KVKK ve biyometrik veri yüz tanıma

Yüz Tanımada KVKK Uyumluluğu: Biyometrik Veri Yönetimi Rehberi

Yüz tanıma sistemi kurmak isteyen kurumların en sık sorduğu soru şudur: “KVKK’ya uygun mu?” Yanıt, nasıl uygulandığına bağlıdır. Biyometrik veri işleme katı kurallara tabidir, ancak doğru mimari ve belgelerle tamamen yasal ve güvenli bir sistem kurulabilir.

Bu rehber; hukuki çerçeveyi, teknik güvenlik gereksinimlerini ve kurumların pratikte yapması gerekenleri adım adım açıklamaktadır. Konuya teknik açıdan yaklaşmak isteyenler için Videokernel yüz tanıma sisteminin on-premise (yerel sunucu) mimarisi — verinin kurumun kendi ortamında kalması — önemli bir başlangıç noktası oluşturur.

Biyometrik Veri KVKK’da Nerede Yer Alır?

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), biyometrik verileri “özel nitelikli kişisel veri” kategorisinde tanımlar (Madde 6). Bu kategori, genel kişisel verilere kıyasla çok daha sıkı kurallara tabidir; işlenmesi yalnızca belirli hukuki dayanaklar çerçevesinde mümkündür.

Yüz tanıma sisteminde işlenen verilerin KVKK kapsamındaki niteliği:

  • Yüz Görüntüsü: Kamera tarafından kaydedilen ham görüntü, kişisel veri ve biyometrik veri niteliğini birlikte taşır
  • Biyometrik Şablon (Feature Vector): Yazılımın yüzden çıkardığı matematiksel vektör; yüzü temsil eden bu veri özel nitelikli biyometrik veri sayılır
  • Erişim Kaydı: Kişinin ne zaman hangi kapıdan geçtiği bilgisi, kişisel veri niteliğinde ancak biyometrik veri kapsamında değil

Bu ayrım önemlidir: kurum, hangi verinin (görüntü, şablon, erişim kaydı) hangi amaçla ve ne kadar süre tutulacağını veri envanterinde net olarak tanımlamalıdır.

Hukuki Dayanak: Açık Rıza mı, Meşru Menfaat mi?

Özel nitelikli kişisel veri işlemenin yasal dayanakları sınırlıdır. Yüz tanıma için en sık kullanılan iki dayanak açık rıza ve kanunda açıkça öngörülmedir. Hangi dayanağın kullanılacağı; kurumun niteliğine, veri sahiplerinin statüsüne ve işleme amacına göre belirlenir.

Açık Rıza (Madde 6/2)

İlgili kişinin “aydınlatılmış açık rızası” alınması. Bu rızanın taşıması gereken özellikler:

  • Belirli bir konu için verilmiş olmalı, genel mahiyette ve kapsamı belirsiz rıza geçersizdir
  • Özgür irade ile alınmalı, rıza vermeyenler dezavantajlı duruma sokulmamalı, hizmet veya işe girişten dışlanmamalıdır
  • Yazılı (ıslak imza veya elektronik onaylı) olarak belgelenmelidir; sözlü rıza kanıtlanamaz
  • Rıza her zaman geri alınabilir olmalı; geri alma mekanizması açık ve erişilebilir olmalıdır
  • Aydınlatma metni; hangi verinin, hangi amaçla, ne kadar süre saklanacağını açıkça belirtmelidir

Çalışan biyometrik verileri için açık rıza en yaygın yoldur. İş sözleşmesine ek madde veya ayrı rıza belgesi kullanılır. İş sözleşmesinin içine gömülmüş genel bir madde yeterli sayılmaz; biyometrik veri için ayrı, belirgin ve anlaşılır bir rıza metni gerekir.

Kanunlarda Açıkça Öngörülme

Güvenlik birimleri, cezaevi ve adli kurumlar için özel yasal düzenlemeler biyometrik işlemeye dayanak oluşturabilir. Jandarma, emniyet, cezaevi idaresi gibi kamu güvenliği kurumları, bu kurumları yetkilendiren özel mevzuata dayanabilir. Bu kurumların hukuki danışmanlık alarak dayanak belirlemesi önerilir.

Önemli Not: AVM, fabrika, otel gibi özel sektör tesisleri genel ziyaretçilerden biyometrik veri işlemek için açık rıza almak zorundadır. “Tesise girdiğiniz için rıza vermiş sayılırsınız” yaklaşımı KVKK kapsamında kesinlikle geçerli değildir ve idari para cezasına yol açabilir.

Aydınlatma Yükümlülüğü: Ne Nerede Bildirilmeli?

Biyometrik veri işlenmeden önce kişiler açık ve anlaşılır biçimde bilgilendirilmelidir. Bu yükümlülük KVKK Madde 10 kapsamında düzenlenmiştir. Pratik uygulamalar:

  • Tesis Girişinde Tabela: “Bu alanda biyometrik veri (yüz tanıma) işlenmektedir. Ayrıntı için: [link veya QR kod]”, hem Türkçe hem yabancı dil seçeneğiyle
  • Çalışan Rıza Formu: İşe girişte imzalatılan, amaç, saklama süresi ve geri alma hakkını açıklayan belge
  • Web Sitesi ve İntranet Bildirimi: Hangi veri, ne amaçla, ne kadar süre tutulacağı, kimlerle paylaşılabileceği
  • Güvenlik Kamerası Bildirimleri: KVKK kapsamındaki genel aydınlatma metniyle birleştirilebilir ancak biyometrik veri özellikle vurgulanmalıdır

Aydınlatma metninin dili sade ve günlük konuşma diline yakın olmalıdır. Hukuki jargon içeren ve olağan bir kişinin anlayamayacağı metinler, Kişisel Verileri Koruma Kurumu (KVKK Kurumu) tarafından yeterli kabul edilmeyebilir.

