USD 45,9522 ₺ EUR 53,3728 ₺ GBP 61,9096 ₺ CHF 58,3639 ₺ BIST 100 13.966 TCMB Faiz %50,00
↑↓ gezin esc kapat
Müşavirler Kulübü Gelişmiş Ara
Mevzuat Sorular Makaleler Araclar Hesapla Exceller SMMM Sinav Anketler
Tümü Vergi SGK Muhasebe e-Defter / e-Fatura Tartışmalar Bordro KDV Denetim Kurumlar Vergisi Mevzuat Şirketler Genel Enflasyon Muhasebesi Amortisman Tesvikler Muhasebe Kayitlari SMMM Sınavları Kira ve Gayrimenkul Is Hukuku Şirket İşlemleri Sirketler ve Ticaret Dış Ticaret Mali Musavirlik Meslegi Gayrimenkul ve Kira Gelir Vergisi Beyannameler Dis Ticaret ve Gumruk Damga Vergisi ve Harclar Ticaret Hukuku Denetim ve Uyum E-Ticaret ve Dijital Banka ve Finans Miras ve Veraset Ceza ve Uzlasma Serbest Tartışma Serbest Sohbet
Son Güncelleme: 04 Haziran 2026

Mesai takibinde biyometrik veri kullanımı 2026 KVKK ilke kararı ve işverenler

Kısa Özet

KVKK Kurulunun 29.04.2026 tarihli mesai takibinde biyometrik veri ilke kararı, işverenlere etkileri, alternatif yöntemler ve mali müşavirler için yol haritası.

Serhat Yildirim
Serhat Yildirim
21 dk okuma 36 goruntuleme
Mesai takibinde biyometrik veri kullanımı 2026 KVKK ilke kararı ve işverenler

Mesai Takibinde Biyometrik Veri Kullanımı 2026 KVKK İlke Kararı: İşverenler ve Mali Müşavirler İçin Rehber

Giriş ve Arka Plan

02.06.2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulunun 29.04.2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, Türkiye’de uzun süredir tartışılan parmak izi, yüz tanıma, iris ve retina gibi biyometrik yöntemlerle mesai takibi uygulamalarında kritik bir dönüm noktası oluşturdu.

Karar, özellikle orta ve büyük ölçekli işletmelerde son yıllarda yaygınlaşan parmak izi okuma cihazları ve yüz tanıma turnikeleri üzerinden kurulan giriş-çıkış kontrol sistemlerinin, kişisel verilerin korunması hukuku bakımından yeniden değerlendirilmesini zorunlu hale getirdi. İşverenlerin iş sözleşmelerini ispat, çalışma sürelerini belgeleme, fazla mesaiyi kontrol etme ve iş güvenliğini sağlama yükümlülükleri çerçevesinde tercih ettiği bu teknolojiler, KVKK m.4’teki amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri ışığında Kurul tarafından ayrıntılı biçimde incelendi.

Kurul, söz konusu ilke kararıyla, çalışanların mesai takibi amacıyla biyometrik veri işlenmesinin açık rıza bulunsa dahi kural olarak hukuka uygun kabul edilemeyeceğini açıkça belirterek; uygulamada çok sayıda işyerinde kullanılan sistemlerin ciddi bir hukuki risk barındırdığını ortaya koydu. Bu durum, sadece insan kaynakları ve hukuk departmanlarını değil, bordro düzenleyen ve işçilik maliyetlerini raporlayan mali müşavirleri ve bağımsız denetçileri de doğrudan ilgilendiriyor.

Düzenlemenin Detayları

İlke kararı, KVKK ve ilgili mevzuat çerçevesinde mesai takibi için biyometrik veri işlenmesini birkaç temel başlık altında ele alıyor: veri türünün niteliği, hukuki dayanak, açık rızanın geçerliliği, ölçülülük ilkesi ve alternatif yöntemlerin varlığı.

1) Biyometrik verinin niteliği: Özel nitelikli kişisel veri

Parmak izi, yüz tanıma, iris ve retina verileri gibi biyometrik veriler, 6698 sayılı KVKK’nın 6’ncı maddesi kapsamında özel nitelikli kişisel veri olarak kabul edilmektedir. Kurul, ilke kararında bu verilerin:

  • Kişiye özgü ve benzersiz olduğunu,
  • Ele geçirilmesi halinde değiştirilemez veya geri alınamaz nitelik taşıdığını,
  • Bu nedenle diğer kişisel verilere göre daha yüksek risk barındırdığını,
  • Daha sıkı teknik ve idari tedbirlerle korunması gerektiğini

vurgulamaktadır. Örneğin, bir çalışanın parmak izi şifresi gibi değiştirilemez; bu nedenle veri sızıntısı halinde ortaya çıkacak risk kalıcıdır ve uzun süreli sonuçlar doğurabilir.

