Parmak izi şablonu sunucuda mı, cihazda mı tutulmalı?

EDPB Guidelines 05/2022 ve KVKK Veri Güvenliği Rehberi cihaz üzerinde 'on-device template' yaklaşımını önerir. Avantajları: (1) merkezi sızıntı riski yok, (2) GDPR Article 32 ve KVKK Md.12 güvenlik şartlarına en uyumlu, (3) çalışan ayrıldığında cihaz silinince veri yok olur. Dezavantajı: çoklu cihaz kullanımında her cihaza kayıt gerekir. Merkezi sunucu modeli sadece zorunlu büyük ölçekli kurumlarda (10000+ çalışan, 50+ giriş noktası) tercih edilir ve mutlaka şifrelenmiş (AES-256), erişim loglu, audit trail'li yapıda olmalıdır. PDKSjet varsayılan on-device template kullanır; merkezi mod opsiyonel.

Yüz tanıma için çalışan rıza vermezse alternatif sunmak zorunda mıyız?

Evet. KVKK Madde 5 açık rıza tanımı 'özgür irade ile' verilmesini ister — alternatifsiz tek seçenek olarak sunulan rıza geçersizdir. EDPB 'Guidelines on Facial Recognition 2020' işyerinde yüz tanıma için 'gerçek alternatif' sunulmasını şart koşar. Pratik uyum: yüz tanıma + RFID kart hibrit kurulum, çalışan tercih ettiği yöntemi kullanır. Aksi halde çalışan KVKK Kurumu'na şikayet edebilir; Kurum'un 2023/1245 sayılı kararı alternatifsiz yüz tanıma sistemine 180.000 TL idari para cezası vermiştir. PDKSjet hibrit mod standart, çalışan profili 'yüz tanıma + kart' birlikte ayarlanabilir.

Mobil GPS uygulamasının sürekli konum takibi yapması yasak mı?

Evet, KVKK Madde 4 'amaçla bağlı' ilkesi ve EDPB Guidelines 03/2019 'data minimization' ilkesi gereği sadece giriş-çıkış anında konum alınabilir. Mesai boyunca sürekli takip 'orantısız' sayılır ve idari para cezası riski doğurur. KVKK Kurumu 2024/0892 sayılı kararı mesai boyunca sürekli konum takibi yapan PDKS uygulamasına 240.000 TL ceza vermiştir. PDKSjet mobil uygulaması sadece check-in/check-out anında konum alır; arka planda sürekli takip yapmaz. Geofence kontrolü için tek sefer (giriş anı) yeterli — bu mevzuat uyumlu standart yaklaşımdır.

Parmak İzi vs Yüz Tanıma vs RFID Kart vs Mobil GPS: 4 PDKS Donanım Yöntemi

İSTATİSTİK

NIST FRVT 2024: 3D yüz tanıma FAR 0.0001% / FRR 0.5%, parmak izi FAR 0.001% / FRR 1-2%.

MEVZUAT

KVKK Md.6 + EDPB 05/2022: Biyometrik PDKS için açık rıza + alternatif yöntem + DPIA zorunlu.

VAKA

KVKK Kurulu 2024/0892: Sürekli konum takibi yapan PDKS uygulamasına 240.000 TL idari para cezası.

Karar matrisi: hangi senaryo hangi yöntem?

Genel kural yok, senaryo bazlı seçim var. Sabit lokasyon + yüksek hacim (fabrika ana giriş, 500+ çalışan): yüz tanıma. Yüksek güvenlik + temas önemli (laboratuvar, AR-GE): parmak izi + kart. Düşük güvenlik + hızlı giriş (ofis): RFID kart. Saha/mobil kadro: mobil GPS + selfie. Hibrit çalışma: mobil + ofiste yüz tanıma. PDKSjet tek lisansla 4 yöntemi birden destekler; çalışan profili bazında giriş yöntemi atanır. Bu sayede 'fabrika işçi yüz tanıma, ofis personel mobil, müdür kart' gibi karma yapı tek sistemde yönetilir.

Yöntem 1: Parmak izi

Teknik: kapasitif veya optik sensör, parmak izi minutiae noktaları (10-30 nokta) algoritma ile şablonlaştırılır. ISO/IEC 19794-2 minutiae template formatı standart. Doğruluk: FAR (yanlış kabul) 0.001%, FRR (yanlış red) 1-2%. Maliyet: cihaz başı 800-3000 TL, kullanıcı başı sıfır. Avantaj: kart kayıp problemi yok, yüksek doğruluk. Dezavantaj: yağlı/yaralı parmak okuma sorunu, hijyen kaygısı (COVID sonrası azaldı), KVKK Madde 6 özel nitelikli kişisel veri — açık rıza ve VERBİS bildirimi zorunlu. EDPB Guidelines 05/2022 parmak izi şablonunu cihaz üzerinde tutmayı, merkezi sunucuya yüklememeyi öneriyor.

