Şirketler Parmak İzi ile Mesai Takibi Yapabilir mi?

Pek çok şirket, personelin iş yeri giriş-çıkışını parmak okutma veya yüz tarama sistemleriyle takip ediyor. Ancak bu yöntem, KVKK kapsamında kural olarak hukuka aykırı kabul ediliyor ve işverenlere 225.000 TL'ye varan idari para cezaları kesilebiliyor. Bu yazıda biyometrik mesai takibinin hukuki çerçevesini, emsal kararları ve yasal alternatifleri ele alıyoruz.

Günümüzde işverenlerin önemli bir kısmı, mesai takibini parmak okutma veya yüz tarama olarak bilinen sistemlerle yapıyor. Bu uygulama pratik görünse de, hukuki yönü ve karşılaşılabilecek yaptırımlar çoğu işveren tarafından bilinmiyor. Oysa Anayasa Mahkemesi, Danıştay ve Kişisel Verileri Koruma Kurulu, biyometrik yöntemlerle mesai takibini ilke olarak hukuka aykırı kabul ediyor.

Biyometrik Veri Nedir, Neden Özel Nitelikli Sayılır?

Biyometrik veri: Bir gerçek kişinin özgün biçimde teşhis edilmesini sağlayan fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin, özel teknik işlemeden kaynaklanan kişisel veridir. Parmak izi tanıma, avuç içi (el geometrisi) tarama ve yüz tanıma bu kapsamda değerlendirilir.

Biyometrik veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde özel nitelikli kişisel veriler arasında sayılmıştır. Özel nitelikli veriler, işlenmesi sıkı koşullara bağlanmış, daha yüksek koruma gerektiren veri kategorisidir. İşverenlerin bu verileri yalnızca mesai takibi gibi idari bir amaç için işlemesi, kanunun çizdiği sınırların ötesine geçer.

Parmak İzi ile Mesai Takibi Hukuka Uygun mu?

Üst mahkemeler bu soruya net biçimde "hayır" yanıtını vermiştir.

Anayasa Mahkemesi, 2018/11988 numaralı bireysel başvuruya ilişkin 10/03/2022 tarihli kararında özetle; parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine hükmetmiştir.

Aynı doğrultuda Danıştay da personelin parmak izi tarama sistemiyle mesai kontrolünün, özel hayatın gizliliği ilkesi kapsamında kişisel verilerin alınması olarak değerlendirilmesi gerektiğini belirtmiştir:

Mesai kontrol sisteminin şekli ve içeriği dikkate alındığında, uygulama ile amaçlanan yarar arasında orantılılık bulunmadığından, bu uygulamanın anayasal ilke olan ölçülülük ilkesine aykırılık teşkil ettiği gerekçesiyle dava konusu işlemde hukuka uyarlık bulunmamaktadır. — Danıştay 5. Daire, 2013/5342 E., 2013/9525 K., 10.12.2013 tarihli karar

Görüldüğü üzere her iki yüksek mahkeme de biyometrik yöntemlerle mesai takibini, amaçla araç arasındaki orantılılık (ölçülülük) ilkesine aykırı bulmaktadır. Mesai takibi gibi basit bir idari amaç, çalışanın en hassas verilerinin işlenmesini haklı çıkarmaz.

225.000 TL'ye Varan İdari Para Cezaları

Bu sistemlerin kullanılabilmesi için biyometrik verilerin işlenmesi zorunlu olduğundan, konu doğrudan KVKK kapsamına girer. Kurulun verdiği emsal kararlar, işverenler açısından somut bir mali risk ortaya koyar:

• Kişisel Verileri Koruma Kurulu, hizmet binası girişlerinde kimlik tanıma amacıyla el geometrisi terminali kullanan işverene 100.000 TL idari para cezası uygulamıştır (07/07/2022 tarihli, 2022/662 sayılı karar).
• Spor salonu hizmeti sunan bir veri sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapmasının ölçülülük ilkesine aykırı bulunması nedeniyle 225.000 TL idari para cezasına hükmedilmiştir (27/02/2020 tarihli, 2020/167 sayılı karar).

Cezanın yanında ikinci bir sonuç daha vardır: işveren, hukuka aykırı yöntemle elde ettiği mesai kayıtlarını bir iş davasında lehine delil olarak kullanamaz. Yani hem ceza riski doğar, hem de uygulamadan beklenen "ispat" faydası ortadan kalkar.

Açık Rıza Neden Geçerli Sayılmıyor?

Pek çok işletme, personelden bu sistemlere dahil olmaları için ıslak imzalı onay veya açık rıza alıyor. Ancak Kurul, iş ilişkisinin doğası gereği bu rızaya şüpheyle yaklaşıyor.

İşçi ile işveren arasındaki güç dengesizliği belirleyicidir. Çalışanın; işini kaybetme, göze batma veya iş yerinde olumsuz muameleyle karşılaşma korkusuyla parmak izi ya da yüz taraması vermeye mecbur hissetmesi, alınan açık rızanın özgür iradeyle verilmediği anlamına gelir. Bu durumda rıza hukuki geçerliliğini yitirir. Dolayısıyla "imza aldık, onay var" savunması işvereni korumaz.

