top of page
Ara

İş Yerlerinde Parmak İzi ve Yüz Tanıma ile Mesai Takibi Resmen Yasaklandı!

  • Yazarın fotoğrafı: Av. Yunus Emre Aydın
    Av. Yunus Emre Aydın
  • 3 gün önce
  • 4 dakikada okunur

Kişisel Verileri Koruma Kurumu (Kurum), iş hayatında Personel Devam Kontrol Sistemleri (PDKS) kapsamında sıklıkla başvurulan biyometrik veri işleme uygulamalarına yönelik bağlayıcı bir ilke kararı yayımlamıştır. 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanan 2026/921 Sayılı İlke Kararı ile iş yerlerinde parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemleriyle mesai takibi yapılması resmen hukuka aykırı kabul edilmiştir.  

Kurumun amir hükmü niteliğindeki bu kararı, şirketlerin insan kaynakları süreçlerinde ve dijital altyapılarında derhal revizyon yapmasını zorunlu kılmaktadır. Söz konusu kararın yasal gerekçeleri, dayandığı mevzuat hükümleri ve işverenlerin geçiş yapması gereken hukuka uygun alternatif yöntemler aşağıda ayrıntılı olarak incelenmiştir.

Is yerlerinde parmak izi ve yuz tanima mesai takibi yasaklandi KVKK ilke karari istanbul avukat

Mevzuatta Biyometrik Verinin Yeri ve Kurumun Yasaklama Gerekçesi

6698 sayılı Kişisel Verilerin Korunması Kanunu’num (Kanun) 6’ncı maddesinde özel nitelikli kişisel veriler tahdidi (sınırlı) olarak sayılmış olup kıyas yoluyla genişletilmeleri mümkün değildir. Biyometrik veriler de bu hassas kategoride yer almaktadır. Ulusal mevzuatımızda biyometrik veri kavramı, 5490 sayılı Nüfus Hizmetleri Kanunu’nun 3’üncü maddesinin (ff) bendinde elektronik sistemler aracılığıyla kimlik tespiti ve doğrulamayı sağlayan kişiye özgü veriler olarak tanımlanmıştır.  

Kurum, yayımladığı ilke kararında bu verilerin geri döndürülemez ve değiştirilemez yapısına vurgu yapmıştır. Olası bir veri ihlalinde şifrelerin veya giriş kartlarının iptal edilmesi mümkünken; çalışanların parmak izi veya yüz geometrisi gibi fizyolojik/fiziksel verilerinin ele geçirilmesi halinde bu verilerin ikame edilmesi imkansızdır. Bu nedenle mesai takibi gibi rutin bir idari işlem için bu denli yüksek risk barındıran bir veri işleme faaliyetinin yürütülmesi, Kurum tarafından veri güvenliği ilkelerine aykırı bulunmuştur.  


"İşçinin Açık Rızası Var" Savunması Neden Geçersizdir?

Uygulamada birçok şirket, çalışanlardan açık rıza beyanı alarak parmak izi veya yüz tanıma sistemlerini hukuka uygun hale getirmeye çalışmaktaydı. Ancak Kurum, bu gri alanı kesin bir dille ortadan kaldırmıştır:  

  • Yapısal Güç Dengesizliği: İşçi-işveren ilişkisinin doğasından kaynaklanan bağımlılık ve güç dengesizliği, çalışanın rıza göstermeme veya rızasını serbestçe geri çekme özgürlüğünü sakatlamaktadır. Özgür iradeye dayanmayan bir rıza ise Kanun’un 3’üncü maddesi kapsamında geçersizdir.  

  • Açık Rızanın Süreklilikle Çelişmesi: Biyometrik sistemlerin işletme içindeki teknik devamlılığı, rızanın her an geri çekilebilir olması ilkesiyle bağdaşmamaktadır. Dolayısıyla yalnızca açık rıza şartına dayanılması mesai takibinde yeterli bir hukuki zemin sunmamaktadır.  


