Kişisel Verileri Koruma Kurumu'nun Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararına İlişkin Değerlendirme
Giriş
Kişisel Verileri Koruma Kurumu ("Kurum") tarafından Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkındaki 29.04.2026 tarihli ve 2026/921 Karar numaralı İlke Kararı 33268 sayılı Resmî Gazetede 02.06.2026 tarihinde yayınlanmıştır.
Öncelikle Kurum tarafından yapılan değerlendirmede, çalışanların mesai ve çalışma sürelerinin takibinin biyometrik veri işlenmesi suretiyle gerçekleştirilmesini zorunlu kılan açık bir kanuni düzenlemenin bulunmadığı, bu nedenle söz konusu amaca yönelik biyometrik veri işleme faaliyetlerinin hukuka uygunluk bakımından tartışmalı olduğu ve Kanun'a aykırılık teşkil edebileceği belirtilmiştir.
Kurum'un Tespitleri
Bu kapsamda, Kurum'a intikal eden ihbar ve şikâyetler üzerine yapılan incelemelerde; özel nitelikli kişisel veri niteliğindeki biyometrik verilerin işlenmesine ilişkin özel bir kanuni düzenlemenin bulunmaması nedeniyle uygulamada işverenlerin, çalışanların mesai takibini sağlamak amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 6. maddesinin üçüncü fıkrasının (a) bendi uyarınca çalışanlardan açık rıza almak suretiyle biyometrik veri işledikleri tespit edilmiştir.
Ölçülülük ve Veri Minimizasyonu İlkeleri
Ancak Kurum tarafından yapılan değerlendirmede, Kanun'un 6. maddesinde düzenlenen açık rıza şartına dayanılarak çalışanların biyometrik verilerinin mesai takibi amacıyla işlenmesinin, Kanun'un 4. maddesinde yer alan genel ilkelerden özellikle ölçülülük, gereklilik ve veri minimizasyonu ilkeleriyle bağdaşmayacağı vurgulanmıştır.
Kurum, mesai takibi gibi sınırlı bir amacın daha az müdahaleci farklı alternatif yöntemlerle de gerçekleştirilebilmesinin mümkün olduğunu, bu nedenle biyometrik veri işlenmesinin ölçülülük ilkesine uygunluğunun da göz önünde bulundurulması gerektiğini belirtmiştir.
Alternatif Yöntemler
Bunun başlıca nedeni, çalışanların işe giriş ve çıkışlarının takibi amacıyla kartlı geçiş sistemleri, PIN uygulamaları, imza föyleri, RFID/NFC tabanlı kimlik doğrulama sistemleri veya güvenlik personeli gözetiminde gerçekleştirilen giriş-çıkış kontrolleri gibi daha az müdahaleci ve aynı sonuca ulaşmaya elverişli alternatif yöntemlerin mevcut olmasıdır.
Kurum, söz konusu alternatif yöntemlerle mesai takibinin etkin bir şekilde sağlanmasının mümkün olduğu durumlarda, doğrudan çalışanlardan açık rıza alınarak biyometrik verilerin işlenmesinin ölçülülük ve veri minimizasyonu ilkeleriyle bağdaşmayacağını değerlendirmiştir.
Bu nedenle, yalnızca mesai takibi amacıyla biyometrik veri işlenmesinin, kişisel verilerin korunması hakkına gereğinden fazla müdahale teşkil ettiği ve Kanun'un temel ilkelerine aykırılık oluşturabileceği sonucuna varılmıştır.
Biyometrik Verilerin Riskleri
Ayrıca biyometrik verilerin niteliği gereği diğer kişisel verilerle birleştirilerek farklı amaçlarla kullanılabilmesi, profilleme faaliyetlerine konu edilebilmesi veya yetkisiz kişilerce ele geçirilmesi hâlinde telafisi güç sonuçlar doğurabilmesi riski de göz önünde bulundurulmuştur.
Bu nedenle Kurum, mesai takibi amacıyla biyometrik veri işlenmesinin ulaşılmak istenen amaç karşısında orantısız bir müdahale oluşturduğu ve Kanun'un 4. maddesinde düzenlenen ölçülülük ilkesinin ihlaline sebebiyet verebileceği kanaatine varmıştır.
İşçi-İşveren İlişkisinde Açık Rıza Sorunu
Bununla birlikte, işçi ile işveren arasındaki ekonomik ve hiyerarşik ilişkinin doğası gereği taraflar arasında tam anlamıyla eşit bir irade ortamının bulunmadığı, bu nedenle çalışanlardan alınan açık rızanın her durumda özgür iradeye dayandığının kabul edilemeyeceği ifade edilmiştir.
Nitekim çalışanın, iş ilişkisini sürdürme kaygısıyla açık rıza vermek zorunda hissedebileceği, bu durumun ise açık rızanın özgür iradeyle verilmiş olma unsurunu zedeleyebileceği değerlendirilmiştir.
Bu doğrultuda Kurum, yalnızca açık rızaya dayanılarak çalışanların biyometrik verilerinin mesai takibi amacıyla işlenmesinin hukuka uygunluk şartlarını sağlamayabileceği ve Kanun'un temel ilkeleriyle bağdaşmayabileceği sonucuna ulaşmıştır.
Veri Sorumlularının Yükümlülükleri
Bu kapsamda veri sorumlusu şirketlerin, Kanun'un 12. maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin güvenli şekilde muhafazasını sağlamak ve uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü oldukları açıktır.
Dolayısıyla veri sorumlularının, veri güvenliğine ilişkin bu yükümlülüklere aykırı hareket etmemeleri ve kişisel veri işleme faaliyetlerini Kanun hükümlerine uygun şekilde yürütmeleri gerekmektedir.
İdari Yaptırımlar
Aksi hâlde, biyometrik verilerin hukuka aykırı olarak işlenerek veri güvenliğine ilişkin yükümlülüklerin ihlal edilmesi durumunda veri sorumlularının Kanun'un 18. maddesi kapsamında idari yaptırımlar ve idari para cezalarıyla karşı karşıya kalmaları söz konusu olabilecektir.
Sonuç
Sonuç olarak, Kurum tarafından ortaya konulan değerlendirmeler ile Kanun'da yer alan hukuka uygunluk, ölçülülük, gereklilik ve veri minimizasyonu ilkeleri birlikte değerlendirildiğinde, çalışanların mesai takibi amacıyla biyometrik verilerinin işlenmesinin Kanun'a uygun olmadığı sonucuna varılmaktadır.
İşverenlerin, çalışanların mesai takibi için kartlı geçiş sistemleri, PIN uygulamaları veya RFID/NFC tabanlı sistemler gibi alternatif yöntemleri tercih etmeleri ve biyometrik veri işleme faaliyetlerini sonlandırmaları önerilmektedir.