Modern çalışma hayatının dijitalleşmesi, işverenlerin yönetim ve denetim hakkını kullanma biçimlerinde köklü değişiklikler yaratmıştır. Bu değişim rüzgarının en belirgin hissedildiği alanlardan biri de mesai takibi ve personel devam kontrol sistemleridir. Ancak teknolojinin sunduğu imkanların sınırsız gibi görünmesi, bu imkanların hukuka uygun olduğu anlamına gelmemektedir. Nitekim Kişisel Verileri Koruma Kurulu tarafından alınan ve 2 Haziran 2026 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 29 Nisan 2026 tarihli ve 2026/921 sayılı ilke kararı, işçi ve işveren ilişkisinde veri mahremiyeti konusunda yeni bir dönemin kapılarını aralamıştır. Çalışanların işe giriş ve çıkışlarında parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik verilerinin mesai takibi amacıyla kullanılmasını kesin bir dille hukuka aykırı bulan bu karar, hem iş hukuku emsal karar niteliği taşımakta hem de kişisel verilerin korunması mevzuatının sınırlarını net bir şekilde çizmektedir. İşverenlerin yönetim hakkı ile işçilerin anayasal güvence altındaki özel hayatın gizliliği hakkı arasındaki hassas dengeyi yeniden tesis eden bu tarihi karar, tüm işletmelerin insan kaynakları politikalarını ve güvenlik prosedürlerini acilen gözden geçirmesini zorunlu kılmaktadır.
Kararın Arka Planı ve Olayın Özeti
Teknolojinin gelişmesiyle birlikte geleneksel imza föyleri, kart basma makineleri veya manyetik geçiş sistemleri yavaş yavaş yerini daha sofistike ve manipüle edilmesi zor olan biyometrik tanımlama sistemlerine bırakmaya başlamıştır. Özellikle son yıllarda birçok işletme, çalışanların birbirlerinin yerine kart okutmasını engellemek, bordro süreçlerini tam otomatik hale getirmek ve işyeri güvenliğini üst düzeye çıkarmak gibi gerekçelerle parmak izi okuyucularına ve yüz tanıma kameralarına büyük yatırımlar yapmıştır. Ancak bu sistemlerin giderek yaygınlaşması, çalışanlar cephesinde ciddi rahatsızlıklara ve mahremiyet endişelerine yol açmıştır. Kişisel Verileri Koruma Kurumu’na intikal eden ihbar ve şikayetlerin büyük bir kısmının bu dijitalleşme hevesinden kaynaklanan hak ihlallerine dayanması, Kurul’un bu konuya kayıtsız kalamayacağını göstermiştir.
Söz konusu şikayetlerin temelinde, çalışanların en mahrem, değiştirilemez ve bedensel bütünlüklerinin bir parçası olan verilerinin, yalnızca mesai saatlerinin hesaplanması gibi basit bir idari işlem için her gün defalarca kayıt altına alınması yatmaktadır. İşçiler, kendilerine hiçbir alternatif sunulmadan, adeta bir dayatma niteliğinde bu sistemlere entegre edilmekten şikayetçi olmuşlardır. Kişisel Verileri Koruma Kurulu, artan bu şikayetleri tekil dosyalar üzerinden çözmek yerine, sorunun yapısal ve yaygın bir hal aldığını tespit ederek kanunun kendisine verdiği yetki çerçevesinde genel bir ilke kararı alma yoluna gitmiştir. 29 Nisan 2026 tarihinde alınan bu karar ile, mesai takibinde biyometrik veri işlenmesinin temel hukuk normlarına, uluslararası sözleşmelere ve anayasal güvencelere aykırı olduğu ilan edilmiş ve mevcut uygulamaların derhal sonlandırılması gerektiği kamuoyuna duyurulmuştur. Bu karar, yalnızca bir tavsiye niteliğinde olmayıp, ihlali halinde veri sorumlusu sıfatını taşıyan işverenler için en üst sınırdan idari para cezalarının uygulanacağı bağlayıcı bir kural seti olarak karşımıza çıkmaktadır.
