Mesai Takibinde Parmak İzi ve Yüz Tanıma Kullanımı Hakkında KVKK Kurulu İlke Kararı Yayımlandı

02.06.2026 Tarihli Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun, 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararında, mesai takibi amacıyla biyometrik veri işlenmesine ilişkin önemli ve pek çok şirket açısından uygulama değişikliği gerektiren değerlendirmeler içermektedir. Karar, özellikle çalışan devam kontrol sistemlerinde (PDKS) parmak izi, yüz tanıma, avuç içi damar izi ve benzeri biyometrik doğrulama yöntemlerini kullanılması hususunda kişisel verilerin korunmasına ilişkin temel ilkeleri esas almaktadır.

Biyometrik veriler, kişinin fiziksel veya davranışsal özelliklerinden elde edilen ve kişiyi benzersiz şekilde tanımlamaya imkân veren özel nitelikli kişisel verilerdir. Parmak izi, yüz geometrisi, retina ve iris verileri ile avuç içi damar izi bu kapsamda değerlendirilirken, ses tanıma ve imza dinamikleri gibi yöntemler de biyometrik veri niteliği taşıyabilmektedir.

Kurul kararında, biyometrik verilerin diğer kişisel verilere göre daha hassas bir yapıya sahip olduğu, ele geçirilmeleri halinde değiştirilmelerinin veya geri alınmalarının mümkün olmadığı ve bu nedenle daha yüksek düzeyde koruma gerektirdiği vurgulanmıştır.

Kararın en önemli tespitlerinden biri, çalışma sürelerinin takip edilmesine ilişkin mevzuatta işverenlere kayıt tutma ve çalışma sürelerini belgeleme yükümlülüğü getirilmiş olmasına rağmen, bu yükümlülüğün mutlaka biyometrik sistemler kullanılarak yerine getirilmesini zorunlu kılan açık bir kanuni düzenlemenin bulunmadığı yönündedir.

Kurul ayrıca işçi-işveren ilişkisinde taraflar arasında yapısal bir güç dengesizliği bulunduğunu, bu nedenle çalışanlardan alınan açık rızanın her zaman özgür iradeye dayanıp dayanmadığının tartışmalı olduğunu belirtmiştir. Bu değerlendirme, özellikle parmak izi veya yüz tanıma sistemlerinin yalnızca açık rıza temelinde kullanılmasının hukuki risk oluşturabileceğini göstermektedir.

İlke Kararında, kişisel verilerin işlenmesinde uyulması gereken amaçla bağlantılı olma, sınırlı ve ölçülü olma ilkelerine de dikkat çekilmiştir. Kurula göre, mesai takibinin gerçekleştirilebilmesi için biyometrik sistemlerden daha az müdahaleci alternatif yöntemlerin bulunup bulunmadığı mutlaka değerlendirilmelidir.

Bu kapsamda Kurul, şifreli kart sistemleri, PIN tabanlı doğrulama yöntemleri, RFID/NFC kartları, geleneksel imza çizelgeleri veya denetçi gözetiminde giriş-çıkış kayıtları gibi alternatif yöntemlerin birçok durumda mesai takibi amacıyla kullanılabileceğine işaret etmiştir.

Karar, Danıştay ve Anayasa Mahkemesi kararlarına da atıf yaparak, biyometrik veri işlenmesinin yalnızca teknik olarak mümkün olmasının yeterli olmadığını, aynı zamanda hukuki gereklilik, ölçülülük ve veri minimizasyonu ilkeleri bakımından da değerlendirilmesi gerektiğini ortaya koymaktadır.

Bu nedenle işyerlerinde parmak izi, yüz tanıma veya benzeri biyometrik doğrulama sistemleri kullanan veri sorumlularının mevcut uygulamalarını yeniden gözden geçirmeleri önem taşımaktadır. Özellikle ilgili veri işleme faaliyetinin hangi hukuki sebebe dayandığı, daha az müdahaleci alternatiflerin bulunup bulunmadığı ve işleme faaliyetinin ölçülülük ilkesine uygun olup olmadığı değerlendirilmelidir.

KVKK Kurulu’nun söz konusu ilke kararı, biyometrik verilerin mesai takibi amacıyla işlenmesinin her somut olay bakımından ayrıca değerlendirilmesi gerektiğini ve açık rızanın tek başına yeterli bir hukuki dayanak olarak kabul edilmeyebileceğini göstermektedir. Bu nedenle işverenlerin çalışan verilerinin işlenmesine ilişkin süreçlerini güncel mevzuat ve Kurul kararları ışığında yeniden analiz etmeleri önem arz etmektedir.

İlgili karara buradan ulaşabilirsiniz.

İşyerinizde parmak izi, yüz tanıma veya diğer biyometrik doğrulama sistemleri kullanıyorsanız, veri işleme süreçlerinizin güncel mevzuat ve Kurul kararları çerçevesinde değerlendirilmesi önem taşımaktadır. Bu konuda detaylı bilgi için KVKK Uyum Danışmanlığı hizmet sayfamızı inceleyebilirsiniz.