Gelişen teknolojiyle birlikte pek çok şirket ve kurum, çalışanların işe geliş gidiş saatlerini takip etmek ve güvenliği sağlamak amacıyla parmak izi okutma, yüz tanıma veya göz taraması gibi sistemleri kullanmaya başladı. Ancak bu durum, vatandaşların en hassas verilerinin tehlikeye girmesiyle ilgili Kişisel Verileri Koruma Kurumu'na sayısız şikayet gitmesine yol açtı. Şikayetleri inceleyen Kurul, 29/04/2026 tarihli ve 2026/921 sayılı çok önemli bir "İlke Kararı" aldı. Kurul, bu sistemlerin iş yerleri için pratik ve hızlı görünse de kişisel haklar açısından çok tehlikeli olduğunu belirtti. Özellikle patron ile işçi arasındaki ilişki eşit olmadığı için, işçinin "kendi rızamla parmak izimi verdim" demesinin aslında özgür iradeye dayanmadığı, işini kaybetme korkusuyla bu sisteme boyun eğmek zorunda kaldığı ifade edildi.
PARMAK İZİ VE YÜZ VERİLERİ ÇALINIRSA GERİ DÖNÜŞÜ YOK
Hukuki kurallara değinilen kararda, parmak izi, yüz görüntüsü ve göz yapısı gibi biyometrik verilerin sıradan bilgiler olmadığı, "özel nitelikli kişisel veri" kategorisinde yer aldığı hatırlatıldı. Bu verilerin en büyük özelliği ise "geri döndürülemez" olmasıdır. Yani bir şirketin veri tabanı siber saldırıya uğrar ve parmak iziniz çalınırsa, bunu banka şifresi gibi değiştirmeniz veya iptal etmeniz imkansızdır. Bu durum da vatandaşları ömür boyu büyük mağduriyetlerle karşı karşıya bırakabilir.
İş Kanunu’na göre patronların personelin çalışma saatlerini takip etmesi ve belgelemesi yasal bir zorunluluktur. Ancak Kurul, kanunlarda bu takibin mutlaka parmak iziyle veya yüz tanımayla yapılması gerektiğine dair açık bir kural bulunmadığının altını çizdi. Dolayısıyla, sadece mesai takibi yapmak gibi basit bir idari amaç için bu kadar ağır ve riskli bir yöntemin seçilmesi hukuka aykırı bulundu.
ANAYASA MAHKEMESİ VE DANIŞTAY DA "DUR" DEMİŞTİ
Kurul, aldığı bu karara Türkiye’nin en üst mahkemelerinin daha önce verdiği kararları da örnek gösterdi:
Anayasa Mahkemesi (AYM): Bir belediyede çalışan devlet memurunun iş yerindeki parmak iziyle mesai takibi uygulamasına karşı açtığı davada AYM, kanunda böyle açık bir zorunluluk olmadığı için memuru haklı bulmuş ve hak ihlali kararı vermişti.
Danıştay: Bir sendikanın, iş yerinde uygulanan "avuç içi damar okuma" sistemine karşı açtığı davada üst mahkeme, bu yöntemin kanunun "ölçülülük" ilkesine aykırı olduğunu belirterek uygulamayı iptal etmişti.
İŞÇİ ONAY VERSE BİLE SİSTEM DEĞİŞMEK ZORUNDA
Kanuna göre bir verinin işlenebilmesi için "ölçülülük", yani amaca giden en hafif yolun seçilmesi şarttır. Kurul, işe giriş çıkışları takip etmek için piyasada şifreli kartlar, PIN kodları, eski usul imza çizelgeleri veya turnike kartları (RFID/NFC) gibi çok sayıda güvenli alternatif varken en ağır yol olan biyometrik verilerin kullanılmasını haksız müdahale olarak değerlendirdi. Bu yüzden, işçi kendi rızasıyla imza atmış olsa bile, parmak iziyle mesai takibi yapmak ölçüsüzlük sayılacak ve yasa dışı kabul edilecek.
KURALLARA UYMAYAN ŞİRKETLERE CEZA YAĞACAK
Kişisel Verileri Koruma Kurulu, bu durumun ülke genelinde çok yaygın bir ihlal haline gelmesi nedeniyle tüm şirket ve kurumları bağlayan bu İlke Kararı'nı oy birliğiyle aldığını duyurdu.
Tüm iş yerlerinin, vatandaşların kişisel verilerini korumak ve güvenliğini sağlamak için gerekli teknik önlemleri alması yasal bir zorunluluktur. Bundan sonra yapılacak denetimlerde, parmak izi veya yüz tanımayla mesai takibi yapmaya devam eden ve kartlı/şifreli sistemlere geçmeyen iş yerlerine para cezası başta olmak üzere çok ağır yasal yaptırımlar uygulanacak. Bu karar, Resmi Gazete'de yayımlanarak tüm Türkiye'de resmen yürürlüğe girecek.
