Avukat Günay KILINÇ
Kişisel Verileri Koruma Kurumunun, çalışanların mesai takibi amacıyla yüz tanıma, parmak izi, retina taraması gibi biyometrik tanımlama sistemlerinin kullanılmasına ilişkin 29/04/2026 tarihli ve 2026/921 sayılı İlke Kararı, 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
Uygulamada bugüne kadar, işçi ve işveren arasındaki mesai takibi süreçlerinde biyometrik veri işlenmesinin hukuka uygun olup olmadığına dair çeşitli tartışmalar yaşanmakta ve kuralların henüz netleşmediğini savunan görüşler bulunmaktaydı. Ancak Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 15’inci maddesinin altıncı fıkrası uyarınca aldığı bu İlke Kararı ile konuya ilişkin tüm tereddütleri kesin olarak ortadan kaldırmıştır. Artık mesai takibi amacıyla biyometrik veri işlenmesi, hiçbir hukuki şarta dayandırılamayacak mutlak bir hukuka aykırılık nedeni olarak kabul edilmiştir.
1.KURUMUN İLKE KARARI, ‘BELİRSİZLİK’ TARTIŞMALARINA SON VERMİŞTİR.
Kurumun bu yöndeki yaklaşımı aslında yeni değildir. Geçmişte de biyometrik veri işleme süreçlerinin hukuka aykırı olduğuna dair spesifik kararlar verilmiş ancak genel bir ilke kararı olmadığı için bazı işverenlerce uygulamanın sürdürüldüğü görülmüştür. Örneğin, Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/797 sayılı kararında; bir üretim tesisinde işe giriş-çıkış kontrolü için yüz tanıma sistemi kullanılması incelenmiştir. Kurul, ilgili olayda açık rıza metinlerinin geçerli olmadığını ve alternatif yollar varken biyometrik veri işlenmesinin ölçülülük ilkesine aykırı olduğunu tespit ederek, KVKK’nın veri güvenliğine ilişkin 12’nci maddesine aykırılıktan dolayı veri sorumlusu şirkete 500.000 TL idari para cezası uygulamış ve sistemin derhal durdurularak verilerin imha edilmesine karar vermiştir.
Yeni yayımlanan İlke Kararı, bu bireysel yaptırımlarla ortaya konulan yaklaşımı tüm veri sorumluları bakımından genel ve bağlayıcı bir ilkeye dönüştürmüştür.
2.KURUM, BİYOMETRİK VERİ İŞLENMESİNİ HUKUKA AYKIRI BULMAKTA VE AÇIK RIZAYI GEÇERSİZ KABUL ETMEKTEDİR.
KVKK’nın 6’ncı maddesi uyarınca biyometrik veriler “özel nitelikli kişisel veri” statüsündedir ve işlenmeleri kural olarak yasaktır. Mesai takibi amacıyla biyometrik veri işlenmesi için kanunlarda açık bir düzenleme bulunmamaktadır. Anayasa Mahkemesinin 10/03/2022 tarihli ve 2018/11988 başvuru numaralı kararında da açıkça vurgulandığı üzere, mevcut mevzuat biyometrik veri işleme için yeterli yasal dayanağı sunmamaktadır. Yüksek Mahkeme bu durumu, “6698 sayılı Kanun, belediye çalışanlarının parmak izlerini kaydetme ve parmak izi takip sistemiyle mesai takip etme yetkisini veren, bu konuyu açıkça düzenleyen bir kanun değildir” şeklinde hükme bağlamıştır.
Kanuni dayanak bulunmadığından, uygulamada işverenlerin çalışanlardan “açık rıza” alma yoluna gittikleri görülmektedir. Ancak Kurul ve yargı içtihatları, işçi-işveren ilişkisindeki yapısal güç dengesizliği nedeniyle bu rızanın özgür iradeye dayanmadığını kabul etmektedir. Kişisel Verileri Koruma Kurulunun 16.12.2021 tarihli ve 2021/1258 sayılı kararında belirtildiği üzere, “ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı” açıktır. Dolayısıyla, çalışanlardan alınan açık rızalar hukuken geçersizdir.
3.ÖLÇÜLÜLÜK İLKESİNİN İHLALİ VE ALTERNATİF YÖNTEM ZORUNLULUĞU
Mesai takibi, biyometrik veri işlenmesini meşru kılacak, üstün güvenlik gerektiren bir menfaat veya amaç sayılamaz. KVKK’nın 4’üncü maddesinde düzenlenen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi gereğince, daha hafif tedbirlerle ulaşılabilecek bir amaca, özel nitelikli veri işleyerek ulaşmak hukuka aykırıdır.
