KİŞİSEL VERİLERİ KORUMA KURUMUNDAN MESAİ TAKİBİ AMACIYLA BİYOMETRİK VERİ İŞLENMESİ İLKE KARARI HAKKINDA BİLGİ NOTU

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı (“Karar”), 02.06.2026 tarihli ve 33268 sayılı Resmi Gazete’de yayımlanmıştır.

Karar, çalışanların mesai takibinde biyometrik tanımlama sistemlerinin kullanımına ilişkin artan uygulamalar ve bu bağlamda Kurum’a intikal eden şikayetler doğrultusunda yayımlanmıştır. Kararda, işyerlerinde mesai ve devam kontrolünün sağlanması amacıyla biyometrik veri işlenmesinin hukuki sınırları değerlendirilmiş ve uygulamaya yön verecek önemli tespitlerde bulunulmuştur.

1.     Biyometrik Verilerin İşlenmesine İlişkin Hukuki Çerçeve

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) altıncı maddesi uyarınca biyometrik veriler özel nitelikli kişisel veri niteliğindedir. Bu verilerin işlenmesi, Kanun’da öngörülen özel nitelikli kişisel veri işleme şartlarının varlığına bağlı olup, veri sorumluları bakımından daha sıkı yükümlülükler ve koruma tedbirleri öngörülmüştür. Ayrıca bu verilerin işlenmesi sırasında Kurul’un 31.01.2018 tarih ve 2018/10 sayılı kararı ile belirlenen yeterli önemlerin de alınması gerekmektedir.

4857 sayılı İş Kanunu bakımından ise, her ne kadar işverenin çalışanların çalışma sürelerini izleme ve belgeleme yükümlülüğüne ilişkin hukuki çerçeve çizilmiş ise de bu yükümlülüğün biyometrik tanımlama sistemleri kullanılarak yerine getirilmesine ilişkin açık bir yasal düzenleme öngörülmemiştir. Bu çerçevede Kurul, işverenlerin çalışanların mesai takibini biyometrik veri işleyerek gerçekleştirmelerini zorunlu kılan veya buna açıkça izin veren bir kanuni düzenlemenin mevcut olmadığı değerlendirmesinde bulunmuştur.

Nitekim uygulamada biyometrik veri işleme faaliyetlerinin ağırlıklı olarak Kanun’un altıncı maddesinin üçüncü fıkrasının (a) bendi kapsamında ilgili kişilerin açık rızasına dayanılarak gerçekleştirildiği görülmektedir.

2.     Açık Rızanın Yeterli Hukuki Dayanak Oluşturmadığına İlişkin Tespit

Kurul, mesai takibi amacıyla biyometrik verilen işlenmesinde çalışanlardan alınan açık rızanın niteliği ve geçerliliğine ilişkin çeşitli değerlendirmelerde bulunmuştur.

Bu bağlamda Kurul;

• İşçi ve işveren arasında yapısal bir güç dengesizliği bulunduğunu,

• Çalışanın rıza vermemesi veya verdiği rızayı geri çekmesi halinde olumsuz sonuçlarla karşılaşabileceği yönünde haklı endişeler taşıyabileceğini,

• Bu nedenle iş ilişkilerinde verilen açık rızanın her zaman özgür iradeye dayandığının kabul edilemeyeceğini

ortaya koymuştur.

Karar’da ayrıca, biyometrik sistemlerin sürekliliğinin açık rızanın geri alınması halinde sekteye uğrayacak olması nedeniyle, yalnızca açık rızaya dayanılarak gerçekleştirilen biyometrik veri işleme faaliyetlerinin kural olarak yeterli hukuki zemin oluşturmayacağı belirtilmiştir. Karar’a göre yalnızca açık rızanın geçerliliği değil, aynı zamanda mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un genel ilkeleri bakımından da ayrıca değerlendirilmesi gerekmektedir. Nitekim Kurul, Karar’da Anayasa Mahkemesi’nin parmak izi sistemiyle mesai takibine ilişkin kararına da atıfta bulunmuştur. Anılan kararda, biyometrik veri işlenmesine ilişkin temel esasları belirleyen açık bir kanuni düzenleme bulunmadığından müdahalenin kanunilik şartını karşılamadığı sonucuna ulaşılmıştır.

Kurul bu değerlendirmeler ışığında, işçi-işveren ilişkisindeki yapısal güç dengesizliği nedeniyle açık rızanın mesai takibi amacıyla biyometrik veri işlenmesi bakımından tek başına yeterli bir hukuki dayanak oluşturamayacağını belirtmiştir.

3. Ölçülülük İlkesine Yapılan Vurgu

Kurul kararının temel dayanaklarından birini Kanun’un dördüncü maddesinde düzenlenen genel ilkeler, özellikle de kişisel verilerin"işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi oluşturmaktadır.

Bu kapsamda Kurul;

• mesai takibi amacıyla biyometrik veri işlenmesinin gerekli olup olmadığını,

• veri işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü olup olmadığını,

• aynı sonuca daha az müdahaleci yöntemlerle ulaşılıp ulaşılamayacağını,

değerlendirmiş ve şifreli kart sistemler, PIN tabanlı giriş sistemleri, imza föyleri ve devam çizelgeleri gibi alternatif yöntemlere dikkat çekmiştir.

Kurul, aynı sonuca ulaşılmasını sağlayan daha az müdahaleci alternatif yöntemlerin mevcut olduğu durumlarda biyometrik veri işlenmesinin ölçülülük ilkesini karşılamayacağını ifade etmiştir.

