Biyometrik tanıma sistemlerinin kullanımı son yıllarda işyerlerinden spor salonlarına, kamu kurumlarından dijital hizmetlere kadar birçok alanda yaygınlaşmıştır. Parmak izi, yüz tanıma, iris taraması ve benzeri teknolojiler; kimlik doğrulama, erişim kontrolü ve mesai takibi gibi amaçlarla kullanılmaktadır. Ancak biyometrik verilerin kişiye özgü, değiştirilemez ve ihlal edilmeleri halinde geri döndürülmeleri veya yenilenmeleri çoğu zaman mümkün olmayan nitelikte olmaları, bu verilerin kişisel verilerin korunması hukuku bakımından özel bir konuma yerleşmesine neden olmuştur.
Teknolojik gelişmeler biyometrik veri kullanım alanlarını genişletirken, veri koruma otoriteleri de bu verilerin işlenmesine ilişkin gereklilik, ölçülülük ve veri minimizasyonu ilkelerini giderek daha fazla ön plana çıkarmaktadır. Özellikle aynı amaca daha az müdahaleci yöntemlerle ulaşılmasının mümkün olduğu durumlarda biyometrik veri kullanımının hukuki dayanağı ve gerekliliği daha sıkı şekilde sorgulanmaktadır.
Biyometrik Verilerin Korunmasına İlişkin Uluslararası Yaklaşımlar
Biyometrik verilerin işlenmesine ilişkin olarak dünya genelinde sıkı yaklaşım söz konusudur. Avrupa Birliği ülkeleri başta olmak üzere birçok ülkede veri koruma otoriteleri ve mahkemeler, biyometrik verilerin özel koruma gerektiren hassas veriler olduğu kabulünden hareketle, bu verilerin işlenmesini ancak belirli koşullar altında mümkün görmektedir. Özellikle gereklilik, ölçülülük ve veri minimizasyonu ilkeleri, biyometrik veri işleme faaliyetlerinin değerlendirilmesinde temel kriterler olarak öne çıkmaktadır.
Avrupa Birliği Veri Koruma Hukukunda Biyometrik Veriler
Nitekim GDPR 4(14). maddesinde biyometrik veriler; “bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin belirli teknik işleme yöntemleri sonucunda elde edilen ve ilgili kişinin benzersiz şekilde tanımlanmasını veya doğrulanmasını sağlayan veriler” olarak tanımlanmaktadır. Bir kişinin benzersiz şekilde teşhis edilmesi amacıyla işlenen biyometrik veriler ise GDPR m. 9 kapsamında “özel nitelikli kişisel veri” olarak kabul edilmekte ve kural olarak işlenmeleri yasaklanmaktadır. İş ilişkileri bakımından biyometrik veri işleme ancak GDPR m. 9(2)'de öngörülen istisnalardan birinin mevcut olması halinde mümkün olup, özellikle iş hukuku, sosyal güvenlik ve sosyal koruma alanındaki hak ve yükümlülüklerin yerine getirilmesi amacıyla veri işlemenin gerekli olduğu durumlarda m. 9(2)(b) hükmü uygulama alanı bulabilmektedir. Bununla birlikte biyometrik veri işlenmesinin hukuka uygun kabul edilebilmesi için yalnızca bir hukuka uygunluk şartının bulunması yeterli değildir. Veri işlemenin aynı zamanda GDPR'ın temel ilkeleri arasında yer alan hukuka uygunluk, amaçla bağlantılılık, veri minimizasyonu, gereklilik ve ölçülülük ilkelerine de uygun olması gerekmektedir. Bu nedenle Avrupa Birliği uygulamasında, aynı amaca kartlı geçiş sistemleri, şifre doğrulama yöntemleri veya benzeri daha az müdahaleci araçlarla ulaşılabildiği durumlarda biyometrik veri kullanımının gerekli olmadığı ve veri minimizasyonu ilkesiyle bağdaşmayacağı kabul edilmektedir.
Birleşik Krallık: Biyometrik Veriler İçin Yüksek Gereklilik Standardı
Birleşik Krallık Veri Koruma Otoritesi (ICO) de biyometrik verilerin özel kategori kişisel veri niteliğinde olduğunu ve işverenlerin bu tür verileri işlemeye başlamadan önce veri koruma etki değerlendirmesi (DPIA) yapmaları gerektiğini vurgulamaktadır. ICO'ya göre işverenler, biyometrik sistemlerin gerçekten gerekli olup olmadığını değerlendirmeli ve aynı sonuca kartlı geçiş sistemleri veya diğer kimlik doğrulama yöntemleri ile ulaşılmasının mümkün olduğu durumlarda biyometrik veri işlenmesinden kaçınmalıdır. Özellikle çalışanların açık rızasının iş ilişkilerindeki güç dengesizliği nedeniyle her zaman geçerli bir hukuki dayanak oluşturmayabileceği belirtilmektedir.