2) Mesai takibi için açık kanuni düzenleme bulunmaması

İş Kanunu ve ilgili yönetmeliklerde işverenin çalışma sürelerini takip etme ve belgeleme yükümlülüğü bulunsa da, bu takibin özellikle biyometrik sistemlerle yapılmasını zorunlu kılan veya bu yönteme açıkça izin veren bir düzenleme yoktur. Kurul, bu nedenle mesai takibinde biyometrik veri işlemenin KVKK m.5 ve m.6’da yer alan “kanunlarda açıkça öngörülme” şartına dayandırılamayacağını açıkça belirtmiştir.

Başka bir ifadeyle, “İş Kanunu çalışma sürelerinin takibini emrediyor, ben de en güvenli yöntem olarak parmak izi kullanıyorum” şeklindeki yaklaşım, KVKK açısından yeterli hukuki dayanak olarak kabul edilmemektedir.

3) Açık rıza tek başına yeterli görülmüyor

Kurul, işçi-işveren ilişkisindeki güç dengesizliğine dikkat çekerek, çalışanlardan alınan açık rızanın özgür iradeye dayanıp dayanmadığının tartışmalı olduğunu vurgulamıştır. İş sözleşmesinin kurulması veya devamı için fiilen zorunlu tutulan bir rızanın, “özgür irade” ürünü olarak kabul edilmesi oldukça zordur.

İlke kararında özellikle şu hususlar öne çıkarılmaktadır:

  • Çalışan, rıza vermezse işe alınmama, görev değişikliği, performans baskısı gibi olumsuz sonuçlarla karşılaşabileceğini düşünebilir.
  • Açık rıza teorik olarak her zaman geri alınabilir; ancak mesai takibi tamamen bu sisteme dayalı ise, rızanın geri alınması iş ilişkisinin yürütülmesini fiilen zorlaştırabilir.
  • Bu nedenle, çalışanların biyometrik verilerinin işlenmesine ilişkin rızalarının gönüllü, bilinçli ve özgür iradeye dayalı olduğu kabul edilemeyecektir.

Kurul, bu çerçevede, açık rıza bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin KVKK m.4’teki temel ilkelere uygun olmayacağını açıkça ifade etmektedir.

4) Ölçülülük, gereklilik ve veri minimizasyonu

KVKK m.4 uyarınca kişisel verilerin işlenmesinde amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi esastır. Kurul, mesai takibinin sınırlı ve idari bir amaç olduğunu; buna karşılık biyometrik verilerin işlenmesinin ilgili kişinin mahremiyetine yoğun bir müdahale niteliği taşıdığını belirtmektedir.

Kararda özellikle şu noktalar vurgulanır:

  • Mesai takibi için şifreli kart, PIN tabanlı giriş sistemleri, RFID/NFC kimlik kartları, geleneksel imza çizelgeleri veya denetçi gözetiminde elle giriş gibi daha az müdahaleci yöntemler mümkündür.
  • Bu alternatifler varken biyometrik verinin işlenmesi, veri minimizasyonu ve ölçülülük ilkeleriyle bağdaşmamaktadır.
  • Kurul, açık rıza dahi olsa, bu tür bir “gereksiz aşırı müdahale”yi hukuka uygun kabul etmemektedir.

5) Yaptırım riski: KVKK m.18

İlke kararında, belirtilen esaslara aykırı hareket edilmesi hâlinde veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanabileceği açıkça belirtilmiştir. Bu kapsamda; veri işleme şartlarına aykırı biyometrik mesai takibi uygulamaları, resen inceleme veya şikâyet üzerine Kurul kararına konu olabilir ve ciddi tutarlarda idari para cezalarıyla karşılaşılabilir.

Mesai Takibinde Biyometrik Veri İşlenmesine Yeni İlke Kararı – KVKK

Uygulamada Nasıl İşleniyor?

