Parmak İzi ile Mesai Takibinde Yeni Dönem: Açık Rıza Alınmış Olsa Bile Hukuka Uygun Sayılmayabilir
Türkiye'de birçok işletme yıllardır personel devam kontrol sistemlerinde (PDKS) parmak izi, yüz tanıma ve benzeri biyometrik doğrulama yöntemlerini kullanmaktadır. Çalışanlardan alınan "Açık Rıza Beyanı" ise çoğu zaman bu uygulamanın hukuki dayanağı olarak görülmüştür.
Ancak Kişisel Verileri Koruma Kurulu'nun 29.04.2026 tarihli ve 2026/921 sayılı İlke Kararı, bu yaklaşımı önemli ölçüde değiştirmiştir. Karar, 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete'de yayımlanmış ve işverenler açısından oldukça önemli sonuçlar doğurmuştur.
Artık yalnızca çalışanın açık rızasının bulunması, mesai takibi amacıyla parmak izi veya diğer biyometrik verilerin işlenmesi için tek başına yeterli görülmemektedir.
Biyometrik Veri Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında;
- Parmak izi
- Avuç içi izi
- Yüz tanıma
- Retina taraması
- İris taraması
- El damar izi
gibi kişiyi benzersiz şekilde tanımlayan veriler biyometrik veri olarak kabul edilmekte ve özel nitelikli kişisel veri kapsamında değerlendirilmektedir.
Bu veriler;
- değiştirilemez,
- başkasına devredilemez,
- ele geçirildiğinde telafisi oldukça güç sonuçlar doğurabilir.
Bu nedenle kanun koyucu biyometrik verilere diğer kişisel verilere göre çok daha yüksek koruma sağlamaktadır.
Yeni İlke Kararı Ne Getirdi?
Kurulun 2026/921 sayılı İlke Kararı'nın en önemli tespiti şudur:
Türk hukukunda, çalışanların mesai takibinin biyometrik veriler kullanılarak yapılmasını zorunlu kılan veya işverenlere bu konuda genel bir yetki veren özel bir kanuni düzenleme bulunmamaktadır. Bu nedenle uygulamada birçok işveren, parmak izi veya yüz tanıma sistemi kullanımını çalışanlardan alınan açık rızaya dayandırmaktadır. Ancak KVKK Kurulu'nun yayımladığı İlke Kararı, işçi-işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın tek başına yeterli bir hukuki dayanak olarak kabul edilemeyeceğini vurgulamaktadır.
Ancak Kurul, bu hukuki dayanağın çoğu durumda yeterli olmadığını açıkça belirtmiştir.
Açık Rıza Neden Yeterli Görülmüyor?
İş hukukunda işçi ile işveren arasında doğal bir güç dengesi bulunmamaktadır.
Çalışan;
- işe alınabilmek,
- işini kaybetmemek,
- olumsuz değerlendirmeye maruz kalmamak
amacıyla çoğu zaman sunulan açık rıza metnini imzalamaktadır.
Bu nedenle Kurul;
iş ilişkisinde verilen açık rızanın her zaman özgür iradeye dayanmadığını değerlendirmektedir.
Kararda ayrıca önemli bir noktaya daha dikkat çekilmektedir.
Açık rıza her zaman geri alınabilir.
Eğer çalışan daha sonra rızasını geri çekerse biyometrik sistemin çalışması da hukuken sürdürülemez hale gelecektir.
Bu nedenle;
Sadece açık rızaya dayanılarak biyometrik veri işlenmesi kural olarak yeterli bir hukuki zemin oluşturmamaktadır.
Ölçülülük İlkesi Artık Çok Daha Önemli
KVKK'nın 4. maddesinde yer alan temel ilkelerden biri ölçülülük ilkesidir.
Bu ilkeye göre;
kişisel veri işleme faaliyeti;
- gerekli olmalı,
- amaca uygun olmalı,
- daha hafif yöntemlerle aynı sonuca ulaşılamıyorsa tercih edilmelidir.
Kurul da tam olarak bu noktaya dikkat çekmektedir.
