AI Yüz Tanıma ve AB AI Act 2026: PDKS Yüksek Risk Sınıflandırması

Avrupa Parlamentosu ve Konseyi 13 Mart 2024 tarihli Regulation (EU) 2024/1689 yapay zeka sistemlerinin AB içinde uyumlu pazarlanması ve kullanımı için kapsamlı çerçeveyi getirdi. AI Act risk bazlı yaklaşım kullanıyor: (1) Yasak uygulamalar (Md.5), (2) Yüksek riskli sistemler (Md.6 + Annex III), (3) Sınırlı risk (Md.50 — şeffaflık), (4) Minimum risk (kod davranış yönetmelikleri önerilir). Yürürlük kademeli: yasaklar Şubat 2025, GPAI Ağustos 2025, yüksek riskli sistemler Ağustos 2026 başta olmak üzere kademeli. Türkiye AB üyesi değil ama AB pazarına AI sistemi sunan Türk şirketler için uyum zorunlu.

AI Act Madde 5 sekiz uygulama kategorisini tamamen yasakladı. PDKS bağlamında en kritik olanlar: (a) Madde 5(1)(h) — kamuya açık alanlarda kolluk amacıyla 'gerçek zamanlı uzaktan biyometrik tanıma' (terör, ciddi suç vb. dar istisnalar dışında), (b) Madde 5(1)(f) — işyeri ve eğitim kurumlarında duygu tanıma sistemleri (sağlık veya güvenlik amaçlı dar istisnalar dışında). 'Duygu tanıma yasağı' önemli: çalışan stres seviyesi, motivasyon, dikkat odaklı AI sistemleri işyerinde yasak. Yalnızca 'fiziksel yorgunluk için güvenlik' (örnek: ağır iş makinesi operatörünün uyku tespiti) istisna olarak kabul.

İşyeri biyometrik PDKS sistemleri AI Act Annex III madde 1(a) 'biometric identification' ve madde 4(a) 'employment, workers management, access to self-employment' kapsamında çift yüksek risk sınıflandırması alıyor. Yüksek riskli sistem yükümlülükleri (Md.8-15): risk yönetim sistemi, veri kalitesi yönetimi, teknik dokümantasyon, otomatik log kaydı, şeffaflık + kullanıcı bilgilendirme, insan denetimi (human oversight), doğruluk + sağlamlık + siber güvenlik. Madde 26-27 'deployer' (kullanıcı işveren) yükümlülükleri: belgelendirme, çalışan bilgilendirme, Fundamental Rights Impact Assessment (FRIA) — özellikle kamuya hizmet veren işverenler için. Ağustos 2026 yürürlük tarihi yaklaşıyor — yüksek riskli AI envanteri şimdi yapılmalı.

Türkiye'de biyometrik PDKS için hukuki sebep tartışması KVKK 2024-2026 kararları çerçevesinde netleşti: 6698 Md.6 özel nitelikli veri için 'açık rıza' tek pratik yol. Meşru menfaat (Md.5/2-f) genel kişisel veri için geçerli ama özel nitelikli için yetersiz. Buna karşın AI Act Madde 26 'deployer' yükümlülüğü açıkça FRIA + DPIA + meşru menfaat değerlendirmesi istiyor — yani açık rıza alınmış olsa bile AB'de faaliyet gösteren işverenin orantılılık + gereklilik + alternatif sunma değerlendirmesini yazılı yapması gerekiyor. KVKK 2025-2026 kararları bu yöne meylediyor: 'açık rıza şart ama yeterli değil, meşru menfaat dengesi kanıtlanmalı'.

AI Act Madde 14 'human oversight' (insan denetimi) yüksek riskli AI sistemleri için zorunlu — çalışan AI kararına itiraz hakkına sahip olmalı. Biyometrik PDKS bağlamında: (1) yüz tanıma kabul etmeyen çalışana eşit erişimli alternatif (kart/PIN/mobil) sunulmalı, (2) sistem yanlış red verirse manuel doğrulama prosedürü olmalı, (3) çalışan kendi biyometrik kaydına erişim + itiraz + silme hakkı, (4) AI karar verme süreci 'açıklanabilir' olmalı (xAI). 'Consent or alternative' prensibi KVKK + AI Act'ta paralel — birbirini güçlendiriyor. PDKSjet biyometrik modülü tasarımı bu çerçeveye uyumlu: alternatif zorunlu açık, manuel doğrulama 2 dakika içinde, çalışan self-service silme tek tıkla.

AI Act Madde 14(4) ve KVKK Md.11 birlikte çalışanın AI tabanlı PDKS kararına itiraz hakkını koruyor. Standart itiraz prosedürü: (1) çalışan kayıt hatasını sistem üzerinden bildirir (5 saniye), (2) sistem otomatik audit log üretir, (3) yönetici 24 saat içinde inceler, (4) düzeltme yapılırsa eski kayıt + neden + onay zinciri saklanır (CCOO 'audit trail' kriteri), (5) çalışan sonucu KEP onaylı tutanak olarak ister. PDKSjet AI uyum paketi tasarımı: biyometrik modül yalnız aktive edilemiyor, alternatif eş zamanlı açık olmak zorunda; her AI kararı 'açıklanabilirlik' bayrağı taşıyor (hangi şablon eşleşti, eşik %X). KOBİ için Ağustos 2026 yürürlük öncesi yüksek riskli AI envanteri ve FRIA hazırlığı kritik.