Parmak İzi ile Mesai Takibi Danıştay 5. Daire Kararı (2013/5342 E. 2013/9525 K.) Ne Diyor?
Parmak iziyle kontrol yöntemi; mürekkep veya dijital tarayıcı ile parmak dokunuşunun görüntüsünün alınması ve ayırt edici özelliklerinin kaydedilmesini içeren biyometrik bir doğrulama yöntemidir. Bu tür yöntemler, pratikte “hızlı ve kesin” görünse de; özel hayatın gizliliği, ölçülülük ve veri güvenliği bakımından yüksek uyum riski barındırır.
Danıştay 5. Dairesinin 10.12.2013 tarihli kararında (2013/5342 E., 2013/9525 K.), kamusal bir kurumda personelin mesai takibinin parmak iziyle yapılması; özel hayat kapsamında değerlendirilmiş ve uygulamanın yasal dayanak ve kullanım güvenceleri bakımından sorunlu olduğu vurgulanmıştır. Bu içerikte kararın özünü, gerekçesini ve Türkiye’de kurumların (kamu/özel) pratikte nasıl bir yol haritası izleyebileceğini özetledik.
Karar: Danıştay 5. Daire 2013/5342 E., 2013/9525 K. (10.12.2013)
Konu: Personelin parmak izi tarama sistemiyle mesai takibi
Öne çıkanlar: Özel hayatın gizliliği, AİHS m.8, Anayasa m.13 ve m.20/3, ölçülülük ilkesi
Sonuç yaklaşımı: Uygulamanın sınırlarını belirleyen yasal dayanak ve verilerin başka amaçla kullanılmayacağına dair güvence yoksa hukuka uygunluk tartışmalı hale gelir.
Biyometrik veride “kolaylık” gerekçesi tek başına yeterli değildir; gereklilik ve orantılılık birlikte aranır.
1. Parmak İziyle Mesai Takibi Nedir?
Parmak iziyle mesai takibi; personelin giriş-çıkışlarının, parmak izi örüntüsünün alınması ve doğrulanması suretiyle kayıt altına alınmasıdır. Bu sistemler genellikle “kart okutma/şifre” gibi yöntemlere kıyasla daha az hataya açık olduğu iddiasıyla tercih edilir.
Ancak parmak izi, kişiyle doğrudan ve kalıcı şekilde ilişkilendirilebilen bir veri olduğundan, veri güvenliği ihlali halinde “geri alınabilir/yenilenebilir” bir unsur değildir. Bu nedenle biyometrik sistemler; kurumların Türkiye’de yürüttüğü KVKK uyum projelerinde en yüksek riskli veri işleme faaliyetleri arasında değerlendirilir.
Neden kritik bir konu?
- Mahremiyet etkisi yüksektir: Biyometrik veri, kişinin kimliğine doğrudan bağlıdır.
- Alternatifler çoğunlukla vardır: Kart, mobil uygulama, turnike-kart, vardiya çizelgesi, kamera (farklı riskleriyle) vb.
- İş ilişkisi “asimetrik”tir: Çalışan-işveren ilişkisinde rıza tartışmaları daha sık gündeme gelir.
- Hedef olur: Biyometrik veri setleri siber saldırılar açısından yüksek değere sahiptir.
2. Davanın Konusu ve Taraflar
İçtihada konu olayda; Konya Eğitim ve Araştırma Hastanesi bünyesinde parmak izi tarama sistemiyle mesai takibi uygulanmış, bu uygulamanın sonlandırılması talebiyle yapılan başvurunun reddi üzerine iptal davası açılmıştır.
| Başlık | Bilgi |
|---|---|
| Mahkeme / Daire | Danıştay 5. Daire |
| Esas / Karar | 2013/5342 E. – 2013/9525 K. |
| Karar Tarihi | 10.12.2013 |
| Davacı | Sağlık ve Sosyal Hizmet Emekçileri Sendikası |
| Davalı | Konya Valiliği |
| Konu | Personelin parmak izi tarama sistemiyle mesai takibi uygulaması |
İlk derece mahkemesi; kurumun mesai takibi amacıyla parmak izi sistemine geçmesini hukuka aykırı bulmamış; ancak Danıştay incelemesinde, yöntemin özel hayatın gizliliği kapsamındaki etkisi ve yasal dayanak / güvence eksikliği üzerinden farklı bir değerlendirme yapılmıştır.
