Malatya — Kişisel Verileri Koruma Kurulu, kurum ve kuruluşlarda mesai takibi için kullanılan biyometrik tanıma sistemlerine ilişkin ilke kararı aldı. 29 Nisan 2026 tarihli ve 2026/921 sayılı karar, 2 Haziran 2026 tarihli Resmî Gazete’de yayımlandı.
Kararda, Kurula ulaşan ihbar ve şikâyetlerde en sık karşılaşılan konulardan birinin, çalışan devam takibini dijitalleştirmek ve güvenliği artırmak amacıyla biyometrik tanıma sistemlerine yönelim olduğu belirtildi.
Kurul, parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik sistemlerin hızlı ve doğruluk oranı yüksek yöntemler olarak görüldüğünü ancak kişisel verilerin korunması hukuku bakımından hassas bir alan oluşturduğunu kaydetti. Özellikle işçi-işveren ilişkisindeki yapısal güç dengesizliği nedeniyle açık rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddütler bulunduğu vurgulandı.
Kararda, biyometrik veri işleme faaliyetlerinin yalnızca hukuki sebebe değil; ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerektiği ifade edildi.
Kurul kararında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda biyometrik verilerin özel nitelikli kişisel veri kategorisinde yer aldığı hatırlatıldı. Kanunda özel nitelikli kişisel veriler arasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler sayıldı.
Ulusal mevzuatta biyometrik veriye ilişkin kapsamlı bir tanım bulunmadığı belirtilen kararda, 5490 sayılı Nüfus Hizmetleri Kanunu’ndaki tanıma da yer verildi. Buna göre biyometrik veri, “Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü verileri” olarak tanımlandı.
Kararda ayrıca Avrupa Genel Veri Koruma Tüzüğü’ndeki tanım aktarıldı. GDPR’de biyometrik veri, “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak ifade edildi.
Kurul, biyometrik verilere örnek olarak parmak izi, retina ve iris verisini; yüz ve el geometrisini; ses tınısını, imza dinamiklerini ve klavye kullanım alışkanlıklarını gösterdi. Bu verilerin hassas ve geri döndürülemez nitelikte olduğu, ele geçirilmesi durumunda değiştirilmelerinin ya da geri alınmalarının mümkün olmadığı kaydedildi.
Kararda, 4857 sayılı İş Kanunu’nun 63’üncü maddesinde genel çalışma süresine, 67’nci maddesinde günlük çalışmanın başlama ve bitiş saatleri ile dinlenme saatlerinin işyerinde işçilere duyurulmasına, 75’inci maddesinde ise işverenin işçi özlük dosyası düzenlemesine ilişkin hükümler bulunduğu hatırlatıldı. Ayrıca İş Kanunu’na İlişkin Çalışma Süreleri Yönetmeliği’nin 9’uncu maddesinde işverenin, işçilerin çalışma sürelerini uygun araçlarla belgelemek zorunda olduğu belirtildi.
Buna karşın Kurul, mesai takibinin biyometrik tanıma sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığını belirtti. Bu nedenle mesai takibinin biyometrik veri işlenmesi yoluyla gerçekleştirilmesinin hukuka aykırılık oluşturabileceği değerlendirildi.
Kararda açık rıza tanımı da aktarıldı. Kanuna göre açık rıza, “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade ediyor.
Kurul, istihdam ilişkilerinde tarafların eşit konumda olmaması nedeniyle çalışanın rıza göstermeme ya da verdiği rızayı geri çekme imkânının etkili şekilde sunulmaması halinde, açık rızanın özgür iradeye dayandığından söz edilemeyeceğini bildirdi. Açık rızanın geri alınabilir olması nedeniyle de biyometrik tanıma sistemlerinin sürekliliği ve uygulanabilirliğinin zedelenebileceği, bu nedenle mesai takibinde yalnızca açık rızaya dayanılmasının yeterli hukuki zemin oluşturmayacağı belirtildi.