İlke kararı sonrası, mesai takibi için biyometrik veri işleyen işverenlerin sistemlerini gözden geçirmeleri ve mümkün olan en kısa sürede alternatif yöntemlere geçiş planı yapmaları beklenmektedir. Bu süreçte hem hukuki hem de muhasebe/bordro açısından izlenmesi gereken adımları aşağıdaki şekilde özetlemek mümkündür.

1) Mevcut sistemlerin envanterinin çıkarılması

İlk adım, işyerinde kullanılan tüm mesai kontrol yöntemlerinin ve buna bağlı veri işleme faaliyetlerinin envanterinin çıkarılmasıdır:

  • Hangi lokasyonda hangi sistem kullanılıyor? (parmak izi terminali, yüz tanıma, kartlı geçiş vb.)
  • Hangi veriler alınıyor? (parmak izi şablonu, yüz geometrisi, kart numarası, T.C. kimlik numarası vb.)
  • Veriler nerede, ne kadar süreyle saklanıyor? (yerel sunucu, bulut, cihaz hafızası vb.)
  • Kimler erişebiliyor? (İK departmanı, IT, dış hizmet sağlayıcı vb.)

2) Biyometrik sistemlerin devreden çıkarılması ve geçiş süreci

İlke kararıyla birlikte, mesai takibinde biyometrik veri işlenmesine devam edilmesi, işveren açısından ciddi hukuki risk doğuracağından, bir geçiş takvimi belirlenmelidir. Örneğin:

  • 1 ay içinde parmak izi sisteminin devre dışı bırakılması,
  • Aynı süre içinde kartlı geçiş veya PIN tabanlı sistemin devreye alınması,
  • Geçiş süresince olası uyuşmazlıklar için hem eski hem yeni sistem üzerinden kayıt tutulması (hukuki risk dikkatle yönetilerek).

3) Biyometrik verilerin silinmesi veya anonim hale getirilmesi

Kurul’un yaklaşımı gereği, mesai takibi amacıyla işlenen biyometrik veriler bakımından, artık hukuki işleme şartının ortadan kalktığı kabul edilmelidir. Bu durumda:

  • Parmak izi şablonları veya yüz tanıma kayıtları, KVKK m.7 uyarınca silinmeli, yok edilmeli veya anonim hale getirilmelidir.
  • Silme/yok etme işlemi, veri sorumlusu nezdinde tutanakla kayıt altına alınmalı, mümkünse teknik log kayıtları saklanmalıdır.
  • Dış hizmet sağlayıcısı (cihaz tedarikçisi, yazılım firması) varsa, onlarla yapılan sözleşmeler ve veri işleyen sıfatları ayrıca gözden geçirilmelidir.

4) Alternatif mesai takip yöntemlerinin kurulumu

İlke kararında, alternatif yöntemler olarak özellikle şu araçlar sayılmaktadır:

  • Şifreli kart sistemleri,
  • PIN tabanlı giriş sistemleri,
  • RFID/NFC kimlik kartları,
  • Kâğıt bazlı devam çizelgeleri,
  • Geleneksel imza çizelgeleri,
  • Denetçi gözetiminde elle giriş yöntemleri.

Bu yöntemler de KVKK’ya tabidir; ancak biyometrik veri niteliği taşımadıkları için özel nitelikli veri rejimine göre daha düşük riskli kabul edilir. Buna rağmen, veri minimizasyonu, saklama süresi ve erişim yetkileri açısından yine de dikkatli olmak gerekir.

5) Bordro ve muhasebe süreçlerinin uyarlanması

Mesai verileri, bordro hesaplamalarının temel girdisidir. Biyometrik sistemlerden kartlı veya imzalı sisteme geçişte:

  • Fazla mesai, eksik çalışma, vardiya primleri gibi kalemlerin dayanağı olan devam kayıtlarının ispat gücü yeniden değerlendirilmelidir.
  • İş uyuşmazlıklarında, imza çizelgeleri ve kart kayıtları delil niteliği taşıyacağından, bu kayıtların saklama süresi ve arşiv düzeni mali müşavirlerce de gözden geçirilmelidir.
  • Denetimlerde (vergi incelemesi, SGK denetimi, iş müfettişi vb.) mesai çizelgelerinin sunulabilir ve doğrulanabilir olması önem kazanacaktır.

Örnek Senaryo

Aşağıda, biyometrik veriyle mesai takibi yapan bir işverenin ilke kararı sonrasında karşılaşabileceği durumu ve olası mali sonuçları rakamsal bir örnekle ele alalım.

