Çalışanların işe giriş-çıkış saatlerinin takibi, işverenin iş organizasyonu ve bordro süreçleri bakımından meşru bir ihtiyaçtır. Ancak bu ihtiyacın karşılanması, çalışanın biyometrik verilerinin işlenmesini otomatik olarak hukuka uygun hale getirmez. KVK Kurulu’nun 02.06.2026 tarihli Resmî Gazete’de yayımlanan 2026/921 sayılı İlke Kararı, mesai takibi amacıyla biyometrik veri kullanılmaması gerektiğini açık bir ilke olarak ortaya koymuştur.
KVK Kurulu’nun 2026/921 Sayılı İlke Kararı Ne Anlama Geliyor?
Kurulun ilke kararı, çalışanların mesai takibinde biyometrik veri kullanılmasına ilişkin uygulamalara doğrudan temas etmektedir. Buna göre işverenlerin, işçilerin devam kontrolünü sağlamak amacıyla biyometrik veri işlememesi gerekir.
Bu değerlendirme, özellikle parmak izi, avuç içi izi, yüz tanıma veya benzeri biyometrik doğrulama yöntemleri kullanan işyerleri açısından önem taşır. Zira mesai takibi için amaçlanan veri işleme faaliyeti, çalışanın kimliğini benzersiz biçimde doğrulamaya yarayan hassas verilerin toplanmasına ve kullanılmasına neden olmaktadır.
İlke kararlarının niteliği gereği, yalnızca belirli bir uyuşmazlığa ilişkin değil, aynı tür veri işleme faaliyetleri bakımından genel uygulama standardı oluşturduğu kabul edilir. Bu nedenle karar, işverenlerin mevcut sistemlerini ve insan kaynakları süreçlerini yeniden gözden geçirmesini gerektiren bir uyum başlığıdır.
Biyometrik Veri Neden Daha Sıkı Korunur?
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında biyometrik veriler, özel nitelikli kişisel veriler arasında yer alır. Özel nitelikli veriler, ifşa edilmesi veya hukuka aykırı şekilde işlenmesi halinde ilgili kişi bakımından daha ağır sonuçlar doğurabilecek veri kategorileridir.
Biyometrik verileri diğer personel verilerinden ayıran temel unsur, kişinin fiziksel veya davranışsal özellikleri üzerinden benzersiz biçimde tanımlanabilmesidir. Parmak izi veya yüz geometrisi gibi veriler, değiştirilebilir bir şifre ya da kart numarasından farklıdır; bir kez hukuka aykırı şekilde yayılması halinde telafisi güç riskler doğurabilir.
Bu nedenle işverenin mesai takibi gibi idari bir ihtiyacı, daha hafif ve daha az müdahaleci yöntemlerle karşılanabiliyorsa biyometrik veri işlenmesi ölçülülük ilkesi bakımından sorunlu hale gelir. Kişisel verilerin korunması hukukunda yalnızca amacın meşru olması yetmez; seçilen aracın da gerekli, elverişli ve orantılı olması gerekir.
Açık Rıza Mesai Takibinde Yeterli Bir Dayanak Olur mu?
Uygulamada işverenler, biyometrik sistemleri çoğu zaman çalışanlardan alınan açık rıza formlarıyla meşrulaştırmaya çalışmaktadır. Ancak açık rıza, her durumda veri işleme faaliyetini hukuka uygun hale getiren sınırsız bir araç değildir.
İş ilişkilerinde işçi ile işveren arasında yapısal bir güç dengesizliği bulunur. Bu nedenle çalışanın verdiği rızanın gerçekten özgür iradeye dayanıp dayanmadığı ayrıca değerlendirilmelidir. Mesai kaydı tutulmadan çalışmanın fiilen mümkün olmadığı bir düzende, çalışanın rıza vermemesi halinde olumsuz sonuçlarla karşılaşma endişesi doğabilir.
Bunun yanında, açık rıza bulunsa dahi KVKK’nın genel ilkeleri uygulanmaya devam eder. Özellikle şu ilkeler bakımından ayrıca değerlendirme yapılmalıdır:
- Veri işleme faaliyeti belirli, açık ve meşru amaçlara dayanmalıdır.
- İşlenen veri, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
- Daha az müdahaleci alternatifler varsa öncelik bu yöntemlere verilmelidir.
- Özel nitelikli veriler için gerekli idari ve teknik tedbirler alınmalıdır.
KVK Kurulu’nun 2026/921 sayılı İlke Kararı ışığında, mesai takibi amacıyla biyometrik veri işlenmesi bakımından açık rızaya dayanılması da işverenler açısından güvenli bir uyum zemini sağlamayacaktır.
