İş yerlerinde parmak izi, yüz tanıma, iris taraması veya avuç içi doğrulama yöntemleriyle çalışanların giriş ve çıkış saatlerinin kaydedilmesi uzun süredir tartışılıyordu. Kişisel Verileri Koruma Kurulunun 29 Nisan 2026 tarihli ve 2026/921 sayılı İlke Kararı ile birlikte biyometrik mesai takibi uygulamalarının mesai kontrolü amacıyla kullanılması bakımından önemli bir sınır çizildi. Kurul, geçerli bir açık rıza bulunduğu kabul edilse dahi mesai takibi amacıyla biyometrik veri işlenmesinin ölçülülük kriterini karşılamayacağını değerlendirdi.
Karar, yalnızca parmak izi sistemlerini değil; yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama yöntemlerini de ilgilendiriyor. Kamu kurumları ile özel sektör işverenlerinin personel devam kontrolü süreçlerini yeniden incelemesi, biyometrik mesai takibi sistemlerini devre dışı bırakması ve daha az müdahaleci alternatiflere yönelmesi gerekiyor.
Biyometrik Takip Nedir?
Biyometrik mesai takibi, kişilerin fiziksel, fizyolojik veya davranışsal özelliklerinden yararlanılarak kimlik doğrulaması yapılmasını sağlayan teknolojik sistemleri ifade eder. Parmak izi, yüz geometrisi, iris yapısı, retina taraması ve avuç içi damar izi bu kapsamda değerlendirilebilecek başlıca örneklerdir.
Bu sistemlerin temel avantajı hızlı ve pratik olmalarıdır. Çalışanın kartını başka bir kişiye kullandırması veya imza çizelgesinin gerçeğe aykırı şekilde doldurulması gibi riskleri azaltabilirler. Ancak biyometrik takip uygulamalarında işlenen veriler sıradan kişisel verilerden farklıdır. Şifre, kart veya PIN kodu değiştirilebilirken kişinin parmak izi ya da yüz geometrisi kolaylıkla değiştirilemez. Bu nedenle biyometrik verilerin ele geçirilmesi hâlinde ortaya çıkabilecek riskler uzun süreli ve telafisi güç olabilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesi uyarınca biyometrik veriler özel nitelikli kişisel veri niteliğindedir. Bu verilerin işlenmesi, saklanması ve imhası bakımından daha sıkı bir hukuki değerlendirme yapılması gerekir.
KVKK İlke Kararı Neyi Değiştirdi?
Kişisel Verileri Koruma Kurulu, kurum ve kuruluşların çalışan devam takibini dijitalleştirmek ve güvenliği artırmak amacıyla biyometrik takip sistemlerine giderek daha fazla yöneldiğini belirtti. Bununla birlikte işverenin çalışma sürelerini takip etme yükümlülüğü bulunması, bu takibin mutlaka biyometrik yöntemlerle yapılabileceği anlamına gelmiyor.
İlke Kararı’nda, mevzuatta çalışma sürelerinin takip edilmesine ilişkin hükümler bulunmasına rağmen bu takibin biyometrik veri işlenmesi yoluyla yapılmasını öngören açık bir düzenleme olmadığı vurgulandı. Bu nedenle işverenlerin biyometrik veri işlemesini yalnızca çalışma sürelerini kaydetme yükümlülüğüne dayandırması mümkün değil.
Kararın en önemli yönü, açık rızanın da tek başına yeterli kabul edilmemesidir. Kurul, işçi ile işveren arasında yapısal bir güç dengesizliği bulunduğuna dikkat çekti. Çalışanın rıza göstermemesi veya daha önce verdiği rızayı geri çekmesi hâlinde olumsuz bir sonuçla karşılaşmayacağından emin olması gerekir. Aksi durumda açıklanan iradenin gerçekten özgür olup olmadığı tartışmalı hâle gelir.
Bunun yanında biyometrik mesai takibi uygulaması, geçerli bir açık rıza bulunduğu varsayılsa bile ölçülülük testinden geçmelidir. Mesai takibi için daha az müdahaleci yöntemler mevcutken çalışanların özel nitelikli kişisel verilerinin işlenmesi ölçülü kabul edilmemektedir.
Parmak İziyle Mesai Takibi Neden Ölçüsüz Kabul Ediliyor?
