Biyometrik Geçiş Kontrol Sistemleri KVKK Açısından İş Yerlerinde Kullanılabilir mi?
İş dünyasında verimliliği artırma ihtiyacı, şirketleri parmak izi okuma ve yüz tanıma gibi biyometrik teknolojilere yönlendirmektedir. Personel Devam Kontrol Sistemleri’nde (PDKS) sıkça başvurulan bu yöntemler, ilk bakışta pratik ve güvenli görünse de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında ciddi hukuki riskler barındırmaktadır.
Bu kapsamda en kritik soru şudur: Bir işveren, çalışanlarının mesai takibini biyometrik yöntemlerle yapabilir mi?
Bu makale; KVKK hükümleri, Kişisel Verileri Koruma Kurumu (Kurul) rehberleri ve kesinleşmiş yüksek yargı kararları ışığında bu sorunun kapsamlı yanıtını ortaya koymaktadır.
1. Temel Kavramlar: Biyometrik Veri Nedir ve Neden “Özel Nitelikli” Sayılır?
1.1. Biyometrik Verinin Tanımı
GDPR’dan (AB Genel Veri Koruma Tüzüğü) da esinlenen tanıma göre biyometrik veri, bir gerçek kişiyi benzersiz şekilde tanımlamaya yarayan fiziksel, fizyolojik veya davranışsal özelliklerin özel teknik yöntemlerle işlenmesi sonucu elde edilen kişisel verilerdir.
Buradaki kritik unsur, “spesifik teknik işleme” şartıdır. Yani her fotoğraf biyometrik veri değildir; ancak bir yüz tanıma algoritmasıyla işlenmiş bir görüntü biyometrik veri niteliği kazanır.
Başlıca biyometrik veri türleri:
-
Parmak izi
-
Yüz tanıma
-
Retina/iris taraması
-
Avuç içi izi
-
El geometrisi
-
Yürüyüş biçimi, ses analizi gibi davranışsal veriler
Bu veriler kişiye özgüdür, değiştirilemez ve yüksek risk içerir.
1.2. “Özel Nitelikli Kişisel Veri” Statüsü
KVKK’nın 6. maddesi gereğince biyometrik veriler özel nitelikli kişisel veri sayılır. Bu veri kategorisi, kötüye kullanım potansiyelinin yüksekliği nedeniyle en sıkı koruma rejimine tabidir.
Kimlik hırsızlığı, ayrımcılık ve geri döndürülemez zararlar bu veri tipinin korunmasını zorunlu kılar.
2. Biyometrik Veri İşlemenin Hukuki Dayanakları: KVKK Ne Diyor?
KVKK Madde 6 uyarınca özel nitelikli kişisel verilerin işlenmesi esas olarak yasaktır. Ancak iki istisnai durumda işlenebilir:
-
İlgili kişinin açık rızası
-
Kanunlarda açıkça öngörülmesi
Buna ek olarak, veri işleme faaliyeti her hâlükârda KVKK Madde 4’teki genel ilkelere, özellikle de “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olmalıdır.
3. Mesai Takibi İçin Biyometrik Sistemler Neden Hukuka Aykırıdır?
3.1. Ölçülülük İlkesinin İhlali
Mesai takibi gibi genel bir işlev, daha az müdahaleci yöntemlerle kolaylıkla yerine getirilebilir. Kurul kararlarında alternatifler açıkça belirtilmiştir:
-
Kartlı geçiş (RFID)
-
PIN/şifre girişi
-
QR kod okutma
-
Konum bazlı mobil uygulamalar
Bu yöntemler varken biyometrik veri toplamak, ölçülülük ilkesini açıkça ihlal eder.
Kurul, biyometrik sistemlerin yalnızca nükleer tesisler, kritik güvenlik alanları gibi istisnai durumlarda zorunlu olabileceğini belirtmektedir. Standart iş yerleri bu kapsamda değildir.
