Parmak İzi ve Yüz Tanıma ile Mesai Takibi Yasaklandı: KVKK 2026/921 İlke Kararı
İşyerlerinde yıllardır rutin bir uygulama olan parmak izi okuyucuları ve yüz tanıma terminalleri,
artık doğrudan bir uyum riskine dönüştü. Kişisel Verileri Koruma Kurulu’nun
29 Nisan 2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”,
2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Kararın etkisi tek bir cümlede toplanıyor: Çalışanın açık rızası bulunsa dahi,
mesai (PDKS) takibi amacıyla biyometrik veri işlenmesi hukuka aykırıdır.
Bu da “personelimden onay aldım” savunmasının artık geçerli olmadığı anlamına gelir.
Parmak izi, yüz tanıma, iris ve retina taramasıyla mesai takibi yapan tüm işletmeler ve kamu kurumları kapsam içindedir.
Açık rıza tek başına yeterli hukuki dayanak sayılmaz. Mesai takibi; şifreli kart, PIN, RFID/NFC kart, imza çizelgesi veya mobil/QR tabanlı sistemler gibi
daha az müdahaleci yöntemlerle yapılmalıdır.
Karara aykırılık halinde, KVKK’nın 18’inci maddesi uyarınca idari para cezası süreci başlatılabilir.
İlke Kararının Hukuki Dayanağı Nedir?
Parmak izi, yüz tanıma, iris ve retina verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında
özel nitelikli kişisel veri olarak kabul edilir. Bu veriler kişiyi benzersiz biçimde tanımlar ve
bir kez ele geçirildiğinde geri döndürülemez; bu nedenle en yüksek koruma düzeyine tabidir.
Kurul, mesai takibine ilişkin mevzuatta çalışma sürelerinin kayıt altına alınmasını düzenleyen hükümler bulunsa da,
bunun biyometrik veriyle yapılmasını öngören açık bir kanuni dayanak bulunmadığını tespit etti.
Karar; Anayasa Mahkemesi’nin parmak izi sistemiyle mesai takibini “kanunilik” şartını taşımadığı için ihlal sayan kararına ve
Danıştay’ın avuç içi damar okuyucu sistemlerini “ölçülülük” ilkesine aykırı bulan içtihadına dayanır.
İlke Kararı, bu yargı çizgisini idari düzlemde de bağlayıcı hale getirdi.
Neden Açık Rıza Artık Sizi Korumuyor?
Birçok işletme biyometrik PDKS uygulamasını çalışanın açık rızasına dayandırıyordu. Kurul bu yöntemi iki gerekçeyle geçersiz saydı.
Geçersizlik Gerekçeleri
- Güç dengesizliği: İşini kaybetme endişesi taşıyan çalışanın “hayır” deme imkânı sınırlıdır; bu da rızanın özgür iradeye dayanmasını şüpheli kılar.
- Geri alınabilirlik: Çalışan rızasını geri çekerse sistemin sürekliliği bozulur; bu da rızayı baştan zayıf bir dayanak yapar.
- Ölçülülük: Daha hafif alternatifler varken en hassas yöntemi seçmek, Kanun’un 4’üncü maddesindeki “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırıdır.
Yasak Yöntemler ve Uyumlu Alternatifler
Karar, mesai takibinde hangi yöntemlerin risk doğurduğunu ve hangilerine geçilebileceğini net biçimde ortaya koyuyor.
Mesai Takibi Yöntemleri Karşılaştırması
| Kategori | Yöntem | Mesai Takibinde Durum |
|---|---|---|
| Biyometrik | Parmak izi, yüz tanıma, iris, retina | ❌ Hukuka aykırı (açık rıza olsa dahi) |
| Kart / Kod | Şifreli kart, PIN tabanlı sistemler | ✅ Uygun |
| Temassız Kart | RFID / NFC kimlik kartları | ✅ Uygun |
| Manuel | İmza çizelgesi, denetçi gözetiminde elle giriş | ✅ Uygun |
| Mobil | QR kod / konum tabanlı mobil PDKS | ✅ Uygun (biyometrik veri toplamadığı sürece) |
Bu Karar Kimleri Kapsıyor?
Karar yalnızca özel sektörü değil, kamu kurum ve kuruluşlarını da doğrudan bağlar.
Fabrikalardan plazalara, belediyelerden hastanelere kadar biyometrik devam takibi yapan tüm veri sorumluları kapsam içindedir.
“Biz kamu kurumuyuz / küçük bir işletmeyiz, bizi ilgilendirmez” düşüncesi yanlıştır.
Karar, ölçek ve sektör ayrımı yapmaksızın mesai takibinde biyometrik veri işleyen herkesi kapsar.
İstisna Var mı?
Evet, ancak sınırlıdır. Yasaklanan, rutin mesai (PDKS) takibidir.
Banka kasası, AR-GE laboratuvarı, veri merkezi veya kritik sunucu odası gibi yüksek güvenlik gerektiren alanlarda,
yalnızca yetkili personelin erişimini kısıtlamak amacıyla, amaç ve zorunluluğu ayrıca değerlendirilerek biyometrik veri kullanımı gündeme gelebilir.
Bu durumda dahi kanuni çerçeve ve titiz bir gereklilik analizi şarttır.
Ceza Riski Ne Kadar?
Kurul, ilke kararına uyulmamasını Kanun’un 12’nci maddesindeki teknik ve idari tedbir yükümlülüğünün ihlali sayar ve
18’inci madde kapsamında idari yaptırım uygulanacağını duyurdu.
KVKK idari para cezaları her yıl Yeniden Değerleme Oranı ile artar; 2026 yılı için bu kalemde üst sınır
milyonlarca TL’ye (17 milyon TL seviyelerine) ulaşabilmektedir.
