Mevzuatın Adı: Kişisel Verileri Koruma Kurulunun 29/04/2026 Tarihli ve 2026/921 Sayılı Kararı
02 Haziran 2026 Tarihli Resmi Gazete
Sayı: 33268
Kişisel Verileri Koruma Kurumundan:
Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı
Karar No: 2026/921
Karar Tarihi: 29/04/2026
[vc_row][vc_column][vc_message message_box_color=”success”]ÖZET:
KVKK Kurulu, çalışanların mesai takibi amacıyla parmak izi, yüz tanıma, iris, retina veya benzeri biyometrik veri işlenmesinin; açık rıza bulunsa dahi ölçülülük, gereklilik ve veri minimizasyonu ilkeleri bakımından hukuka uygun kabul edilemeyeceğini belirtti.
Kişisel Verileri Koruma Kurulunun 29/04/2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, 02 Haziran 2026 tarihli Resmî Gazete’de yayımlandı. Kararda, çalışan devam takibinin dijitalleştirilmesi ve güvenliğin artırılması amacıyla kullanılan parmak izi, yüz tanıma, iris, retina taraması ve benzeri biyometrik tanımlama sistemleri kişisel verilerin korunması hukuku bakımından değerlendirildi.
Kurul, biyometrik verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel veri olduğunu vurguladı. Bu verilerin ele geçirilmesi hâlinde değiştirilememesi veya geri alınamaması nedeniyle yüksek risk taşıdığı belirtildi.
Kararda, işverenlerin çalışma sürelerini takip etme ve belgeleme yükümlülüğü bulunduğu; ancak mevzuatta mesai takibinin biyometrik veri işlenerek yapılmasına yönelik açık bir hüküm bulunmadığı ifade edildi. Bu nedenle mesai takibinde biyometrik veri işlenmesinin “kanunlarda açıkça öngörülme” şartına dayandırılamayacağı değerlendirildi.
Açık rıza bakımından ise işçi-işveren ilişkisindeki güç dengesizliğine dikkat çekildi. Kurul, çalışanın rıza vermemesi veya rızasını geri çekmesi hâlinde olumsuz sonuçlarla karşılaşma ihtimalinin bulunmasının, açık rızanın özgür iradeye dayanıp dayanmadığı konusunda ciddi tereddüt doğurduğunu belirtti.
Kararda ayrıca, açık rıza bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin KVKK’nın 4’üncü maddesinde yer alan amaçla bağlantılı, sınırlı ve ölçülü olma ilkesini karşılamayacağı ifade edildi. Mesai takibi için şifreli kart, PIN tabanlı sistemler, geleneksel imza, kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları veya denetçi gözetiminde elle giriş gibi daha az müdahaleci alternatiflerin kullanılabileceği belirtildi.
Kurul, belirtilen esaslara uygun hareket edilmemesi hâlinde veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi kapsamında işlem tesis edilebileceğini duyurdu.
Biyometrik Veri Özel Nitelikli Kişisel Veri Sayılıyor
Parmak izi, yüz tanıma, iris ve retina verileri gibi biyometrik veriler, KVKK kapsamında özel nitelikli kişisel veri kabul ediliyor. Bu veriler kişiye özgü, hassas ve geri döndürülemez nitelikte olduğundan daha sıkı koruma şartlarına tabi tutuluyor.
Mesai Takibi İçin Açık Kanuni Düzenleme Bulunmuyor
İş Kanunu ve ilgili yönetmeliklerde işverenin çalışma sürelerini takip etme ve belgeleme yükümlülüğü düzenlenmiş olmakla birlikte, bu takibin biyometrik sistemlerle yapılmasını zorunlu veya mümkün kılan açık bir hüküm bulunmuyor.
Açık Rıza Tek Başına Yeterli Görülmüyor
Kurul, işçi-işveren ilişkisinde taraflar arasında güç dengesi bulunmadığını belirterek, çalışanlardan alınan açık rızanın özgür iradeye dayanıp dayanmadığının tartışmalı olduğunu ifade etti. Ayrıca açık rızanın geri alınabilir olması, biyometrik sistemlerin sürekliliği açısından da hukuki sorun oluşturuyor.
Ölçülülük İlkesi Belirleyici Kriter Olarak Vurgulandı
Mesai takibi sınırlı bir idari amaç olarak değerlendirildi. Kurul, bu amaç için çalışanların biyometrik verilerinin işlenmesini yoğun bir müdahale olarak kabul etti ve daha az müdahaleci yöntemlerin varlığı karşısında biyometrik veri işlemenin ölçülü sayılamayacağını belirtti.