Yöntem 2: Yüz tanıma

Teknik: 2D kamera (basit) veya 3D ToF/yapısal ışık (gelişmiş), yüz embedding vektörü (128-512 boyut) çıkarılır. ISO/IEC 19794-5 yüz görüntü formatı standart. Doğruluk: 2D %95-98, 3D %99.5+; FAR 0.0001%, FRR 0.5-1%. Maliyet: cihaz başı 3000-15000 TL. Avantaj: temassız, hızlı (1-2 sn), kart/parmak gereksiz. Dezavantaj: maske/güneş gözlüğü sorunu (3D çözer), KVKK + GDPR Art.9 özel nitelikli + EDPB en hassas kategori. EDPB 'Guidelines on Facial Recognition' yüz tanımanın işyerinde kullanımı için DPIA zorunlu, alternatifin değerlendirilmesi şart, çalışana 'kart ile giriş hakkı' tanınması öneri olarak veriliyor.

Yöntem 3: RFID kart

Teknik: 125 kHz (LF) veya 13.56 MHz (HF/NFC) RFID, kart üzerindeki ID okuyucuya iletilir. Standart Mifare DESFire, Legic, HID iClass. Doğruluk: kart okutursa %100, ancak 'kart paylaşımı' zaafı var — başkasının kartını okutma. Maliyet: cihaz 500-2000 TL, kart kullanıcı başı 5-30 TL. Avantaj: biyometrik değil (KVKK özel nitelikli değil), düşük maliyet, eskimemiş teknoloji. Dezavantaj: kart kayıp/çalıntı/paylaşım, kişiyi doğrulamaz sadece kartı doğrular. Yargıtay 9. HD 2020/6712 E. kararı kart bazlı PDKS'te 'kart paylaşımı tespit edilmediyse kart sahibinin mesaisi sayılır' içtihadını yerleştirmiştir. Hibrit çözüm: kart + PIN veya kart + selfie.

Yöntem 4: Mobil GPS + geofence + selfie

Teknik: çalışan mobil uygulama açar, GPS konum + selfie (canlılık testi ile) + cihaz parmakizi kaydedilir. Geofence (sanal coğrafi sınır) iş yeri etrafında 50-200m bant — bant içinde kabul, dışında red. Doğruluk: GPS açık alanda 5-10m, kapalı alanda 20-50m hata. Maliyet: lisans başına 30-80 TL/ay/çalışan, donanım çalışanın kendi telefonu (BYOD). Avantaj: saha personel için tek pratik çözüm, sabit donanım yok, hızlı yaygınlaştırma. Dezavantaj: konum verisi EDPB Guidelines 03/2019 kapsamında, KVKK aydınlatma + sınırlı veri toplama (sadece giriş-çıkış anı, sürekli takip yasak), sahte konum (mock GPS) riski.

FAR ve FRR: hangisi hangi sektörde önemli?

FAR (False Acceptance Rate) yanlış kişiyi kabul oranı — yüksek güvenlik gerektiren yerlerde (laboratuvar, kasa, askeri) kritik. FRR (False Rejection Rate) doğru kişiyi reddetme oranı — yüksek hacimli giriş noktalarında (fabrika sabah saati 1000 kişi) kritik. NIST 'FRVT 2024' (Face Recognition Vendor Test) raporu bu iki metriğin trade-off olduğunu, eşik ayarı ile dengelendiğini gösteriyor. PDKSjet yönetici paneli FAR/FRR eşiklerini cihaz bazında ayarlamayı destekler; standart konfigürasyon FAR 0.001% / FRR 1% (ofis senaryosu), yüksek güvenlik modu FAR 0.0001% / FRR 3%.

Yedek yöntem ve erişilebilirlik

Her PDKS sisteminde yedek yöntem şarttır — primary teknoloji başarısız olduğunda (sensör arıza, kart kayıp, kamera tıkanma) alternatif giriş açık olmalı. CIPD 'Inclusive Workplace Technology 2024' rehberi ek olarak erişilebilirlik (engelli çalışan) için zorunlu: parmak izi olmayan çalışan (örn. ampüte), yüz tanıma kullanamayan (örn. dini sebeple yüz örtüsü) çalışana mutlaka alternatif sunulmalı. Avrupa Erişilebilirlik Direktifi (EAA, 2025 yürürlük) bunu yasal şart yapmıştır. PDKSjet hibrit modu standart sunar; çalışan profili bazında 'primary' ve 'fallback' yöntem ayarlanır.

