KVKK Biyometrik Mesai Takibi Yasağı: İşverenler Uyum İçin Ne Yapmalı?

BumerangData Hukuk Ekibi · · 8 dk okuma
KVKK Biyometrik Mesai Takibi Yasağı: İşverenler Uyum İçin Ne Yapmalı?

Kişisel Verileri Koruma Kurulu (KVKK), 2026/921 sayılı İlke Kararı ile parmak izi ve yüz tanıma gibi biyometrik yöntemlerle yapılan mesai takibini, geçerli açık rıza bulunsa dahi hukuka aykırı kabul etti. Bu yazıda kararın ne anlama geldiğini değil, asıl önemli olan kısmı ele alıyoruz: biyometrik PDKS kullanan bir işveren olarak KVKK uyumu için somut olarak ne yapmanız gerektiğini.

Bu yazı bilgilendirme amaçlıdır, hukuki danışmanlık niteliği taşımaz. Kurumunuza özel değerlendirme için bir hukuk uzmanına danışın.

Karar Kısaca Ne Diyor?

Kurul; parmak izi, yüz tanıma, iris ve retina taraması ile mesai takibini üç temel gerekçeyle hukuka aykırı buldu:

  • Açık kanuni dayanak yok: İşverenin çalışma sürelerini takip yükümlülüğü var, ancak bunun biyometrik veriyle yapılması gerektiğine dair bir hüküm yok.
  • Açık rıza tek başına yeterli değil: İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle çalışanın rızası "özgür iradeye dayalı" sayılmıyor.
  • Ölçülülük ilkesi ihlal ediliyor: Kart, PIN, QR gibi daha az müdahaleci alternatifler varken biyometrik veri işlemek KVKK m.4'teki ölçülülük kriterini karşılamıyor.

Biyometrik veri, KVKK m.6 kapsamında özel nitelikli kişisel veridir ve işlenmesi en yüksek koruma düzeyine tabidir. Bu nedenle karara uyulmaması ciddi idari para cezası riski doğurur.

Hangi İşletmeler Etkileniyor?

Bugün yaygın olarak kullanılan şu sistemler artık hukuki risk taşıyor:

  • Parmak izi okuyuculu turnike ve PDKS cihazları
  • Yüz tanımalı giriş-çıkış terminalleri
  • Avuç içi / damar tanıma cihazları
  • İris veya retina taramalı erişim kontrolleri

İşverenler İçin 5 Adımlık Uyum Yol Haritası

Kararın sizi etkilediğini düşünüyorsanız, panik yapmadan aşağıdaki adımları sırayla uygulayın. Bu adımların her biri KVKK denetiminde "hesap verebilirlik" (accountability) ilkesini kanıtlamanızı sağlar.

1. Veri Envanterinizi Güncelleyin

İlk iş, hangi biyometrik verileri, hangi amaçla, ne kadar süredir işlediğinizi tespit etmektir. Kişisel veri işleme envanterinizde "biyometrik veri / mesai takibi" kaydı varsa, bu kaydın hukuki dayanağı artık geçersiz hale gelmiştir. Envanteri güncelleyerek bu işleme faaliyetinin sonlandırılacağını belgeleyin.

2. Hukuki Dayanağı Kalmayan Veriyi İmha Edin

KVKK m.7 uyarınca, işlenmesini gerektiren sebep ortadan kalkan kişisel veri silinmeli, yok edilmeli veya anonim hale getirilmelidir. Topladığınız parmak izi ve yüz tanıma şablonlarını, saklama ve imha politikanıza uygun şekilde imha edin ve bu imha işlemini tutanakla kayıt altına alın.

3. Alternatif Yönteme Geçin

Kurul, kabul edilebilir alternatifleri de sayıyor: şifreli kart veya PIN tabanlı sistemler, RFID/NFC kimlik kartları, QR ile yoklama ve geleneksel imza tabanlı devam çizelgeleri. Ortak nokta: bu yöntemlerin hiçbiri çalışanın biyolojik verisini işlemez; kimlik doğrulama "sahip olunan bir şey" (kart, telefon) veya "bilinen bir şey" (PIN) üzerinden yapılır.

4. Aydınlatma Metni ve Açık Rıza Süreçlerinizi Yenileyin

Mesai takibi yöntemini değiştirdiğinizde, çalışanlara sunduğunuz aydınlatma metni de değişmelidir. Yeni yöntemin işleme amacını, hukuki sebebini ve saklama süresini güncel aydınlatma metninde belirtin. Biyometrik veriye dayalı eski açık rıza beyanları artık geçersizdir.

5. Veri Sahibi Başvurularına Hazır Olun

Çalışanlar, KVKK m.11 kapsamında biyometrik verilerinin silindiğini teyit etmek için başvuruda bulunabilir. Bu başvuruları 30 gün içinde yanıtlayabilecek bir süreç kurmanız gerekir.

Karar Sonrası En Sık Yapılan Hata

Birçok işletme cihazı kaldırıp "sorun çözüldü" sanıyor. Oysa asıl risk, geçmişte toplanan biyometrik verilerin sistemde kalmaya devam etmesi ve bu durumun belgelenmemesidir. Bir denetimde sorulacak ilk soru "Topladığınız biyometrik verileri ne yaptınız?" olacaktır. İmha tutanağı olmadan cihazı kaldırmak, uyum açısından yeterli değildir.

BumerangData ile Karara Uyum

BumerangData, bu tür bir mevzuat değişikliğinde uyum sürecini tek platformdan yönetmenizi sağlar:

  • Veri envanteri: Biyometrik işleme faaliyetini envanterden çıkarın, değişikliği tarihçeyle kayıt altına alın.
  • Aydınlatma metni yönetimi: Yeni mesai takibi yöntemine uygun aydınlatma metnini dijital olarak oluşturup çalışanlara dağıtın, onay kayıtlarını saklayın.
  • Açık rıza ve onay takibi: Eski rızaları geçersiz kılın, yeni süreç için gerekiyorsa onay toplayın.
  • Veri sahibi başvuru yönetimi: Çalışan başvurularını tek ekrandan takip edin, 30 günlük yasal süreyi kaçırmayın.
  • Saklama ve imha politikası: İmha kararlarını ve tutanaklarını platformda belgeleyin.

Tüm verileriniz Türkiye'de, AWS İstanbul Local Zone sunucularında barındırılır; yurt dışına aktarılmaz. 14 gün ücretsiz deneyin.

Sonuç

KVKK'nın bu kararı, "güvenlik ve kolaylık" gerekçesiyle yaygınlaşan biyometrik mesai takibine net bir sınır çizdi. İşverenler için kritik mesaj şu: Cihazı kaldırmak yetmez; envanteri güncellemek, veriyi imha etmek ve süreci belgelemek gerekir. Uyumu sistematik bir şekilde yönetenler, hem ceza riskini ortadan kaldırır hem de bir denetimde hesap verebilirliğini kolayca kanıtlar.

Bu içerik bilgilendirme amaçlıdır, hukuki danışmanlık yerine geçmez.