Kişisel Verileri Koruma Kurulu (KVKK), çalışma hayatını yakından ilgilendiren oldukça kritik bir ilke kararına imza attı. 2 Haziran 2026 tarihli ve 33268 sayılı Resmi Gazete'de yayımlanan 2026/921 sayılı karar doğrultusunda, çalışanların mesai saatlerini takip etmek amacıyla kullanılan parmak izi okuyucuları, yüz tanıma sistemleri ve iris taraması gibi biyometrik veriye dayalı tüm uygulamalar hukuka aykırı bulundu. Değiştirilemez nitelikte olan ve bireyin kimliğini doğrudan açığa çıkaran biyometrik verilerin salt mesai kontrolü için işlenmesinin, veri güvenliği açısından büyük riskler taşıdığı belirtildi.
Çalışanın Rızası Tek Başına Yeterli Sayılmayacak
İş dünyasında bugüne kadar birçok işveren, söz konusu biyometrik sistemleri kurarken çalışanlarından "açık rıza" alarak hukuki bir zemin oluşturmaya çalışıyordu. Ancak KVKK'nın yayımladığı ilke kararında bu durumun geçerliliği de ortadan kaldırıldı. Kurul, işçi ve işveren arasındaki güç dengesizliğine dikkat çekerek, çalışanın verdiği rızanın gerçekten özgür bir iradeye dayanıp dayanmadığının tartışmalı olduğunu vurguladı. Ayrıca, çalışanın ilerleyen süreçte rızasını geri çekmek istemesinin, kurulan biyometrik altyapıların sürekliliğini zedeleyeceği ve pratikte sorunlara yol açacağı ifade edildi.
Kamu ve Özel Sektör İçin Bağlayıcı Emsal Karar
KVKK'nın aldığı bu karar sadece özel şirketleri değil, tüm kamu kurum ve kuruluşlarını da doğrudan ilgilendiriyor. Kararın arka planında, bir belediyede devlet memuru olarak görev yapan bir çalışanın parmak iziyle takibe itiraz ederek konuyu Anayasa Mahkemesi'ne (AYM) taşıması yatıyor. AYM, 657 sayılı Devlet Memurları Kanunu ve 5393 sayılı Belediye Kanunu'nda biyometrik veri işlenmesine dair temel esasları belirleyen bir düzenleme olmadığı gerekçesiyle "kişisel verilerin korunmasını isteme hakkının" ihlal edildiğine hükmetmişti. KVKK'nın bugünkü adımı, Anayasa Mahkemesi ve daha önce Danıştay 12. Dairesi tarafından avuç içi damar okuyucularıyla ilgili verilen ihlal kararlarını idari düzlemde tam anlamıyla tescillemiş oldu.
"Ölçülülük İlkesi" Gözetilecek: Alternatif Yöntemler Kullanılmalı
Hukuka uygunluk denetiminde temel kriter olarak "ölçülülük ilkesi" belirlendi. Kurul, sadece işe geliş gidiş saatlerinin takibi gibi basit bir işlem için kişilerin en hassas verilerinin kopyalanmasının aşırı ve orantısız bir müdahale olduğunu saptadı. İşverenlerin mesai takibi için; şifreli kartlar, PIN tabanlı sistemler, RFID/NFC destekli kimlik kartları, geleneksel imza föyleri, kağıt bazlı devam çizelgeleri veya denetçi gözetiminde elle giriş yapılan sistemler gibi daha az müdahaleci alternatifleri kullanması gerektiği belirtildi.
Kurallara Uymayan İşverenlere Yaptırım Yolda
Resmi Gazete'de yayımlanarak yürürlüğe giren bu ilke kararının ardından, iş yerlerinde kullanılan mevcut biyometrik geçiş sistemlerinin akıbeti de netleşti. Kurul, belirtilen esaslara aykırı hareket etmeye devam eden ve biyometrik veri işlemeyi sürdüren veri sorumlularına karşı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 18. maddesi hükümleri uyarınca ağır idari para cezaları ve yaptırımlar uygulanacağını kamuoyuna duyurdu. İşverenlerin en kısa sürede alternatif mesai takip sistemlerine geçiş yapması bekleniyor.
