Kamuda Ve Özel Sektörde Mesai Takibinde Parmak İzi Ve Kamera Takip Dönemi Resmen Bitti.
Süleyman Güneş
Bir çalışanın işe kaçta geldiğini tespit etmek için parmak izini almak ne kadar gerekli?
Ülkemizde yıllardır kamu kurumlarında, hastanelerde, üniversitelerde, belediyelerde, diğer kamu kuruluşlarında ve özel sektörde sıradan bir uygulama olarak görülen parmak izi, yüz tanıma ve avuç içi damar okuyucu sistemleri, artık yalnızca bir personel takip yöntemi olarak değerlendirilmiyor. Çünkü söz konusu olan şey sadece mesai kontrolü değil; kişinin ömür boyu değişmeyecek biyometrik kimliğinin işlenmesidir.
Kişisel Verileri Koruma Kurulu'nun (KVKK) 2 Haziran 2026 tarihli Resmî Gazete'de yayımlanan 2026/921 sayılı İlke Kararı, çalışma hayatında uzun yıllardır devam eden bir uygulamaya güçlü bir hukuki sınır çizmiştir. Kurul; çalışanların mesai takibi amacıyla parmak izi, yüz tanıma, retina, iris ve benzeri biyometrik verilerinin işlenmesini, Anayasa, KVKK ve yüksek yargı kararları ışığında yeniden değerlendirmiş ve veri sorumlularına son derece önemli mesajlar vermiştir.
Bu karar yalnızca bir veri koruma düzenlemesi değildir. Aynı zamanda dijitalleşen çalışma hayatında verimlilik ile temel haklar arasındaki hassas dengeyi yeniden tanımlayan tarihi bir dönüm noktasıdır.
Kişisel Verileri Koruma Kurulu (KVKK), çalışanları doğrudan ilgilendiren çok kritik bir "İlke Kararı" aldı ve karar 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı!
Yayınlanan Karar ile mesai takibinde parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemlerinin kullanılması yasaklandı.
Bugüne kadar birçok kamu kurumunda ve özel şirketlerde yaygın olarak kullanılan parmak izi okuma, yüz tanıma, avuç içi ve retina taraması gibi biyometrik sistemlerle mesai takibi işlemlerinde kullanılıyordu ancak; Kişisel Verileri Koruma Kurulu (KVKK), çalışanları doğrudan ilgilendiren çok kritik bir "İlke Kararı" aldı ve karar 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlandı yapılan mesai takiplerinin parmak izi okuma, yüz tanıma, avuç içi ve retina taraması gibi biyometrik sistemlerle mesai takibi işlemlerinde yapılması hukuka aykırı bulundu.
Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hususlardan biri de çalışan devam takibini dijitalleştirme ve güvenliği artırma amacıyla kurum ve kuruluşların giderek artan ölçüde biyometrik tanımlama sistemlerine yönelmesidir. Biyometrik tanımlama sistemleri (parmak izi, yüz tanıma, iris ve retina taraması gibi) hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip görünse de kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturmaktadır.
Özellikle işçi, işveren ilişkisinde mevcut olan yapısal güç dengesizliği, açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler doğurmaktadır.
Bu nedenle biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerekmektedir. Bu doğrultuda, mesai takibi amacıyla biyometrik veri işlenmesi hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6'ncı maddesinde düzenleme altına alınan özel nitelikli kişisel veri kategorileri yasa koyucu tarafından sınırlı sayma yoluyla belirlenmiş olup kıyas yoluyla genişletilebilmeleri mümkün değildir.
Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilen biyometrik veri kavramına ilişkin olarak ulusal mevzuatta kapsamlı bir tanım yer almamakla birlikte 5490 sayılı Nüfus Hizmetleri Kanunu'nun "Tanımlar" başlıklı 3'üncü maddesinin (ff) bendinde biyometrik veri, "Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü verileri" olarak tanımlanmıştır.
