Mesai Takibinde Biyometrik Veri Kullanımına İlişkin KVKK’dan İlke Kararı Yayımlandı
02 Haziran 2026Çalışanların mesai takibinin dijital sistemler aracılığıyla gerçekleştirilmesi amacıyla işverenler tarafından parmak izi, yüz tanıma, avuç içi damar izi, iris veya retina taraması gibi biyometrik tanımlama sistemlerinin kullanıldığı bilinmekte olup bu hususta kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından 2.6.2026 tarihli ve 33268 sayılı Resmi Gazete'de 29.4.2026 tarihli ve 2026/921 No.lu İlke Kararı alınmıştır.
Kurul tarafından, mesai takibi amacıyla biyometrik veri işlenmesine ilişkin yapılan değerlendirmede; biyometrik verilerin özel nitelikli kişisel veri niteliğinde olduğu, bu verilerin işlenmesinin ancak Kanun'da öngörülen şartların varlığı halinde mümkün olduğu, çalışma sürelerinin takibine ilişkin mevzuatta biyometrik veri işlenmesini zorunlu veya açıkça öngören bir düzenlemenin bulunmadığı, ayrıca işçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın özgür iradeyle verilmiş olup olmadığı konusunda tereddütler bulunduğu belirtilmiştir.
Bunun yanında, mesai takibi amacıyla biyometrik veri işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4'üncü maddesinde yer alan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi bakımından da değerlendirilmesi gerektiği, şifreli kart veya PIN tabanlı sistemler, RFID/NFC kimlik kartları, imza çizelgeleri ve benzeri alternatif yöntemlerin mevcut olduğu dikkate alındığında biyometrik veri işlenmesinin ölçülülük ilkesini karşılamadığı sonucuna varılmıştır.
Bu kapsamda Kurul tarafından;
• Mesai takibi amacıyla biyometrik veri işlenmesi uygulamalarına son verilmesi,
• Çalışan devam kontrolünün parmak izi, yüz tanıma, avuç içi damar izi ve benzeri biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, RFID/NFC kimlik kartları, geleneksel imza ve kâğıt bazlı devam çizelgeleri ya da denetçi gözetiminde elle giriş gibi alternatif yöntemlerle gerçekleştirilmesi,
• Kişisel veri işleme faaliyetlerinde Kanun'un 4'üncü maddesinde yer alan genel ilkelere ve özellikle ölçülülük ilkesine uygun hareket edilmesi
gerektiği sonucuna varılmıştır.
Bu kapsamda Kurul tarafından, söz konusu hususların 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12'nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini ve güvenliğinin sağlanmasını teminen veri sorumluları tarafından alınması gereken teknik ve idari tedbirlerden olduğu, belirtilen esaslara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun'un 18'inci maddesi gereğince işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine karar verilmiştir.
İlgili İlke Kararı'nın tamamına mevbank neo üzerinden ulaşmak için tıklayınız.