KVKK’nın 4. maddesi uyarınca kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu ilke, yalnızca kişisel veri işleme şartlarından birinin bulunup bulunmadığına bakılmasını değil, seçilen yöntemin gerçekten gerekli olup olmadığının da değerlendirilmesini gerektirir.
Mesai takibinde amaç, çalışanın işe geliş ve işten ayrılış saatlerinin güvenilir şekilde kaydedilmesidir. Bu amaç; RFID veya NFC kartlar, kişiye özel PIN kodları, şifreli kartlar, imza föyleri ya da denetçi gözetiminde elle giriş yöntemleriyle sağlanabilir. Daha az müdahaleci yöntemler varken biyometrik mesai takibi sistemlerinin kullanılması veri minimizasyonu ilkesiyle bağdaşmaz.
Burada belirleyici olan, sistemin teknolojik olarak güvenli veya kullanışlı olup olmadığı değildir. Bir sistem yüksek doğruluk oranına sahip olsa bile çalışanların özel nitelikli kişisel verilerini işlemesi zorunlu değilse tercih edilmemelidir. İşverenin operasyonel kolaylığı ile çalışanın temel hakları arasında makul bir denge kurulmalıdır.
Anayasa Mahkemesinin Parmak İzi Kararı
Biyometrik mesai takibi konusunda Anayasa Mahkemesinin yaklaşımı da önem taşıyor. Ramazan Şahin başvurusunda, bir belediyede görev yapan personelin parmak izi sistemiyle mesai takibine tabi tutulması incelendi. Anayasa Mahkemesi, uygulamanın sınırlarını, usulünü ve esaslarını belirleyen yeterli bir yasal dayanak bulunmadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar verdi.
Bu yaklaşım, teknolojik imkânların kullanılmasının tek başına yeterli olmadığını gösteriyor. Mesai kontrolü meşru bir amaç olsa bile kişisel verilerin işlenmesine yönelik müdahalenin kanuni dayanağı bulunmalı, gerekli güvenceler sağlanmalı ve daha az müdahaleci araçların yeterli olup olmadığı değerlendirilmelidir.
Kişisel Verileri Koruma Kurulunun 2026/921 sayılı İlke Kararı da bu temel yaklaşımı işverenler açısından daha görünür ve uygulanabilir hâle getiriyor.
Hangi Mesai Takip Yöntemleri Tercih Edilebilir?
İlke Kararı, işverenlerin çalışma sürelerini takip edemeyeceği anlamına gelmiyor. İşverenler, biyometrik takip yerine çalışanların temel haklarına daha az müdahale eden yöntemleri tercih edebilir.
| Yöntem | Uygulama Biçimi | Dikkat Edilmesi Gereken Husus |
|---|---|---|
| RFID veya NFC kartlar | Çalışana tanımlanan kartın okuyucuya okutulması | Kart bilgilerinin yalnızca gerekli süre boyunca saklanması |
| PIN tabanlı sistemler | Çalışanın kendisine özel kodla giriş yapması | Şifre güvenliğinin sağlanması ve erişim kayıtlarının sınırlandırılması |
| Şifreli personel kartları | Giriş ve çıkışların kartla kaydedilmesi | Yetkisiz kullanımı önleyici kontrollerin kurulması |
| İmza föyleri | Çalışanın giriş ve çıkış saatlerini imza ile kaydetmesi | Çizelgelerin düzenli ve güvenli biçimde saklanması |
| Denetçi gözetiminde kayıt | Yetkili personel tarafından elle devam kaydı tutulması | Gereksiz veri toplanmaması |
Bu alternatiflerin her biri bakımından KVKK yükümlülükleri devam eder. Biyometrik veri işlenmemesi, kişisel veri koruma yükümlülüklerinin tamamen ortadan kalktığı anlamına gelmez. İşverenlerin hangi verileri ne amaçla işlediğini belirlemesi, çalışanları bilgilendirmesi ve saklama sürelerini sınırlandırması gerekir.
İşverenler Mevcut Sistemler İçin Ne Yapmalı?
İş yerinde hâlen parmak izi veya yüz tanıma sistemi kullanılıyorsa yalnızca yeni veri kaydının durdurulması yeterli olmayabilir. Mevcut süreçlerin teknik ve hukuki açıdan birlikte ele alınması gerekir.
