KVKK ve İşverenin Masumiyet Karinesi
İşverenler ve müvekkillerimin peşinen şüpheli kabul edildiği yeni yaklaşım üzerine
Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 Sayılı İlke Kararı, 02.06.2026 tarihli Resmî Gazete’de yayımlandı. Karar, mesai takibi amacıyla biyometrik veri işlenmesine dair. Yani fabrikada, şantiyede, ofiste, depoda, üretim tesisinde personelin giriş çıkışını takip etmek için kullanılan parmak izi, yüz tanıma ve benzeri sistemler hakkında.
Kararın özeti şu: Kurul, mesai takibi için biyometrik veri kullanılmasına dar yorum yaptı. Artık işverenin “Ben açık rıza aldım” demesi tek başına yeterli değil. Kart, şifre, PIN, QR, RFID gibi daha hafif yöntemler varken parmak izi veya yüz tanıma gibi verilerin işlenmesini ölçülü bulmayabileceğini söylüyor. İşçi-işveren ilişkisinde açık rızanın özgür iradeye dayanıp dayanmadığına da şüpheyle yaklaşıyor. İşverene, daha doğrusu aldığı imzalar ve hazırlattığı metinlere güvenmeyen bir yaklaşım var.
Karar, Kurul’un son yıllardaki yaklaşımıyla uyumlu şekilde oy birliği ile alınmış. Kararın resmi bağlantısı:
https://www.resmigazete.gov.tr/eskiler/2026/06/20260602-3.pdf
Kararın veri koruma hukuku bakımından ne dediğini, işverenler açısından ne tür sonuçlar doğurabileceğini ve bana göre nerelerde hata yaptığını ele almak istiyorum. Karar yalnızca parmak izi cihazı meselesi değil. Karar, Türkiye’de özel sektörün ve işverenin veri hukukunda ya da devlet gözünde nasıl görüldüğünü de gösteriyor.
Okuduğum metinde işveren yine potansiyel risk unsuru. İşveren yine ‘çalışandan açık rıza almış olsa bile acaba gerçekten almış mı?’ şüphesiyle karşı karşıya.
İşverenin masumiyet karinesi yok mu?
Benim müvekkillerim fabrika işletiyor, şantiye yönetiyor, teknoloji şirketi kuruyor, üretim yapıyor, ihracat yapıyor, yüzlerce kişiye maaş ödüyor. KVKK eğitimi aldırıyorlar. İşçilerine farkındalık eğitimi veriyorlar. Aydınlatma metni hazırlıyorlar. Veri envanteri oluşturuyorlar. Personel süreçlerini belgelemeye çalışıyorlar. Buna rağmen Kurul kararlarının satır aralarında şu yaklaşım hissediliyor: İşveren güçlü ve kötüye kullanma ihtimali bulunan taraf olarak görülürken, çalışan tarafı daha çok korunması gereken mağdur taraf olarak değerlendiriliyor. Bu yaklaşımı doğru bulmuyorum.
Aşağıda, Kurul üyelerinin Kurum tarafından aleni hale getirilen özgeçmiş bağlantılarını da paylaşacağım. İşverenin uygulamadaki risklerini bu kadar yakından ilgilendiren bir karar verilirken, kararı veren kurulun işverenlik, şirket sahipliği veya özel sektör yönetimi tecrübesi de tartışmanın parçası olmalı. Kurum resmi sayfasında yer alan özgeçmişlerden görülebildiği kadarıyla kararı veren Kurul’da özel sektör yöneticiliği veya şirket sahipliği tecrübesi bulunan bir üye görünmüyor. Bu muhtemelen en çok benim ve işverenlerin dikkatini çeken bir gözlem.
Hayatı boyunca fabrika vardiyası yönetmemiş, şantiye giriş çıkışıyla uğraşmamış, 500 kişilik üretim tesisinde kart basma suistimalini yaşamamış, savcılığa “personel gerçekten işe geldi” diye kayıt sunmak zorunda kalmamış bir bakış açısının “alternatif yöntemler var” demesi kolay olabilir.
Kararın temel dayanağı 6698 sayılı KVKK m.6.
Kurul özellikle biyometrik veriyi isabetli olarak “özel nitelikli kişisel veri” kategorisinde değerlendiriyor ve daha sıkı yaklaşım benimsiyor.
İlgili madde şöyle:
“Biyometrik ve genetik veriler özel nitelikli kişisel veridir.”
“Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
“Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.”
Hali hazırda özel sektörün yıllardır yaptığı şey de tam olarak buydu.
Kanunda:
“İşveren parmak izi sistemi kullanabilir”
şeklinde açık hüküm olmadığı için sistemler açık rıza üzerinden yürütüldü.
PDKS şirketleri buna göre ürün sattı. Avukatlar buna göre aydınlatma metni hazırladı. Şirketler buna göre açık rıza aldı. KVKK danışmanlıkları buna göre verildi. Kurul bugüne kadar bu süreci kendi içinde nasıl işletti onu da açıklasaydı hoş olurdu.
Artık yeni yaklaşım şu:
“Açık rıza alınmış olsa bile işçi-işveren ilişkisinde bu rıza gerçekten özgür olmayabilir.”
Burada benim asıl problem gördüğüm yer başlıyor. Çünkü bu mantık büyütülürse iş hukukunun yarısı tartışmalı hale gelir. İşçi ekonomik olarak güçsüz taraf deniyor. Doğru. Ancak bu yaklaşım genişletildiğinde iş hukukundaki iş sözleşmeleri, ibranameler ve benzeri birçok irade açıklamasının da tartışmalı hale gelmesi riski ortaya çıkabilir.
Yarın biri çıkıp:
“İşçi ekonomik baskı altında olduğu için iş sözleşmesindeki birçok imza da tartışmalıdır” dese ne cevap vereceksiniz? İşveren ile çalışan zaten doğası gereği eşit ekonomik güçte değil. Dünyanın hiçbir yerinde değil. O zaman çizgi nerede başlayacak? Nerede bitecek?
Kurul diyor ki:
“Alternatif yöntemler var.” Kart sistemi, PIN, QR, RFID.
İyi de bunların yeterli veya doğru sistem olduğuna kim karar veriyor?
Bir teknoloji şirketinde kart sistemi yeterli olabilir.
Ama aynı şeyi sabah vardiyasında yüzlerce kişinin giriş yaptığı fabrika için söylemek kolay değil.
Şantiye girişinde başkası yerine kart basılmasıyla ilgili soruşturma yaşayan işveren farklı düşünebilir.
Kurul biyometrik veri konusunda “kanunda açıkça öngörülme” yaklaşımını çok dar yorumluyor. Peki aynı yaklaşım diğer sektörlerde uygulanıyor mu?
Mesela bankalar. Mobil bankacılık uygulamaları ile davranışsal kullanım modeli, yüz tanıma, ses izi, fraud sistemleri artık insanın davranış biçiminden kimlik doğrulaması yapıyor. Bu alanın önemli bir kısmı da ikincil mevzuat ve teknik düzenlemeler üzerinden ilerliyor. Ama banka yapınca: “güvenlik.” İşveren yapınca: “ölçüsüzlük.” Benim müvekkilim için güvenlik hassas değil mi?
Şirketin üretim alanı hassas değil mi? Şantiyesi hassas değil mi? Veri merkezi hassas değil mi? Deposu hassas değil mi? Yıllardır her denetimde kayıt baskısı gören işveren bir anda “fazla kayıt tutan taraf” ilan edildi. Kararda alternatif yöntem meselesi de ele alınmış. Kurul diyor ki kart var, PIN var, QR var, RFID var. Tamam da bunlar teoride var. Sahada ne oluyor?
Kart başkası yerine basılabiliyor, PIN paylaşılabiliyor, QR ekran görüntüsü dolaşıyor, turnikeden beraber geçiliyor. Özellikle vardiyalı sistemlerde bu tür suistimallerin uygulamada yaşandığı bilinen bir gerçek.
Benim müvekkillerim rahatına düşkün olduğu için bu sistemleri kullanmıyor. İşveren sabah 06:30’da 400 kişiyi içeri alıyor. Akşam çıkışı ayrı problem, fazla mesai ayrı problem, taşeron ayrı problem, servis ayrı problem. Bir de üzerine neden daha güvenilir sistem kullandın sorusu geliyor.
Maliyet meselesi de var. Bu sistemleri şirketler dün kurmadı. Yıllardır kullanıyorlar. Cihaz alınmış, altyapı kurulmuş, yazılım entegre edilmiş, İK sistemi bağlanmış, raporlama sistemi kurulmuş. En başta İK’ya tabiri caizse yeni bir ihale kalacak bu karar ile.
