Parmak İzi/Yüz Tanıma ile Mesai Takibi Yasak mı? (2026)

Biyometrik veri ile mesai takibi, KVKK’nın 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanan 2026/921 sayılı İlke Kararı ile kural olarak hukuka aykırı kabul edildi. Karara göre çalışanların giriş-çıkışını parmak izi, yüz tanıma, iris/retina taraması veya avuç içi damar okuma gibi yöntemlerle takip etmek, işçiden geçerli bir açık rıza alınmış olsa dahi mevzuata aykırıdır. Gerekçe açıktır: mesai takibinin biyometrik sistemlerle yapılmasını öngören açık bir kanun hükmü yoktur, işçi-işveren ilişkisindeki güç dengesizliği açık rızayı sakatlar ve daha az müdahaleci alternatifler mevcut olduğundan ölçülülük ilkesi karşılanmaz. Karar hem özel sektörü hem kamu kurumlarını bağlar.

📅 Yayın: 9 Haziran 2026 · Son güncelleme: 9 Haziran 2026

Kısaca: KVKK ne karar verdi?

Kişisel Verileri Koruma Kurulu’nun 29 Nisan 2026 tarihli ve 2026/921 sayılı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı. Kararın özü tek cümleyle şudur: Çalışanların giriş-çıkışını takip etmek meşru bir amaçtır; ancak bunu biyometrik yöntemlerle yapmak kural olarak hukuka aykırıdır.

İlke kararı bağlayıcıdır; yani yalnızca kararın verildiği somut olayı değil, benzer tüm uygulamaları kapsar. Bu nedenle parmak izi veya yüz tanımalı turnike (PDKS) kullanan tüm işyerlerini ve kamu kurumlarını doğrudan ilgilendirir.

Neden “açık rıza” bile yeterli değil?

Uygulamada birçok işveren, çalışandan “açık rıza” beyanı alarak parmak izi veya yüz tanıma sistemini hukuka uygun hâle getirdiğini düşünüyordu. Kurul bu yaklaşımı iki temel eksende geçersiz kılıyor:

• Açık rızanın geçerliliği şüphelidir. İşçi ile işveren arasındaki yapısal güç dengesizliği, işçinin “hayır” deme imkânını fiilen ortadan kaldırır. Bu nedenle alınan rızanın özgür iradeye dayanıp dayanmadığı tartışmalıdır; işten çıkarılma kaygısı altında verilen rıza gerçek anlamda özgür sayılmaz.
• Açık rıza tek başına ölçülülüğü sağlamaz. Biyometrik veri işleme yalnızca bir hukuki sebebe değil, aynı zamanda 6698 sayılı Kanun’un 4. maddesindeki gereklilik, ölçülülük ve veri minimizasyonu ilkelerine de uymak zorundadır. Rızanın her an geri alınabilmesi de sistemin sürekliliğini zedelediğinden, yalnızca rızaya dayanan işleme kural olarak yeterli hukuki zemin oluşturmaz.

Hukuki dayanak ve gerekçe zinciri

Biyometrik veriler (parmak izi, yüz, iris, retina, avuç içi damar izi), kişiyi benzersiz biçimde tanımladıkları için özel nitelikli kişisel veri sayılır ve sıradan verilere göre çok daha sıkı koruma altındadır. Kurulun gerekçe zinciri şöyle işler:

1. İşverenin çalışma sürelerini takip ve belgeleme yükümlülüğü vardır; bu meşrudur.
2. Ancak bu takibin biyometrik yöntemle yapılmasını öngören açık bir kanun hükmü yoktur (kanunilik şartı yok).
3. Açık kanuni dayanak olmadığından işverenler açık rızaya dayanır; ancak yukarıdaki nedenlerle bu rıza geçerli bir zemin sağlamaz.
4. Mesai takibi, kart/PIN/imza gibi daha az müdahaleci yöntemlerle de yapılabildiğinden biyometrik veri işlemek zorunlu değildir; dolayısıyla ölçülülük karşılanmaz.

Sonuç: geçerli bir açık rıza bulunsa dahi mesai takibi amacıyla biyometrik veri işlemek hukuka aykırıdır.

Yargı içtihadı kararı destekliyor

Bu ilke kararı boşlukta doğmadı; yerleşik içtihadı pekiştiriyor:

• Anayasa Mahkemesi (10.03.2022, 2018/11988 başvuru): Mesai takibi amacıyla biyometrik sistem kullanılmasının kanunilik şartını taşımadığı ve Anayasa’nın 20. maddesinde korunan kişisel verilerin korunmasını isteme hakkını ihlal ettiği tespit edildi.
• Danıştay 12. Dairesi ve İdari Dava Daireleri Kurulu (Esas 2024/225): Mesai takibinde avuç içi damar okuyucu kullanılmasını ölçülülük ilkesine aykırı bularak iptal etti.

KVKK kararında, bir belediyede memur olarak çalışan kişinin parmak izi sistemine itirazının AYM’ye taşındığı ve hak ihlali kararı verildiği örneği de hatırlatılmıştır. Bu da kararın kamu kurumlarını da bağladığını gösterir.

İşverenlerin geçebileceği hukuka uygun alternatifler

Kurul, mesai takibinin daha az müdahaleci yöntemlerle sağlanması gerektiğini açıkça belirtti. Öne çıkan alternatifler:

• Şifreli kart veya PIN tabanlı giriş sistemleri
• RFID/NFC kimlik kartları
• Geleneksel imza ve kâğıt bazlı devam (puantaj) çizelgeleri
• Denetçi gözetiminde elle giriş

İşveren için yapılacaklar listesi

• Parmak izi/yüz tanıma ile çalışan PDKS sistemlerini tespit edin ve kart/PIN/imza tabanlı çözümlere geçiş planlayın.
• Hâlihazırda toplanmış biyometrik verilerin akıbetini belirleyin; hukuka uygun dayanağı kalmayan verilerin silinmesi/imhası gündeme gelir.
• Aydınlatma metinlerini ve varsa açık rıza beyanlarını gözden geçirin; biyometrik mesai takibine dayanan rıza metinlerini kaldırın.
• VERBİS kaydındaki ilgili veri kategorilerini güncelleyin.
• Geçiş sürecini ve gerekçesini yazılı olarak belgeleyin.

Bu adımlar yalnızca veri koruma değil, aynı zamanda iş hukuku boyutuyla da önemlidir; idari yaptırım ve denetim tarafıyla ise idare hukuku ile ilgilidir. İşyerinde gözetimin bir diğer boyutu olan kamera kullanımı için İşyeri ve Sitede Güvenlik Kamerası: KVKK Sınırları yazımıza, işverenin genel sorumluluk çerçevesi için İş Kazasında İşverenin Cezai Sorumluluğu yazımıza bakabilirsiniz. Kanun metni için 6698 sayılı Kanun (mevzuat.gov.tr).

Uyulmazsa ne olur?

Hukuka aykırı biyometrik veri işleme, ilgili kişinin (çalışanın) KVKK’ya şikâyeti ve Kurum incelemesi sonucunda 6698 sayılı Kanun’un 18. maddesi kapsamında idari para cezasına konu olabilir. İdari para cezasına karşı, tebliğden itibaren on beş gün içinde sulh ceza hâkimliğine itiraz edilebilir. Ayrıca hukuka aykırı işlemeye dayanan fesih gibi işlemler, iş hukuku bakımından da sakatlanabilir.