3. Danıştay’ın Hukuki Dayanakları (Anayasa & AİHS)
Kararda, parmak iziyle mesai takibinin kamusal alanda uygulanıyor olsa dahi özel hayatın gizliliği kapsamında değerlendirilmesi gerektiği vurgulanmış; temel dayanaklar olarak Anayasa ve uluslararası sözleşme hükümlerine atıf yapılmıştır.
Anayasa
- Anayasa m.12: Temel hak ve özgürlüklerin dokunulmaz niteliği.
- Anayasa m.13: Temel hak ve özgürlüklerin ancak kanunla ve ölçülülük ilkesine uygun şekilde sınırlanabileceği.
- Anayasa m.20: Özel hayatın gizliliği; ayrıca kişisel verilerin korunmasını isteme hakkı ve kişisel verilerin ancak kanunda öngörülen hallerde veya açık rıza ile işlenebileceği.
Uluslararası sözleşmeler
- Avrupa İnsan Hakları Sözleşmesi m.8: Özel ve aile hayatına saygı hakkı.
- BM Medeni ve Siyasi Haklar Sözleşmesi m.17: Mahremiyet hakkına keyfi/hukuka aykırı müdahalenin yasaklanması.
İdari çerçeve
Kararda, 657 sayılı Devlet Memurları Kanununda çalışma saatlerine dair düzenlemeler bulunsa da, mesaiye devamın kontrolünde biyometrik yöntem kullanımını ayrıntılı biçimde düzenleyen bir mevzuat çerçevesinin bulunmadığına işaret edilmiştir.
4. Kararın Gerekçesi: Ölçülülük, Yasal Dayanak ve Kullanım Güvenceleri
Kararda öne çıkan temel değerlendirme; parmak izi ile mesai takibinin kişisel veri alınması niteliğinde olduğu ve özel hayatın gizliliği alanına müdahale teşkil edebileceğidir. Danıştay, müdahalenin hukuka uygun sayılabilmesi için kanuni dayanak ve güvence mekanizmalarının önemini ayrıca vurgulamıştır.
4.1 Ölçülülük (orantılılık) değerlendirmesi
Danıştay; mesai kontrol sisteminin şekli ve içeriği dikkate alındığında, kurumun amaçladığı kamu yararı ile uygulamanın oluşturduğu mahremiyet müdahalesi arasında orantılılık bulunmadığına işaret ederek, anayasal ölçülülük ilkesine aykırılık değerlendirmesi yapmıştır.
4.2 Yasal dayanak eksikliği
Uygulamanın sınırlarını, usul ve esaslarını gösteren açık bir yasal dayanağın bulunmaması; kararın hukuka uygunluk değerlendirmesinde belirleyici olmuştur. Çünkü temel haklara müdahale niteliğindeki uygulamalarda “idari takdir” alanı sınırsız değildir; kanunilik şartı aranır.
4.3 Verinin başka amaçla kullanılmayacağına dair güvence
Kararda ayrıca; toplanan parmak izi verisinin ileride başka bir şekilde kullanılamayacağına dair güvence mekanizmalarının bulunmaması, hukuki riskin artmasına neden olan bir unsur olarak ele alınmıştır. Bu değerlendirme, bugün KVKK uyumunda “amaçla sınırlılık” ve “işleme şartları” tartışmalarına doğrudan temas eder.
5. Kurumlar İçin KVKK Uyum Yol Haritası ve Alternatif Kontrol Yöntemleri
Danıştay içtihadı; biyometrik mesai takibi projelerinde kurumların “operasyonel ihtiyaç” ile “mahremiyet etkisi” dengesini çok net kurması gerektiğini gösterir. Türkiye’de özellikle İstanbul, Ankara, İzmir gibi büyük şehirlerde çok şubeli yapılarda mesai kontrolü daha karmaşık olsa da, biyometrik yöntemler son çare olarak konumlandırılmalıdır.
1. Gereklilik ve Orantılılık Analizi Yapın
Mesai takibi için parmak izi gerçekten zorunlu mu? Kart okutma, mobil uygulama, QR/OTP, turnike-kart, vardiya çizelgesi, kamera ile giriş noktası kontrolü (ayrı mahremiyet riskleriyle) gibi alternatifler değerlendirilmeli; “en az müdahaleci yöntem” ilkesiyle karar verilmelidir.
2. Biyometrik Veri İşleme Kararı Alınacaksa “Sıkı” Tasarım Kurgulayın
Parmak izi, KVKK pratiklerinde özel nitelikli ve yüksek riskli veri kategorilerinde değerlendirilen bir veri setidir. Bu nedenle sistem tasarımı; minimum veri, sınırlı erişim, kısa saklama, şifreleme, ayrı sistemlerde tutma ve denetlenebilir kayıt (log) gibi teknik-idari tedbirlerle birlikte kurgulanmalıdır.