Alternatif Mesai Takip Yöntemleri Önerildi
Kararda biyometrik veri işleme yerine şu alternatif yöntemlere işaret edildi:
- Şifreli kart sistemleri
- PIN tabanlı giriş sistemleri
- Geleneksel imza çizelgeleri
- Kâğıt bazlı devam takip formları
- RFID/NFC kimlik kartları
- Denetçi gözetiminde elle giriş yöntemleri
Sonuç
KVKK Kurulunun İlke Kararına göre, mevcut mevzuatta mesai takibi amacıyla biyometrik veri işlenmesini açıkça öngören bir düzenleme bulunmadığından, bu yöntemin kanuni dayanağa bağlanması mümkün görülmedi. İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın özgür iradeye dayanması konusunda tereddüt bulunduğu, ayrıca açık rıza mevcut olsa bile biyometrik veri işlemenin ölçülülük ilkesini karşılamayacağı belirtildi.
Bu kapsamda, mesai takibinin parmak izi, yüz tanıma, iris, retina veya benzeri biyometrik tanımlama sistemleri yerine daha az müdahaleci alternatif yöntemlerle yapılması gerektiği açıklandı.[/vc_message][vc_column_text]
Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hususlardan biri de çalışan devam takibini dijitalleştirme ve güvenliği artırma amacıyla kurum ve kuruluşların giderek artan ölçüde biyometrik tanımlama sistemlerine yönelmesidir.
Biyometrik tanımlama sistemleri (parmak izi, yüz tanıma, iris ve retina taraması gibi) hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip görünse de kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturmaktadır. Özellikle işçi-işveren ilişkisinde mevcut olan yapısal güç dengesizliği, açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler doğurmaktadır. Bu nedenle biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerekmektedir.
Bu doğrultuda, mesai takibi amacıyla biyometrik veri işlenmesi hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından îlke Kararı alınması gereği hasıl olmuştur.
Bu çerçevede, konu ile alakalı mevzuat hükümlerine bakıldığında;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinde düzenleme altına alınan özel nitelikli kişisel veri kategorileri yasa koyucu tarafından sınırlı sayma yoluyla belirlenmiş olup kıyas yoluyla genişletilebilmeleri mümkün değildir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
• Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilen biyometrik veri kavramına ilişkin olarak ulusal mevzuatta kapsamlı bir tanım yer almamakla birlikte 5490 sayılı Nüfus Hizmetleri Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (ff) bendinde biyometrik veri, “Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü verileri” olarak tanımlanmıştır.
• 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nde (GDPR) ise biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı görülmektedir.
Bu kapsamda kişiye ait parmak izi, retina/iris verisi fizyolojik; yüz ve el geometrisi fiziksel (fizyolojik özelliklerden farklı olarak gözle görülebilir nitelikte olan); ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıkları davranışsal biyometrik verilere örnek gösterilebilmektedir.
Söz konusu biyometrik verilerin hassas nitelikte ve geri döndürülemez bir yapıya sahip olması (ele geçirilmeleri hâlinde değiştirilmelerinin veya geri alınmalarının mümkün olmaması) nedeniyle, Kanun’un gerekçe metninde de belirtildiği üzere, bu verilerin öğrenilmesi durumunda ilgili kişilerin mağduriyetine yol açılması ihtimali bulunduğundan korunmaları büyük önem taşımaktadır.
• Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin üçüncü fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğu ancak bu kişisel verilerin işlenmesinin anılan fıkrada sayılan a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması) hallerinden birinin varlığı halinde mümkün olduğu hükme bağlanmıştır. Ayrıca özel nitelikli kişisel verilerin işlenmesinde Kurulun 31/01/2018 tarihli ve 2018/10 sayılı kararı ile belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler“in de alınması gerekmektedir.
Bununla birlikte,
• 4857 sayılı İş Kanunu’nun 63’üncü maddesinde genel çalışma süresine ilişkin düzenleme yapılmış olup mezkûr Kanun’un 67’nci maddesinde günlük çalışmanın başlama ve bitiş saatleri ile dinlenme saatlerinin işyerlerinde işçilere duyurulacağı düzenlenmiştir. Söz konusu Kanun’un 75’inci maddesinde ise işverenin her işçi için bir özlük dosyası düzenleyeceği ve bu dosyada işçiye ilişkin kanunen tutulması gereken belge ve kayıtları saklayacağı belirtilmiştir. Buna ek olarak; 06.04.2004 tarihli ve 25425 sayılı Resmî Gazete’de yayımlanan İş Kanunu’na İlişkin Çalışma Süreleri Yönetmeliği’nin 9’uncu maddesinde işverenin, işçilerin çalışma sürelerini uygun araçlarla belgelemek zorunda olduğu hüküm altına alınmıştır.
Söz konusu düzenlemeler ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığından mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesi hukuka aykırılık teşkil edebilecektir.
