Malatya – Kişisel Verileri Koruma Kurulu, kurum ve kuruluşlarda mesai takibi amacıyla uygulanan parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik veri işleme faaliyetlerine yönelik bağlayıcı bir ilke kararı aldı. 2 Haziran 2026 tarihli Resmî Gazete'de yayımlanan 2026/921 sayılı karar uyarınca, çalışanların biyometrik verilerinin mesai takibi amacıyla işlenmesi, açık rıza bulunsa dahi kanuna aykırı kabul edilecek. Kurul, veri sorumlularının bu sistemler yerine kartlı, şifreli veya geleneksel yöntemleri uygulamakla yükümlü olduğunu ilan etti.
Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetlerde, kamu ve özel sektör kuruluşlarının devam takibini dijitalleştirme ve güvenliği artırma gerekçesiyle biyometrik tanımlama sistemlerine yöneldiği saptandı. Gelişme üzerine durumu inceleyen Kişisel Verileri Koruma Kurulu, 29 Nisan 2026 tarihinde düzenlediği toplantıda konuya ilişkin bir ilke kararı alarak hukuki çerçeveyi yeniden çizdi.
Alınan kararda, parmak izi, damar izi, yüz geometrisi ve retina gibi biyometrik verilerin özel nitelikli kişisel veri kategorisinde yer aldığı ve ele geçirilmeleri hâlinde değiştirilemeyen, geri döndürülemez bir yapıya sahip olduğu hatırlatıldı. Kurul, işçi ve işveren arasındaki yapısal güç dengesizliği nedeniyle personelden alınan açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler bulunduğunu kaydetti.
Alternatif Yöntemlerin Varlığı Ölçülülük İlkesini İhlal Ediyor
6698 sayılı Kanun’un genel ilkelerini düzenleyen 4'üncü maddesindeki "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" kriterine atıfta bulunan Kurul, mesai takibinin sınırlı bir idari amaç olduğunu bildirdi. Sektörde şifreli kart, PIN tabanlı sistemler, geleneksel imza, kâğıt bazlı devam çizelgeleri ve RFID/NFC kimlik kartları gibi daha az müdahaleci alternatiflerin bulunduğuna dikkat çekildi. Bu alternatiflerin varlığı nedeniyle, rıza alınmış olsa dahi biyometrik veri işlemenin ölçülülük ilkesine aykırılık teşkil edeceği hükme bağlandı.
Kurul kararına dayanak oluşturan yüksek yargı içtihatları da Resmi Gazete'de yayımlanan metinde yer aldı. Anayasa Mahkemesi Genel Kurulunun 10 Mart 2022 tarihli kararı ile Danıştay İdari Dava Daireleri Kurulunun 2024 yılındaki kararlarına atıf yapılarak, mevzuatta mesai takibinin biyometrik sistemlerle yapılmasını öngören açık bir kanuni düzenleme bulunmadığının altı çizildi.
Kurallara Uymayan Veri Sorumlularına Cezai İşlem Yapılacak
Kişisel Verileri Koruma Kurulu, yayımlanan ilke kararının sonuç bölümünde veri sorumlularına yönelik idari ve teknik tedbir sınırlarını net bir şekilde belirleyerek şu açıklamayı yaptı:
"Mevzuatta, çalışma sürelerinin takibine ilişkin hükümler bulunmakla birlikte takibin ne şekilde gerçekleştirileceğine ya da takibin biyometrik veri işlenmesi suretiyle yapılması gerektiğine dair açık hüküm bulunmadığı dikkate alındığında mevcut durumda biyometrik veri işlenmesi faaliyetinin kanunlarda açıkça öngörülme şartına dayalı olarak gerçekleştirilmesinin kabul edilemeyeceği, dolayısıyla, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinde Kanun'un 6'ncı maddesinin üçüncü fıkrasının (b), (c), ( ), (d), (e), (f) ve (g) bentlerinde yer alan işleme şartlarından herhangi birinin uygulama alanı bulmaması nedeniyle söz konusu faaliyetlerin (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilmesinin tercih edildiği ancak işçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu ve bu yönüyle tek başına yeterli bir hukuki zemin oluşturmadığı, ölçülülük ilkesinin kişisel veri işleme faaliyetlerinin değerlendirilmesinde önemli bir kriter olduğu ve alternatif, daha az müdahaleci yöntemlerin varlığı karşısında ilgili kişilerin açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin Kanun'un 4'üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı değerlendirilmiş olup bu itibarla, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun'un 6'ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin Kanun'un 4'üncü maddesinde yer alan genel ilkeler kapsamında ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiği hususları kamuoyunun bilgisine sunulmaktadır."
Kurul, kararda belirtilen hususlara uygun hareket etmeyen, teknik ve idari tedbirleri almayarak biyometrik veriyle mesai takibine devam eden veri sorumluları hakkında 6698 sayılı Kanun'un 18'inci maddesi hükümleri uyarınca idari yaptırım ve yasal işlem tesis edileceğini ilan etti.
KAYNAK: malatyagazete.com