Hukuki Meselenin Analizi: Biyometrik Verilerin Hassasiyeti ve Rıza Sorunsalı
Bu kritik kararı tam olarak anlayabilmek için öncelikle hukuki meselenin merkezinde yer alan biyometrik veri kavramını ve bu verilerin Türk hukuku ile uluslararası normlardaki yerini derinlemesine analiz etmek gerekmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verileri genel ve özel nitelikli olmak üzere iki temel kategoriye ayırmıştır. Kanunun altıncı maddesinde sınırlı sayma yoluyla belirlenen özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini inancı, kılık kıyafeti, sağlık durumu ve genetik verilerinin yanı sıra biyometrik verileri de kapsamaktadır. Yasa koyucunun bu verileri özel bir koruma zırhına almasının temel nedeni, bu bilgilerin ifşa olması veya kötü niyetli kişilerin eline geçmesi halinde ilgili kişiler üzerinde yaratacağı ayrımcılık riski ve telafisi imkansız mağduriyetlerdir. Biyometrik veriler, Avrupa Genel Veri Koruma Tüzüğü (GDPR) normlarında da belirtildiği üzere, bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan fiziksel, fizyolojik veya davranışsal özelliklerdir. Parmak izimiz, göz retinamız veya yüz geometrimiz bizi biz yapan, kopyalanması zor ancak çalındığında değiştirilmesi kesinlikle imkansız olan benzersiz kodlarımızdır. Bir banka şifreniz çalındığında bunu birkaç dakika içinde yeni bir şifre ile değiştirebilirsiniz; ancak parmak izi verinizin dijital ortamda ele geçirilmesi, ömür boyu sürecek geri döndürülemez bir güvenlik açığı ve kimlik hırsızlığı riski yaratır.
Hukuki tartışmanın en can alıcı noktalarından bir diğeri, bu verilerin hangi hukuki sebebe dayanılarak işlendiğidir. İşverenler genellikle iş kanunlarından doğan yükümlülüklerini öne sürerek bu işlemleri meşrulaştırmaya çalışmaktadırlar. Gerçekten de 4857 sayılı İş Kanunu’nun ilgili maddeleri ve Çalışma Süreleri Yönetmeliği, işverene çalışanların mesai saatlerini, günlük dinlenme sürelerini ve fazla çalışmalarını takip etme ve belgeleme yükümlülüğü getirmektedir. Ancak yasa koyucu, işverene mesaiyi takip et derken, bu takibin çalışanların biyometrik verileri ele geçirilerek yapılması gerektiğine dair en ufak bir açık hüküm kurmamıştır. Kanunlarda açıkça öngörülmeyen bir durumun, yorum yoluyla veya kıyasla özel nitelikli kişisel veri işleme şartı olarak kabul edilmesi hukuken mümkün değildir.
Açık kanun hükmü bulamayan işverenlerin başvurduğu ikinci ve en yaygın yöntem ise çalışanlardan “açık rıza” almaktır. İşe giriş evrakları arasına sıkıştırılan veya çalışmaya devam etmenin zımni bir önkoşulu olarak sunulan muvafakatnameler, görünürde hukuka uygun bir zemin yaratsa da, Kurul bu kararıyla iş hukuku pratiğindeki en büyük illüzyonlardan birini yıkmıştır. Kişisel veri hukukunda açık rızanın geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve en önemlisi “özgür irade” ile açıklanması şarttır. Oysa işçi ve işveren arasındaki ilişki, doğası gereği eşitler arası bir ilişki değildir. İşçi, işverene ekonomik ve hukuki yönden sıkı bir bağımlılık altındadır. Amirinin veya patronunun sunduğu parmak izi sistemine onay vermeyen bir işçinin mobbinge maruz kalma, dışlanma, terfi edememe veya doğrudan işini kaybetme korkusu yaşadığı bir ekosistemde, kağıt üzerine atılan imzanın özgür iradeyi yansıttığını savunmak hayatın olağan akışına terstir. Kurul, çalışanların baskı altında veya gerçek bir seçeneğe sahip olmaksızın verdikleri bu rızaları hukuken sakat ve geçersiz kabul ederek, açık rıza kavramının iş ilişkilerinde bir kalkan olarak kullanılamayacağını netleştirmiştir.
Kurulun ve Yüksek Mahkemelerin Gerekçeleri: Ölçülülük İlkesinin Zaferi
Kişisel Verileri Koruma Kurulu’nun bu emsal teşkil eden kararı, temel dayanağını yalnızca kendi içtihatlarından değil, aynı zamanda Anayasa Mahkemesi ve Danıştay gibi yüksek yargı organlarının geçmişte verdiği dönüm noktası niteliğindeki kararlardan almaktadır. Tüm bu yüksek yargı kararlarının ve Kurul’un güncel değerlendirmesinin kalbinde, modern hukukun en temel prensiplerinden biri olan “Ölçülülük İlkesi” yatmaktadır. Kanunun dördüncü maddesinde genel ilkeler arasında sayılan amaçla bağlantılı, sınırlı ve ölçülü olma zorunluluğu, kişisel veri işleme faaliyetinin anayasası konumundadır. Bir veri işleme faaliyeti, hedeflenen amaca ulaşmak için elverişli olmalı, zorunlu olmalı ve kişinin temel haklarına yapılan müdahale ile elde edilecek fayda arasında orantısız bir dengesizlik bulunmamalıdır.
Mesai takibi yapmak işveren için meşru bir amaçtır. Ancak bu amaca ulaşmak için bir insanın biyometrik verisini, yani en hassas bedensel datasını kodlamak ve depolamak kesinlikle zorunlu değildir. Kurul kararında açıkça ifade edildiği üzere, piyasada bu amacı gerçekleştirebilecek, çalışanların mahremiyetine çok daha az müdahale eden sayısız alternatif yöntem bulunmaktadır. Geleneksel ıslak imzalı devam çizelgeleri, kişiye özel tahsis edilmiş RFID veya NFC teknolojisine sahip personel kimlik kartları, şifre ve PIN koduna dayalı turnike sistemleri veya doğrudan bir yöneticinin gözetiminde yapılan mesai kayıtları, biyometrik veriye ihtiyaç duymaksızın aynı idari sonucu vermektedir. Şifreli bir kartın kaybolması halinde yenisi basılarak eski kart iptal edilebilir, böylece güvenlik zafiyeti anında giderilir. Ancak sisteme kaydedilen bir yüz haritasının sunuculardan sızması, ilgili çalışanın hayatı boyunca telafi edemeyeceği bir kimlik doğrulama krizi yaşamasına neden olacaktır. Sadece bir işçinin sabah saat sekizde iş başı yapıp yapmadığını tespit etmek gibi son derece basit ve idari bir amaç uğruna, bireylerin bedensel bütünlüklerinin dijital kopyalarını almak, hukukun koruduğu değerler hiyerarşisinde kabul edilemez bir aşırılıktır.
Anayasa Mahkemesi Genel Kurulu’nun 2022 yılında devlet memurlarının parmak izi ile mesai takibine ilişkin verdiği iptal kararı, bu konudaki kanunilik şartının eksikliğini çarpıcı bir şekilde ortaya koymuştur. Benzer şekilde Danıştay 12. Dairesi ve Danıştay İdari Dava Daireleri Kurulu da, kamu kurumlarında avuç içi damar okuyucu sistemlerin kullanılmasını açıkça ölçülülük ilkesine aykırı bularak iptal etmiştir. Kişisel Verileri Koruma Kurulu, hem kamu hem de özel sektörü kapsayacak şekilde bu içtihatları harmanlamış ve ölçülülük ilkesini iş ilişkilerinin tam merkezine yerleştirmiştir. Bir çalışanın açık rızası olsa dahi, eğer işlenen veri amaca göre orantısız ve aşırıysa, bu işleme faaliyeti kanunun genel ilkelerine aykırılık teşkil edecek ve yaptırıma tabi olacaktır. Bu durum, veri koruma hukukunda rızanın her kapıyı açan sihirli bir anahtar olmadığı gerçeğini tüm uygulayıcılara bir kez daha hatırlatmıştır.