Almanya: Mesai Takibinde Parmak İzi Kullanımına Sınırlı Yaklaşım
Bu yaklaşımın dikkat çekici örneklerinden biri Almanya'da görülmektedir. Berlin-Brandenburg Eyalet İş Mahkemesi, çalışanların mesai takibinde kullanılan parmak izi sistemine ilişkin kararında, biyometrik veri işlemenin ancak gerekli ve ölçülü olması halinde hukuka uygun kabul edilebileceğini, aynı sonuca personel kartı gibi daha az müdahaleci yöntemlerle ulaşılmasının mümkün olduğu durumlarda biyometrik veri işlenmesinin gerekli sayılamayacağını değerlendirmiştir. Bu nedenle mahkeme, mesai takibi amacıyla çalışanların parmak izi vermeye zorlanamayacağı sonucuna varmıştır.
Fransa: Biyometrik Sistemler Ancak İstisnai Durumlarda Kullanılabilir
Benzer şekilde Fransa Veri Koruma Otoritesi (CNIL), işyerlerinde parmak izi, damar izi veya iris taraması gibi biyometrik sistemlerin kullanımını ancak yüksek güvenlik ihtiyacının bulunduğu ve aynı amaca alternatif yöntemlerle ulaşılamadığı durumlarla sınırlandırmaktadır. CNIL ayrıca biyometrik veri işleme faaliyetleri bakımından veri koruma etki değerlendirmesi yapılmasını ve güçlü teknik ve idari tedbirlerin uygulanmasını gerekli görmektedir.
Çin: Yüz Tanıma Sistemlerine Alternatif Sunulmalı
Çin'de de benzer bir yaklaşım benimsenmiştir. Çin Yüksek Halk Mahkemesi tarafından 2021 yılında yayımlanan yargısal yorumda, yüz tanıma sistemleri aracılığıyla elde edilen yüz verilerinin hassas nitelikte olduğu vurgulanmış; bireylerin yüz verilerini paylaşmaya zorlanamayacağı ve yüz tanımayı reddeden kişilere alternatif doğrulama yöntemlerinin sunulması gerektiği belirtilmiştir.
Türkiye’deki Gelişmeler
Kişisel Verileri Koruma Kurulu tarafından Biyometrik Veri Kullanımına İlişkin İlke Kararı Yayımlandı
Kişisel Verileri Koruma Kurulu ("Kurul"), 02.06.2026 tarihli Resmî Gazete'de yayımlanan 2026/921 sayılı İlke Kararı ile mesai takibi amacıyla biyometrik veri işlenmesine ilişkin değerlendirmelerini kamuoyu ile paylaşmıştır. Karar, işverenler tarafından kullanılan parmak izi, yüz tanıma ve benzeri biyometrik sistemlerin yalnızca bir veri işleme şartına dayanmasının yeterli olmadığını; ayrıca gereklilik, ölçülülük ve veri minimizasyonu ilkeleri bakımından da değerlendirilmesi gerektiğini ortaya koyması bakımından önem taşımaktadır. Kurul, özellikle işçi-işveren ilişkisindeki güç dengesizliğine vurgu yaparak mesai takibinde biyometrik veri kullanımına oldukça sınırlayıcı bir yaklaşım benimsemiştir.
İlke Kararının Temelleri: Spor Salonu Kararları
Kurul'un mesai takibinde biyometrik veri kullanımına ilişkin yaklaşımı yeni değildir. Nitekim Kurul'un biyometrik verilerin işlenmesine ilişkin ilk önemli ilkesel değerlendirmelerinden biri, 2019 yılında spor salonlarında üyelerin giriş-çıkış kontrolü amacıyla el ve avuç içi izi kullanılmasına ilişkin kararlarında ortaya konulmuştur. Kurul, söz konusu kararlarında spor salonu üyelerinin giriş kontrolünün biyometrik veriler işlenmeksizin kartlı geçiş, RFID etiketi veya benzeri alternatif yöntemlerle de sağlanabileceğini belirterek, biyometrik veri kullanımının ölçülülük ilkesiyle bağdaşmadığı sonucuna ulaşmıştır. Ayrıca hizmetten yararlanmanın biyometrik veri işlenmesine yönelik açık rıza verilmesi şartına bağlanmasının, açık rızanın özgür iradeyle verildiğinin kabul edilmesini güçleştirdiği değerlendirilmiştir. Bu kapsamda Kurul, biyometrik veri işleme faaliyetinin durdurulmasına ve işlenen biyometrik verilerin imha edilmesine karar vermiştir.
2026 tarihli İlke Kararı da aynı yaklaşımı sürdürerek, biyometrik veri kullanımının ancak gerçekten gerekli olduğu ve daha az müdahaleci yöntemlerin bulunmadığı durumlarda değerlendirilebileceğini bir kez daha ortaya koymaktadır.
