Kişisel Verileri Koruma Kurulu’nun (“Kurul”), 29 Nisan 2026 tarih ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı” (“İlke Kararı”) 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. İlke Kararı ile biyometrik tanımlama sistemlerinin çalışan devam takibinde kullanılması 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) uyarınca hukuka uygunluk şartları bakımından kapsamlı şekilde değerlendirilmiştir.
I. Biyometrik Veri Kavramı ve Tanımı
İlke Kararı’nda, biyometrik veri kavramı ulusal mevzuat hükümleri ile uluslararası düzenlemeler ve uygulamalar ışığında ele alınmış; biyometrik verinin tanımı, kapsamı ve ayırt edici unsurlarına ilişkin değerlendirmelere yer verilmiştir.
- 5490 sayılı Nüfus Hizmetleri Kanunu uyarınca biyometrik veri; elektronik sistemler aracılığıyla kimlik tespit ve doğrulama işlemlerinin gerçekleştirilmesi amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü veriler, olarak tanımlanmaktadır.
- Avrupa Genel Veri Koruma Tüzüğü’nde (“GDPR“) ise biyometrik veri; yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün biçimde teşhis edilmesini sağlayan ya da teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler şeklinde tanımlanmaktadır.
Kurul, İlke Kararı’nda biyometrik verilere ilişkin çeşitli kategorilere ve örnek veri türlerine değinmiştir:
- Fizyolojik biyometrik veriler: Parmak izi, retina ve iris verileri,
- Fiziksel biyometrik veriler: Yüz ve el geometrisi gibi gözle görülebilir fiziksel özellikler,
- Davranışsal biyometrik veriler: Ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıkları.
Öte yandan, biyometrik verilerin geri döndürülemez niteliği özellikle vurgulanmış olup; söz konusu verilerin hukuka aykırı şekilde ele geçirilmesi hâlinde değiştirilmeleri veya yeniden oluşturulmaları mümkün olmadığından, ilgili kişiler bakımından ciddi ve telafisi güç riskler doğabileceği belirtilmiştir.
II. İşleme Şartları ve Güvenlik Tedbirleri
Biyometrik veriler, KVKK madde 6 kapsamında özel nitelikli kişisel veri olarak kabul edilmekte olup bu verilerin işlenmesi kural olarak yasaktır. Biyometrik veri işleme faaliyetlerinin hukuka uygun şekilde gerçekleştirilebilmesi, öncelikle KVKK madde 6 altında düzenlenen hukuki sebeplerden en az birinin mevcut olmasına bağlıdır.
Bununla birlikte İlke Kararı’nda, biyometrik verilerin taşıdığı yüksek risk niteliği dikkate alınarak, uygun bir hukuki sebebe dayanılmasının tek başına yeterli olmadığı ayrıca vurgulanmış; veri sorumlularının, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı Kararı[1] kapsamında öngörülen yeterli teknik ve idari tedbirleri de eksiksiz şekilde sağlaması gerektiği hatırlatılmıştır.
III. Hukuki Sebep ve Genel İlkelerin Değerlendirilmesi
a. Müdahalenin Niteliği
İlke Kararı’nda, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetinin KVKK madde 4 kapsamında düzenlenen genel ilkeler bakımından da ayrıca hukuka uygunluk incelemesine tabi tutulmuştur.
- Mesai takibinin şifreli kart, PIN, imza çizelgesi, RFID/NFC kart sistemleri veya benzeri alternatif yöntemlerle de sağlanabileceğini dikkate alarak, biyometrik veri işlenmesinin amaç bakımından gerekli ve en az müdahaleci yöntem olmadığı,
- Mesai takibinin sınırlı bir idari amaç niteliğinde olmasına karşın biyometrik veri işlemenin ilgili kişiler bakımından ağır ve geri döndürülemez sonuçlar doğurabilecek yoğun bir müdahale teşkil ettiği
- Biyometrik verilerin farklı veri işleme süreçleriyle ilişkilendirilmesi veya ikincil amaçlarla kullanılabilmesi ihtimalinin veri güvenliği ve kötüye kullanım risklerini artırdığı belirtilmiştir.
Bu çerçevede mesai takibi amacıyla biyometrik veri işlenmesinin amaçla bağlantılılık, sınırlılık ve ölçülülük ilkeleriyle bağdaşmadığı sonucuna ulaşmıştır.
b. Hukuki Dayanak Sorunu
İlke Kararı’nda, mesai takibi amacıyla gerçekleştirilen biyometrik veri işleme faaliyetinin hukuki dayanağı özellikle iki temel eksen üzerinden ele alınmıştır. Bu kapsamda Kurul;
- İş Kanunu ve ilgili ikincil mevzuat uyarınca işverenlerin çalışma sürelerini takip etme ve kayıt altına alma yükümlülüğü bulunduğunu kabul etmekle birlikte, söz konusu düzenlemelerin biyometrik tanımlama sistemlerinin kullanımını açıkça öngören veya zorunlu kılan bir normatif temel içermemesi nedeniyle, ilgili veri işleme faaliyetinin KVKK madde 6 kapsamında düzenlenen “kanunlarda açıkça öngörülme” şartı kapsamında değerlendirilemeyeceğini,
- Uygulamada veri işlemenin çoğunlukla açık rıza temelinde kurgulandığını; ancak iş ilişkisinin doğasından kaynaklanan yapısal bağımlılık ilişkisi nedeniyle çalışanın rıza göstermeme veya verdiği rızayı geri çekme konusunda çoğu durumda gerçek anlamda serbest bir irade ortaya koymasının mümkün olmadığını belirtmiştir.
Sonuç olarak İlke Kararı ile, mesai takibi amacıyla biyometrik veri işlenmesinin KVKK madde 6 kapsamında geçerli bir işleme şartına dayanmadığı ve genel ilkelerle bağdaşmadığı açık biçimde ortaya konulmuştur. Nitekim, biyometrik tanımlama sistemlerinin alternatifli veya ihtiyari şekilde kurgulanmasının da bu hukuki değerlendirmeyi niteliğini değiştirmemektedir. Kurul, veri sorumlularının biyometrik veri işleme faaliyetleri bakımından gerekli teknik ve idari tedbirleri tesis etmekle yükümlü olduğuna ve bu yükümlülüklere aykırılık hâlinde KVKK madde 18 kapsamında (2026 yılı için 17.092.242 TL’ye kadar) idari para cezası uygulanabileceğine dikkat çekmiştir.
İlke Kararı’nın tam metnine buradan ulaşabilirsiniz.
[1] “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı
