Apsiyon
Konut Sakinine Özel Uygulama
KVKK’dan Kritik Karar: Site ve Tesis Yönetimlerinde Biyometrik Mesai Takibi Yapanlara Uyarı
Tesis yönetimi sektörü, günümüzde büyük bir zihinsel dönüşüm sürecinden geçiyor. Geleneksel yöntemlerin yerini hızla dijital çözümlere bıraktığı bu dönemde, site, apartman ve plazalarda görev yapan güvenlik, temizlik ve teknik personelin mesai takibi de teknolojik sistemlerle entegre hâle geldi. Parmak izi okuyucular, yüz tanıma sistemleri ve hatta retina/iris tarayıcılar, kâğıt üzerindeki imza föylerinin hantallığını ortadan kaldırmak için sıklıkla tercih edilen donanımlar ve personel devam kontrol sistemleri oldu.
Ancak teknolojinin sunduğu her pratik çözüm, hukuki düzenlemelerle her zaman aynı çizgide buluşmayabiliyor. Nitekim, Kişisel Verileri Koruma Kurumu’na (Kurum) intikal eden ihbar ve şikâyetlerde de en sık karşılaşılan sorunlardan biri, çalışan takibini dijitalleştirme amacıyla kurumların giderek artan ölçüde biyometrik sistemlere yönelmesiydi.
Bu tartışmalara son noktayı koyan gelişme ise, 2 Haziran 2026 tarihli ve 33268 sayılı Resmî Gazete’de yayımlanan Kurul Kararı oldu. KVKK’nın 29/04/2026 tarihinde aldığı 2026/921 numaralı “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı”, sadece genel iş dünyası için değil, profesyonel tesis ve site yönetim şirketleri ve site yönetimleri için de ezber bozan bir nitelik taşıyor.
Esasında Kurul’un biyometrik verilerin işlenmesine ilişkin ilk kararı bu değil. Kurul’un; “Veri sorumlusu tarafından iş yerinde güvenlik kamerası vasıtasıyla ve işe giriş-çıkışlarda yüz tanıma sistemi kullanılması suretiyle kişisel verilerin hukuka aykırı işlenmesi” hakkında 04/08/2022 tarihli ve 2022/797 sayılı ve “İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi” hakkındaki 07/07/2022 tarihli ve 2022/662 sayılı kararlarında da biyometrik verilerin işlenmesine yönelik koşullar belirlenmişti. Bu kararı öncekilerden ayıran husus ise aynı konuyu mesai takibi bakımından ele alarak benzer bir sonuca varıyor olmasıdır.
Profesyonel yönetim, sadece bütçe yapmaktan ibaret değildir; aynı zamanda hukuka, iş sağlığı ve güvenliğine ve kişisel haklara mutlak saygıyı gerektirir. Apsiyon sektörün dijitalleşme vizyonunu kurgularken de en çok üzerinde durduğumuz konu hep veri güvenliği olmuştur.
KVKK’nın 2 Haziran 2026 tarihli yeni ilke kararı ile mesai takibinde parmak izi ve yüz tanıma gibi biyometrik verilerin kullanımı hukuka aykırı bulundu. Site ve tesis yönetimlerinin uyması gereken yeni kurallar, idari ceza riskleri ve yasal alternatifler, mesai takibi parmak izi uygulamaları hakkında KVKK ilke kararı 2026 ile KVKK biyometrik veri hakkında her şey Apsiyon Blog’da!
Tesis ve site yönetimleri olarak, günlük operasyonların şeffaf ve düzenli yürümesi adına personel devam kontrol sistemlerini sıkça kullanıyoruz. Güvenlik, teknik ve temizlik personellerinin vardiya giriş çıkışlarını netleştirmek ve puantaj hesaplamalarını otomatize etmek için parmak izi, yüz tanıma veya iris taraması cihazları yıllardır sektörün vazgeçilmezleri arasında yer aldı. Ancak, dijitalleşmenin pratikliği, veri güvenliği duvarına çarptı.
2 Haziran 2026 tarihli, 33268 sayılı Resmî Gazete’de yayımlanan, Kişisel Verileri Koruma Kurulu’nun (KVKK) 29/04/2026 tarih ve 2026/921 sayılı İlke Kararı, site yönetimlerinin yıllardır süregelen bir alışkanlığını kökünden değiştiriyor. Bu kararın özü şudur: Çalışanların mesai takibini yapmak için parmak izi, yüz tanıma veya iris taraması gibi biyometrik verilerin kullanılması, “açık rıza” alınmış olsa dahi hukuka aykırıdır ve yasaklanmıştır.
Kanunumuzun 6. maddesinde özel nitelikli kişisel veri olarak tanımlanan biyometrik veriler, bir kişinin kimliğini eşsiz biçimde doğrulayan parmak izi, damar izi, yüz geometrisi veya retina haritası gibi, geri döndürülemez fizyolojik özelliklerdir. Bir personelin şifresi çalınırsa yenisiyle değiştirebilirsiniz; ancak parmak izinin kopyalanması hâlinde, kişinin telafisi imkânsız mağduriyetler yaşamasına kapı aralamış olursunuz. Yalnızca işe giriş-çıkış saatini kontrol etmek gibi basit ve dar kapsamlı idari bir hedef için, personelin geri dönülemez biyolojik şifrelerini kopyalamak, Kurul’a göre ölçüsüz ve gereksiz bir müdahaledir.
Bugüne kadar birçok yönetim şirketi, çalışanların işe giriş evrakları arasına bir “açık rıza beyanı” ekleyerek bu sorumluluktan kurtulduğuna inandı. Oysa KVKK İlke Kararı, işçi-işveren arasındaki yapısal güç dengesizliğine dikkat çekmektedir. İşveren (veya site yönetimi) ile işçi arasında eşit bir ilişki yoktur. Çalışanın; “ben parmak izimi vermek istemiyorum” deme özgürlüğü, işini kaybetme veya dışlanma korkusuyla gölgelenmiştir. Rıza göstermemenin olumsuz sonuçlar doğurabileceği böylesi bir istihdam ortamında, personelin sunduğu onay “özgür iradeye” dayanmaz. Dolayısıyla sadece açık rızaya yaslanarak mesai takibi yapmak, sistemi hukuka uygun hâle getirmez.
Ayrıca, açık rıza, ilgili kişi tarafından ayrıca bir gerekçe gösterme zorunluluğu dahi bulunmaksızın dilediği zaman geri alınabilen bir onay türü olduğundan, kişisel verilerin açık rızaya dayanılarak işlenmesi veri sorumlusu bakımından da zorluklara sebep olacaktır.
İşçi-işveren ilişkilerinde işçi-işveren arasındaki yapısal güç asimetrisi sebebiyle çalışanın gözetim mekanizmalarına verdiği rızanın “özgür irade” unsurunu çoğu zaman taşımadığı görüşü baskın olduğundan, Kurul, işini kaybetme korkusuyla imzalanan geniş kapsamlı izleme onaylarını genellikle geçersiz saymaktadır. Dolayısıyla, açık rızaya dayanılan bir takip sistemi, çalışan rızasını her an geri çekebileceği için hem hukuken kırılgan hem de operasyonel olarak sürdürülemez bir zemin doğuracaktır.
KVKK’nın 4. maddesi, verilerin işlendikleri amaçla bağlantılı, sınırlı ve “ölçülü” olmasını emreder. Ölçülülüğün tespitinde bir denge testi yapılması gerekir. İşçilerin biyometrik verilerinin salt takip amacıyla işlenmesi, meşru menfaat dengesini işçi aleyhine bozacaktır. Bu gibi yöntemler, örneğin sadece çalışma saatlerinin kaydı için kullanılacaksa biyometrik verilerin işlendiği takip sistemlerinin ölçülü olmadığı değerlendirilecektir. Eğer aynı amaca PDKS/giriş-çıkış kayıtları gibi daha az müdahaleci yöntemlerle ulaşılabiliyorsa denge testi biyometrik veri işleyen sistemler lehine sonuç vermez. Evvelce yayımlanan Danıştay ve Anayasa Mahkemesi kararlarında da vurgulandığı üzere, mesai takibini sağlamanın daha az müdahaleci yolları zaten mevcuttur. KVKK, yöneticilere biyometrik sistemler yerine ölçülülük ilkesine uygun yöntemleri kullanmalarını zorunlu tutmaktadır.
İnceleme Önerisi: Apsiyon Personel Modülü
Sitenizdeki personellerin; maaş, huzur hakkı, kıdem ve ihbar tazminatı hesaplamalarını hızlı ve kolay bir şekilde yapın. Mali müşavirsiz ve mali müşavir desteği alternatifleriyle ihtiyacınıza en uygun versiyonla ilerleyin.
