İş yerlerinde mesai takibi uzun yıllardır kart, imza, şifre, turnike, mobil uygulama veya farklı dijital sistemlerle yürütülüyor. Ancak son dönemde birçok şirket, çalışanların giriş ve çıkış saatlerini daha hızlı takip etmek için parmak izi, yüz tanıma, avuç içi veya retina taraması gibi biyometrik sistemlere yöneldi.
Bu yöntemler ilk bakışta pratik görünse de konu yalnızca operasyonel kolaylık değildir. Çünkü biyometrik veriler, çalışanı doğrudan tanımlayan ve çoğu durumda değiştirilemeyen özel nitelikli kişisel verilerdir. Bu nedenle mesai takibi amacıyla biyometrik veri işlenmesi, KVKK açısından ciddi şekilde değerlendirilmesi gereken bir konudur.
Kişisel Verileri Koruma Kurulu’nun 29 Nisan 2026 tarihli ve 2026/921 sayılı İlke Kararı, mesai takibi amacıyla biyometrik veri işlenmesinde güncel karar niteliği taşır. 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanan bu karar, parmak izi ve yüz tanıma gibi yöntemlerle personel devam takibi yapan işverenler için önemli bir uyarı niteliğindedir.
Karar, biyometrik verilerle mesai takibi yapan şirketlerin mevcut sistemlerini yeniden gözden geçirmesi gerektiğini gösterir. Özellikle parmak izi ve yüz tanıma gibi yöntemlerde yalnızca pratiklik değil; gereklilik, ölçülülük, açık rıza, alternatif yöntem ve veri güvenliği başlıkları birlikte değerlendirilmelidir.
KVKK’nın ilgili kararında, mesai takibinin yapılabileceği ancak bu takip için biyometrik veri kullanılmasının her durumda uygun kabul edilemeyeceği vurgulanır. Yani işverenin çalışan giriş-çıkışlarını takip etmesi mümkündür; fakat bunun hangi yöntemle yapıldığı kritik öneme sahiptir.
Kurul’un yaklaşımında öne çıkan temel nokta şudur: Mesai takibi için kullanılan yöntem, amaca uygun, gerekli ve ölçülü olmalıdır. Eğer aynı amaç daha az müdahaleci yöntemlerle sağlanabiliyorsa, doğrudan parmak izi veya yüz tanıma gibi biyometrik yöntemlere başvurmak ceza riski doğurabilir.
Bu nedenle işverenlerin “sistem hızlı çalışıyor”, “takip daha kolay oluyor” veya “kart unutma sorunu ortadan kalkıyor” gibi gerekçelerle biyometrik veri işlemesi tek başına yeterli bir dayanak oluşturmaz.
Biyometrik veri, kişinin fiziksel veya davranışsal özellikleri üzerinden kimliğinin doğrulanmasını ya da tanınmasını sağlayan kişisel veridir.
Parmak izi, yüz geometrisi, iris, retina, avuç içi bilgisi, ses tanıma ve benzeri veriler bu kapsama girebilir. Bu veriler, kişiye sıkı şekilde bağlı olduğu için özel nitelikli kişisel veri olarak değerlendirilir. Şifre gibi doğrulama unsurları çalışan tarafından değiştirilebilir, kart gibi araçlar ise gerektiğinde iptal edilip yeniden düzenlenebilir. Buna karşılık parmak izi veya yüz geometrisi gibi biyometrik veriler aynı esneklikle değiştirilemez. Bu nedenle biyometrik verilerin işlenmesi, çalışanlar açısından daha yüksek risk doğurabilir.
İşverenler açısından mesai takibi; puantaj, fazla mesai, vardiya planlama, izin yönetimi ve bordro süreçleri için gereklidir. Ancak KVKK açısından asıl soru şudur:
Mesai takibi amacı, biyometrik veri kullanılmadan da sağlanabiliyor mu?
Eğer çalışanların giriş ve çıkış saatleri kartlı geçiş, PIN, QR kod, mobil uygulama, web panel, yönetici onayı veya dijital puantaj sistemiyle takip edilebiliyorsa, biyometrik veri kullanımı ölçülülük ilkesi açısından riskli hale gelebilir.
Bu noktada işverenlerin yalnızca operasyonel verimliliği değil, çalışanların kişisel verilerinin korunmasını ve temel haklarını da dikkate alması gerekir.
