Biyometrik Veri Mesai Takibi
Biyometrik veri ile mesai takibi, KVKK ilke kararı sonrası işletmeler için kritik bir uyum başlığına dönüştü. Mevcut sistemlerinizi bugün değerlendirin, riskleri görün ve alternatif yöntemlere geçiş planınızı güvenle, hızlıca oluşturun.
Biyometrik veri ile mesai takibi, Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı ilke kararı sonrasında işletmeler için çok daha kritik bir konuya dönüştü. İş yerlerinde parmak izi, yüz tanıma, göz taraması gibi sistemlerle çalışan giriş-çıkış takibi yapılması, artık yalnızca riskli bir bir tercih değil, doğrudan KVKK cezasına konu olabilecek bir işleme dönüşüyor.
Karar İşletmelere Ne Söylüyor?
Kurul duyurusunda, çalışanın mesai takibini dijitalleştirme ve güvenliği artırma amacıyla biyometrik tanımlama sistemlerine yönelimin ihbar ve şikâyetlerde sık karşılaşılan konulardan biri olduğu belirtilmiştir. Bu tespit, Türkiye’de birçok işletmenin hâlen kullandığı mesai takip sistemlerini yeniden değerlendirmesi gerektiğini göstermektedir. Çünkü konu yalnızca cihaz seçimi değil; hukuki sebep, ölçülülük, gereklilik ve veri minimizasyonu ilkelerinin birlikte değerlendirilmesini gerektirir.
Biyometrik Veri Neden Hassas?
Biyometrik veri, kişinin fiziksel veya davranışsal özelliklerinden hareketle kimliğini belirlemeye yarayan özel nitelikli kişisel veriler arasında yer alır. Parmak izi, yüz geometrisi, avuç içi tarama, retina ve iris verisi bu kapsamdadır. Bu veriler değiştirilemez nitelikte olduğu için ele geçirilmesi veya hukuka aykırı işlenmesi durumunda çalışan açısından telafisi zor sonuçlar doğurabilir. Bu nedenle işverenlerin biyometrik veri işleme süreçlerinde klasik personel verilerinden çok daha yüksek bir koruma standardı benimsemesi gerekir.
Açık Rıza Tek Başına Yetmez
İşverenler uzun süredir biyometrik veri kullanımını çoğu zaman çalışandan alınan açık rızaya dayandırıyordu. Ancak Kurul, işçi-işveren ilişkisindeki güç dengesizliğine dikkat çekerek çalışanın gerçek anlamda özgür iradeyle rıza verip vermediğinin tartışmalı olacağını belirtmektedir. Çalışanın rıza vermemesi halinde olumsuz bir sonuçla karşılaşma ihtimalini düşünmesi iradesini etkileyebileceği için sağlıklı bir rıza alma süreci oluşmasını engellemektedir.
Ölçülülük Kriteri Belirleyici
Kurul kararında öne çıkan stratejik kavram ölçülülüktür. Bir işletme çalışanlarının mesai takibini yapmak zorunda olabilir; ancak bu zorunluluk, en ağır veri işleme yönteminin seçilebileceği anlamına gelmez. Aynı amaca daha az müdahaleci yöntemlerle ulaşmak mümkünse, biyometrik veri kullanımı ölçüsüz kabul edilebilir. Bu yaklaşım, işletmelerin “veriyi ne kadar az işlersem o kadar güvenli olurum” ilkesini operasyonel hale getirmesini gerektirir.
Alternatif Sistemlere Geçiş
Karar, mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart, PIN tabanlı sistem, geleneksel imza çizelgesi, RFID/NFC kimlik kartı veya denetçi gözetiminde elle giriş gibi özel nitelikli kişisel veri işleme gerektirmeyen alternatif yöntemlerle sağlanması gerektiğine işaret etmektedir. Bu nedenle işletmelerin mevcut cihaz parkını, personel giriş-çıkış prosedürlerini ve İK yazılımlarını birlikte analiz ederek uygulanabilir bir geçiş planı oluşturması önemlidir.
İK ve IT İçin Risk Alanları
Bu karar özellikle İnsan Kaynakları ve Bilgi Teknolojileri departmanlarının ortak çalışmasını zorunlu hale getirir. İK tarafı çalışan devam takibini, bordro süreçlerini ve disiplin uygulamalarını yönetirken; IT tarafı cihaz, yazılım, erişim, loglama ve veri güvenliği mimarisinden sorumludur. Biyometrik veri ile çalışan bir sistemde her iki departmanın da idari ve teknik tedbirleri ayrı ayrı kontrol etmesi gerekir.
Kontrol Edilmesi Gerekenler
İşletmeler bu süreçte yalnızca cihazları kapatıp alternatif sisteme geçmekle yetinmemelidir. Önce mevcut veri akışı çıkarılmalı, hangi verinin nerede tutulduğu belirlenmeli ve üçüncü taraf servis sağlayıcılarla yapılan sözleşmeler incelenmelidir. Ardından veri işleme envanteri, aydınlatma metinleri, açık rıza süreçleri, saklama-imha politikası ve erişim yetkileri güncellenmelidir.
