Kişisel Verileri Koruma Kurulu (KVKK), son yıllarda iş yerlerinde giderek yaygınlaşan ve çalışanların mesai takibini dijitalleştirmeyi amaçlayan biyometrik tanımlama sistemlerine yönelik çok kritik bir ilke kararına imza attı.
Resmi Gazete'de yayımlanan 29 Nisan 2026 tarihli ve 2026/921 sayılı karar, parmak izi, yüz tanıma, iris ve retina taraması gibi yöntemlerin iş yerlerinde devam kontrolü amacıyla kullanılmasının önünü büyük ölçüde kapatıyor. Kurul, bu sistemlerin hızlı ve manipülasyona dirençli olması nedeniyle cazip görünse de kişisel verilerin korunması hukuku açısından son derece hassas ve geri döndürülemez riskler barındırdığına dikkat çekti.
BİYOMETRİK VERİ KURAL OLARAK YASAK
Kurul tarafından yayımlanan ilke kararında, Kanun'un 6'ncı maddesi uyarınca biyometrik verilerin "özel nitelikli kişisel veri" kapsamında yer aldığı ve bu tür verilerin işlenmesinin kural olarak yasak olduğu anımsatıldı.
Bu verilerin ancak çalışanın açık rızasının bulunması ya da kanunlarda açıkça öngörülmesi halinde işlenebileceğini belirten KVKK, iş hukukunda işverenin çalışma sürelerini takip etme yükümlülüğü bulunsa da bu takibin biyometrik sistemlerle yapılmasını zorunlu kılan açık bir kanuni düzenleme bulunmadığının altını çizdi. Dolayısıyla, mesai takibinde açık rıza dışındaki hiçbir hukuki sebebin bu süreçte uygulama alanı bulamayacağı kesin bir dille ifade edildi.
AÇIK RIZA TEK BAŞINA YETERLİ DEĞİL
Kararın en dikkat çekici yönlerinden biri ise işçi ve işveren arasındaki güç dengesizliğine yapılan vurgu oldu. KVKK, iş yerindeki hiyerarşik yapı nedeniyle çalışanların verdiği açık rızanın özgür iradeye dayanıp dayanmadığı konusunda ciddi tereddütler bulunduğunu kaydetti.
Ayrıca, bir çalışanın verdiği rızayı her an geri alma hakkına sahip olmasının biyometrik sistemlerin sürekliliğini zedeleyeceğini belirten Kurul, bu doğrultuda açık rızanın tek başına yeterli bir hukuki zemin oluşturamayacağına hükmetti. Biyometrik verilerin hassas niteliği gereği, veri işlemenin yalnızca hukuki bir sebebe dayanmasının yetmediği, aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de tam uyum sağlanması gerektiği aktarıldı.
ALTERNATİF YÖNTEMLER VARKEN ZORUNLU DEĞİL
İş yerlerinde mesai takibinin sınırlı bir idari amaç olduğunu belirten Kurul, bu hedefe ulaşmak için çalışanın mahremiyetine bu denli yoğun bir müdahalede bulunulmasının haklı kılınamayacağını savundu. Kararda, şifreli kartlar, PIN tabanlı sistemler, RFID veya NFC özellikli kimlik kartları, geleneksel imza yöntemleri ve denetçi gözetiminde elle giriş gibi birçok alternatif yöntemin zaten mevcut olduğu hatırlatıldı. Bu alternatiflerin varlığı, biyometrik veri işlemenin aslında bir zorunluluk olmadığını açıkça ortaya koyuyor.
KURALA UYMAYAN İŞVERENE CEZA YOLDA
Anayasa Mahkemesi ve Danıştay kararlarına da atıfta bulunulan ilke kararında, mesai takibi amacıyla biyometrik veri işlenmesinin, işçinin geçerli bir açık rızası olsa dahi Kanun'un genel ilkeleri kapsamında yer alan "ölçülülük" kriterini hiçbir şekilde sağlamayacağı değerlendirildi.
KVKK, bu yeni ilke kararına aykırı hareket ettiği, yani ölçülülük sınırlarını aşarak biyometrik veri toplamaya devam ettiği tespit edilen veri sorumlusu şirket ve kurumlar hakkında Kanun'un 18'inci maddesi hükümleri gereğince idari yaptırım süreçlerinin kararlılıkla işletileceğini ilan etti.