3.2. Açık Rızanın Geçersizliği
Açık rızanın geçerli olabilmesi için özgür iradeyle verilmesi gerekir. Ancak işçi–işveren ilişkisindeki güç dengesizliği nedeniyle bu şart sağlanmış sayılmaz.
Dolayısıyla çalışana imzalatılan:
“Biyometrik verilerimin işlenmesine rıza gösteriyorum.”
ifadeli formlar hukuken geçersizdir. İşveren, biyometrik veri işlemek için rızaya dayanamaz.
4. Yargı ve Kurul Kararları Ne Diyor?
Aşağıdaki kararlar, mesai takibi amacıyla biyometrik sistem kullanımının hukuka aykırı olduğunu net biçimde ortaya koymaktadır:
| Kararı Veren | Dosya No | Kararın Özeti |
|---|---|---|
| Danıştay 11. Daire | E.2017/816, K.2017/4906 | Mesai takibi için yüz tanıma sistemi kullanılmasının özel hayatın gizliliğini ihlal ettiği ve Anayasa’ya aykırı olduğu belirtildi. |
| Danıştay 5. Daire | E.2013/5730, K.2013/9526 | Parmak izi ile giriş kontrolünün Anayasa’daki özel hayatın gizliliği hakkına aykırı olduğuna karar verildi. |
| KVK Kurulu | 2019/81 & 2019/165 | Spor salonlarında avuç içi okuma sisteminin kartlı geçiş alternatifi varken ölçüsüz olduğuna hükmedildi. |
| KVK Kurulu | 2022/797 | İş yerinde yüz tanıma sistemi kullanımının ölçülülük ilkesine aykırı olduğu, açık rızanın geçersiz olduğu ve 500.000 TL ceza uygulanması gerektiği kararlaştırıldı. |
Bu kararlar, iş yerinde biyometrik PDKS kullanımının hukuken savunulabilir olmadığını kesin biçimde ortaya koymaktadır.
5. İşverenler İçin Yasal Riskler ve Yaptırımlar
KVKK’ya aykırı şekilde biyometrik veri işleyen işverenleri şu yaptırımlar beklemektedir:
-
İdari Para Cezaları
Kurul, yüksek tutarlarda ceza kesebilmektedir. -
Tazminat Davaları
Çalışanlar, manevi ve maddi tazminat talep edebilir. -
Verilerin İmhası Talimatı
Kurul, uygulamanın durdurulmasını ve tüm biyometrik verilerin yok edilmesini isteyebilir. -
Ceza Sorumluluğu
Bazı durumlarda Türk Ceza Kanunu kapsamında suç oluşabilir. -
İtibar Kaybı
Hukuka aykırı veri işleme, kurumsal güveni ve marka değerini ciddi şekilde zedeler.
6. KVKK Uyumlu PDKS Alternatifleri
İşverenler, hukuka uygun ve güvenli yöntemlerle mesai takibi yapabilir:
-
Konum bazlı mobil uygulamalar
-
QR kod ve PIN sistemleri
-
Web tabanlı giriş–çıkış kayıtları
-
RFID kartlı geçiş sistemleri
Bu yöntemlerde özel nitelikli veri işlenmediğinden risk, maliyet ve hukuki yükümlülükler büyük ölçüde azalır.
7. Sonuç: İş Yerinizde Biyometrik Sisteme Yer Var mı?
Net yanıt: Hayır.
Mevcut hukuki düzen, iş yerlerinde mesai takibi gibi genel amaçlar için biyometrik veri işlemeyi ölçülülük ilkesine aykırı, açık rızaya dayanamayacak, dolayısıyla hukuka aykırı bir uygulama olarak değerlendirmektedir.
İşverenler; idari para cezaları, tazminat riskleri ve kurumsal itibar kaybı yaşamamak için biyometrik sistemlerden uzak durmalı ve bu makalede belirtilen yasal, güvenli ve düşük riskli alternatiflere yönelmelidir.
