Parmak İziyle Mesai Takibi Yasak mı? KVKK’nın 2026 Tarihli Biyometrik Veri Kararı
Kısa cevap: Parmak iziyle mesai takibi yasaklandı mı?
Çalışanların giriş ve çıkış saatlerini takip etmek amacıyla parmak izi, yüz tanıma, iris tarama veya damar izi gibi biyometrik verilerin kullanılması, her durumda hukuka uygun kabul edilmemektedir.
Kişisel Verileri Koruma Kurulunun 2026/921 sayılı İlke Kararına göre, mesai takibinin kart, şifre, PIN veya imza çizelgesi gibi daha az müdahaleci yöntemlerle yapılabilmesi hâlinde biyometrik veri kullanılması ölçüsüz ve gereksiz olabilir.
Çalışandan açık rıza alınması da uygulamayı tek başına hukuka uygun hâle getirmeyebilir. Çünkü işçi ile işveren arasında güç dengesizliği bulunmaktadır. Çalışan, işini kaybetme veya işe alınmama endişesiyle rıza vermiş olabilir.
Bu nedenle işverenlerin ve biyometrik sistem kullanan kurumların mevcut uygulamalarını yeniden değerlendirmesi gerekmektedir.
KVKK’nın 2026/921 sayılı İlke Kararı nedir?
Kişisel Verileri Koruma Kurulu, iş yerlerinde mesai takibi amacıyla kullanılan parmak izi ve yüz tanıma sistemleriyle ilgili önemli bir İlke Kararı yayımlamıştır.
Kararın adı şöyledir:
Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı
Karar numarası 2026/921, karar tarihi ise 29 Nisan 2026’dır.
İlke Kararında özellikle çalışanların işe giriş ve çıkış saatlerinin biyometrik sistemlerle takip edilmesi değerlendirilmiştir.
Kurul; parmak izi, yüz geometrisi, iris, retina, damar izi ve benzeri verilerin son derece hassas olduğunu vurgulamaktadır. Bu veriler sıradan kişisel verilerden farklıdır. Çünkü kişinin fiziksel veya biyolojik özelliklerine dayanır ve çoğu zaman değiştirilemez.
Bir şifre ele geçirildiğinde şifre değiştirilebilir. Bir personel kartı kaybolduğunda kart iptal edilerek yenisi verilebilir. Ancak parmak izi veya yüz geometrisi ele geçirildiğinde kişinin parmak izini ya da yüzünü değiştirmesi mümkün değildir.
Bu nedenle biyometrik veri işleyen sistemlerin çok daha sıkı kurallara tabi olması gerekir.
Biyometrik veri nedir?
Biyometrik veri, bir kişiyi fiziksel veya davranışsal özelliklerinden yararlanarak tanımlamaya veya doğrulamaya yarayan kişisel veridir.
Biyometrik verilere şu örnekler verilebilir:
- Parmak izi
- Yüz tanıma verisi
- İris ve retina verisi
- Avuç içi geometrisi
- El veya parmak damar izi
- Ses biyometrisi
- İmza dinamikleri
- Yürüyüş biçimi
- Klavye kullanım alışkanlıkları
Her fotoğraf biyometrik veri değildir. Bir fotoğrafın biyometrik veri sayılabilmesi için genellikle kişinin kimliğini otomatik olarak doğrulamak veya tespit etmek amacıyla özel bir teknik işlemden geçirilmesi gerekir.
Örneğin personel dosyasında bulunan vesikalık fotoğraf ile yüz tanıma terminalinde oluşturulan yüz şablonu aynı şekilde değerlendirilmez. Yüz tanıma sistemi, kişinin yüzündeki belirli noktaları analiz ederek kişiye özgü bir dijital şablon oluşturur.
Bu şablon, kişinin kimliğini doğrulamak için kullanıldığı için biyometrik veri niteliği taşıyabilir.
Biyometrik veriler neden özel nitelikli kişisel veridir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda biyometrik veriler, özel nitelikli kişisel veriler arasında kabul edilmektedir.
