Mesai Takibinde Biyometrik Veri Artık Hukuka Aykırı: KVKK İlke Kararı 2026/921

Özetle

Kişisel Verileri Koruma Kurulu, 29 Nisan 2026 tarihli 2026/921 sayılı İlke Kararı’nı kabul etti; karar 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı. İşverenlere mesajı net: çalışanların parmak izini, yüzünü ya da iris/retinasını mesai takibi amacıyla işlemek hukuka aykırıdır — ve daha önemlisi, çalışan açık rıza vermiş olsa dahi hukuka aykırı olmaya devam eder. Mesai takibi bunun yerine şifreli kart veya PIN tabanlı sistemler, imza ve kâğıt çizelgeler, RFID/NFC kartlar ya da denetçi gözetiminde elle giriş gibi daha az müdahaleci yöntemlerle yapılmalıdır.

Bu bir ilke kararı olduğundan (KVKK m. 15/6), genel olarak uygulanır, ikincil bir mevzuat beklenmeksizin derhal yürürlüktedir ve bundan sonraki denetimlerde doğrudan dayanak alınacaktır.

“Rızasını aldık” neden artık yetmiyor?

Biyometrik veri — parmak izi, yüz ve el geometrisi, iris ve retina desenleri, hatta ses tınısı veya klavye kullanım dinamiği gibi davranışsal işaretler — KVKK m. 6 kapsamında özel nitelikli kişisel veridir. Hassastır ve bir paroladan farklı olarak geri döndürülemez: sızan bir parmak izi sıfırlanamaz. İşlenmesi, m. 6/3’teki sınırlı şartlardan biri bulunmadıkça yasaktır.

Uygulamada işverenler neredeyse tümüyle (a) bendine — açık rızaya — dayanmıştır. Kurul bunu tek başına bir hukuki zemin olarak iki nedenle reddediyor. Birincisi, açık rızanın özgür iradeyle açıklanması gerekir (m. 3). İşçi-işveren ilişkisinde yapısal bir güç dengesizliği vardır; reddetme ya da sonradan olumsuz sonuç görmeden geri çekme imkânı gerçek anlamda bulunmayan bir çalışan, özgür bir seçim yapmış sayılmaz. İkincisi, rıza doğası gereği geri alınabilir — ve hukuka uygunluğu tek bir çalışanın “hayır” demesiyle ortadan kalkabilecek bir sistem, şirket çapında bir mesai takibi için sürdürülebilir bir hukuki temel oluşturmaz.

Biyometriyi zorunlu kılan bir kanun yok

Başka bir şart bu uygulamayı kurtarabilir mi? 4857 sayılı İş Kanunu işverene çalışma sürelerini takip ve belgeleme yükümlülüğü getirir — m. 63 (çalışma süresi), m. 67 (günlük başlama/bitiş ve dinlenme saatlerinin duyurulması) ve m. 75 (özlük dosyası); buna Çalışma Süreleri Yönetmeliği’nin işvereni süreleri “uygun araçlarla” belgelemeye zorlayan 9. maddesi eşlik eder. Ancak “uygun araç”, “biyometrik araç” demek değildir. Hiçbir kanun mesai takibi için parmak izi ya da yüz tanımayı zorunlu kılmaz, hatta açıkça yetkilendirmez. Dolayısıyla “kanunlarda açıkça öngörülme” (b) bendi uygulanamaz; Kurul, geriye kalan (c)–(g) bentlerinin de uymadığını teyit eder.

Biyometrinin geçemediği test: ölçülülük

Geçerli bir rıza bulunduğu varsayılsa bile, Kurul’un ikinci — ve belirleyici — tespiti, m. 4’teki genel ilkelerin bağımsız olarak uygulanmasıdır. Kişisel veri, amacıyla “bağlantılı, sınırlı ve ölçülü” biçimde işlenmelidir. Buradaki ölçülülük üç katmanlıdır: yöntem amaca elverişli mi; gerekli mi (daha az müdahaleci alternatifler tüketildi mi); ve müdahale amaçla orantılı mı? Mesai takibi sınırlı bir idari amaçtır. Şifreli kartlar, PIN’ler, kâğıt çizelgeler, RFID/NFC kartlar ve denetçi gözetiminde elle giriş bu amacı sağlayabiliyorsa, geri döndürülemez biyometrik tanımlayıcıların toplanması gerekli değildir — ve ölçülülük testini geçemez. Bu alternatiflerin varlığı, Kurul’un ifadesiyle, biyometrik işlemenin zorunlu olmadığının kanıtıdır. Rıza, en baştan ölçüsüz olan bir tedbiri hukuka uygun hâle getiremez.