Bu ilke kararının en can alıcı noktalarından biri, doğrudan idari para cezasına vurgu yapmasıdır. KVKK’nın 12. maddesi kapsamında veri sorumlusu olan site yönetimleri ve yönetim şirketleri, kişisel verileri korumak için gerekli idari ve teknik tedbirleri almak zorundadır. İlke kararına uyum sağlamayan, yani mevcut biyometrik cihazlarını söküp alternatif yöntemlere geçmeyen yönetimler tespit edildiği takdirde, KVKK 18. maddesi uyarınca yüz binlerce lirayı bulabilen ağır idari para cezalarıyla karşı karşıya kalacaklardır.
Sonuç olarak; apartman, site veya tesisinizdeki mevcut parmak izi okuma ve yüz tanıma cihazlarının mesai takibi amaçlı kullanımına derhâl son vermelisiniz. Çalışanların daha önce alınmış tüm biyometrik verilerini geri dönülemez şekilde imha ederek (veri yok edilme prosedürlerine uyarak) çipli/kartlı veya şifreli geçiş sistemlerine entegrasyonu sağlamalısınız. Tesis yönetim sektörünün öncü platformu Apsiyon’un güvenli donanım entegrasyonları, bu hukuki süreci ceza korkusu yaşamadan, operasyonel hızınızı kesmeden yönetmeniz için en ideal yoldur.
İnceleme Önerisi: Apsiyon’un çözümleri ile işinizi kolaylaştırın, yöneticiliğin tadını çıkarın.
Şimdi kararın detaylarını inceleyelim...
Biyometrik tanımlama sistemleri hızlı, doğru ve manipülasyona dirençli (çalışanların birbirinin yerine kart basmasını engelleyen) özellikleriyle cazip görünse de veri mahremiyeti açısından oldukça tehlikeli bir alandır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinde “özel nitelikli kişisel veriler” açık ve sınırlı sayma yoluyla belirlenmiştir ve biyometrik veriler de bu kategorinin en kritik bileşenlerinden biridir.
Peki, hukuk sistemimizde biyometrik veri tam olarak nasıl tanımlanıyor? 5490 Sayılı Nüfus Hizmetleri Kanunu’na göre; “Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü veriler” olarak nitelendiriliyor. Avrupa Genel Veri Koruma Tüzüğü (GDPR) ise bu tanımı daha da genişleterek yüz görüntüleri ve daktiloskopik verileri, yani bir kişinin özgün şekilde teşhis edilmesini sağlayan fiziksel, fizyolojik veya davranışsal özellikleri kapsama alıyor. Nitekim bu husus, Kurum tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de de “kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için; (i) kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı ve (ii) ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır” şeklinde belirtilmektedir.
Pratikte bu veriler fizyolojik (parmak izi, retina, iris), fiziksel (yüz, el geometrisi) ve davranışsal (ses tınısı, klavye kullanım alışkanlıkları) olarak üçe ayrılır. Bu verilere yönelik en önemli unsur, değiştirilemez ve geri döndürülemez olmalarıdır. İşlenen kişisel verilerden birçoğu değiştirilebilir. Örneğin adres, telefon numarası, hatta isim ve soy ismi dahi değiştirilebilen verilerken parmak izini veya retina haritasını değiştirme imkânı bulunmamaktadır. Kurul kararında da belirtildiği üzere, bu gibi biyometrik verilerin ele geçirilmesi durumunda ilgili kişilerin ciddi mağduriyetler yaşaması muhtemeldir.
Site Yönetimi veya Yönetim Şirketleri Kat Maliki ve Kiracıların Kişisel Verilerini Paylaşabilir mi?
Kanun’un 6’ncı maddesinin üçüncü fıkrası, özel nitelikli kişisel verilerin işlenmesini kural olarak yasaklar, ancak istisnai hâllerde buna izin verir. Site yönetimleri ve tesis yönetim şirketleri bugüne kadar biyometrik mesai takibi yaparken genellikle (a) bendine, yani “ilgili kişinin açık rızasının olması” şartına sığınıyorlardı. Personel işe girerken, iş sözleşmesinin yanına bir de “parmak izimin mesai takibi için kullanılmasına açık rızam vardır” şeklinde bir muvafakatname iliştiriliyordu.