Özel nitelikli kişisel veriler, öğrenilmeleri veya kötüye kullanılmaları hâlinde kişi açısından ciddi zararlar meydana getirebilecek verilerdir.
Biyometrik verilerin özel olarak korunmasının başlıca nedenleri şunlardır:
Değiştirilmeleri zordur
Şifre, kart veya kullanıcı adı değiştirilebilir. Parmak izi, iris ve yüz geometrisi ise kolaylıkla değiştirilemez.
Kişiyi doğrudan tanımlayabilir
Biyometrik veriler, kişinin kim olduğunu doğrulamak için kullanılabilir. Bu nedenle kimlik hırsızlığı ve yetkisiz erişim bakımından yüksek risk taşır.
Farklı sistemlerde kullanılabilir
Aynı biyometrik veri, kişinin bilgisi dışında farklı sistemlerde eşleştirme amacıyla kullanılabilir.
Veri ihlalinin etkisi uzun sürebilir
Parmak izi şablonunun ele geçirilmesi yalnızca mevcut iş yerini değil, kişinin daha sonra kullanacağı başka sistemleri de etkileyebilir.
Bu nedenle biyometrik veri işleyen işverenlerin yalnızca “çalışandan izin aldım” demesi yeterli değildir. İşlemenin kanuni dayanağı, amacı, gerekliliği, ölçülülüğü ve güvenliği birlikte değerlendirilmelidir.
İşveren çalışanların mesai saatlerini takip edebilir mi?
Evet. İşverenin çalışanların çalışma sürelerini takip etme ve kayıt altına alma hakkı ve yükümlülüğü bulunmaktadır.
4857 sayılı İş Kanunu’nda çalışma sürelerine ilişkin çeşitli düzenlemeler yer almaktadır. İşveren, çalışanların günlük çalışma sürelerini ve fazla çalışma bilgilerini belgelemek zorunda olabilir.
Ancak önemli olan yalnızca mesai takibinin yapılıp yapılmayacağı değildir. Mesai takibinin hangi yöntemle yapılacağı da önemlidir.
İşverenin çalışma saatlerini takip etme hakkının bulunması, otomatik olarak parmak izi veya yüz tanıma sistemi kullanabileceği anlamına gelmez.
Mesai takibi ile biyometrik veri işlenmesi birbirinden ayrı değerlendirilmelidir.
İşveren mesaiyi takip edebilir. Fakat bu takip için kullanılan yöntem gerekli, sınırlı ve ölçülü olmalıdır.
Çalışandan açık rıza alınması yeterli mi?
KVKK İlke Kararının en önemli bölümlerinden biri açık rızayla ilgilidir.
Bazı işverenler çalışanlara bir form imzalatarak parmak izi veya yüz tanıma sistemi kullanmaktadır. Formda çalışanın biyometrik verisinin işlenmesine izin verdiği belirtilmektedir.
Ancak imzalanan her rıza formu geçerli bir açık rıza anlamına gelmez.
Açık rızanın hukuken geçerli olabilmesi için üç temel unsur bulunmalıdır:
- Belirli bir konuya ilişkin olmalıdır.
- Kişi yeterince bilgilendirilmiş olmalıdır.
- Rıza özgür iradeyle verilmelidir.
İşçi ve işveren ilişkisinde taraflar çoğu zaman eşit konumda değildir. İşveren, iş ilişkisi üzerinde daha güçlü bir konumdadır.
Çalışan şu endişelerle rıza verebilir:
- İşe alınmamak
- İşini kaybetmek
- İşverenle sorun yaşamak
- Terfi veya görev değişikliğinde olumsuz değerlendirilmek
- Diğer çalışanlardan farklı muamele görmek
- İş yerindeki kurallara uymayan çalışan olarak görülmek
Bu şartlar altında çalışanın verdiği rızanın gerçekten özgür iradeye dayanıp dayanmadığı tartışmalı hâle gelir.
Ayrıca çalışan açık rızasını istediği zaman geri alabilir. Bir çalışanın rızasını geri çekmesi durumunda sistemin nasıl çalışacağı da ayrı bir sorun oluşturur.
Bu nedenle işçi–işveren ilişkisinde yalnızca açık rızaya dayanarak biyometrik mesai takibi yapılması güvenli bir hukuki yöntem değildir.
Parmak iziyle mesai takibi neden ölçüsüz kabul edilebilir?
KVKK’nın temel ilkelerinden biri ölçülülük ilkesidir.
Ölçülülük, kullanılan yöntemin ulaşılmak istenen amaç için gerekli ve uygun olması anlamına gelir.
Bir işverenin amacı çalışanların giriş ve çıkış saatlerini tespit etmektir. Bu amaç için çalışanın değiştirilemez biyometrik verisinin alınması gerçekten gerekli midir?
Aynı amaç daha az kişisel veri kullanılarak gerçekleştirilebiliyorsa, biyometrik sistem tercih edilmesi ölçüsüz kabul edilebilir.
Mesai takibi şu yöntemlerle de yapılabilir:
| Mesai takip yöntemi | Biyometrik veri işler mi? | Risk seviyesi |
|---|---|---|
| Personel kartı | Hayır | Düşük |
| RFID veya NFC kart | Hayır | Düşük |
| Şifre veya PIN | Hayır | Düşük |
| Elektronik imza çizelgesi | Genellikle hayır | Düşük |
| Kâğıt devam çizelgesi | Hayır | Düşük |
| Görevli tarafından manuel kayıt | Hayır | Düşük |
| Parmak izi | Evet | Yüksek |
| Yüz tanıma | Evet | Yüksek |
| İris veya retina tarama | Evet | Çok yüksek |
| Damar izi | Evet | Yüksek |
Kartlı veya şifreli sistemlerin bulunması, biyometrik verinin zorunlu olmadığını gösterebilir.
Bu nedenle “parmak izi daha hızlı”, “kart unutulabiliyor” veya “başkası yerine kart basılabiliyor” gibi gerekçeler biyometrik veri kullanımını her zaman haklı hâle getirmez.
Kolaylık ve hız, özel nitelikli kişisel veri işlemenin tek başına hukuki gerekçesi değildir.
Veri minimizasyonu ilkesi nedir?
Veri minimizasyonu, bir işlemin gerçekleştirilmesi için yalnızca gerekli olan kadar kişisel veri toplanması anlamına gelir.
Mesai takibinde ihtiyaç duyulan temel bilgiler genellikle şunlardır:
- Çalışanın kimliği veya personel numarası
- İşe giriş saati
- İşten çıkış saati
- Tarih
- Vardiya bilgisi
- Gerekliyse fazla çalışma süresi
Mesai hesabının yapılabilmesi için çalışanın parmak izi görüntüsüne, yüz geometrisine veya iris bilgisine ihtiyaç bulunmayabilir.
Bu nedenle mesai takibi için biyometrik veri alınması, gereğinden fazla veri işlenmesi anlamına gelebilir.
KVKK’ya uygun bir sistem tasarlanırken önce şu soru sorulmalıdır:
“Bu amacı daha az kişisel veri kullanarak gerçekleştirebilir miyiz?”
Cevap evet ise daha az veri işleyen yöntem tercih edilmelidir.
Anayasa Mahkemesi ve Danıştay kararları ne söylüyor?
KVKK İlke Kararında, konuyla ilgili Anayasa Mahkemesi ve Danıştay kararlarına da yer verilmektedir.
Anayasa Mahkemesi, belediyede devlet memuru olarak çalışan bir kişinin parmak izi sistemiyle mesai takibine ilişkin başvurusunu değerlendirmiştir.
Mahkeme, biyometrik veri işlenmesi için açık ve yeterli bir kanuni dayanak bulunması gerektiğini vurgulamıştır. Genel olarak mesai takibi yapılabileceğini düzenleyen hükümler, parmak izi gibi özel nitelikli kişisel verilerin işlenmesi için tek başına yeterli görülmemiştir.
Danıştay 12’nci Dairesi de kamu kurumunda mesai takibi amacıyla yüz tanıma sisteminin kullanılmasına ilişkin bir uyuşmazlığı incelemiştir.
