Parmak İzi ve Yüz Tanımayla Mesai Takibi Dönemi Bitti: KVKK Kararı ve İşletmeler İçin Yasal Alternatifler

Kişisel Verileri Koruma Kurulu, 29 Nisan 2026 tarihli ve 2026/921 sayılı ilke kararıyla iş yerlerinde mesai takibi amacıyla parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik verilerin işlenmesini, çalışanların açık rızası bulunsa dahi hukuka aykırı kabul etti. Kurul, mesai takibinin şifreli kart veya PIN tabanlı sistemler, mobil uygulamalar, RFID/NFC kartlar gibi daha az müdahaleci yöntemlerle yapılması gerektiğini belirtti. Uyum sağlamayan işletmeler hakkında idari para cezası uygulanabilecek. Bu yazıda kararın gerekçelerini, işletmeler için doğurduğu sonuçları ve hızlıca geçiş yapabileceğiniz yasal alternatifleri açıklıyoruz.

KVKK Tam Olarak Neye Karar Verdi?

Kurum, kendisine ulaşan ihbar ve şikayetlerde en sık karşılaşılan konulardan birinin, kurumların çalışan devam takibini dijitalleştirmek ve güvenliği artırmak amacıyla giderek daha fazla biyometrik tanımlama sistemine yönelmesi olduğunu vurguladı.

Biyometrik sistemler hızlı, doğru ve taklit edilmesi zor yapılarıyla cazip görünüyor. Ancak Kurul, bu verilerin kişisel verilerin korunması hukukunda son derece hassas bir alan oluşturduğunu hatırlattı. Kararın özünde üç temel gerekçe yatıyor.

1. Açık bir kanuni dayanak yok

Mevzuatta işverenin çalışma sürelerini takip etmesi ve belgelemesi düzenlenmiş durumda. Ancak bu takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık bir kanun hükmü bulunmuyor. Bu nedenle “kanunlarda açıkça öngörülme” şartına dayanılamıyor.

2. Açık rıza güç dengesizliği yüzünden geçersiz

Uygulamada şirketlerin çoğu, tek dayanak olarak çalışanın açık rızasını gösteriyor. Kurul burada kritik bir tespit yapıyor: İşçi ile işveren arasındaki yapısal güç dengesizliği nedeniyle bu rızanın özgür iradeye dayandığı söylenemez. Çalışan rıza vermediğinde işini kaybetme ya da olumsuz sonuçlarla karşılaşma riski taşıyorsa, gerçek bir seçeneğe sahip değildir. Ayrıca rızanın geri alınabilmesi, sistemin sürekliliğini bozacağı için açık rıza tek başına yeterli hukuki zemin oluşturmuyor.

3. Ölçülülük ilkesine aykırı

En belirleyici gerekçe bu. Daha az müdahaleci alternatifler mevcutken biyometrik veri işlemek, Kanun’un 4. maddesindeki genel ilkelere, özellikle ölçülülük ilkesine aykırı. Yani çalışan açık rıza verse bile uygulama hukuka aykırı sayılıyor.

İşletmeler İçin Bu Ne Anlama Geliyor?

Karar, parmak izi okuyucu ve yüz tanıma terminalleriyle mesai takibi yapan tüm işletmeleri doğrudan ilgilendiriyor. Pratik sonuçları şöyle özetleyebiliriz:

• Halihazırda biyometrik PDKS kullanıyorsanız, “çalışanlarımdan rıza aldım” savunması artık sizi korumuyor.
• Bu uygulamalar, Kanun’un 12. maddesi uyarınca veri sorumlularının almak zorunda olduğu idari ve teknik tedbirler kapsamında değerlendiriliyor.
• Belirtilen ilkelere uyulmadığının tespit edilmesi halinde, ilgili veri sorumluları hakkında Kanun’un 18. maddesi gereğince idari para cezası işlem süreci başlatılabiliyor.

Kısacası, biyometrik sistemden uyumlu bir alternatife geçiş artık bir tercih değil, yasal bir zorunluluk haline geldi.

Kurul’un Önerdiği Yasal Alternatifler

KVKK, duyurusunda kabul edilebilir yöntemleri açıkça saydı:

• Şifreli kart veya PIN tabanlı sistemler
• Geleneksel imza ve kağıt bazlı devam çizelgeleri
• RFID/NFC kimlik kartları
• Denetçi gözetiminde elle giriş
• Mobil uygulama tabanlı, biyometrik veri toplamayan dijital çözümler

Bu yöntemler arasında ölçeklenebilirlik, raporlama gücü ve kullanım kolaylığı açısından öne çıkan seçenek, biyometrik veri toplamayan mobil PDKS uygulamaları oluyor. Kağıt çizelge ve manuel giriş yasal olsa da, vardiya yoğun veya çok şubeli işletmelerde yönetim yükü yaratıyor.

Biyometrik Olmadan Mesai Takibi Nasıl Yapılır?

Burada sık sorulan soru şu: “Parmak izi kullanmazsam personelin gerçekten iş yerinde olduğunu nasıl doğrularım?” Cevap, biyometrik veriye değil, konum ve cihaz doğrulamasına dayalı modern yöntemlerde.