Kararın Hukuk Dünyasına ve İşyeri Uygulamalarına Yansımaları
Bu tarihi ilke kararının Resmi Gazete’de yayımlanmasıyla birlikte, Türkiye’deki işçi-işveren ilişkilerinde yeni bir sayfa açılmıştır. Kararın uygulamaya yansımaları oldukça sarsıcı ve acil eylem gerektiren niteliktedir. Halihazırda işyerlerinde parmak izi okuyucuları, yüz tanıma kameraları veya göz tarama sistemleri kullanarak personel giriş çıkışını kontrol eden tüm şirketlerin, veri sorumlusu sıfatıyla bu uygulamalarına derhal son vermeleri gerekmektedir. İşverenler artık “bizim sistemimiz çok güvenli, kapalı devre çalışıyor” veya “tüm çalışanlarımızdan özgür iradeleriyle imzalanmış açık rıza beyanları aldık” gibi savunmaların arkasına saklanamayacaklardır. Kurulun kararı yoruma yer bırakmayacak kadar nettir: Mesai takibi için biyometrik veri işlenmesi kesin olarak hukuka aykırıdır.
Bu noktada işverenlerin atması gereken ilk adım, mevcut biyometrik veri işleme altyapılarını fiziksel olarak devreden çıkarmak ve daha önce kaydedilmiş olan tüm biyometrik verileri, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun, geri döndürülemeyecek ve güvenli bir şekilde imha etmektir. Bu imha süreçlerinin resmi tutanaklara bağlanması ve Kurul’un olası bir denetiminde ispat aracı olarak saklanması hayati önem taşımaktadır. İşverenler bu sistemlerin yerine, Kurul’un işaret ettiği daha az müdahaleci araçlar olan çipli kartlar, şifreli geçişler veya manuel imza süreçlerini hızlıca entegre etmelidir.
Karara uymakta direnen, yatırımlarını çöpe atmak istemeyen veya süreci ağırdan alan veri sorumlularını ise ağır yaptırımlar beklemektedir. Kurul, ilke kararına aykırı hareket eden işletmeler hakkında ihbar, şikayet üzerine veya bizzat resen yapacağı incelemeler neticesinde, Kişisel Verilerin Korunması Kanunu’nun 18. maddesi kapsamında veri güvenliğini sağlama yükümlülüğünün ihlali gerekçesiyle en üst sınırlardan idari para cezaları keseceğini açıkça ilan etmiştir. Milyonlarca lirayı bulabilecek bu idari para cezaları, ticari işletmeler için ciddi bir mali yıkım anlamına gelebilir.
Meselenin sadece idari para cezası boyutu bulunmamaktadır; iş hukuku emsal karar niteliğindeki bu gelişme, iş mahkemelerinde görülen ve görülecek olan davaların seyrini de değiştirecektir. İşvereninin ısrarla parmak izi uygulamasını sürdürmesi veya bu sisteme dahil olmadığı için çalışana baskı yapması, işçi açısından İş Kanunu’nun 24. maddesi uyarınca haklı nedenle derhal fesih sebebi sayılabilecektir. Böyle bir durumda çalışan, kıdem tazminatı başta olmak üzere tüm yasal haklarını talep ederek iş sözleşmesini tek taraflı olarak feshetme hakkına sahip olacaktır. Aynı zamanda, biyometrik verilerinin hukuka aykırı şekilde işlendiğini ve muhafaza edildiğini tespit eden çalışanlar, genel mahkemelerde maddi ve manevi tazminat davaları açarak şirketleri ciddi bir tazminat yüküyle karşı karşıya bırakabilirler. İnsan kaynakları departmanlarının, hukuki riskleri minimize etmek adına şirket avukatları ve veri koruma uzmanları ile koordineli bir şekilde çalışarak kurumsal politikalarını bu yeni ilke kararına tam uyumlu hale getirmeleri artık bir tercih değil, yasal bir zorunluluktur.