Parmak İzi Yerine Yasal Alternatifler

İş Kanunu'na göre işverenin çalışma saatlerini takip etmesi ve belgelemesi yasal bir sorumluluktur. Ancak kanunlarda bu takibin mutlaka parmak izi veya yüz tanıma ile yapılması gerektiğine dair bir kural yoktur. Kurul, personelin özlük haklarına daha saygılı çok sayıda alternatif sunmaktadır:

• Şifreli geçiş sistemleri — kişisel şifre veya PIN ile giriş-çıkış kaydı.
• Klasik imza föyleri — günlük giriş-çıkış imza çizelgesi.
• Manyetik personel giriş kartları — kart okutmalı turnike veya kapı sistemleri.
• Güvenlik görevlisi gözetiminde tutulan kayıtlar — gözetimli giriş-çıkış kayıt defteri.

Bu yöntemler aynı idari amaca (mesai takibi) ulaşırken, çalışanın geri döndürülemez biyolojik verilerini toplamadığı için ölçülülük ilkesiyle uyumludur. Elde bu kadar düşük riskli seçenek varken biyometrik veri toplamakta ısrar etmek, idari yaptırım riskini gereksiz biçimde üstlenmek anlamına gelir.

Biyometrik Veri Çalınırsa Geri Dönüşü Yok

Biyometrik verileri sıradan kişisel verilerden ayıran en kritik özellik, geri döndürülemez olmasıdır. Bir şirketin veri tabanı siber saldırıya uğrar ve parmak iziniz ya da yüz veriniz çalınırsa, bunu bir banka şifresi gibi değiştirmeniz veya iptal etmeniz mümkün değildir.

Bu durum, ihlalin sonuçlarını ömür boyu sürebilecek bir mağduriyete dönüştürebilir. Kurul ve mahkemeler, tam da bu telafisi imkânsız risk nedeniyle, sadece mesai takibi gibi basit bir amaç için bu kadar ağır bir yöntemin seçilmesini ölçüsüz buluyor.

Avukatlar ve İşverenler Ne Yapmalı?

Gerek Danıştay ve Anayasa Mahkemesi, gerekse Kişisel Verileri Koruma Kurulu kararlarından anlaşıldığı üzere; istisnai durumlar saklı kalmak üzere parmak izi okuma ve yüz tarama gibi biyometrik yöntemlerle mesai takibi, giriş-çıkış veya kimlik kontrolü ilke olarak hukuka aykırı kabul edilmektedir.

İşverenler açısından öncelik, mevcut biyometrik mesai uygulamalarını gözden geçirip yukarıdaki yasal alternatiflerden birine geçmektir. İşveren müvekkillere danışmanlık veren avukatlar için ise bu konu, KVKK uyum çalışmalarının doğal bir parçasıdır; biyometrik veri işleyen her müvekkilde önce hukuka aykırı uygulamanın durdurulması, ardından alternatif sisteme geçiş planlanmalıdır. Konunun daha geniş çerçevesi için KVKK idari para cezaları ve hukuk bürosu için KVKK uyum süreci yazılarımıza göz atabilirsiniz.

Hukuki süreçlerdeki aykırı uygulamalara derhal son verilmesi, hem yüksek idari para cezalarından hem de kayıtların delil değerini yitirmesinden korunmanın en sağlam yoludur. Hukuk Bilgi Sistemi (HBS), hukuk bürolarının müvekkil ve süreç yönetimini KVKK ile uyumlu biçimde yürütmesini destekleyen bir büro yazılımıdır.

Sıkça Sorulan Sorular

Parmak izi ile mesai takibi yasal mı?

Kural olarak hayır. Anayasa Mahkemesi, Danıştay ve Kişisel Verileri Koruma Kurulu kararlarına göre parmak izi, yüz tanıma gibi biyometrik yöntemlerle mesai takibi ölçülülük ilkesine aykırı bulunmakta ve hukuka aykırı kabul edilmektedir. İstisnai, zorunluluk arz eden durumlar dışında işverenlerin bu yöntemleri kullanması yüksek idari para cezası riski taşır.

İşçiden açık rıza alırsam parmak izi sistemi kullanabilir miyim?

Hayır. KVKK, işçi ile işveren arasındaki güç dengesizliği nedeniyle çalışandan alınan açık rızanın özgür iradeye dayanmadığını kabul etmektedir. İşini kaybetme veya olumsuz muamele görme korkusuyla verilen rıza geçerli sayılmadığından, ıslak imzalı onay alınmış olması da uygulamayı hukuka uygun hale getirmez.

Biyometrik mesai takibinin cezası ne kadar?

Kişisel Verileri Koruma Kurulu, hizmet binası girişinde el geometrisi terminali kullanan bir veri sorumlusuna 100.000 TL, giriş-çıkış kontrolünü biyometrik veriyle yapan bir spor salonuna ise 225.000 TL idari para cezası uygulamıştır. Cezaların yanı sıra elde edilen kayıtların hukuki delil olarak kullanılamaması da söz konusudur.

Parmak izi yerine hangi mesai takip yöntemlerini kullanabilirim?

Kurul; şifreli geçiş sistemleri, klasik imza föyleri, manyetik personel giriş kartları ve güvenlik görevlisi gözetiminde tutulan kayıtları ölçülü ve hukuka uygun alternatifler olarak göstermektedir. İş Kanunu mesai takibinin biyometrik veriyle yapılmasını zorunlu kılmaz; bu nedenle daha az müdahaleci yöntemler tercih edilmelidir.

Biyometrik verilerle tutulan mesai kayıtları mahkemede delil olur mu?

Hukuka aykırı yöntemle elde edilen veriler delil değeri taşımaz. Parmak izi veya yüz tanıma ile tutulan mesai kayıtları, işverenin bir iş davasında lehine kullanmak istediğinde hukuka aykırı delil olarak değerlendirilebilir ve mahkemece dikkate alınmayabilir.