Çok Önemli Bir İlke Kararı
Sabah işe geldiğinizde parmağınızı bir okuyucuya bastırıyor, gün sonunda aynı işlemi tekrarlıyorsunuz. Çoğu çalışan bunu sıradan bir prosedür sanıyor. Oysa o parmak izi, hukukun en sıkı koruduğu kişisel veri türlerinden biri. Kişisel Verileri Koruma Kurulu, 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanan 2026/921 sayılı İlke Kararı ile bu uygulamaya net bir sınır çizdi: Mesai takibi için biyometrik veri işlemek, çalışan rıza verse bile kural olarak hukuka aykırı.
Mesai takibi için parmak izi yasal mı? İşveren yüz tanıma sistemi kurabilir mi? Bu uygulama ne zaman hukuka aykırı olur?
Kararın özü tek cümlede şu: Çalışanların giriş-çıkışını takip etmek meşru bir amaçtır, ancak bunu parmak izi, avuç içi damar okuma veya yüz tanıma gibi biyometrik yöntemlerle yapmak kural olarak hukuka aykırıdır.
Kurul, bunun gerekçesini şu zincire dayandırıyor: Mevzuatta işverenin çalışma sürelerini takip ve belgeleme yükümlülüğü vardır, ancak bu takibin biyometrik yöntemle yapılmasını öngören açık bir kanun hükmü yoktur. Açık kanun hükmü olmadığı için işverenler uygulamada genellikle çalışanın açık rızasına dayanıyor. Kurul ise işçi-işveren ilişkisindeki güç dengesizliği nedeniyle bu rızanın özgür iradeyle verildiğini söylemenin mümkün olmadığını tespit ediyor. Buna ölçülülük ilkesinin ihlali de eklenince sonuç ortaya çıkıyor: Bu işleme faaliyeti, geçerli bir açık rıza bulunsa dahi hukuka aykırı.
Biyometrik veri nedir, neden bu kadar sıkı korunuyor? Parmak izi neden “özel nitelikli veri” sayılıyor? Bu veriler ele geçirilirse ne olur?
Biyometrik veri, kişiyi fiziksel, fizyolojik veya davranışsal özellikleri üzerinden benzersiz biçimde tanımlayan veridir. Parmak izi, retina/iris ve yüz geometrisi fizyolojik; ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıkları ise davranışsal biyometrik veriye örnektir.
6698 sayılı Kanun’un 6. maddesi biyometrik veriyi özel nitelikli (hassas) kişisel veri kategorisinde sayar. Bu kategori kanunda tek tek (tahdidî olarak) sayılmıştır ve kıyas yoluyla genişletilemez. Yani bir veri “özel nitelikli” listesinde yoksa, benzerlik kurularak bu sınıfa sokulamaz; listede varsa da daha katı kurallara tabidir.
Bu verilerin asıl tehlikesi geri döndürülemez olmasıdır. Şifrenizi çaldırırsanız değiştirirsiniz. Ama parmak iziniz veya yüz geometriniz bir kez ele geçirilirse onu değiştiremezsiniz. Kurul kararın gerekçesinde tam da bu noktaya dikkat çekiyor: Bu verilerin öğrenilmesi, ilgili kişide kalıcı bir mağduriyet riski doğurur.
İşveren “senden rıza aldım” diyorsa sorun yok mu? Çalışanın imzaladığı açık rıza geçerli midir? Rızayı geri çekmek mümkün mü?
İşverenlerin en sık başvurduğu savunma budur: “Çalışan formu imzaladı, açık rıza verdi.” Kurul bu savunmayı kökünden çürütüyor.
Kanun’a göre açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Üç şartın da birlikte gerçekleşmesi gerekir. Sorun, “özgür irade” şartında düğümleniyor:
- İşçi ile işveren eşit konumda değildir; aralarında yapısal bir güç dengesizliği vardır.