Bu yerleşik bir çizgi, sürpriz değil

Karar, Türk yargısının zaten ulaştığı bir konumu kristalize ediyor. Anayasa Mahkemesi, 10 Mart 2022 tarihli Genel Kurul kararında (2018/11988 başvuru no.), bir kamu çalışanının parmak iziyle mesai takibinin kişisel verilerin korunması hakkına müdahale oluşturduğuna ve açık, belirli ve öngörülebilir bir kanuni dayanak bulunmadığından kanunilik şartını sağlamadığına hükmetmiştir. Danıştay, avuç içi damar okuma bakımından paralel bir sonuca ulaşmıştır: 12. Daire kararı (2021/3870 E., 2023/2548 K.), İdari Dava Daireleri Kurulu tarafından onanmış (2024/225 E., 2024/2625 K.) ve Kurul’un 1 Aralık 2020 tarihli kararına (2020/915) atıfla, amaç için gerekli olmayan verilerin hiç işlenmemesi gerektiği vurgulanmıştır. Kurul, bu içtihadı artık genel ve uygulanabilir bir kurala dönüştürmüştür.

Önemli bir ayrım: konu mesai takibi

Kararı dikkatle okumak gerekir. Hedefi mesai takibi amacıyla biyometrik işlemedir; işyerinde biyometrinin her kullanımını başlı başına hukuka aykırı ilan etmez. Gerçek bir yüksek güvenlik erişimi senaryosu farklı bir değerlendirmeye dayanabilir — ancak bunun da kendi m. 6 şartına ve kendi ölçülülük analizine ihtiyacı vardır. “Güvenlikli kapıda zaten parmak izi okuyucumuz var” demek, onu giriş-çıkış saati tutmak için kullanmanın kısa yolu değildir. Her amaç kendi başına ayakta durur ya da düşer.

İşverenler şimdi ne yapmalı?

• Envanter çıkarın: tüm lokasyonlarda, tedarikçilerde ve İK/erişim-kontrol yazılımlarında biyometrik mesai sistemlerini tespit edin.
• Geçiş yapın: uyumlu bir alternatife — şifreli kart/PIN, RFID/NFC kart, imza/kâğıt çizelge ya da denetçi gözetiminde elle giriş.
• Şablonları silin. Giriş yöntemini değiştirmek yetmez; saklanan biyometrik şablon ve kayıtlar belgelenerek imha edilmelidir.
• Kayıtları güncelleyin: VERBIS kayıtlarını ve çalışan aydınlatma metinlerini biyometrik işlemeyi çıkaracak şekilde revize edin.
• Tedbirleri belgeleyin. Bu adımlar m. 12/1 kapsamında teknik ve idari tedbirlerdir; uymamak, resen inceleme ve m. 18 uyarınca idari para cezası riskini doğurur.

Vircon yorumu

Bu bizim için sürpriz olmadı. Müvekkillerimize yıllardır biyometrik mesai takibinin açık rıza üzerine kurulu yapısının hukuken kırılgan olduğunu söylüyor; bu kalemi veri koruma denetim listemizde öncelikli risklerden biri olarak işaretliyor ve her denetimde gündeme getiriyorduk. Bu da uygulamada, müvekkillerimizin PDKS (personel devam kontrol) sistemlerini parmak izi ve yüz tanımadan ısrarla ölçülü, biyometrik olmayan yöntemlere taşımak anlamına geliyordu. Kurul, yıllardır savunageldiğimiz bu konumu artık bağlayıcı biçimde teyit etmiş oldu.

GDPR ile zaten uyumlu gruplar için — ki AB düzenleyicileri biyometrik mesai saatlerini uzun süredir reddediyor — bu marjinal bir düzeltmedir. Diğer herkes için ise net bir işarettir: Türkiye’de rıza temelli biyometrik İK tasarımı yolun sonuna gelmiştir. Doğru hamle daha akıllı bir rıza metni aramak değil; mesai takibini ölçülü, geri döndürülebilir yöntemler etrafında yeniden kurgulamak ve biyometriyi yalnızca gerçekten gerekli ve savunulabilir olduğu istisnai hâllere saklamaktır. Türkiye’de biyometrik mesai takibi kullanıyorsanız, harekete geçme zamanı şimdi.

Bu yazı genel bilgilendirme amaçlıdır, hukuki görüş değildir. Mesai sistemlerinize özgü bir değerlendirme için ekibimizle görüşün.