Sonuç ve CN Avukatlık Ofisi’nin Değerlendirmesi
Kişisel Verileri Koruma Kurulu’nun 29 Nisan 2026 tarihli ilke kararı, dijitalleşen iş dünyasında insan onurunun ve mahremiyetinin teknolojinin hızına kurban edilemeyeceğini gösteren çok güçlü bir hukuki manifestodur. Sırf idari kolaylık ve maliyet avantajı sağlıyor diye, işçilerin şifreleri değiştirilemeyen en özel verilerini sistemlere kaydetmek, temel hak ve özgürlüklerin özüne dokunan orantısız bir müdahaledir. Yüksek mahkeme içtihatlarıyla da desteklenen bu karar, işverenlerin yönetim haklarının sınırsız olmadığını, işçi üzerindeki otoritenin anayasal güvenceler ve kişisel verilerin korunması mevzuatıyla sınırlandırıldığını kesinleştirmiştir. “Açık rıza”nın iş güvencesi endişesi gölgesinde özgür iradeyi yansıtmadığının kabul edilmesi, Türk iş hukuku doktrini açısından devrim niteliğinde bir tespittir.
Bu yeni hukuki gerçeklik karşısında işletmelerin reaktif değil, proaktif bir yaklaşım sergilemeleri gerekmektedir. İnsan kaynakları süreçlerinin hukuka uygunluğunun denetlenmesi, kişisel veri envanterlerinin güncellenmesi ve alternatif mesai takip sistemlerine hukuken sorunsuz bir şekilde geçiş yapılması son derece teknik ve uzmanlık gerektiren süreçlerdir. Şirketlerin, telafisi imkansız idari para cezalarıyla ve işçi-işveren uyuşmazlıklarından doğacak yüklü tazminat davalarıyla karşılaşmamak için vakit kaybetmeden profesyonel hukuki danışmanlık almaları elzemdir.
CN Avukatlık Ofisi olarak, Kişisel Verilerin Korunması mevzuatı ve İş Hukuku alanındaki derin uzmanlığımızla, şirketlerin bu tür yapısal değişim süreçlerini en güvenli ve hukuka uygun şekilde yönetmelerine rehberlik ediyoruz. Biyometrik veri sistemlerinin tasfiyesi, alternatif politikaların inşası ve çalışanlarla olan aydınlatma yükümlülüklerinin yeniden düzenlenmesi gibi kritik adımlarda veri sorumlularına tam kapsamlı uyum danışmanlığı sunmaktayız. Aynı zamanda, haksız uygulamalara maruz kalarak mahremiyet hakları ihlal edilen çalışanların yasal haklarının savunulması noktasında da etkin hukuki destek sağlıyoruz. İşletmenizin mevcut uygulamalarının yasalara uygunluğunu değerlendirmek, güncel mevzuat değişikliklerine entegre olmak ve olası riskleri önceden bertaraf etmek için cecenhukuk.com adresi üzerinden sitemizi ziyaret edebilir, uzman avukat kadromuzla iletişime geçerek profesyonel hukuki çözümlerimizden faydalanabilirsiniz. Hukuki süreçlerde atılacak doğru adımlar, sadece cezaları önlemekle kalmaz, aynı zamanda kurumsal itibarınızı ve iş barışını da güvence altına alır.
İlk yorum yapan siz olun