Bir de bu sistemleri satan yerli firmalar var. Yazılım firmaları, PDKS firmaları, donanım üreticileri. Onlar ne olacak? Yıllarca hukuka uygun diye satılan sistemler bir anda riskli alan haline geliyor. Bu insanlar neye güvenerek yatırım yaptı?
Bu ülkede düzgün işveren de var, kurala uymaya çalışan da var, gerçekten veri sızmasın diye uğraşan da var. İşveren bazen sadece düzeni korumaya çalışıyor. İşverenlerin büyük çoğunluğu biyometrik sistemleri bir ‘Sharingan’ merakıyla değil, kayıt güvenliği ihtiyacıyla kullanıyor. İşveren sadece sabah vardiyasında başkası yerine kart basılmasın istiyor.
Kurul biyometrik veri konusunda oldukça hassas. Peki aynı hassasiyet idarenin kendi veri işleme alanlarında da aynı sertlikle uygulanacak mı?
Mesela Schengen vizesi için verdiğimiz parmak izleri. Onlardan da veri güvenliği önlemlerini istedik mi? MOBESE sistemleri, e-imza kayıtları, oturum kayıtları, IP takipleri…Devlet sistemlerinde inanılmaz büyük veri akışları yok mu?Her detay kanunda yazıyor mu? Ya da yazması mümkün mü?”
O zaman soru şu: Neden kanunda açıkça yazmıyor refleksi en sert şekilde özel sektöre uygulanırken kamu tarafında daha esnek yorumlanıyor? Kurul üyelerinin özgeçmişlerine bakmıştım. Kurum bunları aleni hale getirmiş durumda. Ben de o rahatlıkla resmi bağlantılarını paylaşıyorum. Alenileştirme amacına aykırı değil.
https://www.kvkk.gov.tr/Icerik/1016/kurul-uyeleri
Karar veren kişilerin hayat tecrübesi, baktığı yeri etkiler. Hayatı boyunca 5000 kişilik vardiya yönetmemiş biri kart sistemi yeter diyebilir. Sabah 07:00 vardiya girişini yaşamamış biri alternatifler mevcut diyebilir. Savcılığa personel gerçekten sahadaydı diye kayıt sunmamış biri biyometrik sistem ihtiyacını teorik görebilir. Bu durum bana sahaya hiç çıkmamış hakem tartışmalarını hatırlatıyor.
Kurulun da, işverenin de, çalışanın da güven vermesi gerekir. Ama özel sektör tarafında hissedilen duygu biraz farklı. Sanki işveren bir şey yapıyorsa önce şüpheyle bakılıyor. Ben buna itiraz ediyorum. Çünkü bu ülkede gerçekten iyi niyetli şekilde sistem kurmaya çalışan binlerce şirket var. Ve onların tamamı potansiyel kötü niyetli değil.
Kurul biyometrik veriyi çok hassas görüyor. Tamam. Mantıksız değil. Parmak izi, yüz geometrisi değerli veriler. Ama bugün hayatımızdaki asıl veri toplama gücü nerede? Fabrika turnikesinde mi? Yoksa cebimizdeki telefonda mı?
Google ne aradığınızı biliyor. Telefon sizi sizden iyi tanıyor. Ama orada refleks daha zayıf. Halbuki bugün insan davranışını yönlendiren asıl sistemler onlar. Burada ciddi bir orantısızlık hissi oluşmuyor mu?
Bir fabrikanın PDKS cihazı sizin siyasi görüşünüzü tahmin etmiyor. Depresif olduğunuz saati analiz etmiyor. Gece 02:00’de neden uyumadığınızı hesaplamıyor.
KVKK’nin mevcut refleksinin, günümüz teknolojisi ve ekonomisi ile tam örtüşmediğini düşünüyorum. Kanun 2016 mantığı ile yazıldı. Bugün ise AI çağı var. Ama en büyük reaksiyon hala fabrikadaki turnikeye geliyor.
Birçok işveren zaten tedirgin hareket ediyor. Yanlış bir şey olur mu? Sürekli bu stres var. Buna rağmen insanlar şirket ayakta tutmaya çalışıyor. Maaş ödüyor. Vergi ödüyor. İhracat yapıyor. İstihdam sağlıyor.