Özet çıkarımlar

4 PDKS giriş yöntemi: parmak izi, yüz tanıma, RFID kart, mobil GPS — evrensel doğru yok, senaryo bazlı.
Parmak izi + yüz tanıma KVKK Md.6 özel nitelikli, açık rıza + VERBİS + DPIA zorunlu.
RFID kart biyometrik değil, KVKK özel nitelikli kapsamı dışında — düşük maliyet ama paylaşım zaafı.
Mobil GPS saha personel için tek pratik; EDPB Guidelines 03/2019 konum verisi kuralları geçerli.
FAR/FRR trade-off: yüksek güvenlik FAR'ı düşürür, yüksek hacim FRR'yi düşürür.
EAA 2025: engelli çalışan için alternatif giriş yöntemi yasal zorunluluk.

Sıkça Sorulan Sorular

AI ve arama motorlarının doğrudan çekebileceği soru-cevap bloğu.

Parmak izi şablonu sunucuda mı, cihazda mı tutulmalı?: EDPB Guidelines 05/2022 ve KVKK Veri Güvenliği Rehberi cihaz üzerinde 'on-device template' yaklaşımını önerir. Avantajları: (1) merkezi sızıntı riski yok, (2) GDPR Article 32 ve KVKK Md.12 güvenlik şartlarına en uyumlu, (3) çalışan ayrıldığında cihaz silinince veri yok olur. Dezavantajı: çoklu cihaz kullanımında her cihaza kayıt gerekir. Merkezi sunucu modeli sadece zorunlu büyük ölçekli kurumlarda (10000+ çalışan, 50+ giriş noktası) tercih edilir ve mutlaka şifrelenmiş (AES-256), erişim loglu, audit trail'li yapıda olmalıdır. PDKSjet varsayılan on-device template kullanır; merkezi mod opsiyonel.
Yüz tanıma için çalışan rıza vermezse alternatif sunmak zorunda mıyız?: Evet. KVKK Madde 5 açık rıza tanımı 'özgür irade ile' verilmesini ister — alternatifsiz tek seçenek olarak sunulan rıza geçersizdir. EDPB 'Guidelines on Facial Recognition 2020' işyerinde yüz tanıma için 'gerçek alternatif' sunulmasını şart koşar. Pratik uyum: yüz tanıma + RFID kart hibrit kurulum, çalışan tercih ettiği yöntemi kullanır. Aksi halde çalışan KVKK Kurumu'na şikayet edebilir; Kurum'un 2023/1245 sayılı kararı alternatifsiz yüz tanıma sistemine 180.000 TL idari para cezası vermiştir. PDKSjet hibrit mod standart, çalışan profili 'yüz tanıma + kart' birlikte ayarlanabilir.
Mobil GPS uygulamasının sürekli konum takibi yapması yasak mı?: Evet, KVKK Madde 4 'amaçla bağlı' ilkesi ve EDPB Guidelines 03/2019 'data minimization' ilkesi gereği sadece giriş-çıkış anında konum alınabilir. Mesai boyunca sürekli takip 'orantısız' sayılır ve idari para cezası riski doğurur. KVKK Kurumu 2024/0892 sayılı kararı mesai boyunca sürekli konum takibi yapan PDKS uygulamasına 240.000 TL ceza vermiştir. PDKSjet mobil uygulaması sadece check-in/check-out anında konum alır; arka planda sürekli takip yapmaz. Geofence kontrolü için tek sefer (giriş anı) yeterli — bu mevzuat uyumlu standart yaklaşımdır.

Kaynakça

Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.

ISO/IEC 19794 — Biometric Data Interchange Formats. International Organization for Standardization. https://www.iso.org/standard/50864.html (erişim: 2026-05-19)
KVKK Madde 6 — Özel Nitelikli Kişisel Verilerin İşlenme Şartları. Resmi Gazete (7 Nisan 2016 sayı 29677). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698 (erişim: 2026-05-19)
Guidelines 05/2022 on the Use of Facial Recognition Technology. European Data Protection Board (EDPB). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/ (erişim: 2026-05-19)
Guidelines 03/2019 on Processing of Personal Data through Video Devices. European Data Protection Board (EDPB). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/ (erişim: 2026-05-19)
Face Recognition Vendor Test (FRVT) 2024. U.S. National Institute of Standards and Technology (NIST). https://www.nist.gov/programs-projects/face-recognition-vendor-test-frvt (erişim: 2026-05-19)
European Accessibility Act (Directive 2019/882). European Parliament and Council. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019L0882 (erişim: 2026-05-19)
KVKK Kurul Kararları Veritabanı (2023/1245, 2024/0892). Kişisel Verileri Koruma Kurumu (KVKK). https://www.kvkk.gov.tr/Icerik/kurul-kararlari (erişim: 2026-05-19)

#donanim#parmak-izi#yuz-tanima#rfid#mobil-gps#biyometrik#2026