İŞ HUKUKU VE SOSYAL GÜVENLİK 2026-032
MESAİ TAKİBİNDE BİYOMETRİK VERİ KULLANIMINA İLİŞKİN RESMÎ GAZETE’DE YAYIMLANAN 2026/921 SAYILI KVKK İLKE KARARININ DEĞERLENDİRİLMESİ
Dijitalleşme sürecinin çalışma hayatını da hızla dönüştürüp dijital bir boyuta taşıması ile biyometrik tanımlama sistemleri; çalışanların kimlik doğrulama, işe giriş-çıkış ve devam durumlarının takip edilebilmesi amacıyla kurum ve kuruluşlar tarafından sıklıkla tercih edilen bir yöntem haline gelmiştir.
Bu yöntemler, işyerinde kontrol ve denetimin kolaylaştırılması, kayıt ve takip süreçlerinin hızlı ve pratik şekilde gerçekleştirilmesi ve işgücü yönetiminin daha etkin ve sistematik biçimde sağlanması gibi nedenlerle işverenlere çeşitli avantajlar sağlasa da parmak izi, yüz tanıma, iris ve retina taraması gibi kişiye özgü biyometrik verilerin işlenmesini gerektirmesi nedeniyle hukuki açıdan önemli tartışmaları beraberinde getirmektedir.
Bilindiği üzere, mevzuat gereği, işverenlere çalışanların çalışma sürelerini, işe giriş-çıkış saatlerini ve mesai devam durumlarını kayıt altına alma yükümlülüğü getirilmektedir. Fakat bu yükümlülüğün hangi yöntem veya teknolojilerle yerine getirileceğinin belirtilmemesi sebebiyle uygulamada belirsizlik yaşanmaktadır.
Özellikle iş ilişkisinin doğasından kaynaklanan bağımlılık unsuru nedeniyle, verilerin işlenmesi için çalışanlardan alınan açık rızanın gerçekten özgür iradeye dayanıp dayanmadığı ve geçerli kabul edilip edilemeyeceği hususu da uygulamada sıklıkla tartışılmaktadır. Nitekim bu tartışmalara ve uygulamadaki tereddütlere net bir sınır çizmek amacıyla, Kişisel Verileri Koruma Kurumu tarafından 02/06/2026 tarih ve 33268 sayılı Resmî Gazete’de 29/04/2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı” yayımlanmıştır.
Söz konusu Kurul Kararı uyarınca; çalışma sürelerinin takibi amacıyla bu tür hassas verilerin işlenmesi, çalışan tarafından açık rıza verilmiş olsa dahi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer alan “ölçülülük ilkesi” ile bağdaşmamaktadır. Bu doğrultuda, çalışan takibinin geleneksel imza çizelgeleri, kâğıt bazlı devam takip formları, şifreli kart sistemleri, PIN tabanlı giriş sistemleri ve RFID/NFC kimlik kartları gibi kişilerin mahremiyetine daha az müdahale eden alternatif yöntemlerle sağlanabilmesi mümkün iken doğrudan biyometrik tanımlama sistemlerine başvurulması bahsi geçen ilkeye aykırılık olarak değerlendirilmektedir.
Dolayısıyla, biyometrik tanımlama sistemlerinin mesai takibinde "zorunlu" veya "ilk tercih edilecek" yöntem olmadığı; aksine, ancak alternatiflerin yetersiz kaldığı çok sınırlı ve istisnai durumlarda başvurulması gereken son çare niteliğinde bir uygulama olarak kabul edilmesi gerekmektedir.
Elde edilen verilerin işlenmesi hususunda ise Kanun’un 12 inci maddesinin 1 inci fıkrasında veri sorumlusunun yükümlülükleri belirtilmiştir. Bu kapsamda veri sorumlusu, elde edilen verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve muhafazasını sağlamak amacıyla uygun güvenlik standartlarını sağlamak ve koruma önlemleri almakla yükümlüdür. Bir diğer ifadeyle, sadece veriyi toplamakla kalmayıp işleme sürecinin her aşamasında bu verilerin gizliliğini ve bütünlüğünü koruyacak kurumsal koruma ve denetim mekanizması oluşturmak zorundadır.
Nitekim söz konusu teknik ve idari tedbirlerin eksiksiz yerine getirilmemesi ve veri güvenliğine ilişkin yükümlülüklere aykırı hareket edilmesi halinde, Kanun’un 18 inci maddesi hükümleri uyarınca ilgili veri sorumluları hakkında idari para cezası yaptırımı gündeme gelecektir. Bu doğrultuda; işverenlerin, "veri sorumlusu" sıfatıyla idari para cezası yaptırımıyla karşılaşmaması adına, veri işleme faaliyetlerini hukuka uygun hale getirmeleri ve veri güvenliğini sağlayacak teknik ve idari tedbirleri ivedilikle hayata geçirmeleri büyük önem arz etmektedir.
