Eryürekli | Resolution on Biometric Data Processing in Employee Monitoring Eryürekli | Resolution on Biometric Data Processing in Employee Monitoring
Eryürekli | Resolution on Biometric Data Processing in Employee Monitoring

04 Jun 2026 Legal Alert
Data Protection General

Resolution on Biometric Data Processing in Employee Monitoring

Eryürekli | Resolution on Biometric Data Processing in Employee Monitoring

Download PDF

Share

  • Yazdır

Personal Data Protection Authority of Türkiye has published a principle decision and an announcement regarding the processing of biometric data by employers as part of monitoring employees’ attendance and time tracking; highlighting the principle of proportionality and advising alternate methods to employers.

Principle decision of the Personal Data Protection Board (the “Board”) dated 29 April 2026 and numbered 2026/921 (the “Resolution”) regarding the processing of biometric data for time and attendance tracking purposes, was published in the Official Gazette dated 2 June 2026 and numbered 33268. Board has also published an announcement on the same date summarizing the Resolution.

Board has evaluated the lawfulness of the processing of biometric data by employers as part of monitoring employees’ attendance and time tracking, highlighting the principle of proportionality and certain regulations for reference. Pursuant to the Resolution:

  • Biometric data is classified as sensitive data under the Personal Data Protection Law No. 6698 (the “Law”). To process sensitive data, one of the sensitive data processing conditions stipulated in the Law must be met. The conditions outlined in the Law are not applicable to the processing of biometric data; hence, relying on explicit consent is preferred in practice.
  • Since the balance of power between the employer and the employee is not equal; the argument of employee’s explicit consent being based on free will, cannot be claimed. Therefore, an explicit consent alone does not constitute a sufficient legal ground for processing.
  • Under the general principles of the Law, data processing activities must be “relevant, limited, and proportionate to the purposes for which they are processed”. Accordingly, the least intrusive method must be preferred for data processing activities; alternative methods must not be used.
  • Since employers can track attendance and time using alternative methods instead of biometric data processing such as cards or pin-coded systems, the principle of proportionality is also not satisfied.

Within this scope, it is stated that none of the specifical categories of personal data processing conditions in the Law are met, and even if valid explicit consent exists, the processing activity in question does not satisfy the principle of proportionality.

Therefore, it is concluded that attendance tracking must be provided through alternative methods rather than biometric data processing, and processing biometric data in this context is unlawful.

Under the General Data Protection Regulation (“GDPR”), biometric data is also classified as a sensitive data, and the definition of biometric data is explicitly provided within the GDPR itself.

Previously, the Belgian Data Protection Authority fined an employer 45,000 Euros for processing employees’ biometric data (fingerprints) in violation of the GDPR. In this context, the Belgian DPA also underlined that alternative, less intrusive methods were not utilized instead of biometric data processing.

Similarly, the Spanish Data Protection Authority has published a guideline on the processing of biometric data, further clarifying the boundaries for biometric data processing activities.

Therefore, if a less intrusive, and alternative method is available, the biometric data processing activity for employee monitoring purposes lacks a valid legal ground. In this regard, practices in both Türkiye and the EU progress in substantial alignment.

Relevant Expert Insights

Data Protection
General
Eryürekli | International Data Transfer Regime in Türkiye
24 Feb 2026 Briefing Note EN

International Data Transfer Regime in Türkiye

Data Protection
General
Eryürekli | Transfer of Personal Data Abroad: Data Protection Authority Clarifies the Details
10 Jul 2024 Legal Alert EN

Transfer of Personal Data Abroad: Data Protection Authority Clarifies the Details

Data Protection
General
Eryürekli | Kişisel Verilerin Yurt Dışına Aktarılması: Kişisel Verileri Koruma Kurumu Ayrıntıları Açıkladı
10 Jul 2024 Legal Alert TR

Kişisel Verilerin Yurt Dışına Aktarılması: Kişisel Verileri Koruma Kurumu Ayrıntıları Açıkladı

Data Protection
General
Eryürekli | A New Era for Transfer of Personal Data Abroad: GDPR-Based Amendments to Data Protection Rules
14 Mar 2024 Legal Alert EN

A New Era for Transfer of Personal Data Abroad: GDPR-Based Amendments to Data Protection Rules

Publication Subscription Privacy Notice

Thank you for your interest in our Firm.

