Biometrik PDKS 2026: KVKK İdari Para Cezası Kararları ve Yüz Tanıma

Kişisel Verilerin Korunması Kanunu (6698) Madde 6 biyometrik verileri 'özel nitelikli kişisel veri' kategorisine alıyor. Genel kişisel veri işleme şartları (Md.5) yeterli değil — özel nitelikli veri için ayrıca: (a) açık rıza, ya da (b) kanunlarda öngörülen istisnalar (sağlık ve cinsel hayat dışındaki veriler için). PDKS bağlamında işyerinde yüz tanıma + parmak izi kanunla öngörülmediği için yalnızca açık rıza meşru kılar. Açık rıza ise 'özgür iradeyle, belirli bir konuya ilişkin, bilgilendirmeye dayalı' olmak zorunda — istihdam ilişkisinde 'rıza vermezsen işe alınmazsın' baskısı altında alınan rıza özgür sayılmaz.

KVK Kurumu Karar Özetleri sayfasında 2024-2026 döneminde biyometrik PDKS ile ilgili 10'u aşkın idari para cezası kararı yayımlandı. Temel bulgu örüntüleri: (1) 'Çalışana alternatif yöntem sunulmadan biyometrik yöntem dayatılması' — açık rıza alınsa bile özgür irade ihlali (örnek: 2024/892 sayılı Karar). (2) 'Biyometrik veri saklama süresi orantısız ve geri dönüşsüz silme prosedürü yok' (örnek: 2024/1247 sayılı Karar). (3) 'Şablon merkezi sunucuda hash'lenmemiş ham olarak saklanmış' (örnek: 2025/304 sayılı Karar). Para cezaları işverenin cirosuna göre 250.000 TL ile 8.000.000 TL arasında değişiyor.

Avrupa Veri Koruma Kurulu (EDPB) 12 Mayıs 2022 tarihli 5/2022 sayılı Guidelines (yüz tanıma teknolojileri için GDPR uyum çerçevesi) hem AB hem de Türkiye için referans niteliğinde. GDPR Madde 9 biyometrik veriyi özel kategori kabul ediyor (6698 ile paralel). Rehberin işyeri bağlamı için ana mesajları: (a) yüz tanıma 'high risk processing' — DPIA (Veri Koruma Etki Değerlendirmesi) zorunlu, (b) amaç sınırlaması katı — PDKS verisi pazarlama/performans değerlendirme amaçlı kullanılamaz, (c) çalışan eşit erişimli alternatif zorunlu, (d) edinilmiş şablon kimliği tespit edilebilir değilse pseudonymized sayılır (irreversibilite kanıt yükü işverende).

KVK Kurumu 2024-2026 kararlarında en sık çıkan görüş: açık rıza alınmış olsa bile çalışana eşit erişimli alternatif yöntem sunulmalı — aksi halde rıza özgür sayılmaz. Pratikte bu 'consent or alternative' prensibi olarak biliniyor. Alternatifin 'sembolik' olmaması gerekiyor; örneğin '50 katlı binada parmak izi var ama isteyen 3 katlı yan ofise giderek manuel imza atabilir' tipi yapay alternatifler kabul edilmiyor. Standart alternatif paketi: (1) RFID kart, (2) 6 haneli PIN + ID, (3) mobil uygulama check-in (QR + GPS), (4) sicil numarası ile manuel terminal. Çalışana 3-5 alternatiften istediğini seçme hakkı.

Biyometrik şablon (parmak izi veya yüz vektörü) ham görüntü olarak değil matematiksel temsil olarak saklanmalı. ISO/IEC 19794 serisi (parmak izi, yüz, iris veri formatları) ve ISO/IEC 24745 (biyometrik bilgi koruma) bu konuda uluslararası standart. Kritik gereksinimler: (a) şablon 'cancellable biometrics' yöntemi ile her sisteme özel hashlenmiş olmalı — bir sistemden sızsa diğer sisteme açar değil, (b) şablon ile orijinal görüntü arasında geri dönüş matematiksel olarak imkânsız (irreversibilite), (c) anahtar yönetimi HSM (Hardware Security Module) seviyesinde, (d) merkezi sunucu yerine 'on-device' (terminal cihazda) saklama tercih edilir. Türkiye'de IT denetiminde ISO 27001 ek olarak ISO/IEC 24745 sertifikası bekleniyor.

Biyometrik PDKS için audit log zorunlu: kim ne zaman çekti, kim sistemine bağlandı, kim şablon silme/değiştirme yaptı. 6698 Md.11 çalışana 'verilerime erişim, düzeltme, silme, işleme itiraz' hakları veriyor. PDKSjet biyometrik modülünde her çalışan kendi şablonunun saklama süresini görür, açık rıza geri çekme tek tuşla — sistem 30 gün içinde geri dönüşsüz silme yapar ve KEP onaylı silme tutanağı verir. Çalışan ayrılınca otomatik silme tetiklenir. PDKSjet biyometrik modülü ISO/IEC 24745 uyumludur ve KVKK 2024-2026 karar örüntülerini dikkate alarak 'consent or alternative' mimarisine zorlar — yönetici biyometrik yalnız yöntemi aktive edemez, en az 2 alternatif eş zamanlı açık olmalı.