Biyometrik Veri Kavramı
Kurul, GDPR'da yer alan biyometrik veri tanımına açıkça atıf yaparak biyometrik verileri yalnızca parmak izi veya yüz tanıma verileri ile sınırlı değerlendirmemiştir. Bu kapsamda parmak izi, yüz tanıma, retina ve iris verileri gibi geleneksel biyometrik verilerin yanında ses verileri, imza dinamikleri, klavye kullanım alışkanlıkları, yazı yazma biçimi ve benzeri davranışsal özelliklerden elde edilen verilerin de kişinin benzersiz şekilde tanımlanmasına imkân sağlamaları halinde biyometrik veri niteliği taşıyabileceği belirtilmiştir. Böylece Kurul'un biyometrik veri kavramına ilişkin yaklaşımının teknolojik gelişmelere paralel olarak genişlediği görülmektedir.
Kararda Biyometrik Veri Olarak Değerlendirilen Veriler
İlke Kararı'nda biyometrik veri kavramının kapsamına da açıklık getirilmiştir. Kurul, biyometrik verilerin yalnızca parmak izi veya yüz tanıma sistemlerinden ibaret olmadığını belirtmiş; kişinin benzersiz şekilde tanımlanmasına imkân veren fiziksel, fizyolojik ve davranışsal özelliklerden elde edilen verilerin de biyometrik veri kapsamında değerlendirilebileceğini ifade etmiştir. Bu kapsamda parmak izi, yüz geometrisi, retina ve iris verileri ile ses verileri biyometrik verilere örnek olarak gösterilmiş; imza dinamikleri ve klavye kullanım alışkanlıkları gibi davranışsal özelliklerden elde edilen verilerin de biyometrik veri niteliği taşıyabileceği belirtilmiştir.
Açık Rıza Mesai Takibinde Geçerli Bir Hukuki Dayanak Oluşturur mu?
Kararın dikkat çekici yönlerinden biri, açık rızanın mesai takibi amacıyla biyometrik veri işlenmesi bakımından yeterli bir hukuki dayanak oluşturup oluşturamayacağına ilişkin değerlendirmelerdir. Kurul, işçi ile işveren arasındaki ilişkinin doğası gereği taraflar arasında eşit bir konum bulunmadığını, çalışanın rıza göstermemesi halinde olumsuz sonuçlarla karşılaşabileceğini düşünebileceğini ve bu nedenle verilen rızanın her zaman özgür iradeye dayanıp dayanmadığının tartışmalı olduğunu belirtmiştir. Bu çerçevede, mesai takibinin açık rızaya dayandırılmasının önemli hukuki riskler taşıdığı sonucuna ulaşılmıştır.
İşverenler Açısından Değerlendirmeler
Kurul'un 2019 yılında ve devamındaki kararları ile biyometrik veriler bakımından açık rızanın geçerli olmayabileceği yönündeki yaklaşımı 2026/921 sayılı İlke Kararı ile pekişerek, işverenler tarafından mesai takibi ve erişim kontrolü amacıyla kullanılan biyometrik sistemlerin hukuki uygunluğunun bundan sonraki süreçte yine sıkı bir incelemeye tabi tutulacağını göstermektedir. Karar uyarınca, biyometrik veri işlenmesinin yalnızca bir veri işleme şartına dayanması yeterli görülmemekte; aynı zamanda söz konusu işlemenin gerekli, ölçülü ve veri minimizasyonu ilkesine uygun olup olmadığı da değerlendirilmektedir. Bu nedenle işverenlerin, parmak izi veya yüz tanıma gibi biyometrik sistemlerin kullanımını sürdürmeden önce aynı amaca kartlı geçiş, PIN doğrulama veya benzeri alternatif yöntemlerle ulaşılıp ulaşılamayacağını gözden geçirmeleri önem taşımaktadır. Özellikle biyometrik veri işlemenin açık rızaya dayandırıldığı uygulamalarda, işçi ve işveren arasındaki güç dengesizliği nedeniyle açık rızanın geçerliliğine ilişkin risklerin de dikkate alınması gerekecektir. Bu kapsamda karar, işverenlerin mevcut biyometrik veri işleme faaliyetlerini yeniden değerlendirmeleri ve gerekli hallerde alternatif çözümlere yönelmeleri gerektiğine işaret etmektedir.
Biyometrik Veri İşlemede Somut Olay Bazlı Değerlendirme
Bununla birlikte, İlke Kararı'nın tüm biyometrik veri işleme faaliyetleri bakımından mutlak bir yasak getirdiği şeklinde yorumlanmaması gerekir. Biyometrik veri işleme faaliyetlerinin hukuka uygunluğu her somut olayın kendi koşulları çerçevesinde değerlendirilmeye devam edecektir. Özellikle milli güvenlik, kamu güvenliği, kritik altyapıların korunması, savunma sanayii tesisleri veya yüksek güvenlik gerektiren bazı çalışma alanları gibi durumlarda biyometrik doğrulama sistemlerinin gerekliliği ve ölçülülüğü farklı şekilde değerlendirilebilecektir. Bununla birlikte Kurul'un son İlke Kararı, olağan işyeri uygulamalarında biyometrik veri kullanımının artık çok daha sıkı bir gereklilik ve ölçülülük incelemesine tabi tutulacağını açık şekilde ortaya koymaktadır.