3. Aydınlatma Metni ve İç Süreçleri Kurumsal Düzeyde Netleştirin
Personel aydınlatması; “genel ifadeler” yerine, mesai takibinin amacı, hukuki sebep, saklama süresi, erişebilecek roller ve güvenlik tedbirlerini açıkça içermelidir. Ayrıca; itiraz/başvuru kanalı, başvuruların yanıtlanma yöntemi ve idari süreç sahipliği tanımlı olmalıdır.
4. Veri Güvenliği: Erişim Matrisi, Loglama, Denetim ve Tedarikçi Yönetimi
Biyometrik sistemler çoğu zaman üçüncü taraf cihaz/yazılım sağlayıcılarıyla kurulur. Bu noktada:
- Rol bazlı erişim (İK/BT dahil minimum yetki),
- Şifreleme (aktarırken ve saklarken),
- Log kayıtları ve düzenli denetim,
- Yedekleme yaklaşımı (biyometrik veri için ayrıca dikkat),
- Tedarikçi sözleşmeleri ve veri işleyen yükümlülükleri
birlikte ele alınmalıdır. “Veri başka amaçla kullanılmayacak” güvencesi; sadece sözle değil, sistemsel ve sözleşmesel kontrollerle sağlanmalıdır.
5. Alternatif Mesai Takibi Yöntemleri (Daha Düşük Mahremiyet Etkisi)
| Yöntem | Avantaj | Uyum Notu |
|---|---|---|
| Kart okutma / turnike kart | Uygulaması kolay, biyometrik veri yok | Kart paylaşımı riskine karşı süreç ve denetim gerekir |
| Mobil uygulama (QR/OTP) | Esnek, şube/uzaktan çalışma senaryolarına uygun | Konum verisi işlenecekse ayrıca değerlendirme gerekir |
| İmza föyü / vardiya çizelgesi | Basit ve düşük teknoloji | İç kontrol zayıfsa suistimal riski artabilir |
| Turnike + güvenlik kaydı | Fiziksel erişim kontrolüyle entegre | Kamera varsa saklama/erişim/silahsızlandırma (masking) yaklaşımı planlanmalı |
6. Sık Sorulan Sorular (SSS)
Parmak izi ile mesai takibi her durumda hukuka aykırı mıdır?
Hayır; ancak biyometrik verinin mahremiyet etkisi yüksek olduğu için “gereklilik ve orantılılık” testini geçmesi, açık bir çerçeveye oturması ve güçlü güvence/tedbirlerle desteklenmesi gerekir. Aksi halde hukuka uygunluk tartışmalı hale gelir.
“Açık rıza alırsak sorun çözülür mü?”
Çalışan-işveren ilişkisinde rızanın serbest iradeyle verilip verilmediği her zaman tartışma konusudur. Bu nedenle sadece rızaya dayanmak yerine, amaç, gereklilik, alternatiflerin değerlendirilmesi ve güvenlik tedbirlerinin birlikte kurgulanması önerilir.
Parmak izi verisi sızarsa kurum açısından risk nedir?
Biyometrik veri “değiştirilebilir” bir bilgi değildir. Bu nedenle veri ihlali; uzun süreli ve yüksek etkili risk doğurur. Ayrıca kurumun itibar, uyum ve güvenlik sorumluluğu açısından ciddi sonuçlar yaratabilir.
Alternatif yöntemler varken biyometrik sistem tercih edilebilir mi?
Tercih edilecekse, alternatiflerin neden yetersiz kaldığı kurumsal olarak gerekçelendirilmelidir. “Kolaylık” tek başına yeterli bir gerekçe değildir; ölçülülük yaklaşımı bunu gerektirir.
Özel sektör için de bu karar yol gösterici midir?
Karar kamu kurumundaki uygulamayı ele alsa da; özel hayat, ölçülülük ve veri güvenceleri gibi ilkeler, özel sektörde de biyometrik veri işleme projelerinde yol gösterici bir çerçeve sunar.
Kurumda halihazırda parmak izi sistemi varsa ilk adım ne olmalı?
Öncelikle alternatif yöntem analizi, veri akış haritası, erişim matrisi, saklama süresi ve tedarikçi ilişkileri gözden geçirilmeli; aydınlatma ve iç süreç dokümantasyonu tamamlanmalı; teknik/idari tedbirler denetlenebilir şekilde güçlendirilmelidir.