İşte KVKK’nın 2026 tarihli İlke Kararı tam da bu noktaya, yanıltıcı bir güven duygusu yaratan bu “açık rıza” kalkanına çok ağır bir darbe indiriyor. Kanun’a göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Ancak işçi ve işveren (ya da işveren vekili konumundaki site yönetimi) ilişkisinde bariz bir “yapısal güç dengesizliği” mevcuttur.
Tarafların eşit konumda olmadığı bu istihdam ilişkisinde, çalışana rıza göstermeme veya rızasını sonradan geri çekme hakkı etkin bir biçimde sunulamaz. Bir güvenlik görevlisi, “ben yüzümü okutmak istemiyorum, kanuni hakkımı kullanacağım” dediğinde, işini kaybetme korkusu veya iş yerinde mobbinge uğrama endişesi taşır. Rıza göstermemenin olumsuzluk doğuracağı bir ortamda “özgür iradeden” ve dolayısıyla geçerli bir “açık rızadan” söz edilemez. Kurul ayrıca, çalışanın sonradan rızasını geri almasının, mesai takip sisteminin sürekliliğini bozacağını belirterek, yalnızca açık rızaya dayanarak biyometrik veri işlemenin hukuki bir zemin oluşturmayacağını açıkça ilan etmiştir.
Konu salt bir KVKK Kurulu değerlendirmesinden ibaret değil; yüksek yargının bu konudaki duruşu da oldukça nettir. Anayasa Mahkemesi Genel Kurulunun 10/03/2022 tarihli kararına konu olan bir olayda (Başvuru No: 2018/11988), bir belediyede devlet memuru olarak çalışan kişi, parmak iziyle mesai takibine karşı dava açmış ve süreç AYM’ye taşınmıştır. AYM, ilgili mevzuatlarda (Devlet Memurları Kanunu ve Belediye Kanunu) mesai takibi için biyometrik sistemlerin kullanılmasına dair temel esasları belirleyen bir düzenleme bulunmadığından, bu müdahalenin kanunilik şartını sağlamadığına ve özel hayata saygı hakkının ihlal edildiğine hükmetmiştir.
Keza, Danıştay 12’nci Daire Başkanlığının 2021/3870 Esas sayılı kararına konu olan, bir sendikanın mesai takibinde “avuç içi damar okuyucu” sisteminin iptali talepli davasında da benzer bir yaklaşım sergilenmiştir. Danıştay İdari Dava Daireleri Kurulu da KVKK Madde 4’teki ilkelere atıf yaparak, mesai takibi için bu denli özel nitelikli verilerin işlenmesini gereksiz ve hukuka aykırı bulmuştur.
Apartman ve Site Yönetimleri, Yöneticileri Kişisel Verileri Koruma Kanunu Açısından Sorumlu mu?
4857 Sayılı İş Kanunu’nun 63., 67. ve 75. maddeleri işverene personelin özlük dosyasını tutma ve çalışma sürelerini, başlama ve bitiş saatlerini belgeleme yükümlülüğü getirir. Ancak mevzuat, çalışma sürelerinin “nasıl” takip edileceğine dair -özellikle de biyometrik veri kullanılması gerektiğine dair- açık bir kanuni düzenleme barındırmaz.
İşte bu noktada KVKK’nın “Genel İlkeler” başlıklı 4’üncü maddesi devreye girer. Kişisel veriler işlenirken “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” zorunluluğu vardır. Mesai takibi, temelde personelin işe saat kaçta gelip saat kaçta çıktığını kaydetmek gibi son derece sınırlı ve basit bir idari amaçtır. Böylesine basit bir amaca ulaşmak için, çalışanın geri döndürülemez fizyolojik yapısını kopyalamak; müdahalenin yoğunluğu ile ulaşılmak istenen amaç arasındaki makul dengeyi tamamen yıkar.
Kurul kararında çok net ifade edildiği üzere; mesai takibi amacıyla biyometrik veri işlenmesi, açık rıza olsa dahi KVKK’nın 4’üncü maddesindeki “ölçülülük” kriterini sağlamaz. Verilerin kötüye kullanılma ihtimali göz önüne alındığında bu yöntem, hukuka ve dürüstlük kurallarına aykırıdır.
Peki, binalarımızda çalışan personelin devamlılığını, iş disiplinini ve hak edişlerini hesaplarken hangi araçları kullanacağız? Karar, “amaca yönelik en az müdahaleci yöntemin” seçilmesini zorunlu kılıyor.
