Kişisel Verileri Koruma Kurulu, 29 Nisan 2026 tarihli ve 2026/921 sayılı ilke kararıyla iş yerlerinde mesai takibi amacıyla biyometrik veri işlenmesini hukuka aykırı değerlendirdi. Karara göre parmak izi, yüz tanıma, iris ve retina taraması gibi yöntemlerle çalışan devam takibi yapılması, geçerli açık rıza bulunsa dahi ölçülülük ilkesini karşılamıyor. İşverenlerin mesai takibini biyometrik sistemler yerine kart, PIN, RFID/NFC, imza çizelgesi veya benzeri daha az müdahaleci yöntemlerle yapması gerekiyor.
Kişisel Verileri Koruma Kurulu, çalışanların mesai takibinde parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemlerinin kullanılmasına ilişkin önemli bir ilke kararı aldı. Kurulun 29 Nisan 2026 tarihli ve 2026/921 sayılı kararı, 2 Haziran 2026’da kamuoyuna duyuruldu. Kararda, mesai takibi amacıyla biyometrik veri işlenmesinin mevcut hukuki çerçevede kural olarak hukuka aykırılık oluşturabileceği belirtildi.
Karar, iş yerlerinde “personel devam kontrol sistemi” olarak bilinen uygulamaları doğrudan ilgilendiriyor. Buna göre işverenler, çalışanların işe giriş ve çıkış saatlerini takip edebilir; ancak bu takibin parmak izi, yüz tanıma, iris veya retina taraması gibi özel nitelikli kişisel veriler üzerinden yapılması hukuki açıdan sorunlu kabul ediliyor.
Yasak tüm mesai takibini değil, biyometrik takibi kapsıyor
Kararın en dikkat çeken yönlerinden biri, kamuoyunda “mesai takibi yasaklandı” şeklinde yorumlanan düzenlemenin aslında tüm mesai takip sistemlerini değil, biyometrik veriye dayalı mesai takibini hedef alması oldu.
KVKK’nın değerlendirmesine göre işverenlerin çalışma sürelerini takip etmesine ve belgeleyebilmesine ilişkin hukuki çerçeve mevcut. Ancak bu takibin mutlaka biyometrik tanımlama sistemleriyle yapılmasını öngören açık bir kanuni düzenleme bulunmuyor. Bu nedenle mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesi hukuka aykırılık teşkil edebiliyor.
Başka bir ifadeyle, çalışanların giriş-çıkış saatlerinin takip edilmesi yasaklanmadı. Yasak kapsamına giren uygulama; çalışanın parmak izi, yüz görüntüsü, iris veya retina gibi benzersiz biyolojik verilerinin mesai kontrolü amacıyla işlenmesi.
Açık rıza tek başına yeterli görülmedi
Kararda öne çıkan en önemli başlıklardan biri “açık rıza” konusu oldu. Uygulamada birçok işveren, çalışanlardan açık rıza alarak biyometrik mesai takip sistemlerini kullanıyordu. Ancak Kurul, işçi-işveren ilişkisindeki güç dengesizliği nedeniyle bu rızanın gerçekten özgür iradeye dayanıp dayanmadığı konusunda ciddi tereddütler bulunduğunu vurguladı.
KVKK’ya göre çalışan, işini kaybetme, olumsuz muamele görme veya çalışma düzeninde dezavantaj yaşama endişesi taşıyorsa verdiği rıza özgür iradeye dayanmayabilir. Ayrıca çalışanın rızasını geri alabilmesi, biyometrik sistemlerin sürekliliğini ve uygulanabilirliğini de zedeleyebilir. Bu nedenle Kurul, biyometrik verilerin mesai takibi amacıyla yalnızca açık rızaya dayanılarak işlenmesini kural olarak yeterli bir hukuki zemin saymadı.
Ölçülülük ilkesi belirleyici oldu
KVKK’nın kararında ölçülülük ilkesi özel olarak vurgulandı. Kurul, mesai takibi gibi bir amaca ulaşmak için çalışanların biyometrik verilerinin işlenmesinin gerekli olup olmadığını değerlendirdi.
Karara göre mesai takibi, daha az müdahaleci yöntemlerle yapılabiliyorsa biyometrik veri işlenmesi ölçülü kabul edilmiyor. KVKK, alternatif yöntemlerin varlığı karşısında, ilgili kişinin açık rızası bulunsa bile mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 4’üncü maddesindeki genel ilkeler kapsamında ölçülülük kriterini sağlamayacağını belirtti.