Söz konusu İlke Kararı’nın tam metnine ulaşmak için tıklayınız.
Saygılarımızla,
Dijitalleşme sürecinin çalışma hayatını da hızla dönüştürüp dijital bir boyuta taşıması ile biyometrik tanımlama sistemleri; çalışanların kimlik doğrulama, işe giriş-çıkış ve devam durumlarının takip edilebilmesi amacıyla kurum ve kuruluşlar tarafından sıklıkla tercih edilen bir yöntem haline gelmiştir.
Bu yöntemler, işyerinde kontrol ve denetimin kolaylaştırılması, kayıt ve takip süreçlerinin hızlı ve pratik şekilde gerçekleştirilmesi ve işgücü yönetiminin daha etkin ve sistematik biçimde sağlanması gibi nedenlerle işverenlere çeşitli avantajlar sağlasa da parmak izi, yüz tanıma, iris ve retina taraması gibi kişiye özgü biyometrik verilerin işlenmesini gerektirmesi nedeniyle hukuki açıdan önemli tartışmaları beraberinde getirmektedir.
Bilindiği üzere, mevzuat gereği, işverenlere çalışanların çalışma sürelerini, işe giriş-çıkış saatlerini ve mesai devam durumlarını kayıt altına alma yükümlülüğü getirilmektedir. Fakat bu yükümlülüğün hangi yöntem veya teknolojilerle yerine getirileceğinin belirtilmemesi sebebiyle uygulamada belirsizlik yaşanmaktadır.
Özellikle iş ilişkisinin doğasından kaynaklanan bağımlılık unsuru nedeniyle, verilerin işlenmesi için çalışanlardan alınan açık rızanın gerçekten özgür iradeye dayanıp dayanmadığı ve geçerli kabul edilip edilemeyeceği hususu da uygulamada sıklıkla tartışılmaktadır. Nitekim bu tartışmalara ve uygulamadaki tereddütlere net bir sınır çizmek amacıyla, Kişisel Verileri Koruma Kurumu tarafından 02/06/2026 tarih ve 33268 sayılı Resmî Gazete’de 29/04/2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı” yayımlanmıştır.
Söz konusu Kurul Kararı uyarınca; çalışma sürelerinin takibi amacıyla bu tür hassas verilerin işlenmesi, çalışan tarafından açık rıza verilmiş olsa dahi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yer alan “ölçülülük ilkesi” ile bağdaşmamaktadır. Bu doğrultuda, çalışan takibinin geleneksel imza çizelgeleri, kâğıt bazlı devam takip formları, şifreli kart sistemleri, PIN tabanlı giriş sistemleri ve RFID/NFC kimlik kartları gibi kişilerin mahremiyetine daha az müdahale eden alternatif yöntemlerle sağlanabilmesi mümkün iken doğrudan biyometrik tanımlama sistemlerine başvurulması bahsi geçen ilkeye aykırılık olarak değerlendirilmektedir.
Dolayısıyla, biyometrik tanımlama sistemlerinin mesai takibinde "zorunlu" veya "ilk tercih edilecek" yöntem olmadığı; aksine, ancak alternatiflerin yetersiz kaldığı çok sınırlı ve istisnai durumlarda başvurulması gereken son çare niteliğinde bir uygulama olarak kabul edilmesi gerekmektedir.
Elde edilen verilerin işlenmesi hususunda ise Kanun’un 12 inci maddesinin 1 inci fıkrasında veri sorumlusunun yükümlülükleri belirtilmiştir. Bu kapsamda veri sorumlusu, elde edilen verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve muhafazasını sağlamak amacıyla uygun güvenlik standartlarını sağlamak ve koruma önlemleri almakla yükümlüdür. Bir diğer ifadeyle, sadece veriyi toplamakla kalmayıp işleme sürecinin her aşamasında bu verilerin gizliliğini ve bütünlüğünü koruyacak kurumsal koruma ve denetim mekanizması oluşturmak zorundadır.
Nitekim söz konusu teknik ve idari tedbirlerin eksiksiz yerine getirilmemesi ve veri güvenliğine ilişkin yükümlülüklere aykırı hareket edilmesi halinde, Kanun’un 18 inci maddesi hükümleri uyarınca ilgili veri sorumluları hakkında idari para cezası yaptırımı gündeme gelecektir. Bu doğrultuda; işverenlerin, "veri sorumlusu" sıfatıyla idari para cezası yaptırımıyla karşılaşmaması adına, veri işleme faaliyetlerini hukuka uygun hale getirmeleri ve veri güvenliğini sağlayacak teknik ve idari tedbirleri ivedilikle hayata geçirmeleri büyük önem arz etmektedir.
Söz konusu İlke Kararı’nın tam metnine ulaşmak için tıklayınız.
Saygılarımızla,