Bu çerçevede, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasının (b), (c), (ç), (d), (e), (f) ve (g) bentlerinde yer alan işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle, uygulamada söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği görülmektedir.
• Kanun’un 3 ’üncü maddesinin birinci fıkrasının (a) bendi uyarınca açık rıza; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir.
Bu kapsamda, kişisel veri işleme faaliyetinin ilgili kişilerin açık rızasına dayalı olarak gerçekleştirileceği hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekmektedir.
Bu çerçevede; tarafların eşit konumda olmadığı, taraflardan birinin diğeri üzerinde etkili olduğu veya taraflar arasında güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışana rıza göstermeme veya rızasını geri çekme imkânının etkin bir biçimde sunulmaması ya da rıza göstermemenin çalışan açısından muhtemel olumsuzluklar doğurabilmesi durumunda çalışanın gerçek bir seçeneğe sahip olduğu söylenemeyeceğinden rızanın özgür iradeye dayandığından da söz etmek mümkün olmayacaktır.
Ayrıca rızanın geri alınabilmesi, biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyeceğinden biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesi de kural olarak yeterli bir hukuki zemin oluşturmayacaktır.
• Anayasa Mahkemesi Genel Kurulunun 10/03/2022 tarihli Kararında, parmak izi kayıt sistemi ile mesai takibi yapılması hususunda yapılan 2018/11988 numaralı başvuru hakkında; Anayasa’nın 20’nci maddesine göre kişisel verilerin “ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla” işlenebileceğinin açık olduğu, 6698 sayılı Kanun’un 6’ncı maddesinde de kanun koyucunun tahdidi olarak saydığı özel nitelikli kişisel verileri işlemeyi önemine binaen daha katı kurallara bağladığı belirtilmiştir. Karara konu olayda Belediye Başkanlığı (İdare) bünyesinde devlet memuru olarak çalışan başvurucu, işyerinde parmak izi sistemi ile mesai takibine başlanması üzerine anılan idari işlemin iptali talebiyle dava açmış olup Bölge İdare Mahkemesinin idarenin parmak izi kayıt sistemi ile mesai takibi yapmasında hukuka aykırılık bulunmadığına karar vermesi üzerine konuyu Anayasa Mahkemesine bireysel başvuru kapsamında taşıyarak parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğini ileri sürmüştür. Anayasa Mahkemesi, 657 sayılı Devlet Memurları Kanunu’nda ve 5393 sayılı Belediye Kanunu’nda mesai takibi amacıyla özel nitelikli kişisel verilerin işlenmesi ve bu bağlamda biyometrik veri temelli takip sistemlerinin kullanılmasına dair temel esasları ve ilkeleri belirleyen bir düzenleme bulunmadığından başvuruya konu müdahalenin kanunilik şartını sağlamadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.
Bununla birlikte,
• Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. ” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenlenmiş olup kişisel verilerin işlenmesinde her hâl ve şartta söz konusu genel ilkelere uyulması hukuki bir gerekliliktir.
Bu çerçevede, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu (işlendikleri amaçla bağlantılı olma), alternatif yöntemlerin tüketilip tüketilmediği (işlendikleri amaçla sınırlı olma) ve müdahalenin boyutu (işlendikleri amaçla ölçülü olma) açısından ayrı ayrı değerlendirilmesi gerekmekte olup bu kriterleri karşılamayan bir uygulama, ilgili kişinin açık rızası bulunsa dahi hukuka aykırı kabul edilecektir.
İşlendikleri amaçla bağlantılı ve sınırlı olma ilkesi, kişisel veri işleme faaliyetinin, amacı gerçekleştirmeye yönelik en az müdahaleci yöntem olmasını gerektirir. Mesai takibi bakımından değerlendirildiğinde; uygulamada şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yöntemlerin mevcut olduğu görülmektedir. Bu alternatiflerin varlığı, biyometrik veri işlemenin zorunlu olmadığını açıkça ortaya koymaktadır.
Ölçülülük değerlendirmesi ise müdahalenin yoğunluğu ile ulaşılmak istenen meşru amaç arasında makul bir denge bulunup bulunmadığını sorgulamaktadır. Bu kapsamda mesai takibi, sınırlı bir idari amaç olup bu denli yoğun bir veri işleme müdahalesini haklı kılmak bakımından çoğu durumda yetersiz kalmaktadır. Bunun yanı sıra, söz konusu kişisel verilerin başka kişisel veri işleme faaliyetleriyle birleştirilerek farklı amaçlarla kullanılabilme veya kötüye kullanılma ihtimali de dikkate alındığında, mesai takibi amacıyla biyometrik veri işlenmesi ölçülülük ilkesinin ihlali anlamına gelecektir.