Kararda Anayasa Mahkemesinin 10 Mart 2022 tarihli kararına da yer verildi. Belediye başkanlığı bünyesinde devlet memuru olarak çalışan bir kişinin, işyerinde parmak izi sistemiyle mesai takibine başlanması üzerine yaptığı başvuru hatırlatıldı. Anayasa Mahkemesi, 657 sayılı Devlet Memurları Kanunu ve 5393 sayılı Belediye Kanunu’nda biyometrik veri temelli mesai takibine ilişkin esas ve ilkeleri belirleyen bir düzenleme bulunmadığı gerekçesiyle, kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermişti.
Kurul, 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesine de dikkat çekti. Buna göre kişisel verilerin işlenmesinde “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ile “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulması gerekiyor.
Kurul değerlendirmesinde, mesai takibinde biyometrik veri işlenmesinin yöntemin amaca uygunluğu, alternatif yöntemlerin bulunup bulunmadığı ve müdahalenin boyutu açısından ayrı ayrı ele alınması gerektiği belirtildi. Bu kriterleri karşılamayan uygulamaların, ilgili kişinin açık rızası bulunsa dahi hukuka aykırı kabul edileceği ifade edildi.
Kararda mesai takibi için şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yöntemlerin bulunduğu kaydedildi. Bu alternatiflerin varlığının, biyometrik veri işlenmesini zorunlu olmaktan çıkardığı belirtildi.
Kurul ayrıca, mesai takibinin sınırlı idari bir amaç taşıdığını; buna rağmen biyometrik veri işlemenin yoğun bir veri işleme müdahalesi doğurduğunu değerlendirdi. Bu verilerin başka kişisel veri işleme faaliyetleriyle birleştirilebilmesi ya da farklı amaçlarla kullanılabilmesi ihtimali de dikkate alındı.
Kararda Danıştay 12’nci Dairesinin 2021/3870 Esas ve 2023/2548 sayılı kararına da yer verildi. Söz konusu olayda bir sendika, mesai takibinde avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kayıt oluşturulmasına ilişkin işlemin iptalini istemişti. Danıştay, 6698 sayılı Kanun’un 4’üncü maddesindeki bağlantılı, sınırlı ve ölçülü olma ilkesine uyulması gerektiğini; özel nitelikli kişisel verilerin ise daha sıkı koşullara tabi olduğunu değerlendirdi.
Temyiz incelemesinde Danıştay İdari Dava Daireleri Kurulu, 2024/225 Esas ve 2024/625 sayılı kararıyla, Kişisel Verileri Koruma Kurulunun daha önceki değerlendirmelerine de atıf yaptı. Kurulun 1 Aralık 2020 tarihli ve 2020/915 sayılı kararında, amacın gerçekleştirilmesiyle ilgisi olmayan ya da ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gerektiğine vurgu yapıldığı aktarıldı.
Kararın sonuç bölümünde, mevzuatta çalışma sürelerinin takibine ilişkin hükümler bulunmasına karşın, takibin ne şekilde yapılacağına ya da biyometrik veri işlenmesi yoluyla yapılması gerektiğine dair açık hüküm bulunmadığı belirtildi. Bu nedenle mevcut durumda biyometrik veri işleme faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilemeyeceği bildirildi.
Kurul, mesai takibi amacıyla biyometrik veri işlenmesinde Kanun’un 6’ncı maddesindeki diğer işleme şartlarının da uygulanamayacağını; açık rıza seçeneğinin ise işçi-işveren ilişkisindeki güç dengesizliği nedeniyle tek başına yeterli hukuki zemin oluşturmadığını değerlendirdi.
Sonuç olarak Kurul, mesai takibinin biyometrik tanıma sistemleri yerine daha az müdahaleci yöntemlerle yapılması gerektiğini bildirdi. Veri sorumlularının kişisel verilerin hukuka uygun işlenmesini sağlamak için idari ve teknik tedbirleri almakla yükümlü olduğu, aksi durumda 6698 sayılı Kanun’un 18’inci maddesi kapsamında işlem tesis edilebileceği açıklandı.
Kararın Resmî Gazete’de ve Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanmasına oybirliğiyle karar verildi.
KAYNAK: malatyayenises.com