As Eryürekli Law Firm (“Eryürekli”), we attach great importance to the protection of your personal data and to the processing of such data in compliance with the Law No. 6698 on the Protection of Personal Data (“Law”) and other applicable legislation.

If you subscribe to our newsletter and other publications through the “Newsletter” section by visiting our office website, we collect and process your personal data in our capacity as the data controller.

By providing your explicit consent in the “Newsletter” section and filling out the form on our website and/or the relevant directed page, we automatically collect and process your name, surname, e-mail address, and language preference in an electronic environment for the purposes of managing your subscription and delivering our publications to you.

Within the framework of the data processing activities mentioned above, our publications are sent to the e-mail address you have shared. Since the servers of the service infrastructure we use for these transmissions are located abroad, your personal data shared through the form will be transferred to servers located abroad based on your explicit consent.

Your personal data will be destroyed in the event that you unsubscribe from our publications.

We would like to inform you that, pursuant to Article 11 of the Law, you hold the following rights regarding your personal data processed by Eryürekli:

  • To learn whether your personal data is being processed,
  • To request information if your personal data has been processed,
  • To learn the purpose of the processing of your personal data and whether such data are used in accordance with that purpose,
  • To learn the identity of third parties to whom your personal data are transferred, whether domestically or abroad,
  • To request the correction of personal data if it is incomplete or inaccurately processed,
  • To request the deletion or destruction of your personal data if the reasons requiring their processing cease to exist,
  • To request that the correction, deletion, or destruction of your personal data be notified to third parties to whom such data have been transferred,
  • To object to any outcome detrimental to you resulting from the analysis of your data exclusively through automated systems,
  • To claim compensation for damages incurred due to the unlawful processing of your personal data.

You may contact us regarding your requests via [email protected].

Yayın Aboneliği Aydınlatma Metni

Büromuza göstermiş olduğunuz ilgi için teşekkür ederiz.

Eryürekli Hukuk Bürosu (“Eryürekli”) olarak kişisel verilerinizin korunmasını ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve sair mevzuata uygun olarak işlenmesini önemsiyoruz.

Ofis web sitemizi ziyaret ederek “Newsletter” bölümünden bültenimize ve diğer yayınlarımıza abone olmanız durumunda kişisel verilerinizi veri sorumlusu sıfatıyla topluyor ve işliyoruz.

“Newsletter” bölümününde açık rızanızı vermek suretiyle web sitemiz ve/veya yönlendirildiğiniz ilgili sayfada yer alan formu doldurmanız ve yayınlarımıza abone olmanız halinde, adınız ve soyadınızı, elektronik posta adresinizi ve dil tercihinizi, aboneliğinizin gerçekleştirilmesi ve yayınlarımızın size iletilmesi amacıyla elektronik ortamda otomatik olarak toplamakta ve işlemekteyiz.

Yayınlarımız, yukarıdaki veri işleme faaliyetleri çerçevesinde, paylaşmış olduğunuz elektronik posta adresine gönderilmekte olup; gönderilerde kullandığımız servis altyapısı sunucularının yurt dışında olması sebebiyle, form aracılığıyla paylaştığınız kişisel verileriniz, açık rızanıza istinaden yurt dışında bulunan sunuculara aktarılacaktır.

Kişisel verileriniz, yayınlarımıza abonelikten çıkmanız halinde imha edilir.

Eryürekli bünyesinde işlenmekte olan kişisel verilerinize ilişkin olarak Kanun’un 11.maddesi uyarınca aşağıda sayılan haklarınızın bulunduğunu belirtmek isteriz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • Kişisel verileriniz işleniyorsa bunlara ilişkin bilgi edinme,
  • Kişisel verilerinizin işlenme amacının ne olduğu ve kişisel verilerinizin amacına uygun olarak kullanılıp kullanılmadığını öğrenme,
  • Varsa yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişilerin kimler olduğunu öğrenme,
  • İşlenen kişisel verilerinizin eksik veya yanlış olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, işlenmiş olunan kişisel verilerinizin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme.

