KVKK'dan Mesai Takibinde Biyometrik Veri Kararı: İşverenler ve Kurumlar İçin Ne Anlama Geliyor?
Dijital dönüşümün hızlanmasıyla birlikte kurumlar, çalışan devam kontrol süreçlerini daha hızlı, güvenli ve verimli hale getirmek amacıyla çeşitli teknolojilerden yararlanmaktadır. Özellikle parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik sistemler son yıllarda yaygın olarak kullanılmaya başlanmıştır. Ancak Kişisel Verileri Koruma Kurulu'nun (KVKK) 29 Nisan 2026 tarihli ve 2026/921 sayılı "Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı", bu sistemlerin kullanımına ilişkin önemli değerlendirmeler ortaya koymuştur. Bu karar, yalnızca insan kaynakları departmanlarını değil; PDKS sistemleri kullanan kurumları, güvenlik yöneticilerini, bilgi işlem ekiplerini ve üst yönetimleri de yakından ilgilendirmektedir.
Biyometrik Veri Nedir?
Biyometrik veri, kişilerin benzersiz şekilde tanınmasını sağlayan fiziksel veya davranışsal özelliklerden elde edilen verilerdir. Bunlar arasında:
- Parmak izi
- Yüz tanıma verileri
- İris ve retina verileri
- El ve avuç içi geometrisi
- Ses tanıma verileri
yer almaktadır. Bu veriler kişiyi doğrudan tanımlayabildiği ve sonradan değiştirilemediği için KVKK kapsamında özel nitelikli kişisel veri olarak kabul edilmektedir. Örneğin bir çalışan şifresini değiştirebilir veya kartını yenileyebilir. Ancak parmak izini ya da yüz geometrisini değiştirmesi mümkün değildir. Bu nedenle biyometrik verilerin korunması diğer kişisel verilere göre çok daha kritik kabul edilmektedir.
KVKK'nın Mesai Takibi Konusundaki Yaklaşımı Nedir?
Kurul kararında dikkat çeken nokta, biyometrik veri kullanımının yalnızca hukuki dayanağının bulunmasının yeterli görülmemesidir. Kararda özellikle şu kavramlar vurgulanmaktadır:
- Ölçülülük
- Gereklilik
- Veri minimizasyonu
- Amaçla bağlantılılık
- Alternatif yöntemlerin değerlendirilmesi
Başka bir ifadeyle; "Kurum biyometrik veri kullanabilir mi?" sorusundan önce, "Kurum aynı amaca daha az müdahaleci bir yöntemle ulaşabilir mi?" sorusunun cevaplanması gerektiği belirtilmektedir.
İşveren ile Çalışan Arasındaki Güç Dengesi Neden Önemli?
Kararda özellikle işveren ve çalışan arasındaki doğal güç dengesizliğine dikkat çekilmektedir. Teorik olarak çalışanlardan açık rıza alınması mümkün görünse de uygulamada çalışanların iş ilişkisi nedeniyle özgür iradelerini tam olarak ortaya koyup koyamadıkları tartışmalıdır. Bu nedenle yalnızca açık rızaya dayanılarak biyometrik veri işlenmesi her zaman yeterli hukuki zemin oluşturmayabilir. KVKK'nın yaklaşımı, çalışanların temel hak ve özgürlüklerini korumaya yönelik daha hassas bir değerlendirme yapılması gerektiğini göstermektedir.
Mesai Takibi İçin Alternatif Çözümler Nelerdir?
Kurul kararında dikkat çekici noktalardan biri de alternatif yöntemlere yapılan vurgudur. Kararda aşağıdaki yöntemlerin mesai takibi amacıyla kullanılabilecek alternatifler arasında olduğu değerlendirilmektedir:
- Kartlı geçiş sistemleri
- Şifre (PIN) doğrulama
- RFID kart sistemleri
- NFC kimlik kartları
- QR kod tabanlı sistemler
- İmza çizelgeleri
- Mobil doğrulama yöntemleri
Bu sistemlerin birçok durumda mesai takibi amacını yerine getirebildiği ve biyometrik veri işlenmesine göre daha düşük risk oluşturduğu belirtilmektedir.
GPS ve Konum Bazlı Check-In Sistemleri Kullanılabilir mi?
Son dönemde birçok kurum çalışan devam kontrolünü mobil uygulamalar üzerinden gerçekleştirmeye başlamıştır. Burada önemli nokta GPS verisinin de kişisel veri olmasıdır. Ancak GPS verisi biyometrik veri değildir.
Örneğin;
- Çalışanın belirlenen lokasyona geldiğinde check-in yapması,
- Şantiyeye giriş yaptığında konum doğrulaması gerçekleştirmesi,
- Mobil uygulama üzerinden giriş kaydı oluşturması
gibi senaryolar, sürekli konum takibi yapılmadığı sürece daha ölçülü çözümler olarak değerlendirilebilir. Buradaki temel prensip: "İhtiyaç duyulan anda doğrulama yapmak" olmalıdır. Çalışanların 7/24 konumlarının izlenmesi ile yalnızca giriş anında konum doğrulaması yapılması arasında ciddi fark bulunmaktadır.
Kurumlar Hangi Risklerle Karşılaşabilir?
Mesai takibi amacıyla kullanılan sistemler değerlendirilirken aşağıdaki soruların cevaplanması gerekir:
- Aynı amaca daha az veri işleyerek ulaşılabilir mi?
- İşlenen veri gerçekten gerekli mi?
- Veri miktarı amaçla orantılı mı?
- Çalışanlar yeterince bilgilendirildi mi?
- Alternatif yöntemler değerlendirildi mi?
Bu soruların yeterince cevaplanamadığı durumlarda kurumlar KVKK kapsamında çeşitli yaptırımlarla karşılaşabilmektedir.
S1 Yaklaşımı: Güvenlik ve KVKK Uyumu Bir Arada
Günümüzde kurumların ihtiyacı yalnızca personelin işe gelip gelmediğini takip etmek değildir. Aynı zamanda;
- KVKK uyumunu sağlamak,
- Operasyonel verimliliği artırmak,
- Çalışan deneyimini iyileştirmek,
- Gelecekte oluşabilecek hukuki riskleri azaltmak
önem taşımaktadır. S1 Geçiş Kontrol ve PDKS çözümleri bu doğrultuda kurumlara;
- Kartlı geçiş sistemleri,
- Mobil giriş-çıkış,
- QR kod doğrulama,
- NFC tabanlı kimlik doğrulama,
- Merkezi raporlama,
- Çok lokasyonlu yönetim
imkânları sunmaktadır. Böylece kurumlar çalışan devam kontrol süreçlerini yalnızca güvenli değil, aynı zamanda daha ölçülü ve sürdürülebilir yöntemlerle yönetebilmektedir.
Sonuç
KVKK'nın 2026/921 sayılı İlke Kararı, kurumların personel devam kontrol sistemlerini yeniden değerlendirmeleri gerektiğini göstermektedir. Artık önemli olan yalnızca çalışanın giriş ve çıkış saatlerini kayıt altına almak değildir. Önemli olan, bu süreci kişisel verilerin korunmasına saygılı, ölçülü ve hukuka uygun yöntemlerle yönetebilmektir. Geleceğin PDKS ve geçiş kontrol sistemleri, daha fazla veri toplayan değil; ihtiyacı olan veriyi, doğru zamanda ve doğru amaçla kullanan sistemler olacaktır.