Biyometrik veri işleme süreçlerinde en sık yapılan hatalardan biri, çalışandan açık rıza alındığında işlemin tamamen güvenli hale geldiğinin düşünülmesidir.
Ancak işçi ve işveren ilişkisinde taraflar her zaman eşit konumda değildir. Çalışan, işini kaybetme, olumsuz değerlendirilme veya iş yerinde sorun yaşama endişesiyle rıza vermek zorunda hissedebilir.
Bu nedenle açık rızanın gerçekten özgür iradeye dayanıp dayanmadığı ayrıca değerlendirilmelidir. Özellikle çalışana biyometrik veri vermeden kullanabileceği gerçek ve eş değer bir alternatif sunulmuyorsa, alınan açık rızanın geçerliliği tartışmalı hale gelebilir.
Kısacası, “çalışandan imza aldık” yaklaşımı tek başına yeterli değildir. İşverenin veri işleme amacı, hukuki sebep, ölçülülük, alternatif yöntemler, saklama süresi ve güvenlik tedbirlerini birlikte değerlendirmesi gerekir.
KVKK’nın ilke kararı, mesai takibinde biyometrik veri işleyen işverenler için yalnızca bir bilgilendirme değil, aynı zamanda önemli bir uyum uyarısı niteliği taşır.
Parmak izi, yüz tanıma veya benzeri biyometrik sistemlerle mesai takibi yapan işletmeler, bu yöntemin gerçekten gerekli ve ölçülü olduğunu ortaya koyamazsa KVKK kapsamında idari yaptırımlarla karşılaşabilir. Bu yaptırımlar arasında idari para cezaları, hukuka aykırı veri işleme faaliyetinin durdurulması, mevcut sistemlerin değiştirilmesi ve daha önce toplanan biyometrik verilerin silinmesi veya imha edilmesi gibi yükümlülükler gündeme gelebilir.
Bu nedenle şirketlerin “çalışandan açık rıza aldık” yaklaşımıyla süreci devam ettirmesi yeterli görülmeyebilir. İşverenlerin mevcut mesai takip sistemlerini gözden geçirmesi, biyometrik veri kullanımının zorunlu olup olmadığını değerlendirmesi ve daha az müdahaleci alternatif yöntemleri araştırması gerekir.
Bu noktada temel soru şudur: Mesai takibi için çalışanların parmak izi veya yüz geometrisi gibi değiştirilemeyen verilerini işlemek gerçekten gerekli mi, yoksa aynı amaç daha düşük riskli yöntemlerle sağlanabilir mi?
Mesai takibinde biyometrik veri kullanımına alternatif olarak farklı yöntemler tercih edilebilir. Burada tek bir doğru modelden söz etmek her zaman mümkün değildir. Uygun yöntem; işletmenin operasyon yapısına, çalışan sayısına, çalışma modeline ve mevcut dijital altyapısına göre değişebilir.
Önemli olan, çalışan beyanının yasal çerçevelere uygun şekilde alınabildiği, kayıtların düzenli tutulduğu ve sürecin gerektiğinde denetlenebilir olduğu bir yapı kurulmasıdır. Bu kapsamda işverenlerin değerlendirebileceği başlıca yöntemler şunlardır:
Bu yöntemler, biyometrik veri işlemeye kıyasla daha az müdahaleci bir yapı sunabilir. Ayrıca çalışan verilerinin daha sınırlı, amaca bağlı ve daha yönetilebilir şekilde işlenmesine yardımcı olabilir.
Her işletmenin bu dönüşümü aynı hızda gerçekleştirmesi beklenmeyebilir. Bazı şirketler doğrudan dijital İK sistemlerine geçiş yapabilirken, bazıları mevcut kartlı geçiş veya PIN tabanlı altyapılarını geliştirerek ilerlemeyi tercih edebilir. Buradaki temel amaç, hem operasyonel sürekliliği korumak hem de biyometrik veri işleme riskini azaltmaktır.
KVKK kararı sonrasında şirketlerin mevcut mesai takip süreçlerini gözden geçirmesi önemlidir. Özellikle parmak izi veya yüz tanıma sistemi kullanan işletmeler aşağıdaki soruları değerlendirmelidir:
Bu soruların yanıtı net değilse, işletmenin mesai takip sistemini yeniden değerlendirmesi faydalı olacaktır.