Bu değerlendirme, özellikle parmak izi ve yüz tanıma cihazları kullanan iş yerleri için önemli sonuçlar doğuruyor. Çünkü Kurul, yalnızca veri güvenliği önlemlerinin alınmasını yeterli görmüyor; öncelikle bu verinin işlenmesinin gerekli, sınırlı ve ölçülü olup olmadığının değerlendirilmesini istiyor.
Hangi sistemler riskli kabul ediliyor?
Kararın kapsamı yalnızca parmak izi cihazlarıyla sınırlı değil. KVKK duyurusunda biyometrik tanımlama sistemleri arasında parmak izi, yüz tanıma, iris ve retina taraması gibi yöntemler açıkça sayıldı.
Bu kapsamda iş yerlerinde şu uygulamalar hukuki risk taşıyor:
Parmak izi okutularak giriş-çıkış yapılması, yüz tanıma kamerasıyla mesai takibi, retina veya iris taramasıyla personel doğrulama, el geometrisi veya benzeri biyometrik doğrulama sistemleriyle devam kontrolü.
Bu sistemlerin “yalnızca şablon veri tuttuğu”, “görüntü kaydetmediği” veya “üçüncü kişilerle paylaşılmadığı” yönündeki teknik savunmalar da tek başına yeterli olmayabilir. Nitekim KVKK’nın daha önceki kararlarında da mesai kontrolü için parmak izi işlenmesinin, alternatif yöntemler bulunması nedeniyle ölçülülük ilkesine aykırı olduğu değerlendirilmişti.
İşverenler hangi yöntemlere geçebilir?
KVKK, mesai takibinin biyometrik sistemler yerine daha az müdahaleci alternatiflerle sağlanması gerektiğini belirtti. Kurulun duyurusunda bu alternatifler arasında şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi yöntemler yer aldı.
Bu nedenle işverenlerin mevcut sistemlerini gözden geçirmesi gerekiyor. Özellikle parmak izi veya yüz tanıma cihazı kullanan işletmelerin, personel devam kontrol süreçlerini biyometrik veri içermeyen yöntemlere dönüştürmesi bekleniyor.
İnsan kaynakları ve hukuk birimlerinin de bu süreçte veri işleme envanterlerini, aydınlatma metinlerini, açık rıza formlarını ve teknik güvenlik politikalarını yeniden değerlendirmesi önem taşıyor.
Kurala uyulmazsa yaptırım gündeme gelebilir
KVKK, kararında belirtilen hususların veri sorumluları tarafından alınması gereken idari ve teknik tedbirler arasında olduğunu bildirdi. Kurul, bu ilkelere uygun hareket edilmediğinin tespit edilmesi hâlinde ilgili veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi kapsamında işlem tesis edileceğini duyurdu.
Bu durum, işverenler açısından idari yaptırım riskinin gündeme gelebileceği anlamına geliyor. Ayrıca çalışanlar, kişisel verilerinin hukuka aykırı işlendiğini düşünmeleri hâlinde işverene başvuru yapabilir; başvurudan sonuç alamazlarsa Kişisel Verileri Koruma Kurumu’na şikâyet yoluna gidebilir.
Anayasa Mahkemesi’nin önceki kararı da aynı çizgideydi
KVKK’nın yeni ilke kararı, geçmişte verilen yargı kararlarıyla da uyumlu bir çerçeve ortaya koyuyor. Anayasa Mahkemesi Genel Kurulu, 10 Mart 2022 tarihli Ramazan Şahin başvurusunda, parmak izi kayıt sistemiyle mesai takibi yapılması nedeniyle Anayasa’nın 20’nci maddesinde güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermişti.
Söz konusu başvuruda, belediye bünyesinde çalışan bir personelin parmak iziyle mesai takibine itirazı ele alınmıştı. AYM değerlendirmesinde, biyometrik verilerin özel nitelikli kişisel veri olduğuna ve bu tür verilerin işlenmesinde kanuni dayanak, açık rıza, ölçülülük ve daha az müdahaleci yöntemlerin varlığı gibi kriterlerin önem taşıdığına işaret etmişti.
KVKK’nın yeni ilke kararı, bu yaklaşımı daha genel ve iş yerlerinin tamamını ilgilendiren bir veri koruma standardı hâline getiriyor.
Çalışanlar açısından ne değişecek?
Karar, çalışanlar açısından kişisel verilerin korunması bakımından önemli bir güvence niteliği taşıyor. Parmak izi ve yüz tanıma gibi biyometrik veriler, kişinin benzersiz fiziksel özelliklerine ilişkin olduğu için sızıntı, kötüye kullanım veya amacı dışında işlenme durumunda telafisi güç sonuçlar doğurabilir.