İşverenler Mesai Takibini Hangi Yöntemlerle Yapabilir?
Mesai takibinin yapılması hukuka aykırı değildir; hukuka aykırılık riski, bu takip için seçilen yöntemin çalışanın biyometrik verisini işlemesinden kaynaklanır. İşverenler, aynı amaca ulaşmak için daha az veri işleyen ve çalışan üzerinde daha düşük mahremiyet etkisi doğuran yöntemleri tercih etmelidir.
Uygulamada değerlendirilebilecek alternatifler şunlardır:
- Personel kartı veya manyetik kart sistemleri,
- Kullanıcı adı ve şifre ile giriş yapılan dijital kayıt sistemleri,
- Turnike kartı veya temassız geçiş kartı,
- İmza föyü gibi klasik devam çizelgeleri,
- İşin niteliğine uygun elektronik puantaj yazılımları.
Bu yöntemlerin de KVKK’ya uygun tasarlanması gerekir. Örneğin kartlı sistemde çalışanların giriş-çıkış kayıtlarının kimler tarafından görüntülenebileceği, ne kadar süreyle saklanacağı ve hangi amaçlarla kullanılacağı belirlenmelidir. Biyometrik veri işlenmiyor olması, veri sorumlusunun diğer KVKK yükümlülüklerini ortadan kaldırmaz.
Mevcut Biyometrik Sistem Kullanan İşyerleri Ne Yapmalı?
Halihazırda parmak izi, yüz tanıma veya benzeri biyometrik sistemlerle mesai takibi yapan işverenlerin vakit kaybetmeden uyum değerlendirmesi yapması gerekir. Bu değerlendirme yalnızca teknik sistem değişikliğiyle sınırlı değildir; insan kaynakları prosedürleri, aydınlatma metinleri, veri envanteri ve saklama-imha süreçleri de gözden geçirilmelidir.
Öncelikli adımlar şu şekilde sıralanabilir:
- Mesai takibi için kullanılan tüm sistemler tespit edilmelidir.
- Bu sistemlerde biyometrik veri işlenip işlenmediği teknik olarak incelenmelidir.
- Biyometrik veri işleniyorsa alternatif yöntemlere geçiş planı hazırlanmalıdır.
- Mevcut biyometrik verilerin saklama ve imha süreçleri değerlendirilmelidir.
- Çalışanlara yönelik aydınlatma metinleri ve iç politika dokümanları güncellenmelidir.
Bu süreçte veri sorumlularının yalnızca kararın yayımlandığı tarihten sonraki uygulamalarını değil, daha önce toplanmış biyometrik veriler bakımından da hukuki riskleri değerlendirmesi gerekir. Gerektiğinde imha prosedürlerinin işletilmesi ve kayıtların güncellenmesi önemlidir.
Çalışanlar Açısından Haklar ve Başvuru Yolları
Çalışanlar, kişisel verilerinin hangi amaçla işlendiğini, kimlerle paylaşıldığını, ne kadar süreyle saklandığını ve hukuki dayanağını öğrenme hakkına sahiptir. Biyometrik veri işlenen bir işyerinde çalışan, veri sorumlusuna başvurarak kendisine ilişkin veri işleme faaliyeti hakkında bilgi talep edebilir.
Ayrıca çalışan, hukuka aykırı işlendiğini düşündüğü verilerin silinmesini veya yok edilmesini talep edebilir. Veri sorumlusunun başvuruya mevzuatta öngörülen usule uygun şekilde yanıt vermesi gerekir. Başvurunun reddedilmesi, süresinde yanıtlanmaması veya verilen yanıtın yetersiz bulunması halinde ilgili mevzuat çerçevesinde Kurul’a başvuru imkânı gündeme gelebilir.
Uygulamada Ne Anlama Geliyor?
KVK Kurulu’nun 2026/921 sayılı İlke Kararı, işverenlerin mesai takibinde biyometrik sistem kullanımına ilişkin uyum yaklaşımını netleştirmiştir. İşverenlerin, iş organizasyonu ihtiyacını çalışanların özel nitelikli kişisel verilerini işlemeden karşılaması beklenmektedir.
- Mesai takibi için biyometrik veri kullanılmamalıdır.
- Açık rıza, bu tür uygulamalar için tek başına güvenli bir hukuki dayanak olarak görülmemelidir.
- İşverenler kart, şifre, puantaj yazılımı gibi daha az müdahaleci alternatifleri değerlendirmelidir.
- Mevcut biyometrik sistemler, veri envanteri ve imha süreçleriyle birlikte yeniden incelenmelidir.
- Çalışanların KVKK kapsamındaki bilgi edinme, silme ve başvuru hakları gözetilmelidir.