İşyerinde Dijital Gözetim ve KVKK (2026): Kamera Kayıtları, Ses Dinleme ve Biyometrik Veri (Parmak İzi/Yüz Tanıma) Kullanımının Hukuki Sınırları

Giriş: Dijital Yönetim Hakkı ile Çalışan Mahremiyetinin Çatışma Alanı

21. Yüzyıl kurumsal iklimi, işverenlerin yönetim ve denetim haklarını teknolojik araçlarla en üst düzeye çıkardığı bir evrim geçirmektedir. İşletmelerde entegre edilen akıllı kapalı devre kamera sistemleri (CCTV), biyometrik personel devam kontrol sistemleri (PDKS), parmak izi okuyucular ve yüz tanıma yazılımları, operasyonel hız ve güvenlik sağlama argümanlarıyla her geçen gün yaygınlaşmaktadır. Ancak işverenin 4857 sayılı İş Kanunu’ndan doğan "yönetim hakkı" ve işyerini koruma yetkisi, hiçbir zaman sınırsız bir egemenlik alanı yaratmaz. Karşı tarafta, çalışanın Anayasa ile güvence altına alınmış olan "özel hayatın gizliliği", "kişisel verilerin korunmasını isteme hakkı" ve "insan onuruna saygı gösterilmesi ilkesi" sarsılmaz birer bariyer olarak yer alır.

2026 yılı yapay zeka entegrasyonları ve gelişmiş veri işleme pratikleri ışığında bakıldığında, işyerindeki gözetim sistemleri çalışanlar için görünmez birer dijital prangaya dönüşme riski taşımaktadır. Bu rehber; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Kişisel Verileri Koruma Kurulu'nun (Kurul) en güncel bülten ve ilkeleri, Türk Borçlar Kanunu’nun (TBK) ilgili hükümleri ve yüksek yargı içtihatları çerçevesinde; işyerinde kamera kaydı alınması, ortam dinlemesi yapılması ve biyometrik veri işlenmesinin yasal sınırlarını, ihlallerin yaptırımlarını ve tarafların hak arama stratejilerini derinlemesine ele almaktadır.

1. Hukuki Temeller: Anayasa, KVKK m. 4 ve TBK m. 419 Kıskacında Veri İşleme

İşyerinde çalışanların görüntülerinin kaydedilmesi veya fiziksel özelliklerinin teknik yöntemlerle taranması, doğrudan hukuki anlamda bir "kişisel veri işleme" faaliyetidir. Bir dijital denetim mekanizmasının hukuk düzeni tarafından korunabilmesi için öncelikle mevzuatın çizdiği genel ilkelere tam uyum göstermesi zorunludur:

• Anayasal Güvence (Madde 20/3): Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.

• TBK m. 419 Sınırı: Türk Borçlar Kanunu, işverenin işçiye ait kişisel verileri ancak ve ancak "işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde" işleyebileceğini amir hüküm olarak koymuştur. Sırf merak, genel denetim arzusu veya keyfilik amacıyla veri toplanamaz.

• KVKK m. 4’ün Mutlak İlkeleri: Veri sorumlusu sıfatını haiz işveren, dijital izleme yaparken şu ilkelere mutlak surette riayet etmelidir:

  1. Hukuka ve dürüstlük kurallarına uygun olma: İzleme gizli kapılar ardında, aldatıcı yöntemlerle yapılamaz.

  2. Doğru ve gerektiğinde güncel olma: Veri tabanları siber güvenliğe uygun tutulmalıdır.

  3. Belirli, açık ve meşru amaçlar için işlenme: İzlemenin amacı (örn: güvenlik, hırsızlığı önleme) net olarak tanımlanmalıdır.

  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: İşte bu ilke, tüm hukuki uyuşmazlıkların kalbidir. İşveren, amacına ulaşmak için çalışanın mahremiyetini en az zedeleyen yöntemi (son çare ilkesini) seçmek zorundadır.

  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

2. İşyerinde Kamera (CCTV) ile İzlemenin Hukuki Sınırları

İşyerlerine güvenlik kamerası yerleştirilmesi, işverenin işyerindeki mülkiyet hakkını koruma, iş sağlığı ve güvenliğini sağlama ve olası suç ihlallerini önleme amacı taşıdığından genel olarak "meşru menfaat" (KVKK m. 5/2-f) kapsamında değerlendirilir. Ancak bu meşru ambalaj, her yerin kesintisiz izlenebileceği anlamına gelmez.

A. Meşru Amaç ve Sınırlandırılmış Alan Esası

Kameraların yerleştirileceği alanlar, veri işleme amacıyla doğrudan bağlantılı olmalıdır. Giriş-çıkış kapıları, koridorlar, para kasalarının bulunduğu alanlar, kıymetli evrak odaları veya üretim bandının genel hatları güvenlik gerekçesiyle izlenebilir.

Ancak; çalışanların doğrudan ve sürekli olarak masa başındaki her bir hareketinin, mimiklerinin veya klavye kullanımının kesintisiz olarak kadraja alınması "ölçülülük" ilkesini ağır şekilde zedeler. Kurul kararlarına göre, işverenin amacı işyerinin güvenliğini sağlamak ise, bunu işçinin kafasına doğrudan kamera dikerek değil, genel alanları izleyerek yapmalıdır.

B. Mahremiyet Alanları (Kırmızı Çizgi)

İşyerinde çalışanların toplu veya bireysel olarak mahrem yaşam alanı kabul edilen; soyunma odaları, dinlenme odaları, ibadethaneler, lavabolar, tuvaletler ve emzirme odaları gibi alanlara kesinlikle kamera yerleştirilemez. Bu alanlara yerleştirilen kameralar, işverenin açık rıza alması durumunda dahi hukuka aykırıdır; çünkü rıza, insan onurunun ve temel kişilik haklarının özünü ortadan kaldıracak şekilde genişletilemez.

C. Performans ve Mola Denetimi Yasağı

Kameralar, bir işçinin mesai saatleri içinde ne kadar verimli çalıştığını ölçmek, sigara molasında kaç dakika geçirdiğini saptamak veya çalışma arkadaşlarıyla yaptığı iş dışı konuşmaları denetlemek amacıyla bir "performans noteri" gibi kullanılamaz. Kamera görüntülerine dayanılarak işçiye sürekli verimsizlik baskısı yapılması, hukuken yönetim hakkının kötüye kullanılması ve bir dijital mobbing (yıldırma) yöntemi olarak kabul edilir.

3. Ses Kayıt Özelliği Bulunan Kameralar ve Ortam Dinlemesi

Son yıllarda piyasaya sürülen güvenlik kameralarının birçoğu entegre mikrofon sistemleriyle donatılmıştır. Birçok işveren, sadece görüntü almanın yetmediğini düşünerek işyerinde ses kaydı da yapmaya çalışmaktadır. Ancak KVKK Kurulu ve Yargıtay bu konuda çok sert ve net bir kırmızı çizgi çekmiştir: İşyerinde ses kaydı alan kameralar genel kural olarak hukuka kesinlikle aykırıdır.

A. Ölçülülük İlkesinin Ağır İhlali

Görüntü kaydı, işyerinin güvenliğini (hırsızlık, yangın, fiziksel saldırı) sağlamak için genellikle yeterli bir enstrümandır. Ortamdaki seslerin de kaydedilmesi, amaca ulaşmak için gerekli olan sınırın aşılması demektir. Ses kaydı devreye girdiğinde, sadece hedef alınan risk değil; işçilerin kendi aralarındaki özel konuşmaları, sendikal fikir alışverişleri, ailevi dertleşmeleri veya işyerine gelen müşterilerin mahrem beyanları da kayıt altına alınmış olur. Bu durum, veri işlemenin "sınırlılık" ilkesini tamamen yok eder.