Teknolojik kolaylık, hiçbir zaman temel hak ve özgürlüklerin önüne geçemez. KVKK uyumu, şirketler için bir tercih değil, ertelenemez bir yükümlülüktür.
Biyometrik Veri İşleme – Özet Tablo
| Kategori | Açıklama / Anahtar Kavramlar | İlgili Kaynaklar |
|---|---|---|
| Biyometrik Veri Tanımı | Biyometrik veriler, bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerinin belirli teknik işlemlerle analiz edilmesi sonucu elde edilir. Kişiyi benzersiz biçimde tanımlama amacı taşır. Örnekler: yüz tanıma, parmak izi, retina/iris taraması, avuç içi izi, el geometrisi, yürüyüş biçimi. | GDPR, KVKK m.6 |
| İşleme Şartları | Özel nitelikli kişisel veri olan biyometrik veriler, yalnızca iki durumda işlenebilir: (1) İlgili kişinin açık rızası, (2) Kanunlarda açıkça öngörülmesi. Bu şartların dışında işlenmesi yasaktır. | KVKK m.6 |
| İşleme İlkeleri | Veri işleme; hukuka uygunluk, doğruluk, belirli, açık ve meşru amaç, amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine uygun olmalıdır. Temel hak ve özgürlüklere müdahale edilmemelidir. | KVKK m.4 |
| Ölçülülük ve Gereklilik Prensibi | Biyometrik veri işleme ancak zorunlu olduğu durumlarda meşru kabul edilir. Kart okutma, şifre, QR kod gibi daha az müdahaleci yöntemler mevcutken parmak izi veya yüz tanıma kullanımı ölçülülük ilkesine aykırıdır. | KVKK Kurulu kararları, Anayasa m.20 |
| Açık Rızanın Geçerliliği | Açık rıza: belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilmelidir. İşçi–işveren ilişkisinde özgür irade çoğu zaman sağlanamaz. Açık rıza, ölçüsüz veri işlemesini meşrulaştırmaz. | KVKK m.3, Kurul rehberleri |
| PDKS Uygulamalarının Hukuka Aykırılığı | Yüz tanıma veya parmak izi ile mesai takibi; özel hayatın gizliliği ve kişisel verilerin korunması hakkı kapsamında hukuka aykırı bulunmuştur. Alternatif yöntemler varken biyometrik veri kullanımı ölçüsüz kabul edilerek birçok kurum ve şirkete idari para cezaları verilmiştir. | Danıştay kararları, KVKK Kurulu 2019/81, 2019/165, 2022/797 |
| Veri Sorumlusunun Yükümlülükleri | Veri sorumlusu; aydınlatma yükümlülüğünü yerine getirmeli, veri işleme amacını ve hukuki sebebi açıkça belirtmeli, saklama sürelerini sınırlamalı ve amaç sona erdiğinde veriyi imha etmelidir. Veri işleme risklerine ilişkin çalışanlar bilgilendirilmelidir. | KVKK m.10, m.12 |
| Uyumlu PDKS Alternatifleri | Biyometrik veri içermeyen ve KVKK uyumlu çözümler: RFID kartlı geçiş, PIN/şifre, QR kod, konum bazlı mobil uygulamalar, web tabanlı giriş–çıkış sistemleri. Bu yöntemlerde özel nitelikli veri işlenmediğinden risk düşüktür. | Kurul rehberleri |
| Teknik ve İdari Tedbirler | Biyometrik veri işleniyorsa (istisnai hâller): güçlü kriptografi, türetilmiş biyometrik veri kullanımı, erişim kontrolü, alternatif doğrulama yöntemi sağlanması, saklama süresinin kısaltılması ve düzenli risk analizi zorunludur. | KVKK m.12, Kurul Teknik Tedbirler Rehberi |
Ev ve İşyeri Güvenlik Kamerası Kurulumu ve Hukuki Yükümlülükleri
