Mesai Takibinde Parmak İzi ve Yüz Tanıma Dönemi Kapanıyor mu? KVKK Kurulu’nun 2026/921 Sayılı İlke Kararı Ne Anlama Geliyor?

Şirketlerde çalışan devam kontrolü uzun yıllardır farklı yöntemlerle yapılmaktadır. Kartlı geçiş sistemleri, imza çizelgeleri, personel giriş-çıkış formları, PIN kodları ve son yıllarda giderek yaygınlaşan parmak izi veya yüz tanıma sistemleri bu yöntemler arasında yer almaktadır.

Ancak Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, işverenler açısından önemli bir dönüm noktasıdır. Söz konusu İlke Kararı, 02.06.2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanmıştır.

Kurul’un temel yaklaşımı oldukça açıktır:

Mesai takibi amacıyla biyometrik veri işlenmesi, kural olarak hukuka uygun bir yöntem olarak kabul edilmemektedir.

Biyometrik Veri Neden Önemlidir?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesine göre biyometrik veriler özel nitelikli kişisel veri kategorisinde yer almaktadır.

Parmak izi, yüz tanıma verisi, iris ve retina verisi, damar izi, el geometrisi, ses tınısı, imza dinamikleri ve benzeri veriler kişiyi özgün şekilde tanımlamaya elverişli verilerdir.

Bu verilerin en önemli özelliği, ele geçirilmeleri hâlinde değiştirilmelerinin neredeyse mümkün olmamasıdır.

Bir kişinin şifresi değiştirilebilir.

Kartı iptal edilebilir.

Ancak parmak izi veya yüz biyometrisi değiştirilemez.

Bu nedenle biyometrik verilerin işlenmesi, sıradan personel verisi işleme faaliyeti gibi değerlendirilemez.

İşverenin Mesai Takibi Yapma Hakkı Var mı?

Evet.

4857 sayılı İş Kanunu’nun 63, 67 ve 75. maddeleri ile İş Kanunu’na İlişkin Çalışma Süreleri Yönetmeliği’nin 9. maddesi birlikte değerlendirildiğinde, işverenin çalışma sürelerini takip etme ve belgeleme yükümlülüğü bulunmaktadır.

Ancak burada kritik ayrım şudur:

İşverenin mesaiyi takip etme hakkı vardır.

Fakat bu takip işleminin biyometrik veri işlenerek yapılmasına ilişkin açık bir kanuni düzenleme bulunmamaktadır.

Bu nedenle “mesai takibi yapmak zorundayım” gerekçesi, tek başına parmak izi veya yüz tanıma sistemi kullanımını hukuka uygun hâle getirmez.

Açık Rıza Yeterli mi?

KVKK m.3’e göre açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Ancak işçi-işveren ilişkisinde taraflar eşit konumda değildir. Çalışan çoğu zaman işverene ekonomik ve organizasyonel olarak bağımlıdır.

Bu nedenle Kurul, mesai takibi amacıyla biyometrik veri işlenmesinde açık rızanın özgür iradeye dayanıp dayanmadığı konusunda ciddi tereddüt bulunduğunu belirtmiştir.

Başka bir ifadeyle;

Çalışana “rıza vermezsen sisteme giriş yapamazsın” veya “alternatif bir yöntem sunmuyorum” deniliyorsa, burada gerçek anlamda özgür iradeye dayalı bir rızadan söz etmek güçtür.

Ayrıca çalışan rızasını her zaman geri alabilir. Bu durum biyometrik takip sisteminin sürdürülebilirliğini de tartışmalı hâle getirir.

Bu nedenle Kurul’a göre açık rıza, mesai takibi için biyometrik veri işlenmesinde tek başına yeterli ve güvenli bir hukuki zemin oluşturmaz.

KVKK m.4: Ölçülülük ve Veri Minimizasyonu

Kararın en önemli kısmı KVKK m.4’te yer alan genel ilkelere ilişkindir.

KVKK m.4/2’ye göre kişisel veriler;

• Hukuka ve dürüstlük kurallarına uygun işlenmeli,

• Belirli, açık ve meşru amaçlar için işlenmeli,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,

• Gerekli süre kadar muhafaza edilmelidir.