Patron PDKS, tam olarak Kurul’un işaret ettiği yasal çerçeveye uygun bir mobil çözüm sunuyor. Kart okuyucu, parmak izi veya yüz tanıma gibi hiçbir ek donanıma ihtiyaç duymadan, çalışanların giriş çıkışını yalnızca mobil uygulama üzerinden takip ediyor. Sistem hiçbir cihaz, kablo veya kurulum gerektirmediği ve biyometrik veri toplamadığı için, bu ilke kararının yarattığı uyum riskini kökten ortadan kaldırıyor.

Doğrulama tarafında biyometrinin yerini şu yöntemler alıyor:

• QR kod okutma: Çalışan, iş yerindeki dijital konum QR kodunu mobil uygulamayla okutarak giriş çıkış yapıyor.
• Konum seçimi: Kamerasız çalışmak isteyen ekipler için konum tabanlı doğrulama.
• Kişisel dinamik QR kodlar: Her çalışana özel, taklit edilmesi zor kodlar.
• Konum ve cihaz doğrulama: İşlemin doğru yerden ve doğru cihazdan yapıldığını teyit eden güvenlik katmanı.
• Şüpheli işlem algılama: Olağan dışı giriş çıkış denemelerini işaretleyen kontrol mekanizması.

Böylece işletme, hem yasal uyumu sağlıyor hem de manipülasyona karşı korunmuş bir takip sistemi kuruyor. Üstelik aynı uygulama içinde vardiya yönetimi, izin yönetimi ve detaylı puantaj ile raporlama da yer alıyor.

Geçişte Dikkat Edilmesi Gereken 5 Adım

• Mevcut sistemi tespit edin. Parmak izi veya yüz tanıma terminali kullanıyorsanız, bu cihazlar üzerinden toplanan biyometrik veriyi belirleyin.
• Veri envanterini güncelleyin. Hangi çalışanların hangi biyometrik verilerinin tutulduğunu kayıt altına alın.
• Biyometrik veriyi imha planı yapın. Geçiş sonrası, saklamaya devam etmek için hukuki dayanağınız kalmayan biyometrik verileri usulüne uygun şekilde silin veya anonim hale getirin.
• Uyumlu alternatife geçin. Mobil tabanlı, biyometrik veri toplamayan bir PDKS çözümüne kurulum gerektirmeden geçiş yapın.
• Aydınlatma ve süreçleri yenileyin. Yeni sisteme uygun KVKK aydınlatma metni ve çalışan bilgilendirmesini hazırlayın. Patron PDKS’in KVKK aydınlatma metni yaklaşımını referans olarak inceleyebilirsiniz.

Mesai Takibinizi Bugün Yasal Zemine Taşıyın: Patron PDKS’yi 7 Gün Ücretsiz Deneyin

KVKK’nın 2026/921 sayılı ilke kararı, mesai takibinde biyometrik veriye dayalı bir dönemin kapandığını net biçimde ortaya koyuyor. İşletmeler için doğru hamle, beklemeden uyumlu bir alternatife geçmek.

Patron PDKS gibi cihazsız, kurulumsuz ve biyometrik veri toplamayan mobil çözümler, bu geçişi hem yasal hem de operasyonel açıdan kolaylaştırıyor. Farklı sektörlerden işletmelerin nasıl kullandığını referanslar sayfamızda görebilir, kullanıcı veya konum sayınıza göre maliyetinizi fiyatlandırma sayfasından hesaplayabilirsiniz.

Şirketinizin mesai takibini yasal zemine taşımak için Patron PDKS’yi 7 gün ücretsiz deneyin. Kredi kartı veya taahhüt gerekmez, onay beklemeden hemen kullanmaya başlarsınız.

Sık Sorulan Sorular

Çalışanların açık rızası varsa parmak izi kullanmaya devam edebilir miyim?

Hayır. Kurul, açık rıza bulunsa dahi mesai takibinde biyometrik veri işlenmesini ölçülülük ilkesine aykırı buldu. Açık rıza tek başına geçerli bir dayanak değil.

Karar hangi yöntemleri yasal kabul ediyor?

Şifreli kart ve PIN tabanlı sistemler, imza ve kağıt çizelgeler, RFID/NFC kartlar, denetçi gözetiminde elle giriş ve biyometrik veri toplamayan mobil uygulamalar.

Mobil PDKS uygulamaları yasal mı?

Evet. Biyometrik veri toplamayan, konum ve QR kod gibi yöntemlerle çalışan mobil PDKS uygulamaları, Kurul’un işaret ettiği daha az müdahaleci yöntemler arasında yer alıyor.

Uyum sağlamazsam ne olur?

Belirtilen ilkelere uyulmadığının tespiti halinde, Kanun’un 18. maddesi gereğince idari para cezası dahil işlem tesis edilebilir.

Bu içerik bilgilendirme amaçlıdır ve hukuki danışmanlık niteliği taşımaz. Kurumunuza özel uyum süreçleri için bir hukuk uzmanına danışmanız önerilir.

Kaynak: Kişisel Verileri Koruma Kurulu, 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı kamuoyu duyurusu (kvkk.gov.tr)