Kurul, biyometrik tanımlama sistemleri yerine tercih edilmesi gereken ve hukuka uygun kabul edilen alternatif yolları şu şekilde listelemiştir:
Türkiye pazarında 25 bin site/apartmanda 1,7 milyonun üzerinde konuta ve 4 milyonun üzerinde kullanıcıya hizmet vererek sektörün öncüsü konumunda olan Apsiyon’un, yöneticilere sunduğu Apsiyon Geçiş Kontrol Sistemleri bu noktada cankurtaran görevi görmektedir. Personelinizin mesaiye geliş ve ayrılış kayıtlarını, Apsiyon yazılımına entegre edilebilen kart okuyucular, QR okuyucular ile tamamen yasal sınırlarda kalarak yapabilirsiniz.
Apsiyon Geçiş Kontrol Sistemleri
Apsiyon ile güvenliği de tek bir yazılımda takip edin!
Yaşam alanlarına yapılan girişleri QR kod ile hızlandırın!
QR ile Geçiş Sistemi sayesinde; site sakinleriniz Apsiyon Mobil Uygulaması'yla, çalışanlarınız, ziyaretçi ve kuryeler telefonlarına gönderilen QR kod aracılığıyla, kart kullanmadan kapı ve turnikelerden güvenle geçiş yapıyor.
Tesis yöneticileri, aldıkları kararların sadece operasyonel değil, aynı zamanda ciddi mali yaptırımları olduğunun bilinciyle hareket etmek zorundadır. Kanun’un 12’nci maddesinin birinci fıkrası uyarınca veri sorumlusu (ki apartman ve site yönetimleri veri sorumlusu sıfatını taşır), kişisel verilerin hukuka aykırı işlenmesini önlemekle yükümlüdür.
KVKK’nın 15’inci maddesi kapsamında alınan bu “İlke Kararına” uymamakta direnen ve “ben personelden muvafakatname aldım, parmak izi almaya devam edeceğim” diyen yöneticileri büyük bir tehlike bekliyor. Kurul açıkça uyarıyor: Bu tedbirlere uygun hareket edilmediğinin tespiti hâlinde, ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi gereği çok ciddi idari para cezaları uygulanacaktır.
Apsiyon Akademi Eğitimleri'nde hep altını çizdiğimiz gibi: Bilgisizlik, kanuna karşı mazeret değildir. Söz konusu kararı aşağıdaki linkte bulabilirsiniz.
İnceleme Önerisi: KVKK’nın 2026/921 Numaralı Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı
Özetle, mesai takibi amacıyla çalışanların parmak izi, yüz tanıma veya göz taraması gibi biyometrik verilerinin alınması, KVKK’nın 2 Haziran 2026 tarihli son kararıyla kesin ve tartışmasız bir şekilde hukuka aykırı bulunmuştur. Site yönetimleri olarak, mevcut biyometrik okuyucularınızı derhâl RFID/NFC kartlı, QR kod okuyuculu sistemlerle değiştirmeli ve sistemdeki eski biyometrik verileri güvenli bir şekilde imha etmelisiniz.
Sektörümüzün zihinsel dönüşümü, dijitalleşmenin ancak insan haklarına ve hukuka saygılı olduğunda sürdürülebilir bir başarıya ulaşacağı gerçeğini kabul etmekle başlar.
Tesislerimizi yapay zekâ dönemiyle tanıştıran Apsiyon’un yasal mevzuata tam uyumlu, ölçülü ve güvenli yönetim altyapısıyla çalışmak, yöneticileri tüm bu operasyonel ve cezai risklerden koruyan en akılcı çözümdür.
Muhtemelen bu yazımızı okumayan apartman ve site yönetimleri ile profesyonel tesis yönetimlerine yazacağımız bir sonraki yazının başlığı “Tesis Yönetiminde Personel Takibi ve KVKK: Biyometrik Veri İşlenmesinde Yapılan Büyük Hatalar” olacaktır.
O sebeple bu yazımızı sektördeki tüm yönetimlere, şirketlere, yönetici ve müdürlere öneriniz.
Yeni mevzuat değişikliklerinin sektörümüze hayırlı olmasını diler, güvenli yönetimler temenni ederiz.
İndirme linkini gönderebilmemiz için bilgilerinizi girin.
Kapat