KVKK’dan Mesai Takibinde Biyometrik Veri Kullanımına İlişkin İlke Kararı
Kişisel Verileri Koruma Kurulu, çalışanların mesai takibi amacıyla biyometrik verilerinin işlenmesine ilişkin önemli bir ilke kararı aldı. Kurul, parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik tanımlama sistemlerinin mesai takibi için kullanılmasının kural olarak hukuka aykırılık oluşturabileceğini değerlendirdi.
Kişisel Verileri Koruma Kurumu tarafından yapılan kamuoyu duyurusunda, çalışan devam kontrolünün dijitalleştirilmesi ve güvenliğin artırılması amacıyla biyometrik sistemlere yönelimin arttığı, ancak bu uygulamaların kişisel verilerin korunması hukuku açısından son derece hassas olduğu belirtildi.
Biyometrik Veri Nedir?
Biyometrik veri, kişilerin fiziksel veya davranışsal özelliklerinden elde edilen ve kimlik doğrulama amacıyla kullanılan özel nitelikli kişisel verileri ifade eder.
Parmak izi, yüz tanıma verisi, iris ve retina taraması gibi veriler biyometrik veri kapsamında değerlendirilir. Bu veriler kişiye özgü olduğundan, kaybedilmesi veya kötüye kullanılması halinde telafisi güç sonuçlar doğurabilir.
Kurul Kararı Hangi Konuyu Kapsıyor?
Kişisel Verileri Koruma Kurulunun 29 Nisan 2026 tarihli ve 2026/921 sayılı İlke Kararı, mesai takibi amacıyla biyometrik veri işlenmesini konu alıyor.
Kararda, işverenlerin çalışanların işe giriş ve çıkış saatlerini takip etmek için biyometrik tanımlama sistemleri kullanmasının KVKK bakımından hangi şartlarda değerlendirileceği ele alındı.
Mesai Takibi İçin Biyometrik Veri İşlenebilir mi?
Kurul, mevcut mevzuatta çalışma sürelerinin takip edilmesine ilişkin hükümler bulunduğunu, ancak bu takibin biyometrik veri işlenerek yapılmasını zorunlu kılan açık bir kanuni düzenleme bulunmadığını belirtti.
Bu nedenle mesai takibinin biyometrik verilerle yapılması, kanunlarda açıkça öngörülme şartına dayandırılamayacak.
Açık Rıza Yeterli mi?
Kurul, uygulamada mesai takibi için biyometrik veri işlenmesinin çoğu zaman çalışanın açık rızasına dayandırıldığını belirtti.
Ancak işçi-işveren ilişkisinde taraflar arasında güç dengesi bulunmadığından, çalışanın verdiği rızanın gerçekten özgür iradeye dayanıp dayanmadığı konusunda tereddüt oluşabileceği vurgulandı.
Çalışanın rıza vermemesi halinde olumsuz sonuçlarla karşılaşma ihtimali varsa veya rızasını geri çekmesi fiilen mümkün değilse, açık rızanın geçerli kabul edilmesi güçleşir.
Rızanın Geri Alınması Sorunu
KVKK’ya göre açık rıza geri alınabilir nitelikte olmalıdır.
Kurul, biyometrik tanımlama sistemlerinde rızanın geri alınmasının sistemin sürekliliğini ve uygulanabilirliğini zedeleyebileceğine dikkat çekti. Bu nedenle mesai takibi amacıyla biyometrik veri işlemenin yalnızca açık rızaya dayandırılması, kural olarak yeterli bir hukuki zemin oluşturmayacaktır.
Ölçülülük İlkesi Neden Önemli?
Kurul kararında ölçülülük ilkesine özel önem verildi.
Bir veri işleme faaliyetinin hukuka uygun sayılabilmesi için yalnızca bir işleme şartına dayanması yeterli değildir. İşlenen verinin amaçla bağlantılı, sınırlı ve ölçülü olması gerekir.
Mesai takibinin daha az müdahaleci yöntemlerle yapılabilmesi mümkünken biyometrik veri kullanılması, açık rıza bulunsa bile ölçülülük ilkesine aykırı kabul edilebilecektir.
Alternatif Yöntemler Neler?
Kurul, mesai takibi için biyometrik sistemler yerine daha az müdahaleci yöntemlerin tercih edilmesi gerektiğini belirtti.
Bu kapsamda kullanılabilecek alternatifler arasında şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ve denetçi gözetiminde elle giriş yöntemleri sayıldı.
İşverenler İçin Ne Anlama Geliyor?
İşverenler, çalışanların mesai takibini sağlamak amacıyla biyometrik veri işleme uygulamalarını yeniden değerlendirmek zorunda kalacak.
Parmak izi veya yüz tanıma sistemleri kullanılıyorsa, bu uygulamaların KVKK’nın özel nitelikli kişisel verilere ilişkin hükümleri, genel ilkeler ve ölçülülük kriteri bakımından gözden geçirilmesi gerekecek.
Mevcut Biyometrik Sistemler Ne Olacak?
Kurulun değerlendirmesi, mevcut biyometrik mesai takip sistemleri açısından da önem taşıyor.
İşverenlerin bu sistemleri kullanmaya devam etmeden önce veri işleme faaliyetinin hukuki dayanağını, açık rızanın geçerliliğini, alternatif yöntemlerin varlığını ve ölçülülük şartını değerlendirmesi gerekiyor.
Bu şartların sağlanmadığı durumlarda biyometrik veri işleme faaliyeti hukuka aykırı kabul edilebilecek.
KVKK’ya Aykırılık Halinde Ne Olur?
Kurul, duyuruda belirtilen hususların veri sorumluları tarafından alınması gereken idari ve teknik tedbirler kapsamında olduğunu açıkladı.
Bu hususlara uygun hareket edilmediğinin tespiti halinde, ilgili veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi kapsamında işlem tesis edilebilecek.
Şirketler Hangi Tedbirleri Almalı?
Şirketlerin öncelikle mesai takip süreçlerinde biyometrik veri kullanılıp kullanılmadığını tespit etmesi gerekiyor.
Biyometrik sistem kullanılıyorsa, bu sistemin hangi hukuki gerekçeyle uygulandığı, açık rızanın gerçekten özgür iradeye dayanıp dayanmadığı, daha az müdahaleci yöntemlerin neden yeterli görülmediği ve veri güvenliği tedbirlerinin nasıl sağlandığı değerlendirilmelidir.
Uygulamada Pratik Etki Ne Olacak?
Kurul kararı, mesai takibinde biyometrik veri kullanımını istisnai hale getiren önemli bir yaklaşım ortaya koyuyor.
Buna göre işverenlerin, çalışan devam takibini parmak izi veya yüz tanıma gibi biyometrik yöntemlerle değil, daha az müdahaleci alternatif sistemlerle yürütmesi bekleniyor.
Özellikle insan kaynakları, hukuk, bilgi işlem ve uyum birimlerinin, mevcut mesai takip uygulamalarını bu ilke kararına göre gözden geçirmesi önem taşıyor.
Özetle
Kişisel Verileri Koruma Kurulu, mesai takibi amacıyla biyometrik veri işlenmesinin mevcut durumda geçerli bir hukuki zemine dayanmayabileceğini ve açık rıza bulunsa dahi ölçülülük ilkesini karşılamayabileceğini değerlendirdi.
Bu nedenle çalışan devam takibinde biyometrik tanımlama sistemleri yerine kart, PIN, RFID/NFC, imza çizelgesi veya denetçi gözetiminde manuel giriş gibi alternatif yöntemlerin tercih edilmesi gerektiği açıklandı.
