Open menu
02Haziran2026

KVKK İlke Kararı: Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi

KVKK İlke Kararı: Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi

02.06.2026 tarih ve 33268 sayılı Resmî Gazete'de yayımlanan 2026/291 sayılı 29.04.2026 tarihli Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı ("Karar") ile çalışan devam takibinin dijitalleştirilmesi ve güvenliğinin artırılması amacıyla biyometrik tanımlama sistemlerinin (parmak izi, yüz tanıma, iris/retina taraması vb.) kullanımının arttığı ve biyometrik verilerin özel nitelikli kişisel veri olması ve geri döndürülemez nitelik taşıması nedeniyle, mesai takibi amacıyla işlenmesinin yalnızca hukuki sebebe değil; aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerektiği vurgulanmıştır.

Kararda biyometrik verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında özel nitelikli kişisel veri olarak kabul edildiği ve bu nedenle daha sıkı koruma rejimine tabi olduğu hatırlatılmıştır. Kurul, biyometrik verilerin hassas ve geri döndürülemez nitelikleri nedeniyle ilgili kişiler açısından yüksek risk taşıdığına dikkat çekmiş; biyometrik veri kavramının ulusal mevzuat ve Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") kapsamındaki tanımlarına yer vererek parmak izi, yüz tanıma, iris/retina verileri, ses tınısı ve benzeri verilerin bu kapsamda değerlendirildiğini belirtmiştir. Bu doğrultuda, özel nitelikli kişisel verilerin işlenmesinin ancak Kanun'un 6'ncı maddesinde sayılan işleme şartlarından birinin varlığı hâlinde mümkün olduğu ve veri sorumlularının Kurul tarafından belirlenen ek güvenlik tedbirlerini de uygulamakla yükümlü olduğu vurgulanmıştır.

4857 sayılı İş Kanunu ile İş Kanunu'na İlişkin Çalışma Süreleri Yönetmeliği uyarınca işverenlerin çalışanların çalışma sürelerini takip etme ve belgeleme yükümlülüğünün bulunduğu, ancak söz konusu yükümlülüğün biyometrik veriler işlenerek yerine getirilmesini zorunlu kılan veya buna açıkça izin veren bir düzenlemenin mevcut olmadığı vurgulanmıştır. Bu nedenle Kurul, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun'un 6'ncı maddesinde yer alan "kanunlarda açıkça öngörülme" şartına dayandırılamayacağını değerlendirmiştir. Ayrıca işçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddüt bulunduğu ve bu nedenle açık rızanın tek başına yeterli bir hukuki dayanak oluşturmayacağı belirtilmiştir.

Bunun yanında Kurul, Anayasa Mahkemesi Genel Kurulu'nun 10.03.2022 tarihli ve 2018/11988 başvuru numaralı kararı ile Danıştay 12. Dairesi'nin 2021/3870 Esas, 2023/2548 sayılı kararı ve bu kararı onayan Danıştay İdari Dava Daireleri Kurulu'nun 2024/225 Esas, 2024/2625 sayılı kararına atıf yapmıştır. Söz konusu kararlarda da parmak izi ve avuç içi damar okuyucu gibi biyometrik sistemlerle gerçekleştirilen mesai takibi uygulamalarının kanunilik, gereklilik ve ölçülülük ilkeleri çerçevesinde değerlendirilmesi gerektiği vurgulanmış olup Kurul da benzer şekilde mesai takibi amacıyla biyometrik veri kullanımının, özellikle daha az müdahaleci alternatif yöntemlerin bulunduğu durumlarda, KVKK'nın "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi bakımından hukuki riskler doğurabileceğine dikkat çekmiştir.

Özellikle ilgili Karar çerçevesinde:

  • Mevzuatta, çalışma sürelerinin takibine ilişkin hükümler bulunmakla birlikte takibin ne şekilde gerçekleştirileceğine ya da takibin biyometrik veri işlenmesi suretiyle yapılması gerektiğine dair açık hüküm bulunmadığı dikkate alındığında, mevcut durumda biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesinin kabul edilemeyeceği,
  • Dolayısıyla, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun'un 6'ncı maddesinin üçüncü fıkrasının (b), (c), (ç), (d), (e), (f) ve (g) bentlerinde yer alan işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği ancak işçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu ve bu yönüyle tek başına yeterli bir hukuki zemin oluşturmadığı,
  • Ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında ilgili kişilerin açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanun'un 4'üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı,

değerlendirilmiş ve bu itibarla, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun'un 6'ncı maddesinde yer alan işleme şartlarından herhangi birine dayandırılmadan gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin Kanun'un 4'üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiği açıkça vurgulanmıştır.

Bu çerçevede yukarıda belirtilen hususların, Kanun'un 12'nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti hâlinde ilgili veri sorumluları hakkında Kanun'un 18'inci maddesi hükümleri gereği işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi kararına varılmıştır.

İlgili İlke Kararı'nın tam metnine buradan ulaşabilirsiniz.

Yazar Taylan Ege Günel, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Informasoft

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/legislation/item/dpa-principle-decision-processing-of-biometric-data-for-employee-attendance-tracking

Diğer Mevzuatlar

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?