4857 sayılı İş Kanunu'nun 63'üncü maddesinde genel çalışma süresine ilişkin düzenleme yapılmış olup mezkûr Kanun'un 67'nci maddesinde günlük çalışmanın başlama ve bitiş saatleri ile dinlenme saatlerinin işyerlerinde işçilere duyurulacağı düzenlenmiştir. Söz konusu Kanun'un 75'inci maddesinde ise işverenin her işçi için bir özlük dosyası düzenleyeceği ve bu dosyada işçiye ilişkin kanunen tutulması gereken belge ve kayıtları saklayacağı belirtilmiştir.
Buna ek olarak; İş Kanunu'na İlişkin Çalışma Süreleri Yönetmeliği'nin 9'uncu maddesinde işverenin, işçilerin çalışma sürelerini uygun araçlarla belgelemek zorunda olduğu hüküm altına alınmıştır.
Söz konusu düzenlemeler ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığından mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesi hukuka aykırılık teşkil edebilecektir.
Anayasa Mahkemesi Genel Kurulunun 10/03/2022 tarihli Kararında (Başvuru No: 2018/11988), Belediye Başkanlığı bünyesinde devlet memuru olarak çalışan başvurucunun parmak izi sistemi ile mesai takibine karşı açtığı davada; Anayasa'nın 20'nci maddesi ve 6698 sayılı Kanun'un 6'ncı maddesi uyarınca özel nitelikli kişisel verilerin işlenmesinin katı kurallara bağlandığı belirtilmiştir.
Anayasa Mahkemesi, 657 sayılı Devlet Memurları Kanunu'nda ve 5393 sayılı Belediye Kanunu'nda mesai takibi amacıyla biyometrik veri temelli takip sistemlerinin kullanılmasına dair temel esasları belirleyen bir düzenleme bulunmadığından başvuruya konu müdahalenin kanunilik şartını sağlamadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.
Aynı şekilde Danıştay İdari Dava Daireleri Kurulu'nun 2024/225 Esas ve 2024/2625 Sayılı Kararı ile onanan Danıştay 12'nci Daire Başkanlığının 2021/3870 Esas ve 2023/2548 Sayılı Kararında; avuç içi damar okuyucu sistemiyle mesai takibi yapılması işlemi incelenmiştir. Kararda, Kişisel Verileri Koruma Kurulu'nun 01/12/2020 tarih ve 2020/915 sayılı kararına da atıfta bulunularak, "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi çerçevesinde amaçla ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmenisinden kaçınılması gerektiği vurgulanmış ve biyometrik veri işleme işleminin hukuka aykırı olduğuna hükmedilmiştir.
Resmî Gazete’de yayımlanan karar ile mesai takibinde artık eskiye dönülmüş oldu. Verilen kararda öne çıkan çok önemli detaylarda ortaya çıkmış oldu.
Bu İlke Kararı’nın getirdiği radikal değişiklikleri, kamuda ve yerel yönetimlerdeki idari/mali işleyiş ile mevzuat kamuoyunda geniş kitleler tarafından ilgi ile takip edildi.
Biyometrik Mesai Takibinde Yolun Sonu: KVKK İlke Kararı, AYM ve Danıştay Kararları Işığında Kurumsal Dönüşüm olarak, Teknolojik Kolaylık mı, Hukuki İhlal mi?
Dijitalleşen dünyada kamu kurumları ve belediyeler, personel devam takip süreçlerini hızlandırmak, güvenliği artırmak ve suistimallerin önüne geçmek amacıyla uzunca bir süredir yüz tanıma, parmak izi ve avuç içi damar okuma gibi biyometrik tanımlama sistemlerine yönelmektedir. İlk bakışta hızlı, manipülasyona dirençli ve "cazip" görünen bu sistemler, madalyonun diğer yüzünde kişisel verilerin korunması hukuku bağlamında telafisi imkânsız riskler barındırmaktadır.
