KVKK’dan İlke Kararı: İş Yerlerinde Biyometrik Veri ile Mesai Takibi Yasaklandı!

Kişisel Verileri Koruma Kurulu (Kurul), 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanan 2026/921 sayılı İlke Kararı ile iş yerlerinde çalışanların devam takibini (mesai takibi) yapmak amacıyla parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik veri işleyen sistemlerin kullanılmasını kural olarak yasakladı. Bu karar, özellikle dijital dönüşüm adı altında çalışanlarını biyometrik sistemlerle takip eden şirketler için çok ciddi idari para cezası risklerini beraberinde getiriyor.

1. “Açık Rıza Alıyorduk” Savunması Artık Geçersiz!

Şirketlerin en sık sığındığı yasal dayanak, çalışanlardan alınan “Açık Rıza” belgeleriydi. Ancak Kurul, 25 yıllık iş hukuku ve bilişim hukuku birikimimizin de her zaman altını çizdiği temel bir gerçeği ilke kararına bağladı: İşçi ve işveren arasındaki yapısal güç dengesizliği.

• Özgür İrade Engeli: İşçinin işini kaybetme korkusu veya muhtemel olumsuzluklar nedeniyle rıza göstermeme lüksü çoğunlukla yoktur. Bu nedenle, tarafların eşit olmadığı bu ilişkide alınan açık rıza “özgür iradeye” dayanmadığı için hukuken sakattır.
• Geri Çekme Çelişkisi: İşçi rızasını geri aldığı an sistemin sürekliliği bozulacağından, mesai takibinde sadece açık rızaya dayanmak yasal bir zemin oluşturmaz.

2. Anayasa Mahkemesi ve Danıştay Kararları Etkili Oldu

İlke kararında, Kurul’un geçmiş kararlarının yanı sıra yüksek yargının emsal içtihatlarına da güçlü atıflar yapılmıştır:

1. Anayasa Mahkemesi Kararı: AYM, belediyelerde memurların parmak iziyle takip edilmesini, kanuni dayanağı olmadığı gerekçesiyle “kişisel verilerin korunmasını isteme hakkının ihlali” olarak görmüştür.
2. Danıştay Kararı: Danıştay İdari Dava Daireleri Kurulu, iş yerlerinde uygulanan “avuç içi damar okuma” sistemlerini, KVKK Madde 4’te yer alan “Ölçülülük ve Veri Minimizasyonu” ilkelerine aykırı bularak iptal etmiştir.

3. Ölçülülük İlkesi: Alternatif Varsa Biyometrik Kullanılamaz

KVKK Madde 4/ç uyarınca veri işleme faaliyetinin amaca uygun, sınırlı ve ölçülü olması zorunludur. Mesai takibi gibi sıradan bir idari işlem için geri döndürülemez ve taklit edilemez nitelikteki biyometrik verilerin işlenmesi ölçüsüz bir müdahaledir.

Kurul, amaca ulaşmak için daha az müdahaleci olan şu alternatif yöntemlerin tüketilmesini şart koşmaktadır:

• RFID / NFC özellikli personel kimlik kartları,
• Şifreli kart veya PIN tabanlı sistemler,
• Denetçi gözetiminde elle giriş veya geleneksel imza çizelgeleri.

Sıkça Sorulan Sorular

Soru 1: Fabrikamızda yüksek güvenlikli bir Ar-Ge odasına giriş için yüz tanıma kullanabilir miyiz? Cevap: Evet. Bu ilke kararı spesifik olarak “mesai/devam takibi” amacına yöneliktir. Eğer bir alanda üst düzey siber güvenlik veya fiziksel koruma gerekiyorsa, ölçülülük ilkesi saklı kalmak kaydıyla biyometrik sistemler kullanılabilir. Ancak tüm personelin sabah giriş-çıkış saati için bu veriler işlenemez.

Soru 2: Çalışanların biyometrik verilerini kendi sunucumuzda değil, cihazın içinde şifreli (hash) tutuyoruz. Bu da yasak mı? Cevap: Evet. Verinin nerede veya hangi teknik formatta saklandığı yasağı değiştirmez. Sonuçta bir gerçek kişinin özgün fiziksel özelliğinden spesifik bir teknik işleme yapılmaktadır ve bu durum Kurul tarafından ölçüsüz bulunmuştur.

Soru 3: İlke kararına uymayan şirketleri ne kadarlık bir ceza bekliyor?

Cevap: KVKK Madde 12’deki veri güvenliği yükümlülüklerine aykırılıktan, 2026 yılı güncel limitlerine göre 17.092.242 TL’ye kadar idari para cezası uygulanabilecektir.

Soru 4: Mevcut biyometrik sistemlerimizi ne zamana kadar kaldırmalıyız?

Cevap: İlke kararları yayımlandığı an yürürlüğe girer. Bu nedenle veri sorumlusu olan şirketlerin derhal alternatif kartlı veya şifreli sistemlere geçiş yapması, geriye dönük toplanan biyometrik verileri ise KVKK İmha Yönetmeliği’ne uygun olarak silmesi veya yok etmesi gerekmektedir.

Soru 5: Şirketimizde kart paylaşımını (başkası yerine kart basılmasını) önlemek için parmak izi kurmuştuk, haklı gerekçemiz olmaz mı?

Cevap: Kurul bu argümanı da değerlendirmiş ve suistimalleri önlemenin yolunun biyometrik veri işlemek gibi radikal bir müdahale değil, denetçi gözetimi veya kamera kontrolü gibi alternatif idari tedbirler olması gerektiğine hükmetmiştir.

Kaynaklar ve Dış Bağlantılar

1. T.C. Resmî Gazete: 2 Haziran 2026 Tarihli ve 33268 Sayılı Gazete – Kurul Kararı
2. Kişisel Verileri Koruma Kurumu: Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı (No: 2026/921)
3. Anayasa Mahkemesi Başkanlığı: Kişisel Verilerin Korunmasını İsteme Hakkı Emsal Kararları
4. T.C. Danıştay Başkanlığı: İdari Dava Daireleri Kurulu Ölçülülük İlkesi Kararları
5. Mevzuat Bilgi Sistemi: 6698 Sayılı Kişisel Verilerin Korunması Kanunu Madde 6