Biyometrik PDKS ve KVKK: Parmak İzi, Yüz Tanıma Yasal mı?

KVKK Madde 6: 'kişilerin sağlığı, cinsel hayatı, biyometrik ve genetik verileri özel nitelikli kişisel veridir'. GDPR Art. 9 paralel kuralı koyar. 'Özel nitelikli' veri için Madde 6/2-3: açık rıza veya kanunda öngörülen amaç. İşçi-işveren ilişkisinde açık rıza 'baskı altında' sayılabilir — bu nedenle Avrupa Veri Koruma Otoritesi (EDPB) Guidelines 03/2019 işyerinde biyometrik kullanım için 'işveren açık rıza meşru değil' yorumu yapıyor.

Kişisel Verileri Koruma Kurulu birkaç önemli karar: 2019/52, 2020/138, 2021/55 — parmak izi PDKS sistemi 'orantısız işleme' olarak değerlendirilmiş, idari para cezası uygulanmıştır. Kurul yaklaşımı: 'amaç (giriş-çıkış kayıt) parmak izi olmadan da gerçekleştirilebiliyorsa biyometrik veri işlemek meşru değildir'. Manyetik kart veya QR kod yeterli kabul edilir.

Türkiye Anayasa Mahkemesi 2019/24199 sayılı Bireysel Başvuru kararı: işveren tarafından parmak izi alınması işçinin Anayasa Madde 20 (özel hayatın gizliliği) ihlali olabilir; ölçüt 'orantılılık testi'. AYM bu yaklaşımı 2021/4856 kararıyla netleştirdi — alternatif yöntemler varken biyometrik tercih edilirse ihlal sayılır.

Yüz tanıma teknolojisi (Face Recognition Technology, FRT) parmak izinden daha güçlü tanımlayıcı — kamera ile uzaktan çekilebilir, çalışan onayı olmadan toplanabilir. AB AI Act (Regulation 2024/1689) yüksek riskli AI sistemleri listesinde 'işyerinde duygu/davranış analizi' yasaklı (Art. 5), 'biyometrik tanımlama' kapsamlı sınırlandırılmış. NIST Face Recognition Vendor Test (FRVT) farklı etnik gruplar arasında doğruluk eşitsizliği ölçtü — yüz tanıma 'objektif değil' iddiası bilimsel destekli.

KVKK Madde 5/2 ve GDPR Art. 7(3): açık rıza her zaman geri çekilebilir. Çalışan biyometrik PDKS'ye onay verdi, sonra geri çekti — işveren alternatif (kart, mobil PDKS) sunmak zorunda. Aksi takdirde Madde 11 'iddia hakkı' KVKK Kurul'a şikâyet yolu açar. Bu nedenle pratikte biyometrik PDKS = işveren için sürekli risk.

Mobil PDKS + geofence (lokasyon onayı), QR kod (her vardiya günlük üretilen), NFC kart (manyetik veri biyometrik değil), Apple Watch / akıllı saat 'tap to clock' — hepsi biyometrik-dışı, KVKK uyumlu. NIST 'Authentication Assurance Levels' (NIST SP 800-63) bu yöntemleri AAL1-AAL2 seviyesinde standart kabul eder.

Yüksek güvenlik endüstrisinde biyometrik zorunluysa: (a) DPIA (Veri Koruma Etki Değerlendirmesi) yazılı yapılmalı. (b) Açık rıza + alternatif yöntem (kart) ile birlikte sunulmalı. (c) Veri yerel cihazda hash'lenip saklanmalı, merkezi DB'de raw bulundurulmamalı (ISO/IEC 24745 'Biometric Information Protection' standardı). (d) Saklama süresi sözleşme + 3 yıl gibi minimum. (e) 3. tarafa aktarım yasak. KontrolJet PDKSjet bu mimariyi destekler — ancak Türkiye standart kullanıcı için biyometrik-dışı modelleri tavsiye eder.