Kişisel Verileri Kuruma Kurulu’nun (Kurul) 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanan 2026/921 Sayılı İlke Kararı, bu tartışmalara kesin ve geri dönülemez bir nokta koymuştur. Bu karar, yalnızca bir tavsiye değil; tüm kamu ve özel sektör veri sorumluları için derhal uygulanması gereken zorunlu bir idari ve teknik tedbirdir.
1. "Açık Rıza" Yanılgısı: Güç Dengesi ve Özgür İrade : Uygulamada birçok kurum, biyometrik veri işleme faaliyetini çalışanlardan aldıkları "açık rıza" formlarına dayandırmaktaydı. Ancak Kurul, bu uygulamanın altındaki hukuki zemini tamamen çökertmiştir.
Yapısal Güç Dengesizliği: İşçi-işveren veya amir-memur ilişkisinde taraflar eşit konumda değildir. İstihdam ilişkisindeki bu güç dengesizliği nedeniyle, çalışanın "biyometrik verimi taratmak istemiyorum" deme lüksü çoğu zaman fiilen mevcut değildir. Rıza göstermemenin olumsuz sonuçlar doğurabileceği bir iklimde, rızanın "özgür iradeye" dayandığından söz edilemez.
Geri Alınabilirlik Çelişkisi: KVKK uyarınca açık rıza her an geri alınabilir. Sürekli çalışan bir biyometrik sistemde, personelin rızasını geri çekmesi durumunda sistemin sürekliliği baltalanacaktır. Dolayısıyla, sadece açık rızaya dayanarak mesai takibi yapmak kural olarak geçersizdir.
2. "Ölçülülük" Duvarı: Amaç ile Araç Arasındaki Denge: KVKK'nın 4. maddesinde düzenlenen "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi, tüm veri işleme faaliyetlerinin anayasası niteliğindedir.
Önemli Vurgu: Mesai takibi, sınırlı ve sıradan bir idari amaçtır. Bu amaca ulaşmak için, bir kez ele geçirildiğinde değiştirilmesi veya geri alınması imkânsız olan, geri döndürülemez nitelikteki biyometrik verilerin (yüz, parmak izi, damar izi) işlenmesi orantısız ve aşırı bir müdahaledir.
Piyasada şifreli kartlar, PIN tabanlı sistemler, RFID/NFC akıllı kimlik kartları veya denetçi gözetiminde tutulan imza çizelgeleri gibi daha az müdahaleci alternatif yöntemler mevcuttur. Bu alternatiflerin varlığı, biyometrik sistemlerin zorunlu olmadığını açıkça ortaya koymaktadır. Çalışanın açık rızası olsa dahi, alternatif yöntemler tüketilmeden biyometrik veriye başvurulması ölçülülük ilkesinin açık bir ihlalidir.
3. Yüksek Yargının Net Tavrı: "Kanunilik" Şartı: Kurul'un bu ilke kararı, arkasında çok güçlü bir yüksek yargı içtihadı barındırmaktadır. Gerek Anayasa Mahkemesi gerekse Danıştay, kanuni dayanağı olmayan biyometrik takipleri hukuka aykırı bulmuştur.
Aşağıda Alınan Yargı Kararları Doğrultusunda gerek Anayasa Mahkemesi Kararı gerek ise Danış Kararları doğrultusunda verilen kararlar:
Anayasa Mahkemesi (AYM): AYM'nin 10/03/2022 tarihli kararı (BŞV: 2018/11988), bir belediyede devlet memuru olarak çalışan başvurucunun parmak izi ile mesai takibi işleminin "özel hayata saygı hakkı" kapsamında kişisel verilerin korunması hakkını ihlal ettiğine hükmetmiştir. Kararda, 657 sayılı Devlet Memurları Kanunu ve 5393 sayılı Belediye Kanunu'nda biyometrik temelli takip sistemlerine dair belirli esas ve ilkeleri belirleyen bir düzenleme bulunmadığından müdahalenin kanunilik şartını sağlamadığı vurgulanmıştır.