İş Kanunu Düzenlemeleri ve Ölçülülük İlkesi

4857 sayılı İş Kanunu’nun 63, 67 ve 75’inci maddeleri ile İş Kanunu’na İlişkin Çalışma Süreleri Yönetmeliği’nin 9’uncu maddesi, işverene çalışanların çalışma sürelerini uygun araçlarla belgeleme ve takip etme yükümlülüğü yüklemektedir. Ancak ilgili mevzuatta bu takibin biyometrik verilerle yapılmasını öngören açık bir kanuni düzenleme bulunmamaktadır.  

Kanun’un 4. maddesinde düzenlenen "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi uyarınca, veri işleme faaliyetinin amaca yönelik en az müdahaleci yöntemle gerçekleştirilmesi şarttır. Kurum; iş yerinde mesai takibi yapma amacının, çalışanın biyometrik verisine müdahale edilmesini haklı kılacak düzeyde bir idari ağırlığa sahip olmadığını, alternatif yöntemlerin varlığı karşısında bu uygulamanın ölçülülük kriterini sağlamadığını açıkça belirtmiştir.  


Yüksek Yargı İçtihatları: AYM ve Danıştay Kararları

Kurum, bu ilke kararını tesis ederken yüksek yargının yerleşik çizgisine de atıfta bulunmuştur:  

  • Anayasa Mahkemesi Genel Kurulu Kararı: 10/03/2022 tarihli ve 2018/11988 başvuru numaralı kararda, mesai takibi amacıyla biyometrik veri tabanlı sistemlerin kullanılmasının kanunilik şartını taşımadığı ve Anayasa’nın 20’nci maddesinde korunan kişisel verilerin korunmasını isteme hakkını ihlal ettiği tescillenmiştir.  

  • Danıştay Kararları: Danıştay 12’nci Dairesi ve Danıştay İdari Dava Daireleri Kurulu (Esas 2024/225), mesai takibinde avuç içi damar okuyucu gibi sistemlerin kullanılmasını Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırı bularak iptal etmiştir.  


İşverenler İçin Uyum Süreci: Yasal Alternatifler Nelerdir?

Resmî Gazete'de yayımlanarak yürürlüğe giren karar doğrultusunda, veri sorumlularının parmak izi, yüz kaydı veya retina taraması yapan PDKS cihazlarını kullanmayı derhal sonlandırması gerekmektedir. Çalışma sürelerini belgelemek adına Kanun'a uygun şu alternatif yöntemler tercih edilmelidir:  

  • Şifreli kart veya kişiye özel PIN tabanlı giriş sistemleri,  

  • RFID veya NFC özellikli akıllı personel kimlik kartları,  

  • Geleneksel imza yöntemleri ve kağıt bazlı devam çizelgeleri,  

  • Yetkili bir denetçi gözetiminde manuel veri girişi sağlanan dijital kayıt ekranları.  


Aykırılık Halinde Uygulanacak Yaptırımlar

Kanun’un 12’nci maddesi uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek adına gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu ilke kararına rağmen mesai takibinde biyometrik veri işlemeye devam eden veya altyapısını yasal alternatiflerle revize etmeyen işletmeler hakkında, Kanun’un 18’inci maddesi hükümleri gereğince idari para cezaları uygulanacaktır.


2026 Yılı Güncel KVKK İdari Para Cezaları ve Mali Riskler

Mevzuatımızdaki idari yaptırım rejiminin temel çatısını oluşturan Kabahatler Kanunu’nun 17’nci maddesinin 7’nci fıkrası uyarınca, kanunlarda yer alan maktu idari para cezası alt ve üst sınırları her takvim yılı başından itibaren Vergi Usul Kanunu hükümleri kapsamında ilan edilen Yeniden Değerleme Oranı (YDO) nispetinde otomatik olarak artırılmaktadır. 2026 yılı için uygulanan %25,49’luk Yeniden Değerleme Oranı artışı ile birlikte, veri sorumlusu olan işletmelerin karşı karşıya kalacağı güncel mali risk skalası ve net ceza miktarları kategorilerine göre şu şekildedir:  