Talepleriniz için bizimle [email protected] adresimiz aracılığıyla iletişime geçebilirsiniz.

Career Privacy Notice

Thank you for your interest in our Firm.

As Eryürekli Law Firm (“Eryürekli”), we attach great importance to the protection of your personal data and to the processing of such data in compliance with the Law No. 6698 on the Protection of Personal Data (“Law”) and other applicable legislation.

If you apply for a position through our career page, we collect and process your personal data in our capacity as the data controller.

By filling out the form on our career page and providing your explicit consent to apply for a position, we automatically collect and process your name and surname, e-mail address, telephone number, and any other personal data included in your CV through electronic means. This data is processed solely for the purposes of evaluating your job application and contacting you if necessary.

The personal data you share during your job application is not transferred to third parties.

Once your application has been evaluated, your personal data stored in the electronic environment will be destroyed as soon as possible.

We would like to inform you that, pursuant to Article 11 of the Law, you hold the following rights regarding your personal data processed by Eryürekli:

  • To learn whether your personal data is being processed,
  • To request information if your personal data has been processed,
  • To learn the purpose of the processing of your personal data and whether such data are used in accordance with that purpose,
  • To learn the identity of third parties to whom your personal data are transferred, whether domestically or abroad,
  • To request the correction of personal data if it is incomplete or inaccurately processed,
  • To request the deletion or destruction of your personal data if the reasons requiring their processing cease to exist,
  • To request that the correction, deletion, or destruction of your personal data be notified to third parties to whom such data have been transferred,
  • To object to any outcome detrimental to you resulting from the analysis of your data exclusively through automated systems,
  • To claim compensation for damages incurred due to the unlawful processing of your personal data.

You may contact us regarding your requests via [email protected].

 

Kariyer Aydınlatma Metni

Büromuza göstermiş olduğunuz ilgi için teşekkür ederiz.

Eryürekli Hukuk Bürosu (“Eryürekli”) olarak kişisel verilerinizin korunmasını ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve sair mevzuata uygun olarak işlenmesini önemsiyoruz.

Kariyer sayfamızdan iş başvurusunda bulunmanız durumunda kişisel verilerinizi veri sorumlusu sıfatıyla topluyor ve işliyoruz.

Kariyer sayfamızda yer alan formu doldurmak ve açık rızanızı vermek suretiyle iş başvurusunda bulunmanız halinde, adınız ve soyadınızı, elektronik posta adresinizi, telefon numaranızı ve özgeçmişinizde yer alan diğer kişisel verilerinizi, iş başvurunuzu değerlendirmek ve gerekmesi halinde size ulaşabilmek amacıyla elektronik ortamda otomatik olarak toplamakta ve işlemekteyiz.

İş başvurusu esnasında paylaşmış olduğunuz kişisel verileriniz üçüncü taraflara aktarılmamaktadır.

İş başvurunuzun en kısa sürede değerlendirilmesi üzerine kişisel verileriniz kayıtlı bulunduğu elektronik ortamda imha edilmektedir.

Eryürekli bünyesinde işlenmekte olan kişisel verilerinize ilişkin olarak Kanun’un 11.maddesi uyarınca aşağıda sayılan haklarınızın bulunduğunu belirtmek isteriz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • Kişisel verileriniz işleniyorsa bunlara ilişkin bilgi edinme,
  • Kişisel verilerinizin işlenme amacının ne olduğu ve kişisel verilerinizin amacına uygun olarak kullanılıp kullanılmadığını öğrenme,
  • Varsa yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişilerin kimler olduğunu öğrenme,
  • İşlenen kişisel verilerinizin eksik veya yanlış olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, işlenmiş olunan kişisel verilerinizin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme.

Talepleriniz için bizimle [email protected] adresimiz aracılığıyla iletişime geçebilirsiniz.

Kayıt Formu / Subscription Form

* indicates required
Your e-mail address
Your First name
Your Last Name
Gönderi Dili / Publication Language
Herhangi birisi veya her ikisi / Either any or both
Cookie Settings
This website uses third party analytic cookies “_ga_*” and “_ga” of Google Analytics for statistical analysis/measurements, which are stored for 1 year and 1 month. You may refer to https://policies.google.com/privacy for details on the use of cookies and further information.