Kişisel Verileri Koruma Kurulu’nun 29 Nisan 2026 tarihli ve 2026/921 sayılı ilke kararı, çalışan devam takibinde parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik verilerin kullanılmasına ilişkin önemli bir sınır çizdi. 2 Haziran 2026’da yayımlanan duyuruya göre, çalışanların açık rızası bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesi ölçülülük ilkesini karşılamıyor. Kurul, işverenlerin şifreli kart, PIN, RFID/NFC kart, imza çizelgesi veya denetçi gözetiminde elle giriş gibi daha az müdahaleci yöntemlere yönelmesi gerektiğini belirtti.
Kişisel Verileri Koruma Kurumu, mesai takibi amacıyla biyometrik veri işlenmesine ilişkin uzun süredir tartışılan uygulamalar hakkında ilke kararı yayımladı. Karar, özellikle parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemlerini çalışan devam kontrolü için kullanan işverenleri doğrudan ilgilendiriyor.
Kurumun açıklamasına göre, çalışan devam takibini dijitalleştirmek ve güvenliği artırmak amacıyla kurum ve kuruluşların biyometrik sistemlere daha fazla yönelmesi, Kuruma gelen ihbar ve şikayetlerde sık karşılaşılan konular arasında yer alıyor. KVKK, biyometrik tanımlama sistemlerinin hızlı ve manipülasyona dirençli görünmesine rağmen kişisel verilerin korunması hukuku açısından çok hassas bir alan oluşturduğunu vurguladı.
Açık rıza tek başına yeterli görülmedi
KVKK’nın ilke kararında en kritik başlık, açık rızanın çalışan-işveren ilişkisinde tek başına yeterli hukuki zemin sayılmaması oldu. Kurum, istihdam ilişkisinde taraflar arasında yapısal güç dengesizliği bulunduğuna dikkat çekti.
Bu nedenle çalışanın rıza vermeme veya verdiği rızayı geri alma imkanının pratikte ne kadar özgür olduğu tartışmalı kabul edildi. Kurul ayrıca, rızanın geri alınabilmesinin biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyebileceğini belirtti. Bu çerçevede, mesai takibinde biyometrik veri işlemenin yalnızca açık rızaya dayandırılması yeterli bir hukuki zemin olarak değerlendirilmedi.
Ölçülülük ve veri minimizasyonu belirleyici oldu
Kurul kararında biyometrik veri işleme faaliyetlerinin yalnızca hukuki sebebe dayanmasının yeterli olmadığı, aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine uygun olması gerektiği vurgulandı.
Mevzuatta işverenin çalışma sürelerini takip etmesi ve belgelemesine ilişkin hükümler bulunuyor. Ancak KVKK, bu takibin biyometrik tanımlama sistemleriyle yapılmasını zorunlu kılan veya açıkça öngören bir düzenleme bulunmadığını belirtti. Bu nedenle mesai takibinin biyometrik veri işlenerek yapılmasının hukuka aykırılık oluşturabileceği ifade edildi.
Kurul, mesai takibinde biyometrik veri kullanımının amaca uygunluk, sınırlılık ve ölçülülük açısından ayrıca değerlendirilmesi gerektiğini belirtti. Alternatif ve daha az müdahaleci yöntemler varken çalışanların açık rızası bulunsa dahi biyometrik mesai takibi ölçülülük kriterini karşılamıyor.
İşverenlere alternatif takip yöntemleri gösterildi
KVKK, çalışan devam kontrolü için biyometrik sistemler yerine daha az müdahaleci yöntemlerin tercih edilmesi gerektiğini açıkladı. Kararda şifreli kart, PIN tabanlı sistemler, geleneksel imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları veya denetçi gözetiminde elle giriş gibi yöntemler alternatif olarak sıralandı.
Bu alternatifler, işverenlerin mesai takibi ihtiyacını tamamen ortadan kaldırmıyor. Ancak bu ihtiyacın özel nitelikli kişisel veri niteliğindeki biyometrik veriler kullanılmadan da karşılanabileceğini gösteriyor.
Kurum ayrıca, ilke kararında belirtilen hususların veri sorumluları tarafından alınması gereken idari ve teknik tedbirler kapsamında olduğunu belirtti. Uygun hareket edilmediğinin tespiti halinde veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında işlem tesis edilebileceği kamuoyuna duyuruldu.
Fintek şirketleri için ne anlama geliyor?
Karar, doğrudan mesai takibi amacıyla biyometrik veri işlenmesine ilişkin. Bu nedenle müşteri kimlik doğrulama, uzaktan müşteri edinimi, e-KYC, biyometrik doğrulama, fraud önleme veya işlem güvenliği gibi fintek kullanım senaryolarıyla birebir aynı çerçevede okunmamalı.