Eğer aynı amaç;
- personel kartı,
- PIN kodu,
- RFID kart,
- NFC kart,
- mobil uygulama,
- imza çizelgesi
ile sağlanabiliyorsa,
parmak izi kullanılması ölçülülük ilkesine aykırı kabul edilmektedir.
Anayasa Mahkemesi ve Danıştay'ın Yaklaşımı
Kurulun yayımladığı İlke Kararı yeni bir görüş oluşturmuş değildir.
Kararda da belirtildiği üzere;
- Anayasa Mahkemesi
- Danıştay
tarafından daha önce verilen kararlarda da biyometrik verilerin ancak zorunlu durumlarda ve ölçülülük ilkesi çerçevesinde işlenebileceği vurgulanmıştır.
2026 tarihli İlke Kararı ise bu yaklaşımı tüm veri sorumluları bakımından genel bir ilke haline getirmiştir.
İşverenler İçin Riskler
Parmak izi veya yüz tanıma sistemi kullanan işverenler açısından artık şu savunma tek başına yeterli değildir:
"Çalışanlarımızdan açık rıza aldık."
Çünkü Kurul;
- açık rızanın özgür iradeye dayanmadığını,
- biyometrik veri kullanımının ölçülü olmadığını,
- alternatif yöntemlerin bulunduğunu
değerlendirmektedir.
Bu nedenle hukuka aykırı veri işleme tespiti halinde;
- KVKK kapsamında idari para cezaları,
- ilgili kişilerin tazminat talepleri,
- veri işleme faaliyetinin durdurulması,
- biyometrik verilerin silinmesi veya imha edilmesi
gibi sonuçlarla karşılaşılması mümkündür.
Kurulun Önerdiği Alternatif Sistemler
Kurul kararında biyometrik sistemler yerine kullanılabilecek yöntemleri de örnek olarak belirtmiştir.
Bunlar arasında;
- Şifreli kart sistemleri
- PIN tabanlı giriş sistemleri
- RFID kartlar
- NFC kartlar
- Geleneksel imza çizelgeleri
- Denetim altında manuel giriş yöntemleri
yer almaktadır.
Bunlara ek olarak günümüzde birçok işletme;
- mobil PDKS,
- GPS doğrulamalı giriş,
- QR kod doğrulaması,
- şirket cihazı doğrulaması
gibi biyometrik veri işlemeyen dijital çözümleri tercih etmektedir.
İşverenler Ne Yapmalı?
Bu karar sonrasında işletmelerin mevcut PDKS uygulamalarını yeniden değerlendirmeleri önem taşımaktadır.
Önerilen adımlar şunlardır:
- Mevcut sistemde biyometrik veri işlenip işlenmediği tespit edilmelidir.
- Veri envanteri ve KVKK uyum süreçleri gözden geçirilmelidir.
- Açık rıza metinlerinin tek başına yeterli olmadığı dikkate alınmalıdır.
- Biyometrik veri kullanımı yerine alternatif yöntemler değerlendirilmelidir.
- Hukuki dayanağı bulunmayan biyometrik veriler için uygun silme, yok etme veya anonimleştirme süreçleri planlanmalıdır.
Kişisel Verileri Koruma Kurulu'nun 2026/921 sayılı İlke Kararı, işverenler açısından önemli bir paradigma değişikliğini ortaya koymaktadır.
Bu karar ile birlikte;
- parmak iziyle mesai takibi doğrudan yasaklanmamış, ancak
- çalışanın açık rızası bulunsa dahi bunun tek başına yeterli olmadığı,
- ölçülülük ilkesinin esas alınacağı,
- aynı sonuca ulaşılabilecek daha az müdahaleci yöntemler varken biyometrik veri kullanılmasının hukuka aykırı değerlendirilebileceği açıkça ortaya konulmuştur.
İşverenlerin ve insan kaynakları yöneticilerinin, yalnızca açık rıza formlarına güvenmek yerine, KVKK'nın temel ilkelerine uygun alternatif çözümleri değerlendirmeleri ve mevcut uygulamalarını güncel mevzuat doğrultusunda gözden geçirmeleri büyük önem taşımaktadır.
Kaynakça
- Kişisel Verileri Koruma Kurulu'nun 2026/921 Sayılı İlke Kararı
- KVKK İlke Kararları Sayfası
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
- 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete.