Senaryo:

ABC A.Ş., 150 çalışanı bulunan bir üretim işletmesidir. 2023 yılından beri tüm çalışanların giriş-çıkışları parmak izi okuma cihazlarıyla takip edilmektedir. Sistem şu şekilde çalışmaktadır:

  • Her çalışanın parmak izi şablonu cihazlara kaydedilmiştir.
  • Günlük giriş-çıkış saatleri bu sistem üzerinden alınarak bordro programına aktarılmaktadır.
  • Her giriş ve çıkış, ilgili çalışanın personel numarası ve parmak izi referansıyla eşleştirilmektedir.

Kurulun 2026/921 sayılı ilke kararı sonrası, ABC A.Ş. hakkında bir çalışan tarafından KVKK’ya şikâyette bulunulmuştur.

Adım 1 – Hukuki değerlendirme

  • İşveren, çalışanlardan işe girişte biyometrik veri işlenmesine yönelik açık rıza beyanı almıştır.
  • Ancak Kurul, mesai takibi amacıyla biyometrik veri işlenmesinin açık rıza bulunsa dahi ölçülülük ve veri minimizasyonu ilkeleri kapsamında hukuka uygun kabul edilemeyeceğini belirtmektedir.
  • Dolayısıyla, alınan rızalar işleme faaliyetini hukuka uygun hale getirmemektedir.

Adım 2 – KVKK m.18 kapsamında idari para cezası riski

Kurul, inceleme sonucunda ABC A.Ş.’nin:

  • Özel nitelikli kişisel veri niteliğindeki biyometrik verileri,
  • Kanuni işleme şartı olmaksızın ve ölçülülük ilkesine aykırı biçimde işlediğine,
  • İlk karar sonrası da bu uygulamaya bir süre devam ettiğine

kanaat getirirse, KVKK m.18 uyarınca idari para cezasına hükmedebilecektir. Ceza tutarı, Kanun ve Kurulun güncel ceza uygulamalarına göre belirlenecek olup; işletmenin büyüklüğü, ihlalin ağırlığı ve süresi, etkilenen kişi sayısı, ihlalin kasıtlı olup olmadığı gibi unsurlar dikkate alınacaktır.

Adım 3 – Biyometrik verilerin silinmesi ve sistemin değiştirilmesi

  • ABC A.Ş. parmak iziyle mesai takibini derhal durdurmaya ve kartlı geçiş sistemine geçmeye karar verir.
  • 150 çalışanın parmak izi şablonları, cihazlardan ve merkezî sunucudan kalıcı olarak silinir; bu işleme ilişkin teknik rapor ve tutanak düzenlenir.
  • Yeni sistemde her çalışana benzersiz bir kart numarası tanımlanır; kart kaybolması hâlinde kart iptal edilip yenisi verilebilir, böylece biyometrik verideki geri döndürülemezlik riski ortadan kalkar.

Adım 4 – Bordroya etkisi (rakamlı örnek)

ABC A.Ş. bordrolarında fazla mesai hesaplaması, aylık devam çizelgelerine göre yapılmaktadır. Örneğin bir işçiye ilişkin veriler:

  • Aylık normal çalışma süresi: 225 saat
  • Fiili çalışma (biyometrik sistem kayıtlarına göre): 245 saat
  • Fazla mesai: 20 saat
  • Fazla mesai saat ücreti: 150 TL
  • Aylık fazla mesai ücreti: 20 × 150 = 3.000 TL

Kartlı sisteme geçiş sonrası da mantık değişmeyecek; sadece fazla mesai hesabının dayanağı biyometrik veri değil, kartlı veya imzalı çizelgeler olacaktır. Dolayısıyla:

  • Toplam brüt ücret tutarları ve SGK prim matrahı aynı kalabilir.
  • Ancak iş uyuşmazlığında işçi, “fazla mesai yaptım ama işveren kaydetmedi” iddiasında bulunursa; mahkemece kart kayıtlarının, imza çizelgelerinin ve tanık beyanlarının delil niteliği önem kazanacaktır.
  • Biyometrik sisteme dayalı kayıtların hukuka aykırı elde edildiği iddiası, delil değerlendirmesinde tartışma yaratabilir; bu nedenle mümkün olan en kısa sürede hukuka uygun sisteme geçiş önemlidir.