Ancak kararın fintek ekosistemi için güçlü bir mesajı var: Biyometrik veri kullanımı, yalnızca “hızlı”, “güvenli” veya “sürtünmesiz” deneyim sunduğu gerekçesiyle meşru hale gelmiyor. Her kullanım senaryosunda amaç, hukuki dayanak, veri minimizasyonu, ölçülülük, alternatif yöntemlerin varlığı ve kullanıcının gerçek seçim hakkı birlikte değerlendirilmeli.
Ödeme kuruluşları, elektronik para şirketleri, dijital bankalar, cüzdan uygulamaları, kripto varlık platformları, fraud-tech ve regtech girişimleri açısından bu karar özellikle ürün tasarımında “privacy by design” yaklaşımını güçlendiriyor. Biyometrik doğrulama kullanılan her akışta veri işleme amacı net tanımlanmalı, alternatif doğrulama yolları sunulmalı, veri saklama ve erişim politikaları sıkılaştırılmalı, kullanıcıya açık ve anlaşılır bilgilendirme yapılmalı.
HR-tech ve workforce platformları için yeni eşik
Kararın en doğrudan etkisi HR-tech, vardiya yönetimi, personel devam kontrol sistemi, iş gücü yönetimi ve bordro entegrasyonu sağlayan teknoloji şirketlerinde görülecek. Parmak izi veya yüz tanıma ile giriş-çıkış kaydı tutan çözümler, karar sonrası uyum riskini yeniden değerlendirmek zorunda kalacak.
Bu alanda faaliyet gösteren teknoloji sağlayıcılarının ürün mimarisini daha az müdahaleci kimlik doğrulama yöntemleriyle yeniden kurgulaması gerekecek. PIN, NFC kart, mobil cihaz tabanlı doğrulama, şifreli geçiş sistemleri ve denetlenebilir log yönetimi gibi çözümler daha fazla öne çıkabilir.
Fintek jargonu ile ifade etmek gerekirse karar, biyometrik veri kullanımında “frictionless experience” vaadini “compliance-first architecture” ile dengeleme zorunluluğunu hatırlatıyor. Kullanıcı deneyimi sadeleşirken regülasyon uyumu, veri minimizasyonu ve denetlenebilirlik aynı mimarinin parçası olmak zorunda.
Dijital kimlik ve biyometrik doğrulamada sınırlar netleşiyor
Karar, Türkiye’de dijital kimlik, biyometrik doğrulama ve kişisel veri işleme alanında ürün geliştiren şirketler için önemli bir referans niteliği taşıyor. Özellikle yapay zeka destekli yüz tanıma, davranışsal biyometri, canlılık testi, kimlik doğrulama ve sahtecilik önleme çözümleri geliştiren şirketlerin bu kararı dikkatle okuması gerekiyor.
Buradaki ana mesaj, biyometrik verinin özel nitelikli kişisel veri olarak yüksek koruma düzeyine tabi olduğu yönünde. Bir işlem daha hızlı veya daha güvenli hale geliyor diye biyometrik veri işleme otomatik olarak ölçülü kabul edilmiyor. Ürün sahibinin, aynı amaca daha az veriyle ve daha az müdahaleci yöntemle ulaşılıp ulaşılamayacağını kanıtlayabilmesi gerekiyor.
Bu yaklaşım, özellikle finansal teknolojilerde risk bazlı kimlik doğrulama, çok faktörlü kimlik doğrulama, cihaz parmak izi, davranışsal analiz ve işlem skorlama gibi alternatif modellerin önemini artırabilir.
KVKK’nın biyometrik mesai takibi kararı, fintek ve dijital güvenlik ekosistemi için yalnızca insan kaynakları süreçlerine ilişkin bir uyarı olarak okunmamalı. Karar, biyometrik verinin “kolaylık” veya “güvenlik” gerekçesiyle sınırsız kullanılabilecek bir teknoloji bileşeni olmadığını açık biçimde hatırlatıyor. Fintek dünyasında müşteri deneyimi hızla sadeleşirken kimlik doğrulama, fraud önleme ve işlem güvenliği daha fazla biyometrik ve davranışsal veriye yaslanıyor. Bu nedenle her yeni ürün tasarımında veri minimizasyonu, ölçülülük, alternatif yöntem, açık rıza kalitesi ve denetlenebilirlik birlikte düşünülmeli. Mesai takibi özelinde verilen karar, çalışan-işveren ilişkisindeki güç dengesizliğini merkeze alıyor; ancak fintek şirketleri açısından daha geniş ders şu: Kullanıcının gerçekten özgür seçim yapabildiği, hangi verisinin neden işlendiğini anlayabildiği ve aynı hizmete daha az müdahaleci yollarla erişebildiği modeller daha güçlü regülasyon dayanıklılığı sağlayacak. Önümüzdeki dönemde başarılı dijital finans ürünleri, yalnızca hızlı onboarding veya düşük sürtünmeli doğrulama sunanlar arasından çıkmayacak. Güvenlik, gizlilik ve uyumu aynı deneyimde birleştirenler öne çıkacak.