B. Hukuki ve Cezai Sonuçlar

Aydınlatma metninde "Ses kaydı yapılmaktadır" yazılması veya işçilerden bu konuda muvafakatname alınması işlemi hukuka uygun hale getirmez. Nitekim Kurul, ses kaydı yoluyla ölçüsüz veri işleyen işletmelere yüz binlerce liralık idari para cezaları kesmekte ve bu kayıtların derhal imha edilmesine hükmetmektedir.

4. İşyerinde Biyometrik Veri (Parmak İzi ve Yüz Tanıma) Kullanımının Anatomisi

Biyometrik veriler (parmak izi, yüz geometrisi, retina taraması, avuç içi damar haritası vb.), KVKK m. 6 uyarınca "Özel Nitelikli Kişisel Veri" kategorisinde yer alır. Bu verilerin en tehlikeli özelliği, şifreler veya kartlar gibi değiştirilebilir olmamasıdır. Bir çalışanın parmak izi verisi siber saldırı sonucu çalındığında veya kötü niyetli üçüncü kişilerin eline geçtiğinde, bu durum geri döndürülemez ve ömür boyu sürecek bir güvenlik riskine yol açar. Bu nedenle Kurul, Mart 2025'te güncellediği "Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber" ile işyerlerindeki biyometrik uygulamalara adeta bir kilit vurmuştur.

A. Mesai Takibinde Biyometrik Veri Kullanılamaz İlkesi

İşverenlerin en sık düştüğü yanılgı, "İşçinin imzasını aldım, açık rızası var; o halde parmak iziyle mesai takibi (PDKS) yapabilirim" düşüncesidir. Oysa Kurul’un istikrar kazanmış yerleşik kararlarına göre; sırf mesai takibi, işe giriş-çıkış saatlerinin kontrolü veya yemekhane yönetimi amacıyla parmak izi ya da yüz tanıma sistemlerinin kullanılması hukuka açıkça aykırıdır.

B. "Açık Rıza" Neden Geçersiz Sayılmaktadır?

İş hukukunun doğası gereği, işçi ile işveren arasında yapısal bir "hiyerarşi ve bağımlılık" ilişkisi vardır. İş bulmanın veya işini kaybetmeme arzusunun baskısı altındaki bir işçinin, önüne konulan parmak izi muvafakatnamesini özgür iradesiyle imzaladığını kabul etmek hayatın olağan akışına aykırıdır. Hukukta buna "rızanın sakatlanması" denir. Kurul, işçinin rızasının gerçekten özgür olabilmesi için işverenin ona alternatif bir yöntem sunmasını şart koşar.

C. "Son Çare" ve "Alternatif Yöntem" Sunma Zorunluluğu

İşveren, giriş çıkış takibini çalışanın parmak izini veya yüzünü taramadan; manyetik kart, şifre, mobil uygulama veya eski usul imza föyü gibi biyometrik olmayan alternatif yöntemlerle pekala yapabilir. Biyometrik veri işleme, ancak ve ancak işyerinde çok yüksek bir güvenlik ihtiyacı (örneğin bir nükleer santral odası, kripto veri merkezi veya gizli silah deposunun korunması gibi) varsa ve bu güvenlik başka hiçbir yöntemle sağlanamıyorsa "son çare" (ultima ratio) olarak uygulanabilir. Sıradan bir ofiste, fabrikada veya şubede mesai takibi için parmak izi almak, sineği öldürmek için top atışı yapmaya benzer; ölçüsüzdür.

5. Gizli Kamera Kullanımı ve "Aydınlatma Yükümlülüğü" İhlali

Bir işyerinde ne amaçla olursa olsun, işçilerin haberi olmaksızın gizli kamera (iğne delikli kamera, duman dedektörüne gizlenmiş lensler vb.) yerleştirilmesi, hukuk devletinde kabul edilemez ağır bir kişilik hakları ihlalidir.

A. Aydınlatma Metni ve Uyarı Levhaları Zorunluluğu

KVKK m. 10 uyarınca işveren, işyerinde kamera ile izleme yapmaya başlamadan önce tüm çalışanları ve işyerine giren ziyaretçileri açıkça bilgilendirmekle yükümlüdür. Bu bilgilendirme şu adımlarla yapılmalıdır:

1. Fiziksel Uyarı: İşyerinin girişine ve kameraların bulunduğu alanlara göze çarpacak şekilde "Bu işyeri 7/24 kamera ile izlenmektedir" ibareli kamera ikonlu tabelalar asılmalıdır.

2. Katmanlı Aydınlatma Metni: Çalışanlara, bu kameraların hangi hukuki sebebe dayandığı, verilerin kimlere aktarılabileceği, ne kadar süreyle (yargı pratiğinde genellikle 1 ila 6 ay arası) saklanacağı ve imha politikalarını içeren detaylı bir "Kamera Kayıtları Aydınlatma Metni" tebliğ edilmeli ve ıslak imza/dijital onay ile kayıt altına alınmalıdır.

B. İstisnai Durum: Suçun Önlenmesi ve Soruşturulması

Gizli kamera kullanımının tek istisnası KVKK m. 28/2-b maddesinde saklıdır. İşyerinde süregelen bir hırsızlık, sabotaj veya suç şüphesi varsa ve bu durumun adli makamlarca tespiti için başka bir yol bulunmuyorsa, sadece suç mahalline yönelik, sınırlı süreli ve adli makamların bilgisi/talimatı dahilinde gizli izleme yapılabilir. Bu istisna dışında, "İşçileri iş başında gizlice izleyip açıklarını yakalayayım" düşüncesiyle yapılan her gizli izleme hukuken suçtur.

6. İş Hukuku, Yargıtay ve Ceza Hukuku Boyutunda Yaptırımlar

Hukuka aykırı şekilde (aydınlatmasız, ölçüsüz, sesli veya biyometrik yöntemlerle) toplanan veriler, işverenler için çok ağır hukuki, idari ve cezai yaptırımların fitilini ateşler.

A. KVKK İdari Para Cezaları

Aydınlatma yükümlülüğünü yerine getirmeyen, ölçülülük ilkesini çiğneyen veya işçinin parmak izini hukuka aykırı işleyen veri sorumlusu işverenlere karşı Kişisel Verileri Koruma Kurulu tarafından her yıl güncellenen oranlarda milyonlarca liraya varan ağır idari para cezaları uygulanmaktadır. Ayrıca Kurul, söz konusu sistemlerin derhal sökülmesine ve toplanan verilerin geri döndürülemez şekilde imha edilmesine karar verir.

B. İş Sözleşmesinin İşçi Tarafından Haklı Nedenle Feshi

İşyerinde hukuka aykırı kameralarla, ortam dinlemeleriyle veya parmak izi dayatmalarıyla mahremiyeti ihlal edilen işçi, bu durumu haklı bir ayrılık gerekçesi yapabilir. İşçi, İş Kanunu m. 24/II-f (Çalışma şartlarının uygulanmaması ve aleyhe esaslı değişiklik) ile TBK m. 417 (İşçinin kişiliğinin korunması borcuna aykırılık) uyarınca iş sözleşmesini derhal tek taraflı feshederek kıdem tazminatını ve diğer işçilik alacaklarını işverenden talep etme hakkına kavuşur.

C. Ceza Hukuku Boyutu (Hapis Cezası Riski)

Hukuka aykırı dijital gözetim, sadece iş hukukunu değil, Türk Ceza Kanunu’nu (TCK) da doğrudan ilgilendirir. İşçilerin mahrem alanlarına kamera koyan, ortamlarını gizlice dinleyen veya verileri hukuka aykırı yollarla kaydeden işveren ve yöneticiler;

• TCK m. 134: Özel hayatın gizliliğini ihlal suçu,

• TCK m. 135: Kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu kapsamında 1 yıldan 3 yıla (nitelikli hallerde daha fazla) kadar hapis cezası istemiyle Asliye Ceza Mahkemelerinde yargılanırlar. Nitekim yerleşik ceza içtihatlarında, soyunma odalarına veya tuvalet önlerine gizli kamera yerleştiren kurumsal yöneticilere verilen hapis cezaları Yargıtay tarafından onanmaktadır.