Değerlendirmelerde kişisel verilerin:
- İşlenme amacıyla bağlantılı olması
- Sınırlı olması
- Ölçülü olması
- Gereksiz veri işlenmemesi
- Daha hafif yöntemlerin değerlendirilmesi
gerektiği vurgulanmıştır.
Danıştay İdari Dava Daireleri Kurulu da mesai takibinde özel nitelikli kişisel veri kullanılmasının gereklilik ve ölçülülük ilkeleri çerçevesinde değerlendirilmesi gerektiğini belirtmiştir.
Bu kararlar birlikte değerlendirildiğinde, biyometrik mesai takibi için yalnızca işverenin ihtiyacı veya çalışanın imzaladığı rıza formu yeterli görülmemektedir.
Biyometrik mesai takibi tamamen yasak mı?
İlke Kararı, bütün biyometrik sistemlerin her koşulda yasaklandığı anlamına gelmemektedir.
Kararın konusu özellikle mesai takibi amacıyla biyometrik veri işlenmesidir.
Her biyometrik uygulama; amacı, hukuki dayanağı, gerekliliği, risk seviyesi ve alternatif yöntemlerin bulunup bulunmadığı dikkate alınarak ayrı ayrı değerlendirilmelidir.
Örneğin çok yüksek güvenlik gerektiren bir alana giriş ile sıradan bir ofiste mesai kaydı aynı şekilde değerlendirilmeyebilir.
Aşağıdaki alanlarda farklı bir gereklilik değerlendirmesi yapılabilir:
- Savunma sanayisi tesisleri
- Kritik enerji merkezleri
- Yüksek güvenlikli laboratuvarlar
- Tehlikeli madde depoları
- Banka kasa alanları
- Veri merkezlerinin kritik bölümleri
- Yetkisiz erişimin ağır sonuçlar doğurabileceği alanlar
Ancak bu alanlarda bile biyometrik sistemin otomatik olarak hukuka uygun olduğu söylenemez.
Şu soruların cevaplanması gerekir:
- Biyometrik sistem gerçekten zorunlu mu?
- Kart ve PIN birlikte kullanılamaz mı?
- İki faktörlü kimlik doğrulama yeterli olur mu?
- Açık bir kanuni dayanak bulunuyor mu?
- Daha az müdahaleci bir yöntem mevcut mu?
- Biyometrik şablon nerede saklanıyor?
- Veriler merkezi sunucuya gönderiliyor mu?
- Şablon cihazın içinde mi tutuluyor?
- Veriler şifreleniyor mu?
- Saklama süresi ne kadar?
- İşten ayrılan personelin verileri ne zaman siliniyor?
- Veri ihlali durumunda nasıl müdahale ediliyor?
Bu sorular cevaplanmadan biyometrik sistem kurulması önemli hukuki ve teknik riskler doğurabilir.
Mesai takibi ile kapı geçiş kontrolü aynı şey midir?
Mesai takibi ve erişim kontrolü birbirine benzese de aynı amaç değildir.
Mesai takibinin amacı çalışanın ne zaman işe geldiğini ve ne zaman işten ayrıldığını belirlemektir.
Erişim kontrolünün amacı ise belirli bir kapıya, odaya veya güvenlik bölgesine yalnızca yetkili kişilerin girmesini sağlamaktır.
Bir biyometrik terminal hem kapıyı açabilir hem de personelin giriş saatini kaydedebilir. Ancak cihazın iki işlevi bir arada yapması, iki veri işleme amacının aynı olduğu anlamına gelmez.
Her amaç ayrı değerlendirilmelidir.
Örneğin bir çalışanın yüksek güvenlikli bir laboratuvara girmek için biyometrik doğrulamaya tabi tutulması belirli şartlarda gerekli görülebilir. Ancak aynı biyometrik kaydın maaş, vardiya veya fazla mesai hesabında kullanılması ayrıca değerlendirilmelidir.
Veri sorumlusu, veriyi ilk toplama amacı dışında kullanmamalıdır.
İşverenler mevcut parmak izi sistemleri için ne yapmalı?
Parmak izi veya yüz tanıma sistemi kullanan işverenlerin öncelikle mevcut uygulamalarını hukuki, idari ve teknik açıdan incelemesi gerekir.
1. Sistemin kullanım amacı belirlenmeli
Sistemin yalnızca mesai takibi için mi, kapı güvenliği için mi, yoksa her iki amaçla mı kullanıldığı açık şekilde belirlenmelidir.
“Güvenlik ve personel takibi” gibi geniş ve belirsiz ifadeler yeterli değildir.
2. Kanuni işleme şartı incelenmeli
Biyometrik verinin hangi hukuki sebebe dayanılarak işlendiği tespit edilmelidir.
Yalnızca açık rıza formuna dayanılması, özellikle işçi–işveren ilişkisinde yeterli olmayabilir.
3. Alternatif yöntemler değerlendirilmelidir
Kart, PIN, RFID, NFC, mobil kimlik, QR kod veya görevli kontrolü gibi alternatiflerin aynı amacı karşılayıp karşılamadığı araştırılmalıdır.
4. Gereklilik ve ölçülülük analizi yapılmalıdır
Biyometrik veri kullanmadan aynı sonuca ulaşılabiliyorsa biyometrik yöntemden vazgeçilmesi gerekebilir.
5. Aydınlatma metinleri gözden geçirilmelidir
Çalışanlara;
- Hangi verilerin toplandığı
- Verilerin neden işlendiği
- Kimlere aktarılabileceği
- Ne kadar süre saklanacağı
- Hangi hukuki sebebe dayanıldığı
- Çalışanın hangi haklara sahip olduğu
açık şekilde anlatılmalıdır.
6. Saklama ve silme süreçleri düzenlenmelidir
İşten ayrılan çalışanların biyometrik kayıtları süresiz saklanmamalıdır.
Saklama süresi sona eren veya işleme amacı ortadan kalkan veriler silinmeli, yok edilmeli ya da anonim hâle getirilmelidir.
7. Teknik güvenlik önlemleri artırılmalıdır
Biyometrik veriler için güçlü şifreleme, erişim yetkilendirmesi, kayıt izleme, ağ güvenliği ve veri ihlali müdahale planı uygulanmalıdır.
8. Envanter ve politika belgeleri güncellenmelidir
Kişisel veri işleme envanteri, saklama ve imha politikası, erişim yetki matrisi ve veri güvenliği prosedürleri mevcut uygulamaya uygun olmalıdır.
Mevcut parmak izi kayıtları silinmeli mi?
Biyometrik veri işleme amacı ortadan kalkmışsa veya veri işlemenin hukuki şartları artık bulunmuyorsa mevcut kayıtların saklanmaya devam edilmesi uygun olmayabilir.
Ancak silme işlemi yapılırken yalnızca cihaz ekranından personelin adının kaldırılması yeterli olmayabilir.
Şu alanlar da kontrol edilmelidir:
- Parmak izi terminalinin yerel hafızası
- Merkezi personel takip yazılımı
- SQL veya benzeri veri tabanları
- Yedekleme sistemleri
- Bulut sunucuları
- Teknik servis bilgisayarları
- Aktarım dosyaları
- Eski cihaz yedekleri
- Log ve arşiv kayıtları
Biyometrik verinin silinmesi, yok edilmesi veya anonim hâle getirilmesi işlemi kayıt altına alınmalıdır.
Kullanılan sistem biyometrik şablonu geri döndürülemez biçimde oluşturduğunu iddia etse bile bu veri hâlâ kişiyi doğrulamak için kullanılıyorsa kişisel veri niteliği devam edebilir.
Kartlı geçiş sistemi daha güvenli bir alternatif midir?
Mesai takibi bakımından kartlı geçiş sistemleri, biyometrik sistemlere göre daha az müdahaleci bir yöntemdir.
Kart kaybolduğunda iptal edilerek yenisi tanımlanabilir. Kart numarası değiştirilebilir. Böylece veri ihlalinin etkisi sınırlanabilir.
Ancak kartlı sistemlerin de KVKK’ya uygun kurulması gerekir.
Kartlı geçiş sisteminde şu tedbirler uygulanmalıdır:
- Her çalışana ayrı kart verilmesi
- Kart paylaşımının yasaklanması
- Kayıp kartların hemen iptal edilmesi
- Yetkilerin görevle sınırlı tutulması
- Giriş ve çıkış kayıtlarının gereksiz yere uzun süre saklanmaması
- Yönetici erişimlerinin sınırlandırılması
- Kayıtların yetkisiz kişilerle paylaşılmaması
- İşten ayrılan personelin kartının kapatılması
- Log kayıtlarının korunması
Kartın başka bir çalışana verilmesi riskine karşı kart ve PIN birlikte kullanılabilir. Yüksek güvenlik gerektiren alanlarda kart, PIN ve güvenlik görevlisi kontrolü gibi katmanlı yöntemler tercih edilebilir.
Yüz tanıma sistemleri de karar kapsamında mı?
Evet. İlke Kararı yalnızca parmak izini değil, mesai takibi amacıyla kullanılan diğer biyometrik tanıma yöntemlerini de kapsamaktadır.
Yüz tanıma sistemleri, kişinin yüzündeki belirli geometrik noktaları analiz ederek dijital bir yüz şablonu oluşturur.
Kamera görüntüsünün yalnızca izlenmesi ile yüz tanıma yapılması aynı şey değildir. Sistem kişileri otomatik olarak tanıyor, eşleştiriyor veya doğruluyorsa biyometrik veri işleme söz konusu olabilir.
Bu nedenle yüz tanıma ile personel devam kontrolü yapılması da gereklilik, ölçülülük, veri minimizasyonu ve hukuki işleme şartları açısından değerlendirilmelidir.
Çalışanın turnikeden geçerken yüzünün tanınması, kart taşımayı ortadan kaldırdığı için pratik görülebilir. Ancak pratik olması, uygulamanın KVKK’ya uygun olduğu anlamına gelmez.
Biyometrik veri cihazda saklanırsa sorun çözülür mü?
Bazı üreticiler parmak izi veya yüz şablonlarının cihazın içinde saklandığını ve merkezi sisteme aktarılmadığını belirtmektedir.
Verinin cihaz içinde tutulması, merkezi veri tabanına göre bazı güvenlik risklerini azaltabilir. Ancak bu durum biyometrik veri işlenmediği anlamına gelmez.
Cihaz kişinin parmak izini veya yüzünü analiz ediyor, kayıt altına alıyor ve doğrulama yapıyorsa biyometrik veri işleme faaliyeti devam etmektedir.
Dolayısıyla yalnızca verinin nerede saklandığı değil, biyometrik veri kullanımının gerekli ve hukuka uygun olup olmadığı da değerlendirilmelidir.
Cihaz içi saklama bir güvenlik tedbiridir. Tek başına hukuki dayanak değildir.
Biyometrik sistem kullanan firmalara ceza verilebilir mi?
6698 sayılı Kanun kapsamında yükümlülüklere aykırı hareket edilmesi durumunda idari para cezaları ve başka hukuki sonuçlar gündeme gelebilir.
Risk yalnızca para cezasıyla sınırlı değildir.
Kurul veya ilgili mahkemeler;
- Hukuka aykırı veri işlemenin durdurulmasına
- Verilerin silinmesine veya yok edilmesine
- Sistemin kullanımının sonlandırılmasına
- Teknik ve idari tedbirlerin artırılmasına
- İlgili kişilerin başvurularının cevaplanmasına
yönelik kararlar verebilir.
Ayrıca çalışanlar kişilik haklarının ihlal edildiğini ileri sürerek hukuki yollara başvurabilir.
Veri ihlali yaşanması durumunda şirketin itibarı da zarar görebilir.
Çalışanlar parmak izi vermek zorunda mı?
Bir işveren parmak izi sistemini zorunlu tuttuğunda çalışan, uygulamanın hukuki dayanağını ve alternatif yöntemleri sorma hakkına sahiptir.
Çalışan öncelikle veri sorumlusuna başvurarak şu bilgileri talep edebilir:
- Hangi biyometrik verinin işlendiği
- Verinin hangi amaçla kullanıldığı
- Hangi hukuki sebebe dayanıldığı
- Verinin kimlere aktarıldığı
- Ne kadar süre saklandığı
- Silme işleminin nasıl yapıldığı
- Alternatif giriş yöntemi bulunup bulunmadığı
Çalışan, kişisel verilerinin hukuka aykırı işlendiğini düşünüyorsa öncelikle veri sorumlusuna başvurabilir. Başvurunun sonucuna göre Kişisel Verileri Koruma Kuruluna şikâyet yoluna gidilebilir.
Her olayın şartları farklı olduğu için somut uyuşmazlıklarda uzman hukuk görüşü alınması önemlidir.
Elektronik güvenlik firmaları ve sistem entegratörleri ne yapmalı?
Parmak izi, yüz tanıma ve personel devam kontrol sistemleri satan firmalar açısından İlke Kararı önemli sonuçlar doğurmaktadır.
Sistemi satan veya kuran firmanın, müşteriye yalnızca cihaz özelliklerini anlatması yeterli değildir.
Müşteriye şu konularda açık bilgi verilmelidir:
- Biyometrik sistemin KVKK açısından riskleri
- Mesai takibi ile güvenlik amaçlı erişim kontrolünün farkı
- Kart, PIN ve RFID gibi alternatifler
- Verilerin nerede saklandığı
- Bulut aktarımı yapılıp yapılmadığı
- Şifreleme yöntemi
- Veri silme prosedürü
- Yönetici erişim yetkileri
- Loglama sistemi
- Yedekleme ve geri yükleme süreci
- Cihaz devreden çıkarıldığında verilerin nasıl silineceği
Tekliflerde “KVKK uyumludur” şeklinde kesin ve genel ifadeler kullanılmamalıdır.
Bir cihazın teknik olarak güvenli olması, müşterinin kullanım şeklinin de otomatik olarak hukuka uygun olduğu anlamına gelmez.
KVKK uyumluluğu yalnızca ürüne bağlı değildir. Sistemin amacı, kurulum şekli, kullanım politikası, hukuki dayanağı ve veri saklama süreci birlikte değerlendirilmelidir.
KVKK’ya daha uygun bir personel takip sistemi nasıl kurulabilir?
Biyometrik veri kullanmadan işleyen bir personel takip sistemi aşağıdaki yapıda kurulabilir:
Personel kartı
Her çalışana benzersiz bir RFID veya NFC kartı tanımlanır.
PIN doğrulaması
Kart paylaşımını azaltmak amacıyla kullanıcıdan kişisel PIN girmesi istenir.
Yetki grupları
Personelin yalnızca görevli olduğu alanlara giriş yapabilmesi sağlanır.
Zaman planları
Vardiya ve çalışma saatlerine göre geçiş yetkileri düzenlenir.
Güvenli kayıt sistemi
Giriş ve çıkış kayıtlarına yalnızca yetkili insan kaynakları ve güvenlik personeli erişebilir.
Sınırlı saklama süresi
Kayıtlar, işleme amacı için gerekli süre boyunca saklanır. Süresiz arşivleme yapılmaz.
İşten ayrılma prosedürü
Personel işten ayrıldığında kartı iptal edilir ve gereksiz kayıtlar saklama politikasına uygun şekilde silinir.
Alternatif doğrulama
Kartını unutan çalışanlar için güvenlik görevlisi onaylı geçici kart veya tek kullanımlık kod yöntemi uygulanabilir.
Bu yapı hem operasyonel ihtiyacı karşılayabilir hem de biyometrik veri kullanımına göre daha düşük kişisel veri riski oluşturabilir.
Sık sorulan sorular
Parmak iziyle mesai takibi kesin olarak yasak mı?
Mesai takibi amacıyla parmak izi kullanılmasının her durumda otomatik olarak yasaklandığını söylemek doğru değildir. Ancak açık kanuni dayanak, gerçek bir zorunluluk ve ölçülülük bulunmadığında uygulama hukuka aykırı kabul edilebilir. Kart veya PIN gibi alternatifler varken parmak izi kullanılması ciddi risk taşır.
Çalışan rıza formu imzalarsa parmak izi sistemi kullanılabilir mi?
Rıza formunun imzalanması tek başına yeterli değildir. İşçi ve işveren arasındaki güç dengesizliği nedeniyle rızanın özgür iradeyle verilip verilmediği tartışmalı olabilir.
Yüz tanıma ile mesai takibi de aynı kapsamda mı?
Evet. Kişiyi otomatik olarak tanımak veya doğrulamak amacıyla yüz özelliklerinin teknik işleme tabi tutulması biyometrik veri işleme sayılabilir.
Personel kartı kullanmak KVKK’ya uygun mu?
Kartlı sistemler biyometrik sistemlere göre daha az müdahalecidir. Ancak kart kayıtlarının amacı dışında kullanılmaması, güvenli saklanması ve gereğinden uzun süre tutulmaması gerekir.
Parmak izi resmi mi saklanıyor, yoksa şablon mu?
Çoğu sistem doğrudan parmak izi görüntüsü yerine sayısal bir şablon saklar. Ancak şablon kişiyi doğrulamak için kullanıldığı için biyometrik kişisel veri niteliği taşıyabilir.
Biyometrik verinin şifrelenmesi sistemi hukuka uygun yapar mı?
Şifreleme önemli bir güvenlik tedbiridir. Ancak veri işlemenin gerekli ve hukuka uygun olup olmadığı sorununu tek başına çözmez.
İşten ayrılan personelin biyometrik verisi ne yapılmalı?
İşleme amacı sona ermişse ve başka bir hukuki saklama sebebi bulunmuyorsa veriler silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
Yüksek güvenlikli alanlarda biyometrik sistem kullanılabilir mi?
Somut şartlara göre mümkün olabilir. Ancak gerçek bir zorunluluk, uygun hukuki dayanak, ölçülülük ve güçlü güvenlik önlemleri bulunmalıdır. Daha az müdahaleci yöntemlerin neden yeterli olmadığı açıklanabilmelidir.
Sonuç
KVKK’nın 2026/921 sayılı İlke Kararı, çalışanların mesai takibinde biyometrik veri kullanımına yönelik önemli bir uyarı niteliğindedir.
İşverenlerin çalışma saatlerini takip etme hakkı ve yükümlülüğü bulunabilir. Ancak bu yükümlülük, çalışanların parmak izi, yüz geometrisi veya iris bilgisi gibi özel nitelikli kişisel verilerinin sınırsız şekilde kullanılmasına izin vermez.
Mesai takibi kart, PIN, RFID, NFC veya imza çizelgesi gibi daha az müdahaleci yöntemlerle yapılabiliyorsa biyometrik veri kullanılması gereksiz ve ölçüsüz kabul edilebilir.
Çalışana açık rıza formu imzalatılması da uygulamayı her zaman hukuka uygun hâle getirmez. İşçi–işveren ilişkisindeki güç dengesizliği nedeniyle verilen rızanın gerçekten özgür iradeye dayanması gerekir.
İşverenlerin, kamu kurumlarının ve elektronik güvenlik sistemi entegratörlerinin biyometrik uygulamaları yeniden değerlendirmesi önemlidir.
En doğru yaklaşım, önce veri işleme amacını belirlemek, ardından bu amacı en az kişisel veri kullanarak gerçekleştiren yöntemi seçmektir.
Kaynak: Kişisel Verileri Koruma Kurulu, Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı, Karar No: 2026/921, Karar Tarihi: 29.04.2026.
Hukuki uyarı: Bu içerik genel bilgilendirme amacıyla hazırlanmıştır. Somut olaylar bakımından kişisel verilerin korunması alanında uzman hukukçulardan görüş alınması önerilir.