Kurul, mesai takibinde biyometrik veri işlenmesini özellikle “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi açısından değerlendirmiştir.

Mesai takibi sınırlı bir idari amaçtır.

Bu amaç;

• Kartlı geçiş sistemi,

• PIN kodu,

• RFID/NFC kart,

• İmza çizelgesi,

• Denetçi gözetiminde giriş-çıkış kaydı

gibi daha az müdahaleci yöntemlerle gerçekleştirilebiliyorsa, biyometrik veri işlenmesi ölçülü kabul edilmeyecektir.

Kurul’un yaklaşımı şu şekilde özetlenebilir:

Daha az müdahaleci yöntemlerle ulaşılabilecek bir amaç için biyometrik veri işlenmesi hukuka aykırılık riski taşır.

Anayasa Mahkemesi ve Danıştay Kararları

Kurul’un İlke Kararı yalnızca KVKK hükümlerine değil, Anayasa Mahkemesi ve Danıştay kararlarına da dayanmaktadır.

Anayasa Mahkemesi Genel Kurulu’nun 10.03.2022 tarihli ve 2018/11988 başvuru numaralı kararında, parmak izi sistemiyle mesai takibi yapılmasına ilişkin uygulama değerlendirilmiştir. Anayasa Mahkemesi, mesai takibi amacıyla biyometrik veri işlenmesine dair kanuni düzenleme bulunmadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.

Danıştay 12. Dairesi’nin 2021/3870 E., 2023/2548 K. sayılı kararında da avuç içi damar okuyucu sistemiyle mesai takibi uygulaması değerlendirilmiş; biyometrik veri işlemenin KVKK m.4’te yer alan ölçülülük ilkesi yönünden hukuka uygun olmadığı sonucuna varılmıştır.

Danıştay İdari Dava Daireleri Kurulu’nun 2024/225 E., 2024/2625 K. sayılı kararı da bu yaklaşımı desteklemiştir.

Kurul’un Sonucu: Alternatif Yöntemlere Geçilmeli

KVKK Kurulu’nun 2026/921 sayılı İlke Kararı’na göre mevcut durumda mesai takibi amacıyla biyometrik veri işlenmesi;

• Kanunlarda açıkça öngörülme şartına dayandırılamaz,

• İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rıza ile güvenli şekilde meşrulaştırılamaz,

• Alternatif yöntemler varken ölçülülük ilkesini sağlamaz.

Bu nedenle işverenlerin mesai takibini biyometrik tanımlama sistemleri yerine daha az müdahaleci yöntemlerle sağlaması gerekmektedir.

Şirketler Ne Yapmalı?

Bu İlke Kararı sonrası şirketlerin mevcut personel devam kontrol sistemlerini yeniden değerlendirmesi gerekir.

Özellikle parmak izi, yüz tanıma veya benzeri biyometrik sistem kullanan işverenlerin;

• Mevcut veri işleme süreçlerini gözden geçirmesi,

• Aydınlatma metinlerini güncellemesi,

• Açık rıza süreçlerini yeniden değerlendirmesi,

• Alternatif mesai takip yöntemlerine geçiş planı hazırlaması,

• Biyometrik verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi süreçlerini planlaması,

• KVKK m.12 kapsamında teknik ve idari tedbirleri güçlendirmesi

önem taşımaktadır.

Aksi hâlde veri sorumluları hakkında KVKK m.18 kapsamında idari para cezaları ve diğer yaptırımlar gündeme gelebilecektir.

Sonuç

KVKK Kurulu’nun 2026/921 sayılı İlke Kararı, şirketler açısından önemli bir uyarı niteliğindedir.

Mesai takibi, işveren açısından meşru ve gerekli bir ihtiyaçtır.

Ancak bu ihtiyaç, çalışanların özel nitelikli kişisel verilerinin ölçüsüz şekilde işlenmesini haklı kılmaz.

Teknoloji kullanmak ile hukuka uygun veri işlemek aynı şey değildir.

Bu nedenle şirketlerin personel devam kontrol sistemlerini yalnızca operasyonel kolaylığa göre değil, KVKK m.4, m.6, m.10, m.12, m.15 ve m.18 hükümleri çerçevesinde yeniden değerlendirmesi gerekmektedir.