D. Geçersiz Delil Akıbeti

İşverenin, hukuka aykırı olarak elde ettiği kamera kayıtlarına veya ses verilerine dayanarak bir işçiyi işten çıkarması (örneğin hakaret ettiğini sesli kameradan duyup kovması) mahkemeler tarafından geçerli kabul edilmez. Hukuka aykırı deliller, hukuk yargılamasında hükme esas alınamayacağı için (Anayasa m. 38/6), işveren haklı olduğunu bu kayıtlarla ispat edemez ve açılan işe iade davalarını veya tazminat davalarını kaybetmeye mahkum olur.

7. Danıştay ve AYM Kararları ile Yüksek Yargı Perspektifinden Vaka Analizleri

• Vaka Analizi 1: Kamu Hastanesinde Parmak İzi ile Mesai Takibi ve Hukuki Güvence Eksikliği

Danıştay Kararı - 5. D., E. 2013/5342 K. 2013/9525 T. 10.12.2013

Olay: Konya Eğitim ve Araştırma Hastanesi Başhekimliği, çalışanların mesaiye devam durumlarını denetlemek amacıyla kurumsal bir karar alarak hastane bünyesinde "parmak izi tarama sistemi" üzerinden mesai kontrolü uygulaması başlatmıştır. Sağlık ve Sosyal Hizmet Emekçileri Sendikası, bu uygulamanın anayasal hakları ve mahremiyeti ihlal ettiği gerekçesiyle sonlandırılmasını talep ederek başhekimliğe başvurmuştur. Başhekimliğin bu talebi reddetmesi üzerine sendika, ret işleminin iptali istemiyle idari yargıda dava açmıştır.

İlk derece mahkemesi sıfatıyla davaya bakan Konya 1. İdare Mahkemesi; kamu görevlilerinin mesai saatlerine uymakla yükümlü olduğunu, idarenin daha önce denediği kart okutma sisteminden verim alamadığı için bu elverişli yöntemi seçtiğini ve personelin bu sistemi seçmesi konusunda katı bir zorunluluk getirilmediğini belirterek davayı reddetmiştir (idare lehine karar). Sendika vekili, uygulamanın yasal dayanağının bulunmadığını ve insan haklarına aykırı olduğundan bahisle dava konusu işleminin hukuka aykırı olduğunu ileri sürerek kararı temyiz etmiştir.

Hukuki Değerlendirme: Danıştay 5. Dairesi, idare mahkemesinin ret kararını baştan aşağı sarsacak ve Türk bilişim/veri hukuku literatürüne altın harflerle geçecek şu anayasal ve uluslararası tespitleri yapmıştır:

• Kamusal Alanda Mahremiyet Korunur: Kamu görevlilerinin mesai takibi amacıyla parmak izlerinin taranması, kamusal alanda gerçekleşmiş olsa dahi doğrudan Anayasa m. 20 ve Avrupa İnsan Hakları Sözleşmesi (AİHS) m. 8 kapsamında "özel hayatın gizliliği" ve "kişisel verilerin işlenmesi" koruması altındadır. İdare, kamusal alan argümanının arkasına sığınarak personelin biyometrik bütünlüğüne müdahale edemez.

• Kanunilik İlkesi ve Yasal Dayanak Mecburiyeti: Anayasa m. 13 uyarınca temel hak ve hürriyetler özlerine dokunulmaksızın ancak ve ancak kanunla sınırlanabilir. 657 sayılı Devlet Memurları Kanunu idareye çalışma saatlerini belirleme yetkisi verse de, mesai takibinin biyometrik verilerin toplanması gibi hassas yöntemlerle yapılabilmesine izin veren, bu uygulamanın sınırlarını, usul ve esaslarını gösteren açık ve ayrıntılı bir yasal düzenleme hukuk sistemimizde mevcut değildir.

• Ölçülülük ve Amaç-Araç Orantısızlığı: İdarenin kamu hizmetinin etkin yürütülmesini sağlama amacı (kamu yararı) ile seçtiği yöntem (parmak izi tarama) arasında adil bir orantı bulunmamaktadır. Bu durum anayasal "ölçülülük ilkesine" açıkça aykırılık teşkil etmektedir.

• Güvence ve Gelecek Riski Eksikliği: En kritik dönemeç burasıdır; idare tarafından toplanan ve geri döndürülemez nitelikte olan biyometrik parmak izi verilerinin ileride başka bir amaçla kullanılmayacağına, veri tabanlarının güvenliğine veya imha politikalarına dair çalışanlara yönelik hiçbir yasal güvence ve mekanizma sunulmamıştır.

Danıştay’ın Kararı: Danıştay Beşinci Dairesi, anayasal ilkeler ve uluslararası mahremiyet sözleşmeleriyle bağdaşmayan bu idari uygulamanın hukuka aykırı olduğuna hükmetmiş; yerel idare mahkemesinin ret kararını oy çokluğuyla BOZMUŞTUR. Bu kararla birlikte kamu kurumlarında parmak iziyle mesai takibi yapılamayacağı ilkesi KVKK henüz yürürlükte değilken tescillenmiştir.

Bu karar bize şunu söylüyor: "İşverenlerin veya idarecilerin 'İşçiler kartı birbirinin yerine basıyor, suistimali önleyemiyoruz, parmak izi en kesin çözüm' şeklindeki pratik ve operasyonel savunmaları, anayasal mahremiyet duvarına çarparak yıkılmaya mahkumdur. Parmak iziniz, şifre gibi değiştirilemeyen, siber ortamda çalındığında ömür boyu adınıza risk yaratan 'özel nitelikli' bir kaledir. 2026 yılı yapay zekalı denetim dünyasında dahi bu kararın altın kuralı sarsılmazdır: Hak haklı bir amaca (mesai takibine) dayansa bile, seçilen araç (biyometrik veri) ölçüsüzse ve toplanan verinin geleceğine dair net, siber güvenliği tescilli yasal bir güvence yoksa o sistem hukuka aykırıdır. Kamuda ya da özel sektörde, yasal sınırlar ve rıza kriterleri tam olarak sağlanmadan parmak izinizi almaya kalkan her kurum, doğrudan anayasal bir ihlalin sorumlusudur."

• Vaka Analizi 2: Kurumsal E-Posta Hesabının İşveren Tarafından İncelenmesi, Sözleşmesel Bildirim ve Rıza Şartı

Anayasa Mahkemesi Kararı - 1. B., B. 2018/31036 T. 12.1.2021

Olay: Özel bir bankada 2007 yılından bu yana müşteri ilişkileri yönetmeni olarak görev yapan başvurucu işçi hakkında, eşinin üzerine kayıtlı ticari bir işletmede mesai saatleri içinde aktif olarak çalıştığı ve ticari faaliyette bulunduğu iddiasıyla banka müfettişleri tarafından bir soruşturma başlatılmıştır. Yapılan müfettiş incelemesi kapsamında, başvurucuya tahsis edilen kurumsal e-posta hesabı geriye dönük olarak taranmış ve incelenmiştir. Soruşturma raporunda; işçinin kurumsal e-posta adresi üzerinden eşinin şirketine ait muhasebe kayıtlarını, ödeme belgelerini ve stok takip formlarını gönderdiği, başka bankalarla eşinin şirketi adına kredi pazarlığı yürüterek kredi başvurularında bulunduğu saptanmıştır. Ayrıca işçinin kişisel e-posta adresinden kurumsal e-posta adresine bu şirkete ait ticari dokümanları transfer ettiği ve gün içinde eşinin banka hesaplarını sıkça görüntülediği tespit edilmiştir.