1. Biyometrik Sistemleri Tespit Edin
Öncelikle hangi lokasyonlarda biyometrik mesai takibi sistemi bulunduğu belirlenmelidir. Parmak izi okuyucuları, yüz tanıma kameraları, iris tarayıcıları ve avuç içi sistemleri ayrı ayrı kayıt altına alınmalıdır. Sistemin şirket sunucusunda mı, cihaz üzerinde mi yoksa hizmet sağlayıcının bulut altyapısında mı veri tuttuğu incelenmelidir.
2. Veri İşleme Faaliyetini Durdurun
Mesai takibi amacıyla biyometrik veri işlenmesine son verilmelidir. Uygulamanın yalnızca belirli çalışan grupları için kullanılması veya personelden yeniden açık rıza alınması tek başına sorunu çözmez. İlke Kararı, geçerli açık rıza bulunsa dahi ölçülülük kriterinin sağlanmayacağını açıkça ortaya koymaktadır.
3. Saklanan Verileri İmha Edin
Daha önce toplanan biyometrik şablonların nerede saklandığı tespit edilmeli ve ilgili mevzuata uygun şekilde silinmesi, yok edilmesi veya anonim hâle getirilmesi değerlendirilmelidir. Hizmet sağlayıcılarla yapılan sözleşmeler de kontrol edilmeli; yedekleme sistemleri, cihaz hafızaları ve uzaktan erişim imkânları gözden geçirilmelidir.
4. Alternatif Mesai Takip Sistemine Geçin
İşletmenin büyüklüğü, çalışan sayısı ve fiziksel güvenlik ihtiyacı dikkate alınarak kartlı geçiş, NFC, RFID veya PIN tabanlı yöntemlerden biri seçilebilir. Seçilen sistemin de yalnızca gerekli verileri işlemesi ve gereğinden uzun saklama süreleri oluşturmaması gerekir.
5. KVKK Dokümanlarını Güncelleyin
Çalışan aydınlatma metinleri, kişisel veri işleme envanteri, saklama ve imha politikası, veri sorumluları sicil bildirimleri ve hizmet sağlayıcı sözleşmeleri yeni sisteme göre revize edilmelidir. Ayrıca insan kaynakları ile bilgi teknolojileri birimleri arasında koordinasyon sağlanmalıdır.
Karara Aykırılık Hangi Riskleri Doğurur?
İlke Kararı’nda, belirtilen hususların veri sorumluları tarafından alınması gereken idari ve teknik tedbirler kapsamında olduğu ifade edilmektedir. Uygun hareket edilmediğinin tespit edilmesi hâlinde 6698 sayılı Kanun’un 18. maddesi uyarınca işlem tesis edilebilir.
Bu nedenle işverenlerin yalnızca yeni sistem alımlarında değil, mevcut cihazlar ve geçmiş veriler bakımından da değerlendirme yapması gerekir. Somut olayın özelliklerine göre hukuki sorumluluğun kapsamı değişebileceğinden her işletmenin kendi veri işleme süreçlerini ayrıca incelemesi önem taşır.
Biyometrik Takip Yerine Ölçülü ve Güvenli Sistemler Kurulmalı
Kişisel Verileri Koruma Kurulunun 2026/921 sayılı İlke Kararı, iş yerlerinde dijitalleşmenin sınırsız bir veri işleme yetkisi vermediğini açık biçimde ortaya koyuyor. Çalışma sürelerinin kayıt altına alınması gerekli olsa da bu amaçla parmak izi, yüz tanıma veya benzeri biyometrik takip yöntemlerinin kullanılması ölçülülük ilkesiyle bağdaşmıyor.
İşverenlerin biyometrik takip sistemlerini vakit kaybetmeden gözden geçirmesi, saklanan verileri mevzuata uygun şekilde tasfiye etmesi ve çalışanların temel haklarına daha az müdahale eden yöntemlere geçmesi gerekiyor. Doğru yöntem seçimi, yalnızca idari yaptırım riskini azaltmakla kalmaz; kurumun veri güvenliği kültürünü de güçlendirir.
Çetin & Barut Hukuk Bürosu olarak; biyometrik veri işleme süreçlerinin hukuki analizini, mevcut risklerin tespitini, aydınlatma metinleri ile saklama ve imha politikalarının güncellenmesini ve işverenlerin KVKK uyum süreçlerinin yürütülmesini bütüncül şekilde takip ediyoruz. İşletmenizin idari yaptırım riskleriyle karşılaşmaması ve çalışan verilerinin hukuka uygun biçimde korunması için süreci Çetin & Barut Hukuk Bürosu ile takip edebilirsiniz.
Av. Ahmet DAŞDEMİR
