradeye dayanıp dayanmadığı konusunda tereddüt yaratmaktadır. Çalışanın rıza vermemesi halinde olumsuz bir sonuçla karşılaşabileceğini düşünmesi veya kendisini rıza vermek zorunda hissetmesi durumunda, söz konusu rızanın geçerli bir hukuki dayanak oluşturması mümkün olmayabilecektir.
İkinci olarak ve daha önemlisi, Kurul mesai takibinde biyometrik veri işlenmesini yalnızca açık rızanın geçerliliği bakımından değil, açık rıza bulunsa dahi ölçülülük ilkesi bakımından da değerlendirmiştir. Bu kapsamda Kurul, çalışan devam kontrolünün sağlanması amacıyla biyometrik veri işlenmesinin tek seçenek olmadığını; aynı amaca ulaşabilecek daha az müdahaleci alternatif yöntemlerin bulunduğunu belirtmiştir.
Nitekim şifreli kart veya PIN tabanlı sistemler, RFID/NFC kimlik kartları, geleneksel imza ve kâğıt bazlı devam çizelgeleri ya da denetçi gözetiminde elle giriş gibi yöntemlerle de mesai takibinin sağlanması mümkündür. Bu alternatiflerin varlığı karşısında, ilgili kişilerin açık rızası bulunsa dahi biyometrik veri işlenmesinin Kanun’un 4. maddesinde yer alan ölçülülük kriterini sağlamayacağı sonucuna varılmıştır.
Bu yönüyle İlke Kararı’nın en kritik sonucu, mesai takibinde biyometrik veri işlenmesinin yalnızca “çalışandan açık rıza alındığı” gerekçesiyle hukuka uygun kabul edilemeyeceğini açıkça ortaya koymasıdır.
Yüksek Yargı Kararları, İş Hukuku ve Kurumsal Uyum Boyutu
Her ne kadar Kurul tarafından yayımlanan İlke Kararı veri sorumluları bakımından doğrudan dikkate alınması gereken bir idari otorite yaklaşımını ortaya koysa da, Anayasa Mahkemesi ve Danıştay’ın konuya ilişkin değerlendirmeleri de uygulamanın hukuki çerçevesini şekillendiren önemli içtihatlar olarak karşımıza çıkmaktadır.
Anayasa Mahkemesi bir kararında, mesai takibinin parmak izi sistemi aracılığıyla yapılmasını özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkına müdahale olarak değerlendirmiştir. Kurulun atıf yaptığı Danıştay kararında ise avuç içi damar izi sisteminin kullanımı hukuka uygun bulunmamış ve ölçülülük ilkesine vurgu yapılmıştır.
Bu çerçevede, çalışanların giriş-çıkış ve devam kontrol süreçlerinde biyometrik yöntemlere başvuran şirketlerin mevcut uygulamalarını yalnızca insan kaynakları veya iş hukuku perspektifinden değil, kişisel verilerin korunması ve temel haklara müdahale boyutuyla da yeniden ele alması gerekmektedir.
İşletmeler bakımından mesai takibinin biyometrik yöntemlerle yapılması, rıza alınmış olsa dahi otomatik olarak hukuka uygun kabul edilmeyecektir. Şirketlerin, personel devam kontrol sistemlerini gözden geçirmeleri ve elde edilecek fayda ile temel haklara müdahale arasındaki dengeyi veri koruma standartlarına uygun şekilde kurmaları, hukuki risklerin azaltılması bakımından artık yalnızca bir tercih değil, uyum sürecinin zorunlu bir parçası haline gelmiştir.
Şirketler İçin Ne Anlama Geliyor?
İlke Kararı, özellikle insan kaynakları, idari işler, bilgi teknolojileri ve veri uyum departmanları bakımından mevcut uygulamaların yeniden değerlendirilmesini gerektirmektedir.
Bu kapsamda şirketlerin öncelikle mevcut PDKS altyapılarını gözden geçirmesi; parmak izi, yüz tanıma, iris veya retina taraması, avuç içi damar izi gibi biyometrik sistemler kullanılıyorsa bu uygulamaların hukuki dayanağını ve ölçülülük değerlendirmesini yeniden ele alması önem arz etmektedir.
Biyometrik sistemlerin kullanıldığı durumlarda, yalnızca aydınlatma metni hazırlanması veya açık rıza alınması yeterli olmayacaktır. Veri sorumlularının, biyometrik veri işlemenin gerçekten gerekli olup olmadığını, aynı amaca daha az müdahaleci yöntemlerle ulaşılıp ulaşılamayacağını ve işleme faaliyetinin çalışanların temel hak ve özgürlükleri üzerindeki etkisini somut şekilde değerlendirmesi gerekmektedir.
Bu nedenle şirketlerin, mümkün olan hallerde şifreli kart, PIN tabanlı sistemler, RFID/NFC kartlar, imza çizelgeleri veya denetçi gözetiminde manuel takip gibi daha az müdahaleci alternatiflere geçiş planı oluşturması önerilmektedir. Mevcut sistemlerin kullanılmaya devam edilmesi halinde ise bu tercihin neden zorunlu olduğuna ilişkin güçlü, somut ve belgelenebilir bir gerekçe ortaya konulması gerekecektir.
Sonuç ve Beklentiler
Kurulun İlke Kararı, biyometrik verilerin özel nitelikli kişisel veri olması nedeniyle yüksek düzeyde koruma gerektirdiğini bir kez daha ortaya koymaktadır.
Karar, işverenlerin çalışma sürelerini takip etme yükümlülüğü bulunmasına rağmen, bu amacın gerçekleştirilmesi için biyometrik veri işlenmesini zorunlu kılan açık bir kanuni düzenleme bulunmadığını vurgulamaktadır. Daha az müdahaleci yöntemlerin mevcut olması nedeniyle, mesai takibi amacıyla biyometrik veri işlenmesinin geçerli bir açık rıza bulunsa dahi ölçülülük ilkesine aykırılık teşkil edebileceği sonucuna ulaşılmıştır.
Bu kapsamda iş dünyasının, özellikle insan kaynakları ve veri uyum departmanlarının, mevcut altyapılarını İlke Kararı ve yüksek yargı içtihatları doğrultusunda güncellemeleri gerekmektedir. Teknolojik gelişmelerin iş süreçlerine entegrasyonu kaçınılmaz olmakla birlikte, bu entegrasyonun kişisel verilerin korunması hukuku, temel hak ve özgürlükler ile ölçülülük ilkesi gözetilerek gerçekleştirilmesi önümüzdeki dönemin en kritik uyum başlıklarından biri olacaktır.
Kararın tamamına bu link üzerinden ulaşabilirsiniz.