KVKK Kararı: Biyometrik Mesai Takibi Artık Yasak — Peki Alternatif Ne?

Kişisel Verileri Koruma Kurulu (KVKK), 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı ile çalışan mesai takibinde sıkça kullanılan biyometrik tanımlama sistemlerine net bir sınır çizdi. Karar, 2 Haziran 2026 tarihli Resmî Gazete'de yayımlanarak yürürlüğe girdi. Bu yazıda kararın ne anlama geldiğini, hangi sistemlerin risk altında olduğunu ve yasal alternatifleri ele alıyoruz.

Bu yazı bilgilendirme amaçlıdır, hukuki danışmanlık niteliği taşımaz. Kurumunuza özel değerlendirme için bir hukuk uzmanına danışın.

Karar Ne Diyor?

Kurul; parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik yöntemlerle yapılan mesai takibini değerlendirdi ve özetle şu sonuca vardı:

• Açık kanuni dayanak yok: Mevzuatta işverenin çalışma sürelerini takip etme yükümlülüğü var, ancak bunun biyometrik veriyle yapılması gerektiğine dair açık bir hüküm bulunmuyor. Dolayısıyla "kanunda öngörülme" şartına dayanılamıyor.
• Açık rıza tek başına yeterli değil: İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle çalışanın rızasının "özgür iradeye dayandığı" söylenemiyor. Rıza vermeme veya geri çekme, çalışan açısından olumsuz sonuç doğurabileceği için gerçek bir seçenek sayılmıyor.
• Ölçülülük ilkesi ihlal ediliyor: Daha az müdahaleci alternatifler (kart, PIN, imza) varken biyometrik veri işlemek, KVKK 4. maddedeki ölçülülük kriterini karşılamıyor. Açık rıza olsa bile.

Sonuç: Mesai takibi amacıyla biyometrik veri işlenmesi, geçerli açık rıza bulunsa dahi hukuka aykırı kabul ediliyor.

Hangi Sistemler Risk Altında?

Bugün birçok işletmede kullanılan şu PDKS (Personel Devam Kontrol Sistemi) cihazları artık hukuki risk taşıyor:

• Parmak izi okuyuculu turnike ve giriş cihazları
• Yüz tanımalı kamera/terminal sistemleri
• Avuç içi / damar tanıma cihazları
• İris veya retina taramalı erişim kontrolleri

Karara uyulmadığının tespiti halinde, veri sorumluları (işverenler) hakkında KVKK 18. madde uyarınca idari para cezası uygulanabileceği açıkça belirtildi.

Kurul'un Önerdiği Yasal Alternatifler

İlke Kararı yalnızca yasaklamakla kalmıyor, kabul edilebilir yöntemleri de sayıyor:

• Şifreli kart veya PIN tabanlı sistemler
• Geleneksel imza ve kâğıt bazlı devam çizelgeleri
• RFID / NFC kimlik kartları
• Denetçi gözetiminde elle giriş

Ortak nokta: Bu yöntemlerin hiçbiri çalışanın bedensel/biyolojik verisini işlemiyor. Kimlik doğrulama, kişinin sahip olduğu bir şey (kart, telefon) veya bildiği bir şey (PIN) üzerinden yapılıyor.

QR ile Yoklama: Biyometrisiz, Modern Alternatif

Kâğıt çizelge ve kart sistemleri yasal ama hantal. Bulut İşgücü'nün QR ile sahadan yoklama özelliği, biyometrik veri işlemeden modern bir devam takibi sunar:

Nasıl çalışır?

• Personele WhatsApp ile kişiye özel bir yoklama linki gönderilir.
• Personel kendi telefonuyla iş yerine asılı QR kodu okutarak giriş-çıkış yapar — uygulama indirmeye gerek yok.
• Sistem giriş-çıkış saatini, vardiyayı ve puantajı otomatik oluşturur.

Neden KVKK açısından daha güvenli?

• Biyometrik veri yok: Parmak izi, yüz veya başka bir biyolojik veri toplanmaz. Kararın yasakladığı kategoriye girmez.
• Sahip olunan cihaz ile doğrulama: Kimlik, personelin kendi telefonuna bağlanan benzersiz bir token (cihaz eşleştirme) ile doğrulanır — Kurul'un işaret ettiği "sahip olunan bir şey" mantığıdır.
• Konum opsiyonel: İsteğe bağlı GPS yakınlık kontrolü, sahada olmayan kişinin yoklama yapmasını engeller. Konum verisi yalnızca yoklama anında, doğrulama amacıyla kullanılır.
• Ölçülülüğe uygun: Amaca (devam takibi) ulaşmak için gereğinden fazla veri toplanmaz — veri minimizasyonu ilkesiyle örtüşür.

İşverenler Ne Yapmalı?

• Mevcut biyometrik PDKS'i gözden geçirin: Parmak izi/yüz tanıma ile mesai takibi yapıyorsanız, kararın gerektirdiği şekilde alternatif yönteme geçiş planlayın.
• Topladığınız biyometrik verileri değerlendirin: Hukuki dayanağı ortadan kalkan veriler için silme/imha sürecini başlatın.
• Aydınlatma ve süreçleri güncelleyin: Yeni yöntemin işleme amacını, hukuki sebebini ve saklama süresini belgeleyin.
• Daha az müdahaleci yöntemi seçin: Kart, PIN, QR veya imza tabanlı çözümler tercih edin.

Sonuç

KVKK'nın bu kararı, "güvenlik ve kolaylık" gerekçesiyle yaygınlaşan biyometrik mesai takibine açık bir dur dedi. İşverenler için mesaj net: Çalışanın bedeninden veri toplamadan da güvenilir devam takibi mümkün. QR ile yoklama gibi biyometrisiz çözümler, hem yasal uyumu hem de operasyonel hızı bir arada sunar.

Bulut İşgücü, taşeron ve personel tedarik firmaları için biyometri içermeyen, KVKK ilkeleriyle uyumlu bir saha yoklama altyapısı sağlar. Detaylar için demo talep edebilirsiniz.