Kişisel Verileri Koruma Kurulunun (“Kurul”) 29/04/2026 Tarihli ve 2026/921 Sayılı İlke Kararı (“Karar”) 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı. Karar, çalışma hayatını yakından ilgilendiren önemli değerlendirmeler içermektedir.
6698 sayılı Kişisel Verilen Korunması Kanunu (“Kanun”) 6’ncı madde uyarınca biyometrik veriler, yasa koyucu tarafından sınırlı sayma yoluyla belirlenmiş “özel nitelikli kişisel veri” kapsamındadır. Özel nitelikli kişisel verilerin işlenmesi önemine binaen kanun koyucu tarafından daha katı kurallara bağlanmıştır. Mesai takibi bakımından Kanun’un 6. Maddesinde belirtilen işleme şartları uygulama alanı bulmadığından, uygulamada genellikle özel nitelikli kişisel verilerin ilgililerin açık rızasına dayanılarak işlendiği görülmektedir. Kurul tarafından işçilerin işveren karşısındaki güçsüzlüğü göz önünde bulundurularak açık rızanın özgür iradeye dayanıp dayanmadığı hususunda tereddüt bulunduğu ve bu sebeple tek başına biyometrik veri işlenmesi için yeterli olmadığı değerlendirilmiştir.
Diğer yandan, Kurul kararları uyarınca özel nitelikli kişisel verilerin işlenebilmesi için yalnızca hukuki bir sebebe dayanılması yeterli olmayıp Kanun’un 4’üncü maddesi uyarınca hukuka ve dürüstlük kurallarına uygun ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine de mutlak surette uyulması gerekmektedir. Bu çerçevede, mesai takibinde biyometrik veri işlenmesi faaliyetinin yöntemin amaca uygunluğu, daha az veri işlemesi faaliyeti gerektiren alternatif yöntemlerin tüketilip tüketilmediği ve müdahalenin boyutu açısından ayrı ayrı değerlendirilmesi gerektiği belirtilmiştir.
Kurul tarafından bu kapsamda yapılan değerlendirmede; mevzuatta çalışma sürelerinin takibine ilişkin hükümler bulunmakla birlikte çalışma sürelerinin takibinin ne şekilde yapılacağı ya da biyometrik veri işlenmesi suretiyle icra edilmesi gerektiğine dair açık bir hüküm bulunmadığı; kişisel veri işleme faaliyetinin, amacı gerçekleştirmeye yönelik en az müdahaleci yöntem olması gerektiği; uygulamada daha az müdahaleci alternatif yöntemlerin var olduğu ve bunların varlığının biyometrik veri işlemenin zorunlu olmadığını açıkça ortaya koyduğu değerlendirilmiştir.
Sonuç olarak; ilgili İlke Kararı uyarınca çalışan tarafından geçerli bir açık rıza verilmiş olsa dahi, mesai takibi maksadıyla biyometrik veri işlenmesi, kişisel verilerin korunması mevzuatına aykırılık teşkil edecektir ve bu nedenle işverenler tarafından mesai takibinin biyometrik tanımlama sistemleri yerine; şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerekmektedir.