KVKK'dan Mesai Takibinde Biyometrik Veriye Yasak: Mali Müşavirler İçin Rehber

Kişisel Verileri Koruma Kurulundan Mesai Takibinde Biyometrik Veri İşlenmesine İlişkin Önemli Karar

Kişisel Verileri Koruma Kurulunun (KVKK) 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı, 2 Haziran 2026 tarihli Resmi Gazete'de yayımlanarak iş dünyasında önemli bir dönüm noktasına işaret etmiştir. Bu karar, özellikle iş yerlerinde mesai takibi amacıyla kullanılan parmak izi, yüz tanıma gibi biyometrik veri işleme yöntemlerini hukuka aykırı bularak fiilen yasaklamaktadır. Mali müşavirler olarak müvekkillerinizi bu önemli gelişme hakkında bilgilendirmeniz ve uyum süreçlerinde onlara rehberlik etmeniz büyük önem taşımaktadır.

Dikkat Edilmesi Gereken Temel Noktalar

KVKK'nın bu İlke Kararı, biyometrik verilerin işlenmesi konusunda mevcut uygulamaları kökten değiştirecek niteliktedir. Mali müşavirlerin ve müvekkillerinin bu kararın detaylarını iyi anlaması ve buna göre hareket etmesi gerekmektedir. İşte dikkat edilmesi gereken temel noktalar:

• Özel Nitelikli Kişisel Veri Statüsü: Biyometrik veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) madde 6 kapsamında "özel nitelikli kişisel veri" olarak tanımlanmaktadır. Bu kategoriye giren verilerin işlenmesi, Kanun'da belirtilen genel kişisel verilere göre çok daha sıkı şartlara tabidir. Parmak izi, yüz tanıma, retina taraması gibi veriler, bireyin kimliğini benzersiz bir şekilde belirleyebildiği için yüksek risk taşır ve bu nedenle özel koruma altındadır.
• Açık Rızanın Yetersizliği ve Bağımlılık İlişkisi: Karar, işveren ile çalışan arasındaki bağımlılık ilişkisi nedeniyle, çalışanın biyometrik verilerinin işlenmesi için verdiği açık rızanın özgür iradeye dayanmadığı varsayımını güçlendirmektedir. KVKK, açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanması gerektiğini belirtir. Ancak iş ilişkisinde, çalışanın işini kaybetme endişesiyle rıza vermesi, bu rızanın "özgür irade" şartını zedeleyebilir. Bu durum, biyometrik veri işleme için açık rızanın tek başına geçerli bir hukuki dayanak olamayacağını ortaya koymaktadır.
• Orantılılık ve Veri Minimasyonu İlkeleri: KVKK'nın temel ilkelerinden olan "işleme amacına uygunluk, sınırlılık ve ölçülülük" (veri minimizasyonu) ile "orantılılık" ilkeleri, bu kararın temelini oluşturmaktadır. Kurul, mesai takibi gibi bir amaç için biyometrik veri işlenmesinin, amaca ulaşmak için gerekli ve orantılı olmadığını değerlendirmiştir. Zira, mesai takibi için biyometrik verilerden çok daha az müdahale edici ve kişisel veri güvenliği açısından daha az risk taşıyan alternatif yöntemler (örneğin, kartlı geçiş sistemleri, manuel imza defterleri, biyometrik olmayan PDKS cihazları) mevcuttur. Bu alternatifler varken, özel nitelikli kişisel veri olan biyometrik verilerin işlenmesi, Kanun'un ruhuna aykırı bulunmuştur.
• Kamu Yararı ve Zorunluluk Şartı: Özel nitelikli kişisel verilerin işlenmesi için Kanun'da belirtilen istisnai durumlardan biri de "kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi" gibi şartlardır. Mesai takibi, bu istisnalar kapsamına girmediği gibi, işverenlerin biyometrik veri işleme konusunda "kanunlarda açıkça öngörülme" veya "fiili imkansızlık" gibi diğer hukuki dayanaklara da dayanması mümkün değildir.

Müvekkillerinizin Yapması Gerekenler

Müvekkillerinizin KVKK İlke Kararı'na uyum sağlaması ve olası idari para cezaları ile hukuki yaptırımlardan korunması için aşağıdaki adımları acilen atmaları gerekmektedir. Mali müşavirler olarak bu süreçte onlara yol göstermeniz hayati önem taşımaktadır:

1. Mevcut Biyometrik Sistemlerin Derhal Durdurulması ve Kaldırılması: İş yerlerinde mesai takibi amacıyla kullanılan parmak izi, yüz tanıma, retina taraması gibi tüm biyometrik sistemler derhal kullanımdan kaldırılmalı ve bu sistemler aracılığıyla toplanan verilerin işlenmesi durdurulmalıdır. Bu sistemlerin fiziksel olarak sökülmesi veya devre dışı bırakılması, veri toplama ve işleme faaliyetinin tamamen sonlandırıldığının bir göstergesi olacaktır.
2. Alternatif ve Hukuka Uygun Mesai Takip Yöntemlerine Geçiş: Biyometrik sistemler yerine, kişisel veri güvenliği açısından daha az risk taşıyan ve KVKK ilkelerine uygun alternatif yöntemlere geçiş yapılmalıdır. Bu yöntemler arasında; çalışan kartları ile giriş-çıkış takibi (kartlı geçiş sistemleri), manuel imza defterleri, biyometrik olmayan PDKS (Personel Devam Kontrol Sistemi) cihazları, mobil uygulamalar veya yazılımlar aracılığıyla konum bazlı olmayan giriş-çıkış kayıtları yer alabilir. Seçilecek yöntemin, veri minimizasyonu ilkesine uygun olması ve amaca ulaşmak için gerekli olandan fazlasını işlememesi esastır.
3. Kişisel Veri Envanterinin ve VERBİS Kayıtlarının Güncellenmesi: İşletmelerin Kişisel Veri Envanteri, biyometrik verilerin işlenmesine ilişkin tüm kayıtları içerecek şekilde güncellenmeli ve bu verilerin işlenmesinin sonlandırıldığı belirtilmelidir. Ayrıca, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıtları da gözden geçirilmeli ve biyometrik veri işleme faaliyetlerine ilişkin beyanlar, güncel duruma uygun olarak revize edilmelidir. Bu, şeffaflık ve hesap verebilirlik ilkelerinin bir gereğidir.
4. Çalışanların Şeffaf Bir Şekilde Bilgilendirilmesi ve Aydınlatılması: Çalışanlar, biyometrik veri işleme uygulamalarının neden sonlandırıldığı, KVKK İlke Kararı'nın içeriği ve yeni mesai takip yöntemleri hakkında açık ve anlaşılır bir dilde bilgilendirilmelidir. Bu bilgilendirme, KVKK'nın "aydınlatma yükümlülüğü" kapsamında yapılmalı ve çalışanların veri işleme süreçleri hakkında tam bilgi sahibi olmaları sağlanmalıdır. Gerekirse, yeni aydınlatma metinleri hazırlanarak çalışanlara sunulmalıdır.
5. Hukuki ve Teknik Danışmanlık Alınması ve Sürekli Uyumun Sağlanması: Uyum sürecinde yaşanabilecek olası hukuki riskleri minimize etmek, doğru adımları atmak ve gelecekteki olası mevzuat değişikliklerine hazırlıklı olmak adına KVKK uzmanlarından, hukukçulardan veya veri güvenliği danışmanlarından profesyonel destek alınması şiddetle tavsiye edilmektedir. Ayrıca, işletmelerin veri koruma politikalarını ve prosedürlerini düzenli olarak gözden geçirmeleri ve sürekli uyumu sağlamaları gerekmektedir. Bu, sadece yasal bir zorunluluk değil, aynı zamanda kurumsal itibar ve güvenilirlik açısından da kritik öneme sahiptir.

Sonuç

KVKK'nın bu İlke Kararı, kişisel verilerin korunması alanında önemli bir adım olup, özellikle özel nitelikli kişisel verilerin işlenmesi konusundaki hassasiyeti bir kez daha ortaya koymuştur. Mali müşavirler olarak, müvekkillerinizin bu karara uyum sağlaması ve olası idari para cezaları ile hukuki yaptırımlardan kaçınması için proaktif bir rol üstlenmeniz gerekmektedir. İşletmelerin veri koruma politikalarını güncellemeleri ve hukuka uygun alternatif çözümlere yönelmeleri, hem yasal uyum hem de çalışan haklarının korunması açısından kritik öneme sahiptir.