KVKK'dan Biyometrik Mesai Takibi Kararı: Parmak İzi ve Yüz Tanıma Riskli Hale Geldi
KVKK, mesai takibinde biyometrik veri kullanımına sınır çizdi. İşverenler kart, PIN, imza veya RFID gibi daha az müdahaleci yöntemlere geçmeli.
Kişisel Verileri Koruma Kurulu, çalışanların mesai takibi için parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik yöntemlerin kullanılmasına açık sınır çizdi. Karar, PDKS ve insan kaynakları yazılımı kullanan işletmeler için teknik altyapı kadar KVKK uyum sürecinin de yeniden gözden geçirilmesi gerektiğini gösteriyor.
Ne Oldu?
Kişisel Verileri Koruma Kurulunun 29 Nisan 2026 tarihli ve 2026/921 sayılı "Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı", 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete'de yayımlandı. Kararda, çalışan devam takibinin dijitalleşmesiyle birlikte biyometrik tanımlama sistemlerinin yaygınlaştığı; ancak biyometrik verilerin özel nitelikli kişisel veri olduğu ve geri döndürülemez nitelik taşıdığı vurgulandı.
Kurulun temel yaklaşımı şu: İşverenlerin çalışma sürelerini takip etme ve kayıt altına alma yükümlülüğü bulunabilir, fakat bu yükümlülük tek başına biyometrik veri işlemeyi zorunlu veya ölçülü hale getirmez. Özellikle işçi-işveren ilişkisindeki güç dengesizliği nedeniyle "açık rıza aldım" savunması da çoğu durumda yeterli bir hukuki zemin olarak görülmüyor.
Karar; şifreli kart, PIN tabanlı sistemler, geleneksel imza çizelgeleri, kağıt bazlı devam formları, RFID/NFC kimlik kartları veya denetçi gözetiminde elle giriş gibi daha az müdahaleci alternatiflerin önceliklendirilmesi gerektiğini belirtiyor.
Kimler Etkilendi?
Parmak izi, yüz tanıma, avuç içi damar okuma, iris veya retina taramasıyla giriş-çıkış takibi yapan işletmeler bu karardan doğrudan etkileniyor. Bu kapsam yalnızca büyük fabrikaları değil; klinikler, spor salonları, özel okullar, belediye iştirakleri, üretim tesisleri, restoran zincirleri ve çok şubeli KOBİ'leri de ilgilendiriyor.
Yazılım ekipleri açısından konu sadece cihaz değişimi değil. PDKS entegrasyonu olan panellerde veri modeli, loglama, rol bazlı erişim, saklama süresi, aydınlatma metni ve silme süreçleri birlikte ele alınmalı. KVKK uyumlu web sitesi yaklaşımı burada da geçerli: Gereğinden fazla veri toplamak teknik olarak mümkün olsa bile hukuken doğru olmayabilir.
Ajanslar ve kurumsal yazılım sağlayıcıları için de mesaj net. Müşteri projelerinde insan kaynakları, vardiya planlama veya personel devam kontrolü modülü varsa, biyometrik veri işleyen varsayılan çözüm yerine daha az müdahaleci alternatifler teklif edilmeli. Güvenlik tarafında ise web sitesi güvenliği kadar kişisel veri minimizasyonu da tasarım kararının parçası olmalı.
Ne Yapmalısınız?
- Mevcut PDKS veya giriş-çıkış sisteminizde parmak izi, yüz tanıma, iris veya retina verisi işlenip işlenmediğini envantere alın.
- Biyometrik sistem kullanıyorsanız kart, PIN, RFID/NFC kart, imza çizelgesi veya elle onay gibi daha az müdahaleci alternatiflere geçiş planı hazırlayın.
- Çalışanlardan alınan açık rıza metinlerini tek başına yeterli kabul etmeyin; hukuki dayanak, ölçülülük ve veri minimizasyonu açısından yeniden değerlendirme yapın.
- Yazılım tarafında biyometrik verilerin tutulduğu tabloları, erişim loglarını, yedekleri ve saklama sürelerini kontrol edin.
- Yeni HR, PDKS veya kurumsal portal projelerinde KVKK kararlarını teknik gereksinim dokümanına ekleyin; vibe coding veya AI destekli geliştirme kullanıyorsanız kişisel veri kararlarını modele bırakmayın.
- Konuyu hukuk danışmanınızla birlikte değerlendirin; bu haber teknik bilgilendirme niteliğindedir, hukuki danışmanlık yerine geçmez.
İlkkod'un Görüşü
Bu karar, Türkiye'de kurumsal yazılım projelerinde "çalışıyor mu?" sorusunun artık yeterli olmadığını gösteriyor. İlkkod olarak personel paneli, üyelik sistemi, randevu altyapısı veya kurumsal web tasarım projelerinde veri minimizasyonunu erken mimari karar olarak ele almayı doğru buluyoruz. Biyometrik veri gibi geri döndürülemez bilgilerde en güvenli çözüm, çoğu zaman o veriyi hiç toplamamaktır.
Daha fazla güncel teknoloji ve mevzuat etkisi için /haberler sayfasını takip edebilirsiniz.