Müfettiş soruşturmasında yazılı savunması alınan işçi; eşiyle birlikte açtıkları işyerinin zarar etmemesi ve düzene sokulması amacıyla mesai saatleri içinde bu işlemleri kendi gözetiminde yürüttüğünü, bu durumun zaman zaman iş performansını olumsuz etkilediğini ve amacının işyerini zarar etmeden devretmek olduğunu beyan ederek iddiaları ikrar etmiştir. Banka yönetimi, bu rapor ve ikrar doğrultusunda, işçinin banka çalışma ilkelerine aykırı şekilde kendi nam ve hesabına ticari faaliyette bulunduğunu, asli görevini ihmal ederek şube içinde olumsuzluklara sebebiyet verdiğini belirterek iş sözleşmesini 4857 sayılı İş Kanunu’nun 17. ve 18. maddeleri uyarınca geçerli nedenle feshetmiştir.

İşçi, feshin haksız ve bahanelere dayalı olduğunu ileri sürerek Amasya İş Mahkemesinde işe iade davası açmıştır. Yargılama sürecinde işçi, kurumsal e-posta hesabının işveren tarafından izinsizce ve gizlice incelenmesinin "özel hayatın gizliliğini" ihlal ettiğini, bu yolla elde edilen e-posta içeriklerinin hukuka aykırı delil niteliğinde olduğunu ve mahkemece hükme esas alınamayacağını savunmuştur. İş mahkemesi ise iş sözleşmesini, müfettiş raporunu, tanık beyanlarını ve işçinin kendi ikrarını birlikte değerlendirerek, mesai saatleri içinde gelir getirici başka işlerle ilgilenilmesinin iş ilişkisindeki doğruluk ve bağlılık kuralını (sadakat borcunu) temelden sarstığına hükmetmiş ve davanın reddine karar vermiştir. İstinaf başvurusunun da Bölge Adliye Mahkemesi tarafından kesin olarak reddedilmesi üzerine işçi, özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiğini belirterek Anayasa Mahkemesine bireysel başvuruda bulunmuştur.

Hukuki Değerlendirme: Anayasa Mahkemesi bu başvuru kapsamında, iş hukukunda işverenin yönetim hakkı ile işçinin anayasal hakları arasındaki hassas dengeyi ameliyat titizliğiyle incelemiş ve çalışanların dijital iletişim araçlarının denetlenmesine yönelik 6 altın kriter (pozitif yükümlülük testi) belirlemiştir. AYM’nin somut olay üzerinden yaptığı derinlemesine hukuki analiz ve denetim şu şekildedir:

• İşverenin Denetim Yetkisinin Sınırları ve Meşru Gerekçe: AYM, işverenin bilgi akışını kontrol etmek, bilgi güvenliğini sağlamak, verimliliği ölçmek veya hukuki/cezai sorumluluklara karşı korunmak amacıyla işçinin kullanımına sunduğu iletişim araçlarını kural olarak denetleyebileceğini ve sınırlayabileceğini kabul etmiştir. Somut olayda veri sorumlusu işverenin, kurumsal olarak finans ve güven sektöründe faaliyet gösteren büyük ölçekli bir banka olduğu gözetildiğinde, işlerin etkin yürütülmesi ve risklerin önlenmesi adına kurumsal e-postaları denetleme yetkisinin meşru bir gerekçeye dayandığı saptanmıştır.

• Şeffaflık ve Önceden Bilgilendirme (Rıza Küpü): AYM’ye göre, demokratik bir toplumda iletişimin denetlenmesi sürecinin en hayati unsuru şeffaflıktır. İşveren, denetimin hukuki dayanağını, amacını, kapsamını ve doğuracağı sonuçları işçiye önceden bildirmelidir. Eğer işçiye böyle bir bilgilendirme yapılmamışsa, işçi kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğine dair "makul ve haklı bir beklenti" içinde olur ve bu durumda yapılan gizli incelemeler hak ihlali doğurur. Ancak somut olayda taraflar arasında imzalanan İş Sözleşmesi'nin 6. maddesinde; kurumsal e-postanın sadece iş amaçlı kullanılacağı ve banka yönetimi tarafından haber verilmeksizin her zaman denetlenebileceği, işçinin de bu şartı bilerek ve imzalayarak peşinen kabul ettiği (rıza gösterdiği) net bir şekilde yer almaktadır.

• Gereklilik, Ölçülülük ve Amaca Uygunluk Sınırı: İşverenin denetim faaliyeti, ulaşılmak istenen amaçla sınırlı kalmalı ve işçinin haklarına en az müdahale eden yöntemle (son çare ilkesiyle) yürütülmelidir. Banka yönetiminin, işçinin kurumsal e-posta hesabındaki tüm yazışmaları rastgele ve keyfi olarak değil; sadece işçinin başka bir işte çalıştığı yönündeki somut iddiayı tahkik etmek amacıyla, bu konuyla sınırlı mesajlar üzerinde yürüttüğü saptanmıştır. Elde edilen veriler başka hiçbir amaçla kullanılmamış, sadece soruşturma ve yargı sürecinde delil olarak sunulmuştur. Bu durum, müdahalenin ölçülü ve amaca uygun olduğunu kanıtlamaktadır.

• Yargılamanın Bütünlüğü ve Gerekçe Kalitesi: Derece mahkemelerinin yargılama yaparken sadece bu e-posta kayıtlarına dayanarak kestirme bir hüküm kurmadığı; tanık anlatımlarını, işçinin baskı altında alındığını iddia ettiği ancak aksini kanıtlayamadığı yazılı ikrarını ve diğer kurumsal belgeleri bir bütün halinde tartışarak "ilgili ve yeterli bir gerekçe" ürettiği görülmüştür.

Anayasa Mahkemesi’nin Kararı: Anayasa Mahkemesi, özel hukuk iş ilişkisinden doğan bu uyuşmazlıkta derece mahkemelerinin işçi ve işverenin çatışan çıkarları arasında adil bir denge kurduğunu, işverenin müdahalesinin sözleşmesel rızaya, meşru amaca dayandığını ve ölçülü olduğunu saptamıştır. Yüksek Mahkeme, devletin yargısal altyapı oluşturma ve usuli güvenceleri sağlama yönündeki pozitif yükümlülüklerini yerine getirdiğine hükmederek, başvurucunun Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkı ile Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin İHLAL EDİLMEDİĞİNE OY BİRLEŞİĞİYLE karar vermiştir.

Bu karar bize şunu söylüyor: "Patronunuzun size tahsis ettiği bilgisayar ve kurumsal e-posta adresi şirketin demirbaşıdır; ancak bu durum, patronun sizin e-postalarınızı keyfi olarak geriye dönük casus gibi didik didik edebileceği anlamına gelmez. İşyerinde anayasal haklarınız ve mahremiyet beklentiniz devam eder. Ancak, eğer işe başlarken imzaladığınız iş sözleşmesinde veya kurumsal yönetmeliklerde 'Bu e-posta sadece iş amaçlıdır, yönetim tarafından haber verilmeksizin denetlenebilir' yazıyorsa ve siz buna imza attıysanız, hukuken 'makul mahremiyet beklentiniz' sona ermiş demektir. 2026 yılı yapay zekalı kurumsal denetim ve KVKK dünyasında bu kararın bıraktığı en net ders şudur: Şirket maillerini kişisel işleriniz, harici ticari faaliyetleriniz veya özel hayatınız için bir kalkan olarak kullanmayın. Sözleşmede denetim yetkisi açıkça belirtilmişse, işveren o mailleri inceleyerek yaptığınız kural ihlallerini (başka işte çalışma, sadakatsizlik vb.) mahkeme önünde geçerli birer delil olarak önünüze koyabilir. Unutmayın; dijital izler, sözleşmesel rıza ile birleştiğinde işverenin elindeki en meşru ve sarsılmaz hukuki silaha dönüşür."

