Açık Rıza Almak Yetmiyor: KVKK Yerleşik Görüşünü "İlke Kararı" ile Resmileştirdi!

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 02.06.2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanan ilke kararı (“İlke Karar”) çalışanların biyometrik verilerinin işlenmesi yoluyla mesai takibi yapılması uygulamalarına ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) perspektifinden bir değerlendirme sunmaktadır. İlke Karar, özellikle uygulamada yaygınlaşan parmak izi, yüz tanıma ve benzeri biyometrik sistemlerin hukuka uygunluğu bakımından hem KVKK’da öngörülen özel nitelikli kişisel veri işleme şartları hem de genel ilkeler yönünden kapsamlı bir analiz ortaya koymaktadır.

Açık Rızanın Geçerliliği Sorunu

İlke Karar, uygulamada işverenler tarafından çalışanların mesai takibini yapmak için sıklıkla biyometrik veri işlenmesini gerektiren sistemleri kullandıklarına dikkat çekerek, bu sistemler aracılığıyla biyometrik verilerin (örneğin parmak izi) işlenmesinde çalışanlardan KVKK madde 6 uyarınca açık rıza alınmasının geçerliliğini değerlendirmiştir. Bu kapsamda Kurul, KVKK’da öngörülen açık rızanın geçerliliği şartlarını süreç kapsamında analiz etmiştir.

İşçi-işveren ilişkisinin doğası gereği taraflar arasındaki yapısal güç dengesizliğinin, çalışana rıza göstermeme ve rızayı geri çekme imkanlarının tanınmaması gibi sonuçlara yol açabileceği ve bu nedenle çalışanların biyometrik verilerinin işlenmesi konusunda özgür bir seçim hakkı bulunmayabileceğinden açık rızalarının çoğu durumda özgür iradeye dayanmayacağı sonucuna varılmıştır.

Bunun yanı sıra, açık rızanın geri alınabilir olması, biyometrik sistemlerin sürekliliğini doğrudan etkileyen bir unsur olduğundan, bu tür sistemlerin yalnızca açık rızaya dayanılarak kurulmasının hukuken sürdürülebilir bir model oluşturmadığı belirtilmiştir.

Biyometrik Veri İşlenerek Mesai Takibi Yapılmasının Kanuni Dayanağı

Kurul, işverenlerin çalışanların çalışma sürelerini çalışma sürelerini uygun araçlarla belgeleme yükümlülüğünün 4857 sayılı İş Kanunu’nda düzenlenmiş olduğunu kabul etmekle birlikte, bu yükümlülüğün biyometrik veri işlenmesi suretiyle yerine getirilmesini zorunlu kılan açık bir kanuni düzenlemenin bulunmadığını vurgulamaktadır. Bu nedenle, KVKK madde 6’da düzenlenen açık rıza haricindeki işleme şartlarının da mesai takibi bakımından uygulanabilir olmadığı ve bu çerçevede biyometrik veri işlenmesinin kanuni dayanak açısından da ciddi bir eksiklik içerdiği ifade edilmektedir.

Ölçülülük İlkesi ve Alternatif Yöntemler

İlke Karar’da, kişisel veri işleme faaliyetlerinin hukuka uygunluğunun değerlendirilmesinde ölçülülük ilkesinin belirleyici bir rol oynadığı ortaya konulmaktadır. Bu kapsamda Kurul, veri işleme faaliyetinin amaca ulaşmak için gerekli, elverişli ve orantılı olması gerekliliğine dikkat çekmiştir. Mesai takibi özelinde yapılan değerlendirmede, şifreli kart sistemleri, PIN tabanlı girişler, imza çizelgeleri, RFID/NFC kartlar veya manuel kayıt yöntemleri gibi daha az müdahaleci alternatiflerin mevcut olduğu dikkate alınarak, biyometrik veri kullanımının zorunlu olmadığı ve bu nedenle ölçülülük kriterini karşılamadığı sonucuna varılmıştır. Kurul, bu bağlamda, ilgili kişinin açık rızası bulunsa dahi biyometrik veri işlenmesinin hukuka aykırı olacağını değerlendirmiştir.

İlke Karar’ın Anayasa Mahkemesi ve Danıştay İçtihadıyla Uyumu

İlke Karar’da çalışanların parmak izi taraması yapılarak mesai takibinin yapılmasına ilişkin Anayasa Mahkemesi kararı ve avuç içi taraması yoluyla mesai takibine ilişkin Danıştay kararı özetlerine de yer verilmiştir.

Bu kapsamda Anayasa Mahkemesi parmak izi ile mesai takibi uygulamalarını özel hayatın gizliliği ve kişisel verilerin korunması hakkına müdahale olarak nitelendirmekte, bu tür bir müdahalenin hukuka uygun kabul edilebilmesi için açık, belirli ve öngörülebilir bir kanuni dayanağın bulunması gerektiğini vurgulamıştır.

Danıştay da benzer şekilde, özellikle kamu kurumlarındaki biyometrik mesai takibi uygulamalarını denetlerken KVKK’nın genel ilkelerinden “amaçla bağlantılı, sınırlı ve ölçülü olma” gözetmiş ve veri işleme amacıyla bağlantılı ve gerekli bulunmayan verilerin işlenmemesi gerektiğini vurgulamıştır.

Yukarıda bahsedilen yaklaşımları, Kurul’un İlke Karar’da ortaya koyduğu kanuni dayanak eksikliği, açık rızanın tek başına yeterli olmaması ve alternatif yöntemler karşısında biyometrik veri kullanımının ölçülülük ilkesini ihlal ettiği yönündeki tespitlerle paralellik göstermektedir.

Sonuç ve Değerlendirmeler

Kurul, mevcut hukuki çerçevede mesai takibi amacıyla biyometrik veri işlenmesinin geçerli bir işleme şartına dayanmadığını ve KVKK madde 4’te yer alan genel ilkeler, özellikle ölçülülük ilkesi bakımından hukuka uygunluk taşımadığını değerlendirmektedir.

Bu doğrultuda veri sorumlularının biyometrik sistemler yerine daha az müdahaleci alternatif yöntemlere yönelmeleri gerektiği açıkça ifade edilmiş, aksi yöndeki uygulamaların tespiti halinde Kanun’un 18’inci maddesi kapsamında idari yaptırımların gündeme gelebileceği belirtilmiştir. Bu kapsamda çalışanlarının mesai saatlerini biyometrik veri işleyerek takip eden işverenlerin mevcut uygulamalarını ivedilikle güncellemeleri gerekmektedir.

¹ Anayasa Mahkemesi Genel Kurulu’nun 10.03.2022 tarihli, parmak izi kayıt sistemi ile mesai takibi yapılması hususunda yapılan 2018/11988 sayılı başvuruya ilişkin kararı.

² Danıştay İdari Dava Daireleri Kurulu’nun 2024/225 esas ve 2024/2625 sayılı kararı.