Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı” ile işyerlerinde çalışanların devam takibinin parmak izi, yüz tanıma, iris, retina veya avuç içi damar izi gibi biyometrik yöntemlerle yapılması kişisel verilerin korunması hukuku kapsamında ele alınmıştır. Söz konusu ilke kararında, işverenlerin mesai takibi amacıyla biyometrik veri işleme uygulamalarında yalnızca teknik kolaylık, güvenlik veya pratiklik gerekçesiyle hareket edemeyeceği; bu tür veri işleme faaliyetlerinde hukuka uygunluk, ölçülülük, gereklilik ve veri minimizasyonu ilkelerinin birlikte gözetilmesi gerektiği ortaya konulmuştur.
Biyometrik veriler; kişiye özgü, kişiyi doğrudan ayırt etmeye elverişli ve niteliği gereği geri döndürülmesi güç veriler arasında yer almaktadır. Bu kapsamda parmak izi, yüz geometrisi, avuç içi damar izi ve benzeri veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca özel nitelikli kişisel veri olarak kabul edilmektedir. Bu nedenle anılan verilerin işlenmesi, sıradan personel verilerinden farklı ve daha sıkı hukuki şartlara tabidir.
İşverenin çalışma düzenini sağlama ve çalışanların işe giriş-çıkış saatlerini takip etme yetkisi bulunmakla birlikte, bu yetki çalışanların biyometrik verilerinin işlenmesini kendiliğinden hukuka uygun hale getirmemektedir. Çalışma sürelerinin takip edilmesine ilişkin mevzuat hükümleri mevcut olsa da, mesai kontrolünün mutlaka biyometrik veri işlenerek yapılmasını zorunlu kılan açık bir düzenleme bulunmamaktadır.
Bu noktada ölçülülük ilkesi önem kazanmaktadır. Mesai takibinde amaç, çalışanın işe giriş ve çıkış saatlerinin tespit edilmesidir. Bu amaca ulaşmak için kart okutma, şifre veya PIN kullanımı, personel takip kartı, manuel imza çizelgesi ya da benzeri daha az müdahaleci yöntemlerin tercih edilebileceği belirtilmiştir. Aynı sonuca daha az veri işlenerek ulaşılmasının mümkün olduğu hallerde, biyometrik veri kullanımının ölçülülük ilkesi bakımından sorun oluşturabileceği değerlendirilmiştir.
Açık rıza bakımından da ayrıca değerlendirme yapılmıştır. Uygulamada biyometrik veri işleme faaliyetlerinin çoğu zaman çalışanlardan alınan açık rıza metinlerine dayandırıldığı görülmektedir. Ancak işçi ile işveren arasındaki ilişkinin niteliği gereği tarafların eşit konumda olmadığı, çalışanın ekonomik ve hiyerarşik bakımdan işverene karşı daha zayıf durumda bulunduğu dikkate alınmalıdır.
Bu nedenle çalışandan açık rıza alınmış olması, tek başına biyometrik veri işleme faaliyetini hukuka uygun hale getirmemektedir. Açık rızanın geçerli kabul edilebilmesi için belirli bir konuya ilişkin olması, yeterli bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekir. Çalışanın rıza göstermemesi halinde işyerine girişte sorun yaşayabileceği veya çalışma düzeni içerisinde dezavantajlı konuma düşebileceği bir sistemde, rızanın özgür iradeye dayandığını kabul etmek güçleşmektedir.
Anayasa Mahkemesi ve Danıştay kararlarında da mesai takibi amacıyla biyometrik veri işlenmesi halinde yeterli kanuni dayanak, ölçülülük ve alternatif yöntemlerin varlığı gibi hususların önem taşıdığı kabul edilmiştir. Bu yaklaşım, kamu kurumları dahil olmak üzere işyerlerinde biyometrik yöntemlerin kullanımının sıkı bir hukuki denetime tabi olduğunu göstermektedir.
Nitekim Anayasa Mahkemesi’nin Ramazan ŞAHİN başvurusunda da benzer bir sonuca ulaşılmıştır. Başvuruya konu olayda, belediye bünyesinde devlet memuru olarak çalışan başvurucunun parmak izi kayıt sistemiyle mesai takibine tabi tutulması üzerine uyuşmazlık doğmuştur. Anayasa Mahkemesi, 657 sayılı Devlet Memurları Kanunu ve 5393 sayılı Belediye Kanunu’nda mesai takibi amacıyla özel nitelikli kişisel verilerin işlenmesine ve biyometrik veri temelli takip sistemlerinin kullanılmasına ilişkin yeterli ve açık bir kanuni düzenleme bulunmadığını değerlendirmiştir. Bu nedenle başvurucunun parmak izi sistemiyle mesai takibine tabi tutulmasının, Anayasa’nın 20. maddesi kapsamında güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkını ihlal ettiği sonucuna varılmıştır.
Bu çerçevede işverenlerin mesai takip sistemlerini yalnızca pratiklik veya teknolojik kolaylık bakımından değil, kişisel verilerin korunması hukuku yönünden de gözden geçirmesi gerekmektedir. Mesai takibinde esas alınması gereken yöntem, çalışanın temel hak ve özgürlüklerine en az müdahale eden, amaçla sınırlı ve Kişisel Verilerin Korunması Kanunu ilkelerine uygun yöntem olmalıdır.
Hukuk Desteği