KVKK yeni karar yayımladı: Parmak iziyle mesai takibine izin verilmeyecek

KVKK yeni karar ile biyometrik mesai takibine getirilen sınırlamalar, açık rıza ve alternatif yöntemler bu haberde yer alıyor.

Kişisel Verileri Koruma Kurulu, çalışanların işe giriş ve çıkış saatlerinin parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik sistemlerle takip edilmesine ilişkin yeni bir ilke kararı yayımladı.

Kurulun 29 Nisan 2026 tarihli ve 2026/921 sayılı kararı, 2 Haziran 2026’da kamuoyuna duyuruldu. Kararda, mesai takibi amacıyla biyometrik veri işlenmesinin açık bir kanuni düzenlemeye dayanmadığı ve daha az müdahaleci yöntemler bulunduğu için ölçülülük ilkesini karşılamadığı bildirildi.

KVKK yeni karar ne zaman yayımlandı?

Kişisel Verileri Koruma Kurulunun mesai takibinde biyometrik veri kullanımına ilişkin kararı 29 Nisan 2026 tarihinde alındı.

2026/921 sayılı ilke kararı, 2 Haziran 2026 tarihinde yayımlanarak yürürlükteki uygulamalar bakımından veri sorumlularına duyuruldu.

Bu nedenle sosyal medyada yer alan “karar bugün yayımlandı” ifadeleri güncel değil. Karar, 10 Haziran 2026 itibarıyla sekiz gün önce yayımlandı.

Parmak iziyle mesai takibi yapılabilecek mi?

KVKK yeni karar kapsamında çalışanların mesai takibinin parmak iziyle yapılması hukuka uygun kabul edilmeyecek.

Kurul, çalışma sürelerinin işveren tarafından takip edilmesi ve belgelenmesi gerektiğini ancak bu yükümlülüğün biyometrik veri kullanılmasını zorunlu hale getirmediğini değerlendirdi.

Mesai takibinin parmak izi dışında yüz tanıma, iris taraması, retina taraması ve kişiyi biyolojik özelliklerinden tanımlayan benzer sistemlerle yapılması da kararın kapsamında bulunuyor.

Çalışanın açık rızası yeterli olacak mı?

Çalışanın açık rıza vermesi, biyometrik veriyle mesai takibini tek başına hukuka uygun hale getirmeyecek.

Kurul, işçi ile işveren arasındaki güç dengesizliği nedeniyle çalışanın verdiği rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddüt oluşabileceğine dikkat çekti.

Çalışanın rıza vermemesi veya daha önce verdiği rızayı geri çekmesi halinde olumsuz bir durumla karşılaşma ihtimali de açık rızanın geçerliliğini etkileyebilecek.

Karara göre geçerli bir açık rıza alınmış olsa bile daha az müdahaleci takip yöntemleri bulunduğu için biyometrik veri kullanımı ölçülülük kriterini karşılamıyor.

Biyometrik veri nedir?

Biyometrik veriler, bir kişinin fiziksel veya davranışsal özellikleri kullanılarak tekil biçimde tanınmasını sağlayan özel nitelikli kişisel verilerdir.

Parmak izi, yüz görüntüsü üzerinden kimlik doğrulama, iris ve retina taraması bu kapsamda değerlendiriliyor.

Bu veriler şifre veya kart gibi kolayca değiştirilemediği için veri ihlali yaşanması durumunda geri döndürülemez sonuçlar doğurabiliyor. Kurul bu nedenle biyometrik verilerin işlenmesinde gereklilik, ölçülülük ve veri minimizasyonu ilkelerinin dikkate alınması gerektiğini bildirdi.

İşverenler mesai takibini nasıl yapacak?

İşverenler, çalışanların işe giriş ve çıkışlarını biyometrik veri işlemeyen alternatif sistemlerle takip edebilecek.

KVKK kararında önerilen yöntemler şöyle:

Şifreli kart sistemleri

PIN koduyla giriş sistemleri

RFID veya NFC özellikli personel kartları

Geleneksel imza yöntemi

Kâğıt tabanlı devam çizelgeleri

Denetçi gözetiminde elle giriş

Bu yöntemler de kişisel veri işleme faaliyeti oluşturabileceği için yalnızca gerekli bilgilerin toplanması, çalışanların aydınlatılması ve verilerin güvenli biçimde saklanması gerekiyor.

İşverenin mesai takibi yapması yasaklandı mı?

KVKK yeni karar, işverenlerin çalışanların mesai saatlerini takip etmesini yasaklamıyor. Karar, bu takibin biyometrik tanımlama sistemleri kullanılarak yapılmasına ilişkin sınırlama getiriyor.

İşverenler çalışma sürelerini, işe giriş ve çıkış saatlerini belgelemeye devam edebilecek. Ancak takip için parmak izi veya yüz tanıma gibi özel nitelikli kişisel veriler yerine daha az müdahaleci yöntemlerin kullanılması gerekecek.

İşyerlerindeki mevcut sistemler ne olacak?

Mesai takibinde halen parmak izi, yüz tanıma, iris veya retina taraması kullanan veri sorumlularının sistemlerini ilke kararına göre değerlendirmesi gerekiyor.

İşverenlerin biyometrik sistem yerine kart, PIN, imza veya benzer alternatiflere geçmesi ve kişisel veri işleme süreçlerini KVKK hükümlerine uygun hale getirmesi gerekecek.

Mevcut biyometrik verilerin saklanması, kullanım amacı ve saklama süresi de kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yükümlülükler kapsamında ayrıca değerlendirilmek zorunda.

Karara uymayan işyerlerine yaptırım uygulanacak mı?

Kişisel Verileri Koruma Kurulu, ilke kararına uygun hareket edilmediğinin tespit edilmesi halinde veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında işlem yapılacağını açıkladı.

İhlalin niteliğine göre idari yaptırımlar gündeme gelebilecek. Veri sorumlularının kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla gerekli idari ve teknik tedbirleri alması gerekiyor.

Karar hangi işyerlerini kapsıyor?

İlke kararı, çalışanlarının devam ve mesai takibinde biyometrik veri işleyen veri sorumlularını ilgilendiriyor.

İşletmenin büyüklüğü veya çalışan sayısından bağımsız olarak parmak izi, yüz tanıma, iris ya da retina taraması kullanan kurum ve kuruluşların veri işleme faaliyetlerini karara uygun hale getirmesi gerekiyor.

Biyometrik sistemlerin güvenlik veya yüksek riskli alanlara erişim gibi farklı amaçlarla kullanılması ise amaç, hukuki dayanak, gereklilik ve ölçülülük bakımından ayrıca değerlendirilmek zorunda.