4.     Sonuç

Kurul tarafından yapılan değerlendirme neticesinde;

1. Mevcut mevzuatta mesai takibi amacıyla biyometrik veri işlenmesini açıkça öngören veya bu uygulamaya açıkça izin veren bir düzenleme bulunmadığı,

2. İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın tek başına yeterli hukuki dayanak oluşturmadığı,

3. Daha az müdahaleci alternatif yöntemlerin bulunması nedeniyle biyometrik veri işlenmesinin ölçülülük ilkesini karşılamadığı,

4. İlgili kişinin açık rızasının bulunmasının, tek başına biyometrik veri işleme faaliyetini hukuka uygun hale getirmeye yeterli olmayabileceği,

sonuçlarına ulaşılmıştır.

Bu doğrultulda Karar, mesai takibi amacıyla biyometrik veri kullanan veya bu yönde bir uygulama planlayan işverenler bakımından önemli sonuçlar doğurmaktadır. Bu kapsamda işverenlerin mevcut uygulamalarını gözden geçirmeleri ve mümkün olduğu ölçüde daha az müdahaleci alternatif devam kontrol yöntemlerini değerlendirmeleri önem taşımaktadır.

Konuya ilişkin herhangi bir sorunuz olması halinde her zaman bizimle iletişime geçebilirsiniz.

Saygılarımızla,

PRINCIPLE DECISION OF THE PERSONAL DATA PROTECTION AUTHORITY ON THE PROCESSING OF BIOMETRIC DATA FOR TIME AND ATTENDANCE TRACKING PURPOSES

The Principle Decision of the Personal Data Protection Authority (“Authority”) on the Processing of Biometric Data for Time and Attendance Tracking Purposes (“Decision”) was published in the Official Gazette dated 2 June 2026 and numbered 33268.

The Decision was issued in response to the increasing use of biometric identification systems for employee attendance tracking and the complaints submitted to the Authority in this regard. Within the scope of the Decision, the legal boundaries of processing biometric data for monitoring employee attendance and working hours have been assessed, and important determinations have been made to guide practice.

1.      Legal Framework for the Processing of Biometric Data

Pursuant to Article 6 of the Law No. 6698 on the Protection of Personal Data (“Law”), biometric data constitutes a special category of personal data. The processing of such data is subject to the existence of one of the legal grounds prescribed for the processing of special categories of personal data under the Law and entails stricter obligations and protection measures for data controllers. In addition, while processing biometric data, data controllers must implement the adequate safeguards determined by the Personal Data Protection Board’s Decision No. 2018/10 dated 31 January 2018.

With respect to the Labour Law No. 4857, although the legal framework governing employers’ obligations to monitor and document employees’ working hours has been established, there is no explicit legal provision requiring or expressly permitting the fulfilment of this obligation through biometric identification systems. In this context, the Board concluded that there is currently no legal regulation that either mandates or explicitly authorizes employers to process biometric data for attendance tracking purposes.

Indeed, in practice, biometric data processing activities are predominantly carried out on the basis of the explicit consent of the data subjects pursuant to subparagraph (a) of the third paragraph of Article 6 of the Law.

2.     Determination that Explicit Consent Does Not Constitute a Sufficient Legal Basis

The Board made several assessments regarding the nature and validity of explicit consent obtained from employees for the processing of biometric data for attendance tracking purposes.

In this regard, the Board emphasized that:

• There is an inherent imbalance of power between employer and employee;

• Employees may have legitimate concerns that refusing to provide consent or withdrawing previously granted consent could lead to adverse consequences;

• Therefore, explicit consent given within the context of an employment relationship cannot always be considered to be based on free will.

The Decision further states that, since the continuity of biometric systems would be disrupted if employees were to withdraw their consent, biometric data processing activities carried out solely on the basis of explicit consent would, as a rule, not provide a sufficient legal basis.

According to the Decision, not only the validity of explicit consent but also the compliance of biometric data processing for attendance tracking purposes with the general principles set forth under the Law must be assessed. In this regard, the Board referred to a decision of the Constitutional Court concerning the use of fingerprint systems for attendance tracking. In the aforementioned decision, the Constitutional Court concluded that, due to the absence of a clear legal framework governing the essential principles of biometric data processing, the interference failed to satisfy the requirement of legality.

In light of these assessments, the Board concluded that explicit consent alone cannot constitute a sufficient legal basis for the processing of biometric data for attendance tracking purposes due to the structural imbalance inherent in the employer-employee relationship.

3.     Emphasis on the Principle of Proportionality

One of the fundamental grounds of the Board’s Decision is the general principles set forth under Article 4 of the Law, particularly the principle that personal data must be “relevant, limited and proportionate to the purposes for which they are processed.”

Within this framework, the Board evaluated:

• Whether the processing of biometric data for attendance tracking purposes is necessary;

• Whether the processing activity is relevant, limited and proportionate to its intended purpose;

• Whether the same objective can be achieved through less intrusive methods.

The Board specifically referred to alternative methods such as card-based access systems, PIN-based entry systems, attendance sheets and signature logs.

Accordingly, the Board stated that where less intrusive alternative methods capable of achieving the same purpose are available, the processing of biometric data would not satisfy the principle of proportionality.

4.     Conclusion

As a result of its assessment, the Board concluded that:

1. There is currently no legal provision that explicitly requires or authorizes the processing of biometric data for attendance tracking purposes;

2. Due to the imbalance of power inherent in the employer-employee relationship, explicit consent alone does not constitute a sufficient legal basis;

3. Since less intrusive alternative methods are available, the processing of biometric data does not satisfy the principle of proportionality;

4. The existence of explicit consent alone may not be sufficient to render biometric data processing activities lawful.

Accordingly, the Decision has significant implications for employers that currently use biometric systems for attendance tracking or are considering implementing such systems. Employers are therefore advised to review their existing practices and, where possible, evaluate less intrusive alternatives for monitoring employee attendance.

Should you have any questions regarding the matter, please feel free to contact us.

Kind regards,