  • Veri Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmemesi (Madde 12): İş yerlerinde hukuka aykırı şekilde parmak izi veya yüz tanıma tabanlı PDKS sistemlerini kullanan şirketlerin doğrudan tabi olduğu bu ihlal türü için 2026 yılı idari para cezası 256.357,00 Türk Lirası ile 17.092.242,00 Türk Lirası arasında uygulanmaktadır.


  • Aydınlatma Yükümlülüğünün Yerine Getirilmemesi (Madde 10): Çalışanların veri işleme süreçlerine ve haklarına ilişkin Kanun'a uygun şekilde bilgilendirilmemesi durumunda 2026 yılı itibarıyla 86.437,00 TL ile 1.709.200,00 TL arasında idari para cezası kesilebilmektedir.


  • Kurum ve Kurul Kararlarının Yerine Getirilmemesi (Madde 15): Kurum tarafından şikayet üzerine veya resen yapılan incelemeler neticesinde verilen talimatların ve hukuka aykırılıkları giderme kararlarının yerine getirilmemesi halinde öngörülen ceza sınırı 427.263,00 TL ile 17.092.242,00 TL aralığındadır.


  • Veri Sorumluları Siciline (VERBİS) Kayıt ve Bildirim Yükümlülüğğine Aykırılık (Madde 16): Kanun'un objektif kriterleri uyarınca sicile kayıt zorunluluğu bulunmasına rağmen bu yükümlülüğü ihlal eden şirketler için 2026 yılı güncel yaptırım miktarı 341.809,00 TL ile 17.092.242,00 TL olarak belirlenmiştir.


Görüldüğü üzere, her yıl katlanarak artan maktu cezaların üst sınırı günümüz itibarıyla milyonlarca Türk Lirası seviyesine ulaşarak işletmeler için telafisi güç birer mali risk unsuru haline gelmiştir. Üstelik hukuki riskler yalnızca idari para cezaları ile sınırlı kalmayıp; hukuka aykırı veri işlenmesi nedeniyle çalışanların ikame edebileceği maddi ve manevi tazminat davalarını ve Türk Ceza Kanunu (TCK) uyarınca kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu yönünden cezai sorumluluk süreçlerini de beraberinde getirebilmektedir.  


Sonuç olarak; İş yerlerinde parmak izi ve yüz tanımayla mesai takibi dönemi Kurumun bu kararıyla resmen kapanmıştır. Şirketlerin kurumsal risk yönetimi ve KVKK uyum süreci kapsamında veri politikalarını güncellemesi, PDKS altyapılarını yasal mevzuata uygun hale getirmesi idari bir zorunluluktur. Biyometrik veri işleme hukuku gibi teknik hususlarda hatalı uygulamaların ve yüksek bütçeli idari yaptırımların önüne geçilmesi adına, tüm süreçlerin profesyonel hukuki danışmanlık ve uzman bir hukukçu rehberliğinde yürütülmesi önem arz etmektedir.

bottom of page
×
🚨

ÖNEMLİ GÜVENLİK UYARISI

Son günlerde kendilerini Avukat, Uzlaştırmacı veya Adliye Personeli olarak tanıtan dolandırıcıların, büromuz avukatlarının adını ve sicil bilgilerini kullanarak vatandaşlarımızı aradığı tespit edilmiştir.

"Hakkınızda dava, icra veya uzlaştırma dosyası var" diyerek sizden para veya İBAN talep eden kişilere kesinlikle itibar etmeyiniz.

Büromuz hiçbir şekilde telefon üzerinden sizden para talep etmez. Dosyalarınızı lütfen yalnızca resmi e-Devlet (UYAP) sistemi üzerinden kontrol ediniz.