Kişisel Verileri Koruma Kurumunun 02.06.2026 tarihli Resmî Gazete’de yayımlanan 2026/921 sayılı İlke Kararı’nda açıkça vurgulandığı üzere; mesai takibi bakımından şifreli kart, PIN tabanlı sistemler veya RFID kartlar gibi daha az müdahaleci alternatif yöntemlerin varlığı karşısında, ilgili kişilerin açık rızası bulunsa dahi biyometrik veri işlenmesi KVKK’nın 4’üncü maddesinde yer alan ‘ölçülülük’ ilkesini ihlal etmektedir. Kurum, mesai takibi gibi sınırlı bir idari amacın, biyometrik verilerin geri döndürülemez doğası gereği teşkil ettiği yoğun müdahaleyi haklı kılmayacağını ve bu tür uygulamaların hukuka aykırı olduğunu kesin olarak karara bağlamıştır.
Nitekim söz konusu İlke Kararı’nda atıf yapılan Danıştay 12. Dairesinin E. 2021/3870, K. 2023/2548 sayılı kararında da mesai takibi amacıyla avuç içi damar okuma sisteminin kullanılmasının ölçülülük ilkesine aykırı olduğu; özel nitelikli kişisel veri işleme faaliyetinde amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan verilerin işlenmesinden kaçınılması gerektiği vurgulanmıştır. Bu yaklaşım, Danıştay İdari Dava Daireleri Kurulu’nun E. 2024/225, K. 2024/2625 sayılı kararıyla da onanarak, biyometrik veri işlemenin mesai takibi gibi süreçlerde ölçülülük kriterini sağlamadığı yargı içtihadıyla da kesinleşmiştir.
Bu kapsamda, mesai takibinin şifreli kart, PIN kodu, RFID/NFC kimlik kartları, geleneksel imza veya denetçi gözetiminde elle giriş gibi biyometrik veri gerektirmeyen alternatif yöntemlerle yapılması zorunludur.
4.İLKE KARARI KAPSAMINDA İŞVERENLER VE VERİ SORUMLULARI TARAFINDAN ALINMASI GEREKEN TEDBİRLER
Resmî Gazete’de yayımlanan İlke Kararı doğrultusunda, işverenler ve diğer veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında doğabilecek idari yaptırımlar, hukuki sorumluluklar ve itibar kayıplarıyla karşı karşıya kalmamaları adına veri işleme faaliyetlerini ivedilikle gözden geçirmeleri ve gerekli uyum çalışmalarını tamamlamaları önem arz etmektedir. Bu kapsamda aşağıdaki tedbirlerin gecikmeksizin hayata geçirilmesi tavsiye edilmektedir:
a-Biyometrik Sistemlerin Kullanımının Sonlandırılması: Personel devam kontrolü, mesai takibi veya işyeri giriş-çıkışlarının kontrolü amacıyla kullanılan yüz tanıma, parmak izi, avuç içi damar izi, retina taraması ve benzeri biyometrik tanımlama sistemlerinin kullanımına derhal son verilmelidir.
b-Mevcut Biyometrik Verilerin İmhası : Bugüne kadar işlenmiş ve muhafaza edilmiş olan biyometrik veriler, KVKK’nın 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri çerçevesinde geri getirilemeyecek ve tekrar kullanılamayacak şekilde silinmeli, yok edilmeli veya anonim hale getirilmelidir. Gerçekleştirilen imha işlemlerinin usulüne uygun şekilde kayıt altına alınması ve gerekli tutanaklarla belgelendirilmesi gerekmektedir.
c-Hukuka Uygun Alternatif Sistemlere Geçilmesi: Biyometrik veri işlenmesini gerektirmeyen; Kartlı geçiş sistemleri, PIN uygulamaları, RFID/NFC kartlar veya imza çizelgeleri gibi alternatif personel devam kontrol ve erişim sistemleri kullanılmalıdır.
d-VERBİS Kaydı ve Kişisel Veri İşleme Envanterinin Güncellenmesi: Veri sorumlularının, biyometrik veri işleme faaliyetlerinin sonlandırılması sonrasında VERBİS kayıtlarını, kişisel veri işleme envanterlerini, saklama ve imha politikalarını ve ilgili iç prosedürlerini güncelleyerek fiili durum ile kayıtlar arasındaki uyumu sağlamaları gerekmektedir.
e-Aydınlatma Metinleri ve Açık Rıza Süreçlerinin Revize Edilmesi : Çalışanlara, ziyaretçilere veya diğer ilgili kişilere yönelik aydınlatma metinleri ile açık rıza süreçleri gözden geçirilmeli; biyometrik veri işlenmesine ilişkin açıklama ve beyanlara yer verilen metinler güncellenmeli, hukuki dayanağı ortadan kalkan veri işleme faaliyetlerine ilişkin ifadeler metinlerden çıkarılmalıdır.
Kişisel Verileri Koruma Kurumunun konuya ilişkin yaklaşımını açık ve net şekilde ortaya koyduğu bu İlke Kararı sonrasında, biyometrik veri işleme faaliyetlerinin sürdürülmesi önemli hukuki riskler doğurabilecektir. Bu nedenle veri sorumlularının, veri işleme süreçlerini İlke Kararı ile uyumlu hale getirmeleri ve gerekli teknik ile idari tedbirleri vakit kaybetmeksizin uygulamaya almaları önem arz etmektedir.
02.06.2026
Av. Günay KILINÇ