Biyometrik veriyle mesai takibinde oluşabilecek KVKK riskleri, işletmelerin daha az müdahaleci ve daha denetlenebilir yöntemlere yönelmesini gerekli hale getiriyor. Mobofis, çalışanların telefonlarındaki mobil uygulama üzerinden mesai ve mola giriş-çıkışlarını dijital olarak gerçekleştirmesini sağlar.
Konum ve IP doğrulama yöntemleriyle, çalışanların mesai ve mola kayıtları daha kontrollü şekilde oluşturulabilir. Böylece çalışan beyanı dijital ortamda alınır, kayıtlar sistem üzerinde düzenli şekilde saklanır ve gerektiğinde geriye dönük olarak incelenebilir.
Mobofis’te kullanıcı girişleri SMS OTP ile doğrulanabilir. Bu yapı, mesai takibi sürecinde yalnızca kaydın alınmasını değil, kaydı oluşturan kullanıcının doğrulanmasını da destekler.
Ayrıca Mobofis, izin, fazla mesai, vardiya, puantaj, onay süreçleri ve raporlamayı aynı dijital yapı içinde ele alır. Bu sayede işletmeler, çalışan devam takibini parmak izi veya yüz tanıma gibi biyometrik verilere başvurmadan; daha şeffaf, denetlenebilir ve yönetilebilir bir şekilde sürdürebilir.
Kağıt ve ıslak imza ile yürütülen izin, fazla mesai ve benzeri onay süreçlerinde ise TÜBİTAK Zaman Damgası desteğiyle kayıtların zamanı ve bütünlüğü daha güçlü şekilde belgelenebilir. Bu yapı, işletmelerin ileride doğabilecek denetim ve uyuşmazlık süreçlerine daha hazırlıklı olmasına katkı sağlar.
Dijital sistemlerin bir diğer avantajı da güncellenebilir olmasıdır. Mevzuat, kararlar veya şirket içi uygulamalar değiştiğinde yazılım tarafında hızlı revizeler yapılabilir. Buna karşılık biyometrik cihazlara dayalı yapılar; KVKK riski yanında cihaz, lisans, bakım, onarım ve altyapı maliyetleri açısından işletmeler için daha zorlayıcı olabilir.
Bu nedenle Mobofis, mesai takibini yalnızca giriş-çıkış kaydı olarak değil; KVKK ilkelerine daha uygun, raporlanabilir ve sürdürülebilir bir dijital İK süreci olarak yönetmeyi sağlar.
KVKK’nın mesai takibinde biyometrik veri işlenmesine ilişkin kararı, işverenler için net bir mesaj verir: Mesai takibi yapılabilir; ancak bu takip için kullanılan yöntem gerekli, ölçülü ve amaca uygun olmalıdır.
Parmak izi veya yüz tanıma gibi biyometrik sistemler, hızlı ve kolay bir takip yöntemi sunsa da tek başına hukuki güvence sağlamaz. Eğer aynı amaç daha az müdahaleci ve daha denetlenebilir yöntemlerle sağlanabiliyorsa, işletmelerin bu alternatifleri değerlendirmesi gerekir.
Bu noktada dijital İK sistemleri, şirketlere daha esnek ve yönetilebilir bir alternatif sunar. Çalışan beyanının dijital ortamda alınması, onay süreçlerinin kayıt altına alınması, IP/konum doğrulama, SMS OTP ve zaman damgası gibi destekleyici yöntemler sayesinde mesai takibi daha kontrollü bir yapıya taşınabilir.
Mobofis, mesai, puantaj, vardiya, izin ve fazla mesai süreçlerini dijitalleştirerek işletmelerin çalışan devam takibini daha düzenli, izlenebilir ve KVKK uyum süreçleriyle daha uyumlu şekilde yönetmesini sağlar.
KEP ile gönderilen bordrolar iş davalarında ne kadar güçlü bir delildir? Bordro tebligatı, ispat yükü ve elektronik delil niteliğini İK ve hukuk perspektifiyle ele aldığımız yazımızı keşfedin.
İK kayıtlarında zaman bilgisi neden önemlidir? Dijital İK süreçlerinde zaman bilgisinin kayıt düzeni, bütünlük ve süreç takibine katkısını yazımızda keşfedin!
TÜBİTAK zaman damgası nedir, ne işe yarar? İnsan kaynakları, bordro, izin ve sözleşme süreçlerinde dijital belgelerin nasıl hukuki delile dönüştüğünü yazımızda keşfedin.
15 gün boyunca ücretsiz deneyin, kredi kartı gerekmez.