Kurul kararında sürekli ölçülülük vurgusu var. Sorulması gereken: ölçülülüğü kim ölçecek? Hangi kritere göre? Bir fabrikanın ihtiyacı ile bir yazılım ofisinin ihtiyacı aynı değil. Bir şantiye ile bir coworking ofisi aynı değil. Bir lojistik merkezi ile bir reklam ajansı aynı değil. Ama karar dili hepsini aynı yere koyuyor.
Benim müvekkillerim arasında teknoloji şirketi de var, fabrika da var, şantiye de var, depo da var, lojistik de var, danışman da var. Hepsinin riski farklı. Birinde veri sızması risk. Diğerinde fiziksel güvenlik risk. Birinde vardiya suistimali problem. Diğerinde taşeron geçişi problem.
Ortak nokta şu: hepsi sürekli denetleniyor. Denetim olsun elbette ama iyi niyet ile. Denetim herkese aynı objektiflik ile yapılıyor ise ne ala. Bir noktadan sonra işveren kaygı ve soruları katlanılmaz hale gelebilir. Biyometrik sistem kullansa neden fazla veri işledin deniyor. Kamera koysa fazla izleme deniyor.Kamera koymasa neden güvenlik zafiyeti var deniyor.
Bu dengeyi sahada kurmak masa başında anlatıldığı kadar kolay değil. Bu ilke kararları ve değerlendirmeler dürüst işveren ile kötü niyetli uygulamaları yeterince ayırmıyor.
Biyometrik sistemleri çalışanlar da talep edebiliyor. Sistem dürüst çalışanı da koruyor. Başkası yerine kart basılamıyor, fazla mesai tartışması azalıyor, giriş çıkış kaydı net oluyor. Yani mesele sadece işveren menfaati de değil.
Bu sebeplerle kararlar yazılırken sahadaki gerçek hayatın daha fazla incelenmesi gerektiğini düşünüyorum. Hukuk sadece teorik risk yönetimi değil. Hayatın akışını da anlamak zorunda.
GDPR bile artık AI çağı için eski bulunmaya başlandı ama en azından profiling, davranışsal analiz, automated decision making ve risk scoring gibi konuları açık açık yazıyor. KVKK’da ise profiling konusu neredeyse yok gibi. Günümüzde asıl veri ekonomisi tam olarak orada dönüyor.
Telefon artık sadece telefon değil. Küçük bir gözlem cihazı gibi. Buna rağmen refleksin en sert geldiği yer yine fabrika turnikesi oluyor. Parmak izi somut olduğu için daha korkutucu geliyor olabilir ama insan davranışını analiz eden sistemler çok daha büyük güce sahip.
Hukuki güvenlik boyutu da var:
Yıllarca açık rıza alın, aydınlatma yapın, politika hazırlayın denildi. Şirketler de buna göre sistem kurdu. Şimdi ise o açık rıza yeterli olmayabilir deniyor. Şirketler açısından hukuki öngörülebilirlik tartışması gündeme gelmez mi?
Bir çalışan rızamı geri alıyorum dediğinde ne olacak? Aynı fabrikada biri kart, biri parmak izi, biri QR sistemi mi kullanacak? Bu işin operasyonel tarafı hiç kolay değil. İnsan kaynakları departmanları açısından da yeni bir uğraş alanı daha doğmuş oldu.
Bu kararlar sadece büyük holdingleri etkilemiyor. Anadolu’daki fabrika etkileniyor, orta ölçekli şantiye etkileniyor, depo sistemi etkileniyor, yerel üretici etkileniyor. Herkes yeniden sistem kurmak zorunda kalabilir. Ama ortada net bir geçiş planı yok.
Yerli teknoloji firmaları ne olacak? Türkiye’de ciddi bir PDKS sektörü oluştu. Yazılım firmaları, donanım üreticileri ve entegrasyon şirketleri yıllardır hukuka uygun denilen sistemleri kurdu. Şimdi insanlar doğal olarak şunu soruyor: Biz neye güveneceğiz? Bugün hukuka uygun denilen bir sistem yarın fiilen riskli alan ilan edilirse insanlar uzun vadeli teknoloji yatırımını nasıl planlayacak? Büyük platformlara daha çekingen davranılıyor, işverene daha sert davranılıyor algısı sizde de oluşmadı mı? Yatırımcılar bunu görüyor. Ben veri mahremiyetinin önemsiz olduğunu düşünmüyorum. Tam tersine bu alan geleceğin en kritik hukuk alanlarından biri olacak. Ama veri mahremiyeti ile özel sektörü sürekli potansiyel fail gibi göstermek arasında ince bir çizgi var. Veri hukukunun biraz daha saha gerçeğine temas eden bir yere oturması gerektiğini düşünüyorum.
