02.06.2026 tarihli ve 33268 sayılı Resmi Gazete’de Kişisel Verileri Korumu Kurumunun 29.04.2026 tarihli ve 2026/921 karar numaralı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı” yayınlanmıştır.
Bu kararda özetle, 4857 sayılı İş Kanunu’nda ve İş Kanunu’na İlişkin Çalışma Süreleri Yönetmeliği’nde işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçevenin çizilmiş olduğunu ancak takibin biyometrik tanımla sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığını dolayısıyla bu çerçevede, mesai takibi amacıyla biyometrik veri işlenmesi faaliyetlerinin ancak Kanun’un 6’ncı maddesinin 3’üncü fıkrasının (a) bendinde yer alan açık rıza şartına dayalı olarak gerçekleştirilebilmesinin mümkün olacağından bahsedilmiştir.
Ancak, tarafların eşit konumda olmadığı , taraflardan birinin diğerinin üzerinde etkili olduğu veya taraflar arasında güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışana rıza göstermeme veya rızasını geri çekme imkanının etkin bir biçimde sunulmaması ya da rıza göstermemenin çalışan açısından muhtemel olumsuzlukları doğurabilmesi durumunda çalışanın gerçek bir seçeneğe sahip olduğu söylenemeyeceğinden dolayı rızanın özgür iradeye dayandırıldığından da söz etmenin mümkün olmayacağından bahsedilmiştir.
Kaldı ki kişisel verilerin işlenmesi konusunda ilgilinin açık bir rızası bulunsa dahi 6698 sayılı Kişisel Verilen Korunması Kanunu’nun “Genel İlkeler” başlıklı 4’üncü maddesinin; “(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma b) Doğru ve gerektiğinde güncel olma c) Belirli, açık ve meşru amaçlar için işlenme ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” hükmünü içerdiğini ve kişisel verilerin işlenmesinde her hâl ve şartta söz konusu genel ilkelere uyulmasının hukuki bir gereklilik olduğundan bahsedilmiştir.
Bu çerçevede, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu (işlendikleri amaçla bağlantılı olma), alternatif yöntemlerin tüketilip tüketilmediği (işlendikleri amaçla sınırlı olma) ve müdahalenin boyutu (işlendikleri amaçla ölçülü olma) açısından ayrı ayrı değerlendirilmesi gerektiğini ve bu kriterleri karşılamayan bir uygulamanın ilgili kişinin açık rızası bulunsa dahi hukuka aykırı kabul edileceğinden söz edilmiştir.
İlkelerin somut olaya uygulanması durumunda ise; uygulamada şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yöntemlerin mevcut olduğu ve bu alternatiflerin varlığının ise, biyometrik veri işlemenin zorunlu olmadığını açıkça ortaya koyduğunu, bununla birlikte sınırlı bir idari amaç olan mesai takibinin bu denli yoğun bir veri işleme müdahalesini haklı kılmayacağından dolayı ölçülülük kriterini karşılamadığına, bu nedenle bu mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiğine ve Kanun’un 12’nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği işlem tesis edileceğine karar verilmiştir.