- Çalışan, rıza göstermediğinde veya rızasını geri çektiğinde olumsuz sonuçlarla karşılaşmaktan çekinir.
- Gerçek bir seçeneği olmayan kişinin rızası, özgür iradeye dayanan rıza sayılamaz.
İkinci bir kritik tespit ise şu: Açık rıza her zaman geri alınabilir. Ancak biyometrik sistemde herkes rızasını geri çekerse sistem işlevini yitirir. Bu çelişki, rızanın bu uygulama için baştan zayıf ve yetersiz bir hukuki zemin olduğunu gösteriyor. Kısacası imzalanan rıza formu, işvereni kurtarmıyor.
KVKK bu kararda tam olarak neye dayandı? Karar hangi yüksek mahkeme kararlarıyla destekleniyor? Emsal var mı?
Bu karar havadan inmedi; mevcut yargı içtihadını derleyip bir ilke haline getirdi. Kurulun dayandığı temel kaynaklar şunlar:
- Anayasa Mahkemesi Genel Kurulu, 10/03/2022 tarihli kararı (Başvuru No: 2018/11988): Bir belediyede parmak izi ile mesai takibine tabi tutulan devlet memurunun başvurusudur. AYM, 657 sayılı Devlet Memurları Kanunu ve 5393 sayılı Belediye Kanunu’nda bu konuyu düzenleyen temel esas ve ilkelerin bulunmadığını, dolayısıyla müdahalenin kanunilik şartını taşımadığını belirterek kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar verdi.
- Danıştay 12. Dairesi, 2021/3870 E. ve 2023/2548 K.: Bir sendikanın, işyerinde avuç içi damar okuyucu sistemi kurulmasına karşı açtığı davaya ilişkindir. Daire, ölçülülük ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi çerçevesinde işverenin uygulamasını hukuka aykırı buldu.
- Danıştay İdari Dava Daireleri Kurulu, 2024/225 E. ve 2024/2625 K.: Yukarıdaki Danıştay kararını onayarak içtihadı kesinleştirdi.
Bu üç karar bir araya geldiğinde, hem kamu hem özel sektör için tutarlı bir tablo çıkıyor: Açık kanuni dayanak ve ölçülülük olmadan biyometrik mesai takibi ayakta kalmıyor.
İşveren mesaiyi başka nasıl takip edebilir? Parmak izi yerine hangi yöntemler hukuka uygun? Ölçülülük ne demek?
Kararın en yapıcı yanı, işverene kapıyı tamamen kapatmaması; sadece “en az müdahaleci yöntemi seç” demesi. Hukukta buna ölçülülük denir ve üç alt başlıkta incelenir: yöntemin amaca uygunluğu, gerekliliği (alternatif var mı?) ve müdahalenin orantılılığı.
Mesai takibi için biyometrik veri “gerekli” değildir, çünkü aynı amaca ulaştıran daha az müdahaleci yöntemler mevcuttur. Kurulun kararda açıkça saydığı alternatifler şunlar:
- Şifreli kart veya PIN tabanlı geçiş sistemleri
- Geleneksel imza ve kâğıt bazlı devam çizelgeleri
- RFID/NFC kimlik kartları
- Denetçi gözetiminde elle giriş
Bu alternatiflerin varlığı, biyometrik veri işlemenin “zorunlu” olmadığını ve dolayısıyla ölçülülük kriterini sağlamadığını ortaya koyuyor. Üstelik biyometrik verilerin sonradan başka veri işleme faaliyetleriyle birleştirilerek farklı amaçlarla kullanılma veya kötüye kullanılma riski de bu değerlendirmeyi güçlendiriyor.
İşveren biyometrik sistemi kullanmaya devam ederse ne olur? Çalışan nereye şikâyet eder? İdari para cezası riski var mı?
İlke kararı yayımlandığı andan itibaren tüm veri sorumluları (işverenler) için bağlayıcıdır. Devam eden uygulamalar artık “bilmiyordum” savunmasının arkasına saklanamaz.