• Vaka Analizi 3: Parmak İzi Tarama Sisteminde Israr Eden Yerel Mahkemeye Karşı Üst Kurul Seti ve "Rıza Alınsa Dahi Hukuka Aykırılık" İlkesi

Danıştay Kararı - İDDK, E. 2014/2242 K. 2015/4991 T. 9.12.2015

Olay: Konya Eğitim ve Araştırma Hastanesinde daha önce denenen klasik kart okutma ve imza yöntemlerinde suistimaller yaşandığı gerekçesiyle idare tarafından personelin mesai takibini yapmak üzere "parmak izi tarama sistemi" entegre edilmiştir. Yetkili Sağlık Sendikası, bu biyometrik veri toplama uygulamasının anayasal hakları çiğnediğini belirterek uygulamanın kaldırılması için başhekimliğe başvurmuştur. Başhekimlik başvuruyu reddedince sendika iptal davası açmıştır. Konya 1. İdare Mahkemesi, idarenin mesaiyi denetleme hakkı olduğunu savunarak davayı reddetmiştir.

Bu karar, Danıştay 5. Dairesi tarafından "Yasal dayanak yok, toplanan verilerin geleceğine dair güvence bulunmuyor" gerekçesiyle bozulmuştur. Ancak ilk derece idare mahkemesi, yüksek mahkemenin bu bozma kararına direnmeyi seçerek davanın reddi yönündeki ilk kararında ısrar (direnme) kararı vermiştir. Bunun üzerine sendika vekili, idare mahkemesinin ısrar kararını temyiz ederek dosyayı idari yargının en üst yürütme ve karar organı olan Danıştay İdari Dava Daireleri Kurulu (İDDK) önüne taşımıştır.

Hukuki Değerlendirme: Danıştay İdari Dava Daireleri Kurulu, yerel mahkemenin kurumsal ısrarına karşı, 2026 yılının modern KVKK ekosistemine ve biyometrik veri işleme rehberlerine kurucu omurga oluşturan çok katı ve öğretici hukuki saptamalarda bulunmuştur:

• İnsan Onuru ve Kişiliği Geliştirme Hakkı: İDDK, kişisel verilerin korunması hakkını sıradan bir bürokratik prosedür olarak değil; bizzat "insan onurunun korunması ve bireyin kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi" olarak tanımlamıştır. Bu tespit, biyometrik verilere müdahalenin doğrudan insanın öz varlığına yapılmış bir müdahale olduğunu tesciller.

• Rıza Alınsa Dahi Hukuka Aykırılık Radikalliği: Kararın en devrimci, en ezber bozan ve akademik olarak mutlaka incelenmesi gereken cümlesi şudur: "Kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir idarenin, kişinin rızasını alsa dahi bu konudaki işleminin hukuka uygunluğundan söz etmek olanaklı olmayacaktır." Yüksek kurul bu hamlesiyle, idare ile çalışan arasındaki asimetrik güç ilişkisinde rıza kurumunun tek başına bir meşrulaştırma aracı olamayacağını, öncelikle anayasal ve yasal bir dayanağın şart olduğunu açıkça ilan etmiştir.  

• Uluslararası Sözleşmelerin Üstünlüğü (Anayasa m. 90): Kurul; Anayasa m. 13 ve 20'nin yanı sıra, Avrupa İnsan Hakları Sözleşmesi'nin (AİHS) 8. maddesini ve BM Medeni ve Siyasi Haklar Sözleşmesi'nin 17. maddesini kararına doğrudan dayanak yapmıştır. Kamu düzeni ve milli güvenlik gibi sınırlı istisnalar haricinde, sıradan bir mesai denetimi için yasal mevzuat sınırları çizilmeden bu hakların özüne dokunulamayacağı vurgulanmıştır.

Danıştay’ın Kararı: Danıştay İdari Dava Daireleri Kurulu, Konya 1. İdare Mahkemesinin parmak izi sistemini haklı bulan ısrar kararını kesin olarak BOZMUŞTUR. Bu tarihi üst kurul kararıyla birlikte, idari yargıda alt mahkemelerin biyometrik veri gözetimi konusundaki direnme ısrarı kesilmiş ve parmak iziyle mesai takibi yasağı sarsılmaz bir içtihat haline gelmiştir.

Bu karar bize şunu söylüyor: "Eğer bir idare veya şirket yöneticisi size 'Bizim teknolojik altyapımız çok gelişti, parmak izinizi en güvenli sunucularda saklıyoruz, üstelik form imzalatarak rızanızı da aldık, kart okutma işe yaramıyor' diyorsa, elinizde idari yargının en sarsılmaz en üst yargı kalkanı var demektir. Danıştay İDDK net bir şekilde kapıyı kapatmıştır: Kanunun açıkça çizmediği, sınırlarını belirlemediği bir biyometrik denetim alanında işçinin/memurun rızası olsa dahi o sistem çöpe atılmaya mahkumdur. Kimse kendi rızasıyla anayasal insan onuru hakkını işverene teslim edemez. 2026 yılı hak arama stratejinizde bu karardan alacağınız en büyük ders; suistimalleri önleme gerekçesinin, insan onurundan türeyen biyometrik mahremiyet hakkının önüne asla geçemeyeceğidir. Üst mahkemelerin bu katı duruşu, dijitalleşen kurumsal hayatta keyfi veri avcılığına karşı örülmüş en güçlü settir."

• Vaka Analizi 4: Yüz Tanıma Sisteminde "Sayısal Kod" Savunmasının Çöküşü ve Biyometrik Verilerin Geometrik Sınırı

Danıştay Kararı - 11. D., E. 2017/816 K. 2017/4906 T. 13.6.2017

Olay: Bir belediye idaresi, vardiyalı çalışma sistemine sahip olan ve coğrafi/fiziksel konumu nedeniyle personelin giriş-çıkış takibinde, denetiminde güçlükler yaşanan "Toptancı Hali" biriminde görevli personelin mesai kontrolünü sağlamak amacıyla "yüz tarama sistemi" uygulaması başlatmıştır. İlgili kamu sendikası, yüzün belirli referans noktalarının alınarak sisteme işlenmesine dayanan bu uygulamanın anayasal hakları ve mahremiyeti zedelediğini ileri sürerek uygulamanın sonlandırılması talebiyle idareye başvurmuştur. İdarenin bu talebi reddetmesi üzerine sendika, ret işleminin iptali istemiyle idari yargıda dava açmıştır.

İlk derece mahkemesi sıfatıyla davayı inceleyen İstanbul 6. İdare Mahkemesi; belediyenin bu biyometrik sistemi tüm birimlerinde değil, sadece denetim zafiyeti ve vardiya düzensizliği yaşanan "hal" biriminde operasyonel bir zorunlulukla uyguladığını saptamıştır. Mahkeme ayrıca teknolojik bir yorumda bulunarak; yüz tanıma sisteminin personelin doğrudan fotoğrafını/görüntüsünü ham bir imaj dosyası olarak saklamadığını, yüz geometrisini şifrelenmiş sayısal kodlara (biyometrik şablonlara) çevirerek veri tabanında eşleştirme mantığıyla çalıştığını, dolayısıyla bu işlemin klasik bir "kişisel veri kaydetme" faaliyeti olarak nitelendirilemeyeceğini gerekçe göstererek davayı reddetmiştir (idare lehine karar). Sendika, bu kararın hukuka aykırı olduğunu belirterek kararı temyiz etmiştir.