Dikkat Edilmesi Gereken Kritik Noktalar

İlke kararı sonrasında işverenlerin, insan kaynakları birimlerinin ve mali müşavirlerin özellikle aşağıdaki hususlara dikkat etmeleri gerekir:

  • (1) Mesai takibinde biyometrik veri kullanımını standart yöntem olarak bırakmayın
    Kurulun ilke kararı, mesai takibinde biyometrik veri işlemenin açık rıza dahil hiçbir işleme şartına dayanarak genel ve sürekli bir yöntem olarak kullanılmasını hukuka uygun görmemektedir. Mevcut biyometrik sistemleriniz varsa, bunları geçici bir süre dahi olsa “normal” yöntem olarak sürdürmek yerine, geçiş planı yaparak kademeli şekilde devre dışı bırakın.
  • (2) Açık rızayı “kurtarıcı çözüm” olarak düşünmeyin
    İşçi-işveren ilişkisindeki güç dengesizliği ve ölçülülük ilkesi nedeniyle, çalışanlardan alınan açık rızaların tek başına hukuki güvence sağlamadığını dikkate alın. “Zaten herkes rıza formunu imzaladı” yaklaşımı, Kurul nezdinde geçerli bir savunma olmayacaktır.
  • (3) Alternatif sistem seçerken veri minimizasyonu ve amaçla bağlantıyı gözetin
    Kartlı sistem, PIN, imza çizelgesi gibi alternatifler arasında seçim yaparken, sadece maliyet ve operasyonel kolaylığı değil, hangi verinin gerçekten zorunlu olduğunu da değerlendirin. Örneğin, kart numarası ile takip yeterliyken çalışanların T.C. kimlik numarasını turnike sistemine kaydetmek veri minimizasyonu ilkesine aykırı olabilir.
  • (4) Dış hizmet sağlayıcılarıyla (yazılım/cihaz firmaları) sözleşmelerinizi gözden geçirin
    Biyometrik sistem sağlayıcılarıyla yaptığınız sözleşmelerde, bu firmaların “veri işleyen” sıfatı ve KVKK’ya uyum yükümlülükleri açıkça düzenlenmiş olmalıdır. İlke kararı sonrasında, bu sözleşmelerin kapsamını güncellemek, yeni sistem için veri işleyen rolünü yeniden tanımlamak gerekebilir.
  • (5) Biyometrik verilerin güvenli silinmesi ve yok edilmesine özel önem verin
    Parmak izi ve yüz tanıma verileri, sadece cihaz ekranından “kayıt sil” komutuyla silinmiş gibi görünse bile, sistem logları veya yedeklerde kalabilir. KVKK m.7 ve ilgili rehberler uyarınca, verilerin gerçekten silindiğini veya anonim hale getirildiğini teknik olarak doğrulamalı, bu işlemi yazılı prosedür ve tutanaklarla belgelendirmelisiniz.
  • (6) Çalışanlara şeffaf bilgilendirme yapın
    Mesai takibi yönteminin değişmesi, çalışanların günlük iş rutinini etkiler. Aydınlatma yükümlülüğünüz kapsamında, hangi verilerin hangi amaçla, ne kadar süreyle işleneceğini ve yeni sistemin işleyişini çalışanlara açık, anlaşılır bir dille anlatın.
  • (7) İşyeri içi politika ve prosedürlerinizi güncelleyin
    İnsan kaynakları yönetmeliği, bilgi güvenliği politikaları, bordro süreç prosedürleri, personel özlük dosyası standartları gibi dokümanlarda, biyometrik veriye ilişkin hükümleri ilke kararına uygun şekilde gözden geçirip güncelleyin.

Mali Müşavirler İçin Yapılması Gerekenler

Mali müşavirler ve bağımsız denetçiler, hem müşterilerinin KVKK uyum süreçlerinde stratejik danışman rolü üstlenmekte, hem de bordro ve SGK yükümlülüklerinin doğru yerine getirilmesinden sorumlu tutulmaktadır. Bu nedenle 2026/921 sayılı ilke kararı sonrasında aşağıdaki aksiyonlar önem taşır:

  • (1) Müşteri portföyünü tarayın ve riskli mükellefleri tespit edin
    Hizmet verdiğiniz şirketler arasında parmak izi veya yüz tanıma ile mesai takibi yapanlar varsa, bunları listeleyin. Özellikle organize sanayi bölgelerindeki üretim tesisleri, güvenlikli plazalar ve kurumsal perakende zincirleri bu açıdan öncelikli risk grubudur.
  • (2) Yönetimi ilke kararı hakkında bilgilendirin
    İlgili mükelleflere, Kurulun 29.04.2026 tarihli ve 2026/921 sayılı ilke kararının içeriğini, mesai takibinde biyometrik veri işlemenin artık sürdürülebilir bir uygulama olmadığını ve KVKK m.18 kapsamında idari para cezası riskini anlatan yazılı bir bilgi notu hazırlayın. Bu notu yönetim kurulu veya şirket ortaklarıyla paylaşın.
  • (3) Bordro altyapısının alternatif sisteme hazır olup olmadığını kontrol edin
    Mevcut bordro yazılımının, kartlı veya PIN tabanlı sistemlerden veri alıp alamadığını, manuel girişe izin verip vermediğini ve yeni veri yapısına uyarlanması için ne tür değişiklikler gerektiğini tespit edin. Gerekirse yazılım firmasıyla koordinasyon sağlayın.
  • (4) Mesai kayıtlarının ispat gücünü güçlendirecek arşiv düzeni oluşturun
    İleride vergi incelemesi, SGK denetimi veya iş mahkemesi davasında kullanılabilecek devam çizelgelerinin saklama süresi, saklama formatı (elektronik, fiziki), yetkili erişim kişilerinin belirlenmesi gibi konularda şirketlere rehberlik edin.
  • (5) Ücret, fazla mesai ve izin kayıtlarının tutarlılığını kontrol edin
    Yeni sisteme geçiş döneminde, bordroda gösterilen çalışma süreleri ile kart/imza kayıtları arasında uyumsuzluk doğma ihtimaline karşı iç kontrol mekanizması önerin. Özellikle fazla mesai ücretleri ve denkleştirme uygulamalarında, farklı sistemlerden gelen verilerin uyumunu test edin.
  • (6) KVKK uyum projelerinde işbirliği yapın
    Büyük ölçekli mükellefler KVKK uyum projelerini genellikle hukuk büroları veya danışmanlık şirketleriyle yürütmektedir. Bu projelere, insan kaynakları süreçlerinin veri envanteri, saklama süreleri, raporlama gereksinimleri gibi konularda uzman görüşü sağlayarak aktif katkıda bulunun.

Sık Sorulan Sorular

Soru 1: Artık hiçbir koşulda mesai takibinde biyometrik veri kullanılamaz mı?

Kurulun 2026/921 sayılı ilke kararı, mesai takibi amacıyla biyometrik veri işlenmesinin, açık rıza bulunsa dahi ölçülülük ve veri minimizasyonu ilkeleri bakımından hukuka uygun kabul edilemeyeceğini belirtmektedir. Dolayısıyla, iş ilişkisi bağlamında rutin mesai takibi için biyometrik veri kullanımı genel kural olarak uygun değildir. Ancak, KVKK m.6’da sayılan diğer istisnalar (örneğin kanunda açıkça öngörülen bir zorunluluk veya hayat/beden bütünlüğünün korunması gibi) özel durumlarda söz konusu olabilir; bu hâller istisnai olup, çoğu işyeri için geçerli değildir.

Soru 2: Çalışanlardan açık rıza alırsak, parmak izi sistemi kullanmaya devam edebilir miyiz?

Hayır. İlke kararında, işçi-işveren ilişkisindeki güç dengesizliği ve ölçülülük ilkesi nedeniyle, açık rıza alınmış olsa dahi mesai takibi amacıyla biyometrik veri işlemenin KVKK m.4’teki ilkeleri karşılamadığı açıkça belirtilmiştir. Dolayısıyla, “herkes rıza formu imzaladı” gerekçesiyle parmak izi sistemini sürdürmek, KVKK’ya uyumlu bir çözüm değildir ve idari para cezası riskini ortadan kaldırmaz.

Soru 3: Biyometrik verileri silmezsek ne olur?

İlke kararı, mesai takibi amacıyla biyometrik veri işlenmesi için hukuki dayanağın bulunmadığını ortaya koymaktadır. Bu durumda, daha önce alınmış biyometrik veriler için de artık işleme amacı sona ermiş sayılacağından, KVKK m.7 uyarınca bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Verilerin gereğinden uzun süre saklanması ve kullanılmaya devam edilmesi, hem veri işleme şartlarına hem de veri güvenliği yükümlülüklerine aykırılık oluşturabilir ve KVKK m.18 kapsamında idari para cezasına konu olabilir.