- Biyometrik veri işlenen tüm lokasyonları ve cihazları listeleyin.
- Veri işleme envanteri ve aydınlatma metinlerini güncelleyin.
- Alternatif mesai takip yöntemlerini teknik ve operasyonel açıdan karşılaştırın.
- Tedarikçi sözleşmelerinde veri güvenliği ve imha hükümlerini kontrol edin.
- Çalışan iletişimini açık, sade ve güven veren bir dille planlayın.
- KVKK evraklarında gerekli güncellemelerin yapılması gerekecektir. (VERBİS kaydı, aydınlatma metinleri, envanterler vb.)
Operasyonel Geçiş Planı
Doğru geçiş planı, işletmenin operasyonunu durdurmadan riskin azaltılmasını sağlar. İlk aşamada biyometrik veri kullanan lokasyonlar belirlenmeli, çalışan sayısı ve cihaz sayısı çıkarılmalıdır. İkinci aşamada alternatif takip yöntemi seçilmeli, pilot uygulama yapılmalı ve çalışan iletişimi hazırlanmalıdır. Son aşamada eski biyometrik verilerin saklama ve imha süreçleri KVKK’ya uygun şekilde tamamlanmalıdır.
Yaptırım Riskine Dikkat
Kurul, belirtilen hususlara uygun hareket edilmediğinin tespiti halinde veri sorumluları hakkında Kanun’un 18’inci maddesi kapsamında işlem tesis edilebileceğini duyurmuştur. Bu nedenle konu yalnızca hukuki yorum seviyesinde kalmamalı; yönetim, İK, IT ve hukuk ekiplerinin birlikte sahipleneceği kurumsal bir uyum aksiyonuna dönüştürülmelidir.
Rasyotek KVKK Ekibi Ne Sağlar?
Rasyotek’in alanında uzman ekibinin sunduğu KVKK hizmeti, işletmelerin biyometrik veri ile mesai takibi süreçlerini uçtan uca analiz ederek riskleri görünür hale getirir. Mevcut sisteminizin hukuki dayanağı, veri akışı, teknik güvenliği, sözleşme yapısı ve çalışan bilgilendirme süreçleri birlikte değerlendirilir. Böylece işletmeniz, yalnızca mevzuata cevap veren değil, operasyonel sürdürülebilirliği de koruyan bir uyum yol haritasına sahip olur
Şirketiniz Ne Yapmalı?
Şirketinizde hâlâ parmak izi veya yüz tanıma ile mesai takibi yapılıyorsa ilk adım mevcut uygulamanın risk analizidir. Bu analiz, kullanılan sistemin kapsamını, işlenen biyometrik verinin türünü, veri saklama lokasyonunu, tedarikçi ilişkilerini ve alternatif yöntemlerin uygulanabilirliğini ortaya koymalıdır. Uyum sürecine erken başlayan işletmeler, hem yaptırım riskini hem de çalışan güveni üzerindeki olası olumsuz etkileri azaltır.
Biyometrik Veri Hakkında SSS
Biyometrik veri ile mesai takibi hakkında en sık merak edilen sorular, işletmelerin karar sonrası ilk aksiyonlarını belirlemesine yardımcı olur. Aşağıdaki yanıtlar, hızlı ön değerlendirme ve uyum planı oluşturma sürecinde kullanılabilir.
Biyometrik veri ile mesai takibi yasak mı?
Kurul kararı, mesai takibinde biyometrik veri kullanımının geçerli açık rıza bulunsa dahi ölçülülük kriterini karşılamayabileceğini ve bu nedenle alternatif yöntemlerin tercih edilmesi gerektiğini belirtmektedir.
Biyometrik veri için açık rıza yeterli olur mu?
İşçi-işveren ilişkisinde güç dengesizliği bulunduğundan açık rızanın özgür iradeye dayanıp dayanmadığı tartışmalı olabilir. Bu nedenle açık rıza tek başına güvenli bir hukuki zemin oluşturmayabilir.
Biyometrik veri yerine hangi yöntemler kullanılabilir?
Şifreli kart, PIN tabanlı sistemler, RFID/NFC kimlik kartları, imza çizelgeleri veya denetçi gözetiminde manuel giriş gibi özel nitelikli veri içermeyen yöntemler değerlendirilebilir.
Biyometrik veri kullanan şirketler ne yapmalı?
Mevcut sistemler için hızlı risk analizi yapılmalı, veri işleme envanteri güncellenmeli, alternatif yöntemlere geçiş planı hazırlanmalı ve eski verilerin saklama-imha süreci kontrol edilmelidir.
Kaynak Notu: İçerik, Kişisel Verileri Koruma Kurumu’nun 02.06.2026 tarihinde yayımladığı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi” duyurusu ve 29.04.2026 tarihli, 2026/921 sayılı ilke kararı esas alınarak hazırlanmıştır. KVKK Kamuoyu Duyurusu