Danıştay: Danıştay 12'nci Daire Başkanlığının 2021/3870 Esas ve 2023/2548 Sayılı kararı, mesai takibi için avuç içi damar okuyucu kullanılmasını iptal eden kararı onaylamıştır. Kararda, bu verilerin işlenmesinin daha sıkı koşullara bağlı olduğu ve işlenen verinin ölçülü olması gerektiği vurgulanmıştır.
Genel İlkeler (KVKK Madde 4): Biyometrik veri işlenmesinin bu maddede sayılan hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine her halükârda uyması gerekir.
Kamu Kurumları ve Belediye Yönetimleri Ne Yapmalı: Bu saatten sonra mesai takibi amacıyla parmak izi okutma, yüz tanıma kameraları kullanma veya avuç içi tarama sistemlerini çalıştırma inadı, veri sorumlularını doğrudan hukuki ve mali işleme maruz bırakacaktır. KVKK'nın 12. maddesi uyarınca bu sistemlerin sonlandırılması ve veri güvenliğinin sağlanması zorunludur.
Aksiyon Planı Olarak: Kurumlarda aktif olan tüm biyometrik mesai takip sistemleri derhal durdurulmalıdır, bu sistemlerde bugüne kadar toplanmış olan biyometrik veriler, KVKK imha yönetmeliklerine uygun olarak güvenli bir şekilde silinmeli veya yok edilmelidir. Zaman kaybetmeden RFID/NFC kartlı geçiş, şifre/PIN kodlu sistemler veya geleneksel imza/denetçi yöntemleri gibi yasal ve alternatif sistemlere geçiş planlanmalıdır.
5. Sonuç Olarak Alınan İlke Kararı: Kamuda şeffaflık, disiplin ve verimlilik arayışı hiçbir zaman Anayasa ve kanunların, en önemlisi de insan onurunun ve temel hakların önüne geçemez. Kişisel Verileri Koruma Kurulu’nun bu son İlke Kararı, teknolojik imkânların idari yetkiyle birleştiğinde nasıl bir sınıra çarpması gerektiğini gösteren tarihi bir rehberdir. Kurallara uymayan veri sorumlularını KVKK'nın 18. maddesi kapsamında çok ciddi idari para cezaları ve yaptırımların beklediği unutulmamalıdır.
Mesai takibi amacıyla biyometrik veri işlenmesi faaliyetinin, ilgili kişinin açık rızası olsa dahi, Kanun'un 4'üncü maddesinde yer alan genel ilkeler kapsamındaki "ölçülülük" kriterini sağlamadığı değerlendirilmiştir. Bu kapsamda, mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart/PIN tabanlı sistemler, geleneksel imza, RFID/NFC kartlar gibi alternatif yollarla sağlanması gerektiği kamuoyunun bilgisine sunulmuştur.
Veri sorumlularının bu İlke Kararına uygun hareket etmemeleri halinde haklarında Kanun'un 18'inci maddesi gereği idari yaptırım uygulanabileceği belirtilmiştir.
“Hukukun görevi teknolojinin önünü kesmek değil, teknolojinin insan haklarını aşmasına engel olmaktır.”
Teknolojinin gelişmesi kaçınılmazdır; ancak gerçek ilerleme, teknolojiyi insan hakları, hukuk ve insan onuruyla uyumlu şekilde kullanabildiğimiz ölçüde anlam kazanır.
Kaynakça :
1-)T.C. Anayasası.
2-) 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
3-) 4857 Sayılı İş Kanunu.
4-) 5490 Sayılı Nüfus Hizmetleri Kanunu.
5-) İş Kanununa İlişkin Çalışma Süreleri Yönetmeliği.
6-) Kişisel Verileri Koruma Kurulu, 29.04.2026 tarih ve 2026/921 sayılı İlke Kararı.
7-) Anayasa Mahkemesi, Ramazan Şahin Başvurusu, B. No: 2018/11988, 10.03.2022.
8-) Danıştay 12. Dairesi, E.2021/3870, K.2023/2548.
9-) Danıştay İDDK, E.2024/225, K.2024/2625.
10-) 5393 Sayılı Belediye Kanunu