Soru 4: Kartlı sistem veya imza çizelgesi kullanırken KVKK’ya dikkat etmemiz gereken hususlar nelerdir?

Kartlı sistem ve imza çizelgeleri biyometrik veri içermediği için özel nitelikli veri rejimine tabi değildir; ancak yine de KVKK kapsamındadır. Bu nedenle:

  • Çalışanları aydınlatma yükümlülüğünü yerine getirmeli,
  • Sadece mesai takibi için gerekli verileri toplamalı (veri minimizasyonu),
  • Kayıtları makul sürelerle saklamalı ve süresi dolanları imha etmeli,
  • Yetkisiz kişilerin bu kayıtlara erişmesini önlemeli,
  • Güvenlik ihlali olması hâlinde Kurul ve ilgili kişilere bildirim yükümlülüklerini dikkate almalısınız.

Soru 5: Kamu kurumları için durum farklı mı? Güvenlik gerekçesiyle biyometrik sistem kullanılabilir mi?

İlke kararı mesai takibi amacıyla biyometrik veri işlenmesine ilişkindir. Kamu kurumlarında da mesai takibi için aynı hükümler geçerlidir. Ancak bazı özel alanlarda (örneğin ceza infaz kurumları, kritik altyapılar, ulusal güvenliğe ilişkin tesisler vb.) güvenlik gerekçesiyle biyometrik kimlik doğrulaması, özel kanuni düzenlemelere veya KVKK m.6’daki istisnalara dayanarak gündeme gelebilir. Bu durumlar, somut olay bazında, ilgili özel kanun hükümleri ve Kurulun diğer kararları çerçevesinde ayrı ayrı değerlendirilmelidir.

Sonuç ve Değerlendirme

2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, Türkiye’de işyerlerinde uzun süredir fiilen uygulanan biyometrik mesai takip sistemlerine yönelik açık ve bağlayıcı bir çerçeve ortaya koymuştur. Kararın ana mesajı, işverenlerin mesai takibi gibi sınırlı bir idari amaç için çalışanların parmak izi, yüz tanıma, iris ve retina gibi yüksek riskli ve geri döndürülemez nitelikteki biyometrik verilerini işlemelerinin, açık rıza dahi olsa, KVKK’nın temel ilkelerine aykırı olduğudur.

Bu yeni yaklaşım, insan kaynakları süreçlerinin tasarımından bilgi sistemlerinin kurgulanmasına, bordro hesaplamalarından iş uyuşmazlıklarındaki ispat rejimine kadar geniş bir alanı etkiler. Özellikle mali müşavirler ve bağımsız denetçiler, mükelleflerinin KVKK uyum düzeyini değerlendirirken mesai takibi yöntemlerini de gündeme almalı; biyometrik sistemlerden daha az müdahaleci yöntemlere geçişi teşvik etmelidir.

Önümüzdeki dönemde, Kurulun bu ilke kararını somutlaştıran yeni kararlar ve olası yargı içtihatları ile mesai takibi ve çalışan gözetimi alanındaki sınırlar daha da netleşecektir. Ancak mevcut durumda, işverenler için en güvenli yol; biyometrik mesai sistemlerini hızla devreden çıkarmak, alternatif yöntemlere geçmek ve kişisel veri işleme faaliyetlerini KVKK’nın amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine eksiksiz uyumlu hale getirmektir.

Yasal Dayanaklar

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (özellikle m.4 – genel ilkeler, m.5 ve m.6 – kişisel verilerin işlenme şartları, m.7 – silme/yok etme, m.18 – idari para cezaları).
  • 4857 sayılı İş Kanunu ve ilgili yönetmelikler (çalışma sürelerinin belirlenmesi, fazla çalışma, kayıt ve belgelendirme yükümlülükleri).
  • Kişisel Verileri Koruma Kurulunun 29.04.2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, 02.06.2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanan metin.
  • KVKK’nın “Biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehber” ve Kurulun biyometrik veri işleme konulu önceki ilke kararları ve karar özetleri.
  • Danıştay ve Anayasa Mahkemesi’nin biyometrik veri ve mesai takibi konusundaki kararları (özellikle ölçülülük, veri minimizasyonu ve açık rızanın geçerliliği bakımından).

Yorumlar (0)

Yorum yapmak icin giris yapin.
Bu makaleye henuz yorum yapilmamis. Ilk yorumu siz yapin!
Akış Mevzuat
Sinav Giriş