Bir şifre değiştirilebilir, kart yenilenebilir; ancak parmak izi veya yüz biyometrisi değiştirilemez. Bu nedenle biyometrik veriler, veri koruma hukukunda daha hassas bir kategori olarak kabul ediliyor.
Karar sonrasında çalışanların, iş yerlerinde kullanılan mesai takip sistemlerinin hangi verileri işlediğini sorma, kişisel verilerinin silinmesini veya hukuka aykırı işleme faaliyetinin durdurulmasını talep etme hakları daha görünür hâle geldi.
İşverenler için geçiş süreci önem kazandı
Karar, özellikle büyük ölçekli işletmeler, fabrikalar, hastaneler, belediyeler, güvenlikli tesisler, plaza yönetimleri ve vardiyalı çalışma düzeni bulunan kurumlar için doğrudan sonuçlar doğurabilir. Bu tür iş yerlerinde personel devam kontrol sistemleri çoğu zaman biyometrik cihazlarla yürütülüyordu.
Yeni ilke kararıyla birlikte işverenlerin şu adımları atması bekleniyor:
Mevcut biyometrik mesai takip sistemlerinin envanterini çıkarmak, parmak izi veya yüz tanıma verilerinin hangi amaçla işlendiğini belirlemek, biyometrik veri işlemeyi durdurmak, daha az müdahaleci alternatif sisteme geçmek, geçmişte işlenen biyometrik verilerin saklama ve imha süreçlerini gözden geçirmek, çalışanlara güncel aydınlatma yapmak.
Bu geçişin yalnızca teknik cihaz değişimi olarak görülmemesi gerekiyor. Çünkü karar, aynı zamanda işverenlerin veri minimizasyonu, ölçülülük ve çalışan mahremiyeti konularında daha dikkatli davranması gerektiğini ortaya koyuyor.
Güvenlik gerekçesi her durumda yeterli olmayabilir
İşverenler, biyometrik sistemleri genellikle güvenliği artırmak, kart paylaşımını önlemek veya giriş-çıkış kayıtlarında manipülasyonu engellemek amacıyla kullandıklarını belirtiyor. KVKK da bu sistemlerin hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip görünebildiğini kabul ediyor. Ancak Kurul, bu avantajların kişisel verilerin korunması hukukundaki hassasiyetleri ortadan kaldırmadığını vurguluyor.
Bu nedenle yalnızca “güvenlik” gerekçesiyle biyometrik veri işlenmesi her durumda meşru kabul edilmiyor. İşverenin, amaca daha az müdahaleci bir yöntemle ulaşıp ulaşamayacağını değerlendirmesi gerekiyor.
Örneğin kartlı geçiş sistemi, PIN kodu, RFID/NFC kimlik kartı veya imza çizelgesiyle aynı amaca ulaşmak mümkünse, çalışanın biyometrik verisini işlemek ölçüsüz sayılabiliyor.
Karar milyonlarca çalışanı ilgilendiriyor
Türkiye’de çok sayıda iş yerinde personel devam kontrol sistemi kullanılıyor. Özellikle vardiyalı çalışanların bulunduğu sektörlerde giriş-çıkış saatlerinin kayıt altına alınması hem işveren hem çalışan açısından önem taşıyor.
Ancak KVKK’nın ilke kararı, bu takibin hangi yöntemle yapılacağına ilişkin sınırları yeniden gündeme getirdi. Karar, işverenlerin çalışma sürelerini takip etme yükümlülüğünü ortadan kaldırmıyor; ancak bu yükümlülüğün çalışanların özel nitelikli kişisel verilerine gereksiz müdahale yaratmadan yerine getirilmesi gerektiğini ortaya koyuyor.
Sırada ne var?
Karar sonrası iş yerlerinde biyometrik mesai takip sistemlerinin gözden geçirilmesi bekleniyor. KVKK’nın kamuoyu duyurusunda, ilkelere uygun hareket edilmediğinin tespit edilmesi hâlinde ilgili veri sorumluları hakkında işlem tesis edileceği açıkça belirtildi.
Bu nedenle işverenlerin kısa vadede mevcut sistemlerini değerlendirmesi, çalışanların biyometrik verilerini işlemeyen alternatiflere yönelmesi ve veri güvenliği süreçlerini güncellemesi gerekiyor.
Çalışanlar açısından ise karar, parmak izi ve yüz tanıma gibi hassas verilerin mesai takibi amacıyla kullanılmasına karşı daha güçlü bir hukuki dayanak sağlıyor.