Daha kritik olan nokta: Bu risk çoğunlukla tek bir çalışan şikâyeti üzerine başlatılan re’sen denetimle tetiklenir.
Örnek Senaryolarla Uyum Riski
Örnek 1: Yüz Tanıma Turnikeli Üretim Şirketi
- Giriş-çıkış: yüz tanıma terminali
- Dayanak: çalışan açık rızası
- Sonuç: Açık rıza yeterli sayılmadığı için uyum riski mevcut; alternatif sisteme geçiş gerekir.
Örnek 2: Parmak İzi Kullanan Belediye
- Personel devam takibi: parmak izi
- Kurum tipi: kamu
- Sonuç: Karar kamuyu da bağladığından uygulama derhal revize edilmelidir.
Örnek 3: AR-GE Laboratuvarı Erişim Kontrolü
- Amaç: yalnızca kritik laboratuvara yetkili giriş
- Kapsam: rutin mesai takibi değil
- Sonuç: İstisna kapsamında değerlendirilebilir; ancak gereklilik analizi ve kanuni çerçeve şarttır.
7 Adımlık Uyum Yol Haritası
Halihazırda biyometrik PDKS kullanıyorsanız, geçişi şu sırayla yönetmek en güvenli yaklaşımdır:
- Tespit: Hangi çalışanların hangi biyometrik verisinin tutulduğunu belirleyin.
- Envanter güncelleme: Mevcut işleme faaliyetini ve dayanağını kayıt altına alın.
- Alternatif sisteme geçiş: Kart/PIN, RFID/NFC, QR veya mobil PDKS çözümüne geçin.
- Biyometrik veri imhası: Dayanağı kalmayan verileri geri döndürülemez şekilde silin veya anonimleştirin.
- İmha tutanağı: İmha sürecini belgeleyin — denetimde sizi koruyacak en kritik kanıt budur.
- Aydınlatma ve rıza yenileme: Yeni sisteme uygun aydınlatma metni ve çalışan bilgilendirmesi hazırlayın.
- VERBİS güncelleme: İşleme faaliyetindeki değişikliği süresi içinde sisteme yansıtın.
Cihazı değiştirmek tek başına yeterli değildir. Geçmişte toplanan biyometrik veriler usulüne uygun imha edilmedikçe
ve süreç tutanakla belgelenmedikçe, sistem değişmiş olsa bile geçmişe dönük ihlal riski devam eder.
Sonuç ve Uzman Değerlendirmesi
KVKK’nın 2026/921 sayılı İlke Kararı, mesai takibinde biyometrik veriye dayalı dönemin kapandığını net biçimde ortaya koyuyor.
“Zaten herkes kullanıyor” veya “çalışanlarımdan rıza aldım” yaklaşımları artık hukuki bir kalkan sağlamıyor.
Şirketlerin bu süreci yalnızca bir cihaz değişikliği olarak değil; envanter, imha, aydınlatma, rıza ve VERBİS
süreçlerinin birlikte ele alındığı bir uyum projesi olarak yönetmesi gerekir. Aksi halde tek bir çalışan şikâyeti,
doğrudan idari para cezası sürecini tetikleyebilir.
⚖️ Biyometrik PDKS Uyum ve Risk Analizi
B10 Digital Agency olarak; mevcut parmak izi/yüz tanıma sisteminizin risk haritasını çıkarıyor,
uyumlu alternatife geçişi planlıyor ve denetime hazır bir dokümantasyon altyapısı kuruyoruz.
Hukuki danışmanlar ve teknik ekiplerin birlikte çalıştığı hibrit modelimiz sayesinde; biyometrik veri imhası,
veri envanteri, aydınlatma metinleri ve VERBİS güncellemesini tek bir akışta yönetiyoruz.
Mevcut PDKS altyapınız ve toplanan biyometrik veri kalemleri analiz edilir.
Dayanağı kalmayan veriler tutanakla, denetime hazır biçimde imha edilir.
Alternatif sistem, aydınlatma ve VERBİS adımları yol haritasına dönüştürülür.
Parmak izi veya yüz tanımayla mesai takibi yapıyorsanız, bir çalışan şikâyeti gelmeden uyum analizinin yapılması gerekir.
Sık Sorulan Sorular
Çalışanlarım kendi rızasıyla onay verdi, yine de sorumlu muyum?
Evet. Kurul, işçi-işveren ilişkisindeki güç dengesizliği ve ölçülülük ilkesi nedeniyle açık rızayı mesai takibi için yeterli hukuki dayanak saymıyor.
Hangi alternatif yöntemler hukuka uygun?
Şifreli kart, PIN tabanlı sistemler, RFID/NFC kimlik kartları, geleneksel imza ve kâğıt bazlı çizelgeler, QR kod tabanlı veya mobil PDKS çözümleri ile denetçi gözetiminde elle giriş.
Yüksek güvenlikli alanlarda parmak izi kullanabilir miyim?
Yasak, rutin mesai takibine yöneliktir. AR-GE, sunucu odası veya kasa gibi kritik alanların erişim kontrolünde, amaç ve zorunluluk ayrıca değerlendirilerek kanuni çerçevede kullanım mümkün olabilir.
Eski biyometrik verileri ne yapmalıyım?
Hukuki dayanağı kalmayan verileri Veri İmha Politikası’na uygun şekilde silmeli veya anonimleştirmeli ve süreci tutanakla belgelemelisiniz.
Karar kamu kurumlarını da kapsıyor mu?
Evet. Hem özel sektör hem kamu kurum ve kuruluşları kapsam içindedir.