Mesai Takibinde Biyometrik Veri Dönemi Sona Erdi: BT Sistemleriniz KVKK'nın Yeni İlke Kararına Uyumlu mu?

Mesai Takibinde Biyometrik Veri Dönemi Sona Erdi: BT Sistemleriniz KVKK'nın Yeni İlke Kararına Uyumlu mu? Blog

2 Haziran 2026 tarihinde Resmi Gazete'de yayımlanan bir İlke Kararı ile Kişisel Verileri Koruma Kurulu, iş yerlerinde mesai takibi için kullanılan biyometrik sistemlere ilişkin kritik bir düzenlemeye gitti. Parmak izi, yüz tanıma, iris ve retina taraması gibi yöntemlerin çalışan devam takibinde kullanılmasının hukuka aykırı olabileceğini belirten bu karar, Türkiye'deki binlerce işletmenin BT altyapısını yeniden gözden geçirmesini zorunlu kılıyor. Eğer kurumunuzda hâlâ biyometrik cihazlarla mesai takibi yapılıyorsa, bu gelişmeyi yakından takip etmeniz ve önlem almanız gerekiyor.

KVKK'nın Mesai Takibinde Biyometrik Veri Yasağı: Neden Şimdi?

Kurula ulaşan ihbar ve şikâyetlerin önemli bir kısmı, çalışan devam takibini dijitalleştirme ve güvenliği artırma adı altında kullanılan biyometrik sistemlere ilişkin. Biyometrik tanımlama sistemleri hızlı, doğru ve manipülasyona dirençli olduğu için birçok işletme tarafından tercih ediliyor. Ancak Kurul, bu verilerin özel nitelikli kişisel veri kategorisinde yer aldığını ve işçi-işveren ilişkisindeki yapısal güç dengesizliği nedeniyle açık rızanın tek başına yeterli bir hukuki dayanak olamayacağını vurguladı.

Kararda dikkat çeken bir nokta, mevzuatta çalışma sürelerinin takibine ilişkin hükümler bulunmasına rağmen, bu takibin biyometrik yöntemlerle yapılmasını öngören açık bir kanuni düzenleme olmadığı tespitidir. Dolayısıyla işverenler, biyometrik veri işleme faaliyetini kanunda açıkça öngörülme şartına dayandıramaz. Açık rıza alınması da işçinin özgür iradesini yansıtmadığı ve rızanın geri alınabilir olması nedeniyle uygulamada sorun yaratmaktadır. Ayrıca, ölçülülük ve veri minimizasyonu ilkeleri gereği, aynı amaca daha az müdahaleci yöntemlerle ulaşılabiliyorsa biyometrik veri kullanımı hukuka aykırı kabul edilebilir.

Alternatif Mesai Takip Sistemlerine Geçiş: BT Altyapınızı Nasıl Dönüştürmelisiniz?

KVKK'nın İlke Kararı, işletmeleri biyometrik sistemlerden vazgeçmeye yönlendirirken, alternatif çözümler de sunuyor. Mesai takibi için önerilen yöntemler arasında şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID veya NFC kimlik kartları ve denetçi gözetiminde elle giriş gibi seçenekler bulunuyor. Bu noktada işletmelerin yapması gereken, mevcut BT sistemlerini gözden geçirerek uyumlu bir geçiş planı hazırlamaktır.

Öncelikle, biyometrik veri işlenen tüm lokasyonlar, cihazlar ve çalışan sayısı tespit edilmeli. Ardından, operasyonel ihtiyaçlara uygun alternatif bir mesai takip yöntemi seçilip pilot uygulama yapılmalıdır. Bu süreçte VERBİS kayıtları, aydınlatma metinleri ve veri işleme envanterleri güncellenmelidir. Ayrıca, eski biyometrik verilerin saklama ve imha süreçleri KVKK'ya uygun şekilde tamamlanmalıdır. Çalışanlara yönelik şeffaf, sade ve güven veren bir iletişim stratejisi de bu dönüşümün sorunsuz gerçekleşmesi için kritik öneme sahiptir.

BT Sistemlerinde KVKK Uyumluluğu: Yalnızca Mesai Takibi Değil, Tüm Süreçler

Biyometrik veri meselesi, aslında işletmelerin BT sistemlerinde KVKK uyumluluğuna ne kadar özen göstermeleri gerektiğinin bir göstergesidir. Mesai takibinin yanı sıra, güvenlik kamera sistemleri, erişim kontrol mekanizmaları, çalışan e-postaları, müşteri veritabanları ve bulut tabanlı uygulamalar gibi birçok alanda kişisel veri işlenmektedir. Bu noktada işletmeler, veri işleme faaliyetlerini sadece hukuki dayanağa göre değil, aynı zamanda amaç sınırlılığı, veri minimizasyonu, doğruluk, gizlilik ve güvenlik gibi temel ilkelere göre de değerlendirmelidir.

Uyumlu bir BT altyapısı kurmak için profesyonel destek almak, olası cezalardan ve itibar kaybından korunmanın en etkili yoludur. Kapsamlı bir KVKK uyum süreci şunları içermelidir:

  • Tüm kişisel veri işleme faaliyetlerinin envanter çıkarılması ve risk analizinin yapılması
  • Aydınlatma metinlerinin, açık rıza formlarının ve politikaların güncellenmesi
  • Teknik ve idari güvenlik önlemlerinin (şifreleme, erişim kontrolü, yedekleme, günlük izleme) uygulanması
  • VERBİS kayıt ve bildirim yükümlülüklerinin yerine getirilmesi
  • Çalışan ve paydaş eğitimlerinin düzenlenmesi
  • Düzenli denetim ve güncelleme mekanizmalarının kurulması

Sonuç: Uyum Geciken İşletmeler Risk Altında

KVKK'nın Haziran 2026'da yayımlanan İlke Kararı, mesai takibinde biyometrik veri kullanımının artık kabul edilemez olduğunu net bir şekilde ortaya koydu. Bu durumda işletmelerin yapması gereken, mevcut sistemlerini en kısa sürede gözden geçirmek ve alternatif çözümlere geçiş planlamak. Aksi takdirde, Kurul tarafından başlatılacak incelemeler sonucu idari para cezalarıyla karşılaşılabilir.

BT sistemlerinizde KVKK uyumluluğu sağlamak, sadece yasal bir zorunluluk değil; aynı zamanda çalışan ve müşteri güvenini artıran, kurumsal itibarı koruyan stratejik bir yatırımdır. Biyometrik veri kullanımından alternatif mesai takip sistemlerine geçiş, veri envanterlerinin güncellenmesi, teknik güvenlik önlemlerinin alınması ve VERBİS kayıtlarının düzenlenmesi gibi tüm süreçlerde uzman desteği almak, hem uyumu hızlandırır hem de olası hataları önler. İşletmeniz bu yeni döneme hazır mı?