Hukuki Değerlendirme: Danıştay 11. Dairesi, ilk derece mahkemesinin teknolojik argümanlarla bezeli ret gerekçesini siber-hukuk felsefesi açısından çürüterek, günümüz KVKK ve Kurul kararlarının en temel prensiplerinden birini şu tespitlerle inşa etmiştir:

• "Sayısal Kod" Savunmasının Reddi: Yüksek mahkeme, ilk derece mahkemesinin "Görüntü saklanmıyor, sadece sayısal koda dönüştürülüyor, o yüzden veri kaydı değildir" şeklindeki teknik savunmasını hukuken geçersiz saymıştır. Yüzün belirli referans noktalarının alınarak sisteme işlenmesi, bu veri algoritmasının sisteme kaydedilmesi ve her geçişte o esnada alınan anlık veriyle karşılaştırılması eylemi, biçimi ne olursa olsun niteliği itibarıyla doğrudan kişisel veri işleme ve kaydetme faaliyetidir. Kodlama, verinin "biyometrik niteliğini" ve kimliği belirlenebilir kılma gücünü ortadan kaldırmaz.

• Vardiya ve Denetim Güçlüğü Mazeret Olamaz: İdarenin toptancı halinin fiziki yapısını, personelin kontrol edilmesindeki zorlukları ve vardiya karmaşasını birer "zorunluluk mazereti" olarak sunması ölçülülük ilkesi kapsamında kabul görmemiştir. İdari güçlükler, anayasal temel hakların özünü zedeleyen biyometrik veri avcılığının meşru birer yakıtı olamaz.

• Yasal Dayanak ve Güvence Bariyeri: Anayasa’nın 13. ve 20. maddeleri ile uluslararası insan hakları sözleşmelerine (AİHS m. 8, BM Medeni ve Siyasi Haklar Sözleşmesi m. 17) atıf yapan Danıştay; yüz tanıma yoluyla mesai takibi yapılabilmesini öngören, bu uygulamanın sınırlarını, kapsamını ve denetim usullerini gösteren hiçbir yasal mevzuat hükmünün bulunmadığını vurgulamıştır. Toplanan bu biyometrik şablonların ileride başka sistemlerde (örneğin kamusal alan takibinde, profil oluşturmada) kullanılmayacağına dair hiçbir hukuki güvencenin bulunmaması işlemi tamamen kusurlu hale getirmektedir.

Danıştay’ın Kararı: Danıştay 11. Dairesi, toptancı halindeki personelin yüzünü tarayarak mesai kontrolü yapan idari uygulamayı anayasal ilkelerle bağdaşmaz bulmuş; dava konusu işlemi hukuka uygun sayan yerel idare mahkemesinin davanın reddi yönündeki kararını OY BİRLİĞİYLE BOZMUŞTUR.

Bu karar bize şunu söylüyor: "İster kamu kurumu olun ister özel sektör holdingi, yazılım firmalarının veya entegratörlerin 'Efendim bu cihazlar KVKK uyumludur, çünkü personelin fotoğrafını sunucuya kaydetmiyor, sadece matematiksel koda çeviriyor, dolayısıyla kişisel veri ihlali sayılmaz' şeklindeki teknik pazarlama stratejileri, yüksek mahkeme duvarına toslamaya mahkumdur. Yargı, cihazın veriyi arka planda nasıl sakladığına değil, o verinin insanın benzersiz ve değiştirilemez biyometrik bütünlüğünden koparılıp koparılmadığına bakar. 2026 yılı yapay zeka ve yüz tanıma sistemleri çağında bu kararın pratik rehberliği şudur: Bir şubede, fabrikada veya depoda 'Vardiyalar çok karışık, personeli takip edemiyoruz, kart basıp kaçıyorlar' diyerek işçilerin yüzünü taratamazsınız. İdari denetim zafiyetleri, çalışanın yüzünü birer kurumsal şifreye dönüştürmenizin gerekçesi olamaz. Yasal dayanağı olmayan ve alternatifi varken (kart, imza, mobil şifre vb.) doğrudan yüz geometrisini hedef alan her türlü yazılımsal dayatma, milyonlarca liralık idari para cezalarının ve işçiye tazminatlı haklı fesih hakkı kazandıran ağır birer anayasal ihlalidir."

• Vaka Analizi 5: Stratejik Altyapılarda Avuç İçi Damar Tarama Sistemi ile PDKS ve "Kartta Şifreli Tutma" Savunmasının Çöküşü

Danıştay Kararı - 12. D., E. 2021/3870 K. 2023/2548 T. 16.5.2023

Olay: Türkiye’nin elektrik enerjisi iletim ağını işleten stratejik öneme haiz kamu iktisadi teşebbüsü Türkiye Elektrik İletim A.Ş. (TEİAŞ) Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığı, taşra teşkilatında yer alan 22 Bölge Müdürlüğü, 9 Yük Tevzi İşletme Müdürlüğü ve bunlara bağlı tüm iş yerlerinde görev yapan memur, sözleşmeli ve hizmet alımı kapsamındaki tüm personelin takibi için "avuç içi damar okuyucu tanımlamalı" Personel Devam Kontrol Sistemi (PDKS) kurulmasına karar vermiştir. İdare, yayınladığı talimatlarla tüm personelin avuç içi damar izini taratarak yeni akıllı kimlik kartlarına bu veriyi işletmesini, haklı ve belgelenebilir bir mazereti olmaksızın bu entegrasyonu yaptırmayan ve kartını teslim almayan personel hakkında gerekli disiplin işlemlerinin başlatılacağını ilan etmiştir. Bunun üzerine ilgili kamu sendikası, personelin özel nitelikli kişisel verilerinin zorla toplanmaya çalışıldığını, disiplin tehdidi altında "açık rızadan" bahsedilemeyeceğini ileri sürerek uygulamanın iptali istemiyle doğrudan Danıştay’da dava açmıştır.

Davalı TEİAŞ Genel Müdürlüğü savunmasında; yürüttükleri hizmetin niteliği gereği fiziksel mekan, faaliyet ve yüksek kritik tesis güvenliğini sağlamayı amaçladıklarını beyan etmiştir. İdare ayrıca siber-hukuksal açıdan son derece kritik bir savunma mekanizması öne sürerek; personelin avuç içi damar izi verilerinin kurumun merkezi veri tabanında, sunucularında veya herhangi bir havuzda toplanmadığını, verilerin sadece ve sadece işçinin cebinde taşıdığı fiziki akıllı kimlik kartının çipi (chip) içinde şifreli (kriptolu) olarak muhafaza edildiğini, kart okutulduğunda eşleşmenin yerel olarak kart içinde yapıldığını, dolayısıyla ortada bir "veri havuzu oluşturma" veya "veri sızması" riski bulunmadığını, 8500'den fazla personelin bu sistemi kabul ettiğini savunarak davanın reddini istemiştir.

Hukuki Değerlendirme: Danıştay 12. Dairesi, gerek Danıştay Savcısının gerekse Tetkik Hakiminin mütalaaları doğrultusunda, veri koruma hukuku ve Avrupa Genel Veri Koruma Tüzüğü (GDPR) normlarına tam uyumlu, rehber niteliğinde şu evrensel ilkeleri ortaya koymuştur:

• Biyometrik Verinin Tanımı ve Değiştirilemez Doğası: Yüksek mahkeme, 6698 sayılı KVKK’da açık bir tanımı bulunmayan biyometrik veri kavramını, Avrupa Genel Veri Koruma Tüzüğü’ne (GDPR) atıf yaparak tanımlamıştır: "Bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden, fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin spesifik teknik işlemeden kaynaklanan veriler biyometrik veridir." Avuç içi damar izi de doğrudan fizyolojik bir bilgi içerdiğinden KVKK m. 6 kapsamında işlenmesi en sıkı şartlara bağlanan Özel Nitelikli Kişisel Veri statüsündedir.