Kurumun İlke Kararı sonrası yayımladığı kamuoyu duyurusuna da dikkat etmek gerekir:
Geçerli açık rıza bulunsa bile ölçülülük ayrıca değerlendirilecek.
Yani çalışan gerçekten özgür iradesiyle kabul etmiş olsa bile Kurul yine:
Bu yöntem fazla müdahaleci diyebilecek noktaya geliyor. Bu saha ve işverenler açısından çok ağır bir değişim.
Bence en dikkat çekici nokta da Kurumun alternatif yöntem olarak:
kağıt çizelge, elle giriş, denetçi gözetiminde takip gibi çağ dışı yöntemleri saymış olması. Dünya yapay zeka konuşurken, GDPR profiling tartışırken çözüm olarak kağıt çizelge önerilmesi : posta güvercini ile haberleşme tavsiyesi gibi duruyor.
Tüm tenkitlerimden sonra Kurumun bu konuda istikrarlı ilerlediği alanı da belirtmek gerekir. 2025 yılında yayımlanan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber”de;
- Herhangi bir alternatifin bulunması durumunda biyometrik verinin işlenmesi gerekli olmayacağından söz konusu veriler işlenemeyecektir.
-İşçi-işveren ilişkisinde, işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.
-Biyometrik çözümü kullanamayan veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır ifadeleri zaten yer alıyordu.
Yani bu yaklaşım bir günlük değil. Kurul pozisyon değiştirmedi. Eski yaklaşımını adım adım ilerletti, sertleştirdi ve ilke kararı seviyesine taşıdı. GDPR çizgisiyle uyumlu tarafları da var.
Karara dair dikkat çekici birkaç nokta daha var.
Mesai takibinin meşru bir ihtiyaç olması, kullanılan her yöntemin otomatik olarak meşru olduğu anlamına gelmiyor. Kurulun yaklaşımı artık daha farklı bir yere kaymış durumda. Tartışma yalnızca “açık rıza var mı?” noktasında değil. Asıl mesele, biyometrik verinin gerçekten gerekli olup olmadığı ve aynı sonuca daha hafif yöntemlerle ulaşılıp ulaşılamayacağı.
Başka bir ifadeyle Kurul artık sadece veri güvenliğine değil, veri işlemenin baştan gerekli olup olmadığına bakıyor.
Çalışma sürelerinin kayıt altına alınması elbette işverenin yükümlülüğü. Ancak Kurul, bu yükümlülüğün takip yönteminin sınırsız biçimde belirlenebileceği anlamına gelmediğini düşünüyor. Tam tartışma da burada başlıyor zaten.
Çünkü teoride “alternatif yöntem” olarak görülen sistemler ile uygulamadaki gerçeklik her zaman örtüşmüyor. Bazı işyerlerinde mesele yalnızca mesai takibi değil; güvenlik, denetim ve delil üretme meselesi. Neticede benim eleştirdiğim nokta başka: Sorunu çözmek yerine yasaklama refleksi neden ilk tercih oluyor? İlke kararının istikrarlı olması başka şey, işverenin uygulama gerçekliğini yeterince dikkate almaması başka şey.
Son söz olarak şunu söylemek istiyorum:
Masumiyet karinesi sadece ceza hukukunda kullanılan bir kavram değil. Hukuka bakış açısıdır.
Veri mahremiyetinin korunması gerektiği açık. Biyometrik veriler de gerçekten hassas veriler. Kurulun bu konuda temkinli yaklaşımı tamamen anlaşılmaz değil. Ancak dürüst işveren ile kötüye kullanım riski taşıyan uygulamalar arasındaki ayrımın daha net kurulması gerektiğini düşünüyorum.
Bugün birçok şirket yalnızca mevzuata uyum sağlamaya, kayıt tutmaya, denetime hazırlıklı olmaya ve operasyonunu sürdürebilmeye çalışıyor. Özellikle vardiyalı sistemlerde, üretim tesislerinde, lojistik alanlarında ve şantiyelerde teorik olarak yeterli görülen bazı alternatifler uygulamada aynı sonucu vermeyebiliyor.
Bir hukuk sistemi sadece ihlali değil, iyi niyeti de görmeli. Av. Onur PUĞ