• Danıştay 12’nci Daire Başkanlığının 2021/3 870 Esas ve 2023/2548 Sayılı Kararına konu olayda davacı Sendika tarafından, davalı Teşekkül’ün mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına ilişkin işleminin iptali istenilmiştir. Danıştay tarafından Karara ilişkin yapılan hukuki değerlendirmede; 6698 sayılı Kanun’un 4’üncü maddesinde, kişisel verilerin işlenmesinde, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uyulmasının zorunlu olduğuna; Kanun’un 6’ncı maddesinde ise, özel nitelikli kişisel veriler tahdidi olarak sayılarak bu verilerin işlenmesinin genel nitelikli verilere göre daha sıkı koşullara bağlandığına yer verilmiştir. Temyizen incelenen söz konusu Karar hakkında Danıştay İdari Dava Daireleri Kurulu 2024/225 Esas ve 2024/2625 Sayılı Kararı ile, Kişisel Verileri Koruma Kurulunun mesai takibi için özel nitelikli kişisel verilerin işlenmesinin gerekliliği konusunda 6698 sayılı Kanun’un 4’üncü maddesinde yer alan ilkelerden hareketle bir değerlendirme yaptığı, buna göre, anılan Kurul’un 01/12/2020 tarih ve 2020/915 sayılı kararı ile, Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan ilkelerden, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi çerçevesinde özel nitelikli kişisel veri işleme faaliyetinde amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiğine vurgu yapılarak Danıştay 12’nci Daire Başkanlığının 2021/3870 Esas ve 2023/2548 Sayılı Kararının hukuka uygun olduğuna karar vermiştir.
Sonuç olarak,
Mevzuatta, çalışma sürelerinin takibine ilişkin hükümler bulunmakla birlikte takibin ne şekilde gerçekleştirileceğine ya da takibin biyometrik veri işlenmesi suretiyle yapılması gerektiğine dair açık hüküm bulunmadığı dikkate alındığında mevcut durumda biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesinin kabul edilemeyeceği,
Dolayısıyla, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun’un 6’ncı maddesinin üçüncü fıkrasının (b), (c), (ç), (d), (e), (f) ve (g) bentlerinde yer alan işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği ancak işçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu ve bu yönüyle tek başına yeterli bir hukuki zemin oluşturmadığı,
Ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında ilgili kişilerin açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı
değerlendirilmiş olup bu itibarla, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiği hususları kamuoyunun bilgisine sunulmaktadır.
Bilindiği üzere, Kanun’un 12’nci maddesinin birinci fıkrası “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ” hükmünü, Kanun’un 15’inci maddesinin altınca fıkrası “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar” hükmünü amirdir.
Bu çerçevede yukarıda belirtilen hususların, Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi ve bu kapsamda mesai takibi amacıyla biyometrik veri işlenmesi hususunda Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınmasına, söz konusu İlke Kararının Karar ekinde yer alan şekilde Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.
[vc_row][vc_column][vc_message message_box_color=”blue”]FAQ – Sık Sorulan Sorular
Mesai Takibinde Parmak İzi Kullanılabilir Mi? Karara göre mesai takibi amacıyla parmak izi gibi biyometrik verilerin işlenmesi, mevcut durumda hukuka uygun bir yöntem olarak değerlendirilmemektedir.
Çalışandan Açık Rıza Alınırsa Biyometrik Veri İşlenebilir Mi? Kurul, işçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddüt bulunduğunu belirtmiştir. Ayrıca açık rıza bulunsa dahi ölçülülük ilkesi sağlanmadığında işleme faaliyeti hukuka aykırı kabul edilebilecektir.
Yüz Tanıma Sistemiyle Mesai Takibi Yapılabilir Mi? Yüz tanıma sistemi de biyometrik veri işlemeye dayandığından, mesai takibi amacıyla kullanımı kararda belirtilen gerekçelerle uygun görülmemektedir.
İşverenin Mesai Takibi Yapma Yükümlülüğü Devam Ediyor Mu? Evet. İşverenin çalışma sürelerini takip etme ve belgeleme yükümlülüğü devam etmektedir. Ancak bu takibin biyometrik veri işlenerek yapılması yerine daha az müdahaleci yöntemlerle gerçekleştirilmesi gerekmektedir.
Biyometrik Veri Yerine Hangi Yöntemler Kullanılabilir? Şifreli kart, PIN tabanlı sistem, imza çizelgesi, kâğıt bazlı devam formu, RFID/NFC kimlik kartı veya denetçi gözetiminde elle giriş gibi alternatif yöntemler kullanılabilir.
Kurala Uyulmaması Halinde Ne Olur? Kararda, belirtilen hususlara uygun hareket edilmediğinin tespiti hâlinde veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi kapsamında işlem tesis edilebileceği belirtilmiştir.[/vc_message][vc_column_text]