• Açık Rıza Aşırı Veri Toplamayı Meşrulaştırmaz: Danıştay, Kişisel Verileri Koruma Kurulu’nun 01/12/2020 tarih ve 2020/915 sayılı ilke kararına atıfta bulunarak çok net bir sınır çizmiştir: Kişisel verilerin işlenmesi ilgili kişinin rızasına dayansa veya meşru bir amaca hizmet etse bile, açık rıza, işverene/idareye aşırı miktarda ve ölçüsüz veri toplama hakkı vermez. İşveren, veri işleme faaliyetinde her zaman "ölçülülük" ve "minimum düzeyde bilgi talep etme (verinin minimizasyonu)" ilkeleriyle bağlıdır.

• "Veriyi Kartın İçinde Saklama" Savunmasının Hukuki Geçersizliği: Yüksek yargı, TEİAŞ’ın "Veriyi merkezi sunucuda toplamıyoruz, sadece işçinin kendi kartındaki çipte şifreli tutuyoruz" şeklindeki gelişmiş teknik savunmasını hukuken mahkum etmiştir. Verinin nerede depolandığından (merkezi sunucu veya yerel çip) bağımsız olarak; kişinin benzersiz avuç içi yapısının teknik bir cihazla taranması, sayısal koda çevrilmesi ve bir eşleştirme işlemine tabi tutulmasının kendisi bizatihi KVKK m. 3 anlamında bir "kişisel veri işleme" faaliyetidir. Depolama yerinin yerel olması, işlemenin ölçüsüz olduğu gerçeğini değiştirmez.

• Zorlama ve Disiplin Tehdidi Altında Rıza Sakatlanır: İdarenin "Sistemi kurdurmayanlar hakkında disiplin soruşturması açılacaktır" yönündeki resmi yazısı, KVKK m. 3'te yer alan "özgür iradeyle açıklanan rıza" şartını tamamen ortadan kaldırmıştır. İş kaybetme, ceza alma veya disipline sevk edilme korkusu altında verilen muvafakatler hukuk düzeninde "Açık Rıza" olarak kabul edilemez.

• Stratejik Tesislerde Dahi "Tüm Birimleri Kapsayan" Ölçüsüzlük: TEİAŞ’ın ulusal elektrik güvenliği argümanına karşı Danıştay; yüksek güvenlik önlemi gerektiren çok özel kozmik odalar veya kumanda merkezleri bulunabileceğini kabul etmiş, ancak tüm taşra teşkilatını, idari binaları, büroları ve hizmet alımı personellerini ayırt etmeksizin topyekun "avuç içi taramasına" tabi tutmanın amacın gerektirdiği sınırı aştığına hükmetmiştir. Kurum, giriş çıkışları salgın döneminde olduğu gibi sıradan manyetik kartlarla (biyometrik olmayan yöntemlerle) sağlayabiliyorken biyometrik yönteme başvurması son çare ilkesine aykırıdır.

Danıştay’ın Kararı: Danıştay Onikinci Dairesi, TEİAŞ Genel Müdürlüğü tarafından yürürlüğe konulan avuç içi damar izi PDKS uygulamasının Anayasa'nın 20. maddesine, KVKK'nın 4. ve 6. maddelerine, AİHS m. 8'e ve ölçülülük ilkelerine açıkça aykırı olduğuna hükmederek, dava konusu idari işlemin OY BİRLİĞİYLE İPTALİNE karar vermiştir.

Bu karar bize şunu söylüyor: "Bir şirketin veya kamu kurumunun nükleer santral, enerji şebekesi veya ulusal güvenlik tesisi olması, orada çalışan temizlik görevlisinden tutun da büro memuruna kadar herkesin avuç içini zorla taratabileceği anlamına gelmez. Hele ki teknoloji şirketlerinin 'Veriler veri tabanına gitmiyor, tamamen personelin kendi kartındaki çipte şifreli kalıyor, siber sızıntı riski sıfır' diyerek sattığı PDKS sistemleri, Danıştay’ın bu emsal tokmak kararıyla hukuken boşa çıkmıştır. Yargı der ki: Veriyi nerede sakladığın beni ilgilendirmez; sen o biyometrik cihazın lazerini işçinin avuç içine tuttun mu, o eşsiz damar haritasını taradın mı, bitti; veri işlemiş sayılırsın ve bu yaptığın ölçüsüzdür. 2026 yılı kurumsal yönetim dünyasında bu karardan çıkarılacak en büyük ders; suistimali engelleme veya fiziksel güvenlik sağlama iddialarının, çalışana 'Ya avucunu tarat ya da disiplin cezası alırsın' şeklinde bir dayatmaya dönüşemeyeceğidir. Dijital kartlar, şifreler veya mobil uygulamalarla çözülebilecek her türlü mesai takibi sürecinde biyometrik veri kullanmak, arkasında siber-teknolojik hangi maske olursa olsun anayasal bir hak ihlalidir."

• Vaka Analizi 6: Orduevinde Kat Bakım Görevlisine Parmak İzi Dayatması ve Askeri Yargı Kararının Danıştay Tarafından İptali

Danıştay Kararı - 12. D., E. 2018/4535 K. 2022/633 T. 23.2.2022

Olay: Genelkurmay Başkanlığı Sıhhiye Orduevi Müdürlüğünde Yardımcı Hizmetler Sınıfı kapsamında "kat bakım görevlisi" (temizlik personeli) olarak görev yapan sivil memur, kurum tarafından mesai devam durumunun denetlenmesi ve personel yoklamasının yapılması amacıyla "parmak izi okuma sistemi" uygulamasına tabi tutulmuştur. Davacı çalışan, rızası dışında parmak izinin alınmasının ve bu biyometrik yöntemle mesai takibi yapılmasının anayasal haklarına aykırı olduğunu ileri sürerek, parmak izi kayıtlarının sistemden kalıcı olarak silinmesi ve uygulamanın sonlandırılması talebiyle 07/09/2015 tarihinde idari başvuruda bulunmuştur. Genelkurmay Başkanlığı Sıhhiye Orduevi Müdürlüğünün bu başvuruyu reddetmesi üzerine, davacı memur ret işleminin iptali istemiyle kapatılan dönemin Askeri Yüksek İdare Mahkemesinde (AYIM) dava açmıştır.

Davayı ilk derece mahkemesi sıfatıyla inceleyen Askeri Yüksek İdare Mahkemesi; orduevinden yararlanan askeri ve sivil kişilerin can ve mal güvenliğinin sağlanmasının, orduevinde görevli personelin asli sorumluluklarından biri olduğunu saptamıştır. AYIM; mesaiye gelen personelin gerçekten orduevi çalışanı olup olmadığının, taklidi veya sahtesi mümkün olmayan parmak izi kontrolü ile doğrulanmasında, askeri tesisin genel güvenliğinin temininde yüksek bir kamu yararı bulunduğunu, bu doğrultuda özel hayatın gizliliği ve kişisel verilerin korunması hakkına yapılan müdahalenin öngörülen askeri güvenlik amacıyla orantılı olduğunu, hakkın özüne dokunulmadığını ve demokratik toplum düzeninin gereklerine aykırılık teşkil etmediğini gerekçe göstererek davanın reddine karar vermiştir.

Türkiye Cumhuriyeti Anayasası'nda yapılan değişiklikle askeri yargının tamamen kaldırılması ve AYIM dosyalarının Danıştaya devredilmesi sürecinin ardından davacı vekili, AYIM'in bu ret kararına karşı karar düzeltme (ve temyiz) kanun yoluna başvurmuştur. Davacı işçi/memur dilekçesinde; parmak izi cihazına yalnızca kendisi gibi bir kısım sivil memurların parmak bastığını, subay ve astsubayların bu uygulamadan muaf tutulduğunu, bir kısım personelin ise cihazı sadece şifre yazarak kullandığını, dolayısıyla idarenin biyometrik veri toplamadan da şifre veya kart yöntemiyle mesai takibi yapabildiğini, uygulamanın eşitlik ve ölçülülük ilkelerini ağır şekilde çiğnediğini, hatta Genelkurmay Başkanlığı'nın kendi iç yazışmalarında bile açık rıza veya yasal düzenleme olmaksızın kışlalarda biyometrik geçiş yapılmasının hukuka aykırı olduğunu itiraf ettiğini belirterek kararın bozulmasını talep etmiştir.