Kurulun çizdiği sorumluluk tablosu şu:
- Kanun’un 12. maddesi uyarınca işveren, kişisel verilerin hukuka uygun işlenmesini sağlayacak idari ve teknik tedbirleri almakla yükümlüdür. Biyometrik mesai takibine devam etmek bu yükümlülüğün ihlalidir.
- Kanun’un 15. maddesinin altıncı fıkrası, ihlalin yaygın olduğunun tespiti halinde Kurul’a ilke kararı alma yetkisi verir; bu karar da tam olarak bu temelde alınmıştır.
- Belirtilen esaslara aykırı hareket edildiğinin tespiti halinde ilgili işveren hakkında Kanun’un 18. maddesi hükümleri uygulanır. Bu madde idari para cezalarını düzenler.
Çalışan açısından yol haritası nettir: İşyerinde biyometrik mesai takibiyle karşılaşan kişi, doğrudan Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilir. Karardaki ilkeler, böyle bir şikâyette çalışanın elini hatırı sayılır ölçüde güçlendiriyor.
Bu karar, “herkes yapıyor” diye normalleşmiş bir uygulamayı hukuken sona erdiriyor. İşverenler için mesaj açık: Mevcut biyometrik sistemleri kart, PIN veya imza tabanlı çözümlerle değiştirmek, sadece iyi niyet değil artık bir hukuki zorunluluk. Hâlâ parmak izi okuyucusuna basıyorsanız, sistemi değiştirmek için iyi bir gerekçeniz var; eğer işverenseniz, geçişi geciktirmek için artık hiçbir gerekçeniz yok. Somut bir uyuşmazlıkta atılacak adım, mevcut sistemin teknik özelliklerini ve toplanan verinin akıbetini bir avukatla birlikte değerlendirmekten geçer.
İşyerinde parmak izi ile mesai takibi yasal mı? Kural olarak hayır. KVKK’nın 2026/921 sayılı kararına göre mesai takibi için parmak izi işlemek, çalışan rıza verse dahi hukuka aykırıdır. Açık kanuni dayanak yoktur ve ölçülülük ilkesi sağlanmaz.
İşveren çalışanın rızasıyla yüz tanıma sistemi kullanabilir mi? Kullanamaz. İşçi ile işveren arasındaki güç dengesizliği nedeniyle verilen rıza özgür iradeye dayanmaz. Bu yüzden açık rıza, biyometrik mesai takibi için tek başına yeterli hukuki zemin oluşturmaz.
Parmak izi neden özel nitelikli kişisel veri sayılır? 6698 sayılı Kanun’un 6. maddesi biyometrik veriyi özel nitelikli veri kabul eder. Bu veriler geri döndürülemezdir; ele geçirildiğinde değiştirilemez ve kişide kalıcı mağduriyet riski doğurur.
İşveren mesaiyi parmak izi yerine nasıl takip edebilir? KVKK kararında sayılan hukuka uygun alternatifler şunlardır: şifreli kart veya PIN tabanlı sistemler, imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları, denetçi gözetiminde elle giriş.
Biyometrik mesai takibine maruz kalan çalışan ne yapabilir? Çalışan, doğrudan Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilir. 2026/921 sayılı ilke kararı, bu tür şikâyetlerde çalışanın hukuki konumunu güçlendirir.
İşveren biyometrik sistem kullanmaya devam ederse ceza var mı? Evet, risk vardır. Kanun’un 12. maddesindeki yükümlülüğün ihlali halinde işveren hakkında 18. madde uyarınca idari para cezası uygulanabilir.
Bu yasak kamu kurumlarını da kapsıyor mu? Karar hem kamu hem özel sektör işverenlerini kapsar. Anayasa Mahkemesi’nin 2018/11988 sayılı kararına konu olay bir belediyede devlet memuruna ilişkindi; açık kanuni dayanak bulunmadığından kamuda da hukuka aykırı bulundu.