Hukuki Değerlendirme: Danıştay 12. Dairesi, askeri mahkemenin "askeri güvenlik ve orduevi emniyeti" ambalajıyla meşrulaştırmaya çalıştığı ret kararını hukuk devleti ve veri koruma ilkeleri ışığında masaya yatırarak çok önemli dersler barındıran şu değerlendirmeleri yapmıştır:

• Askeri Güvenlik Argümanı Ölçüsüzlüğü Meşrulaştırmaz: Danıştay, orduevi gibi hassas askeri tesislerin korunması amacının meşru olduğunu kabul etmekle birlikte, yardımcı hizmetler sınıfındaki bir kat bakım personelinin işe giriş çıkışını denetlemek için taklidi imkansız parmak izi tarama yöntemine başvurulmasını amaç ile araç arasındaki adil dengenin kopması olarak yorumlamıştır. İdare, tesis güvenliğini biyometrik olmayan ve kişilik haklarına müdahale etmeyen alternatif yöntemlerle (kart, şifre, yüz yüze kimlik kontrolü) sağlayabiliyorken doğrudan parmak izine yönelmesi anayasal "ölçülülük ilkesini" açıkça ihlal etmektedir.

• Personel Arasında Ayrımcılık ve Keyfilik: Davacının iddialarından anlaşıldığı üzere, subay ve astsubay kadrolarının biyometrik denetimden muaf tutulup sadece belirli sivil memurların parmak izi vermeye zorlanması, uygulamanın nesnel ve mutlak bir güvenlik ihtiyacından ziyade, belirli bir çalışan grubuna yönelik keyfi bir idari denetim mekanizması (PDKS) olarak kurgulandığını göstermektedir. Güvenlik, çalışanlar arasında seçici bir ayrımcılık aracı yapılamaz.

• Teknik Olanakların Varlığı İdareyi Muaf Kılmaz: Danıştay, anayasal bir ilke olarak kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin yasa koyucu tarafından yasal mevzuatla düzenlenmesi gerektiğini hatırlatmıştır. Gerekli yasal altyapıya sahip olmayan bir idarenin, askeri üs veya orduevi yönetmesi, onun yasal mevzuat normlarının dışına çıkarak veri avcılığı yapmasına müsaade etmez. İdarenin parmak izi verilerini "sadece orduevinde görev yapılan sürece tutuyoruz, amaç dışı kullanımda TCK hükümleri var" şeklindeki savunması, yasal dayanak eksikliğini ortadan kaldıran hukuki bir güvence olarak kabul edilmemiştir.

Danıştay’ın Kararı: Danıştay Onikinci Dairesi, sivil memura orduevinde zorla parmak izi taraması yaptırılmasını anayasal ilkelere, KVKK m. 4 ve m. 6 hükümlerine ve uluslararası insan hakları sözleşmelerine (AİHS m. 8) aykırı bulmuştur. Yüksek Mahkeme, askeri mahkemenin parmak izi sistemini hukuka uygun bulan ilk kararını ortadan kaldırarak davacının KARAR DÜZELTME İSTEMİNİN KABULÜNE ve AYIM kararının BOZULMASINA OY ÇOKLUĞUYLA karar vermiştir.

Karşı Oy Gerekçesi: Karara muhalif kalan Danıştay üyesi, askeri yargının kaldırılması sürecindeki usul kurallarının derhal uygulanabilirliği ilkesi gereğince, dosyanın "karar düzeltme" olarak değil doğrudan "temyiz" hükümleri dairesinde incelenmesi gerektiği yönünde usuli bir muhalefet şerhi düşmüş, esas yönünden idarenin parmak izi uygulamasını haklı bulmamıştır.

Bu karar bize şunu söylüyor: "Girişinde yüksek güvenlik önlemleri olan bir askeri kışla, orduevi, polis merkezi veya stratejik bir fabrika olsanız dahi, oradaki personelin mesai devam durumunu kontrol etmek amacıyla parmak izini zorla taratamazsınız. Askeri disiplin ve tesis güvenliği argümanları, anayasal mahremiyet zırhını delebilecek sınırsız birer maymuncuk değildir. 2026 yılı kurumsal güvenlik ve veri hukuku standartlarında bu kararın net mesajı şudur: Eğer idare bir subaya, astsubaya veya üst düzey yöneticiye kartla ya da şifreyle geçiş imkanı tanıyıp, temizlik görevlisine, büro memuruna veya işçiye 'Sen parmak izini basmak zorundasın, yoksa disiplin cezası alırsın' diyorsa, orada güvenlik değil, açık bir yönetim hakkı kötüye kullanımı ve ölçüsüzlük var demektir. Hukuk, en korunaklı askeri tesislerde dahi personelin biyometrik verilerinin rızasız toplanmasını yasaklar. Unutmayın; amaca daha hafif bir müdahaleyle (şifre, kart veya mobil onay ile) ulaşmak mümkünse, biyometrik veriye el uzatmak doğrudan bozma ve iptal gerekçesidir."

8. Sonuç ve İş Yerleri İçin Stratejik KVKK Uyum Kılavuzu

İşyerlerinde kamera kayıtları ve biyometrik veri kullanımı, bir şirketin teknolojik vizyonunu yansıtabilir; ancak bu vizyon KVKK uyum süreçleriyle taçlandırılmadığı sürece işletmeler için birer hukuki ve ekonomik pime dönüşür. 2026 yılı çalışma hayatı normlarında işverenlerin dijitalleşirken cezalarla karşılaşmaması, çalışanların ise mahremiyet zırhını koruması için şu adımlar hayati önem taşımaktadır:

1. Biyometrik Sistemlerden Derhal Vazgeçin: Mesai takibi, kapı açma veya yemekhane kontrolü için yüz tanıma ve parmak izi kullanımını sonlandırın. Bunların yerine RFID kartlar, QR kodlar veya mobil şifreleme sistemleri gibi alternatif altyapıları entegre edin.

2. Kameraları Sadece "Güvenlik" Amacına Ayarlayın: Kameraların ses alma özelliklerini tamamen kapatın ve yazılımsal olarak mikrofonları deaktive edin. Kameraların açılarını, işçilerin masalarını kesintisiz izlemeyecek, sadece genel koridor ve giriş güvenliğini sağlayacak şekilde revize edin.

3. Aydınlatma Süreçlerini Kusursuzlaştırın: İşyerinin her köşesine uyarı tabelaları asın. Çalışanlara, haklarını ve verilerin saklanma sürelerini netçe gösteren katmanlı aydınlatma metinlerini tebliğ ederek dijital veya fiziksel imzalarını arşivleyin.

4. Veri Güvenliğini Sağlayın: Kamera kayıtlarının ve personel verilerinin tutulduğu sunucuları siber saldırılara karşı kriptolayın, erişim yetkilerini sadece belirli güvenlik personeliyle sınırlayın ve log kayıtlarını mutlak surette tutun.

Unutulmamalıdır ki; işçinin emeği ticarileştirilebilir bir değerdir, ancak onun mahremiyeti, kişisel verileri ve insan onuru asla devredilemez veya feda edilemez birer anayasal kaledir.

Hukuki Uyarı: İşyerlerinde kişisel verilerin işlenmesi, her şirketin organizasyon şemasına, fiziksel yapısına ve faaliyet gösterdiği sektöre göre kendine özgü riskler ve yasal şartlar barındırır. Dijital denetim mekanizmaları kurmadan veya bir veri ihlali iddiasıyla yasal süreç başlatmadan önce, telafi edilemez zararlarla karşılaşmamak adına mutlaka uzman bir bilişim ve iş hukuku avukatından profesyonel destek almanız önerilir.