Veri Saklama: Ne Kadar Süre?

KVKK’nın temel ilkelerinden biri “amaçla sınırlılık ve orantılılık”, veriler yalnızca işlendikleri amaç için ve gerçekten gerektiği kadar tutulabilir. Yüz tanıma verisi için sektörde benimsenen önerilen yaklaşım:

  • Biyometrik şablon (yüz vektörü): İlgili kişinin sisteme kayıtlı olduğu süreyle sınırlı, işten ayrılan çalışanın verisi derhal silinmelidir
  • Erişim kayıtları (log): 30–90 gün saklama sektörde genel standart; iş koluna göre farklılaşabilir, bankacılık denetim gereksinimleri uzatabilir
  • Olay görüntüleri: Şüpheli olay için 6–12 ay; olağan kayıt için 30 gün önerilir
  • Süresi dolan veriler: Otomatik silme mekanizması kurulmalı; manuel silmeye bırakılmamalıdır

Videokernel’de veriler kurumun kendi yerel sunucusunda tutulur; saklama süresi ve silme, kurumun belirlediği veri politikası doğrultusunda kurum tarafından uygulanır. On-premise yapı, bu kararların tümüyle kurumun denetiminde kalmasını sağlar.

Teknik Güvenlik Tedbirleri

KVKK’nın 12. maddesi, veri güvenliği için teknik ve idari önlemler alınmasını zorunlu kılar. Bu önlemleri almak veri sorumlusu kurumun yükümlülüğüdür. Videokernel’in bu noktadaki temel katkısı, verinin kurumun kendi ortamında (on-premise) kalmasını sağlayarak güvenlik tedbirlerinin tümüyle kurumun denetiminde uygulanmasına olanak vermesidir:

  • Yerel Sunucu (On-Premise): Tüm veri kurumun kendi yerel sunucusunda tutulur; veriler yerel ortamdan dışarı çıkmaz ve yurt dışına aktarılmaz — GDPR ve KVKK açısından kritik avantaj
  • Kurum Denetimi: Veri bulutta veya üçüncü tarafta değil kurumun kendi altyapısında olduğundan, erişim ve saklama üzerinde tam denetim kurumdadır
  • Erişim Kontrolü (kurum sorumluluğu): Biyometrik veriye erişim yetkili personelle sınırlandırılmalı ve erişimler kayıt altına alınmalıdır
  • Sunucu ve Ağ Güvenliği (kurum sorumluluğu): Sunucu ve ağ, kurumun BT güvenlik politikalarına göre korunmalıdır
  • Kimlik–Veri Ayrımı (kurum sorumluluğu): Mümkün olduğunda kimlik bilgisi ile biyometrik kayıt ayrı yönetilmelidir

Veri Envanteri, DPO ve VERBİS

Yüz tanıma sistemi kuran organizasyonların KVKK kapsamında yerine getirmesi gereken idari yükümlülükler:

  1. Kişisel Veri İşleme Envanteri Güncelleme: Biyometrik veri işleme kaydı eklenmeli; veri kategorisi, amaç, hukuki dayanak, saklama süresi ve güvenlik önlemleri belirtilmeli
  2. Veri Koruma Politikası Güncellemesi: Mevcut gizlilik politikasına biyometrik veri işleme bölümü eklenmeli
  3. Veri Koruma Etki Değerlendirmesi (DPIA): Yüz tanıma, yüksek risk taşıyan işleme kategorisinde değerlendirilebilir; bağımsız DPIA hazırlanması önerilir
  4. VERBİS Kaydı Güncelleme: 50+ çalışanı olan veya büyük ölçekli veri işleyen kuruluşlar için zorunlu; biyometrik veri işleme kaydedilmeli
  5. İhlal Yönetim Prosedürü: Veri ihlali durumunda 72 saat içinde KVKK Kurumu’na bildirim yükümlülüğü; prosedür önceden hazırlanmış olmalı

Videokernel Desteği: Nöron Teknoloji, müşterilerine teknik uyum sürecinde destek sağlar. KVKK uyum belgeleri ve hukuki danışmanlık ihtiyacı için ilgili uzmanlara yönlendirme yapılır.

Özel Durumlar: AVM, Fabrika ve Kamu Kurumları

AVM ve Perakende

Genel ziyaretçi alanlarında yüz tanıma uygulamak, rıza alma zorluğu nedeniyle pratik güçlükler doğurur. Önerilen yaklaşım: yüz tanımayı yalnızca çalışanlar ve gönüllü üyelik bazlı (VIP müşteri programı üyeleri) olarak kısıtlamak. Kara liste ve beyaz liste yönetimi için hukuki dayanak ayrıca değerlendirilmeli; güvenlik firması veya mağaza zinciri hukuk danışmanlığı almalıdır.

Fabrika ve OSB

Çalışan erişim kontrolü için en temiz yol, iş sözleşmesi ek maddesi veya ayrı rıza belgesidir. Taşeron personel için de ayrı rıza alınmalı; geçici çalışanların verileri iş bitiminde, kurumun belirlediği süre içinde silinmelidir.

Kamu Kurumları

Personel erişim kontrolü genellikle özel mevzuat dayanağıyla yürütülür. Buna karşın şeffaflık ilkesi gereği çalışanlar bilgilendirilmeli; toplu görüşme kanallarına konu edilmelidir. Güvenlik birimleri (jandarma, emniyet, cezaevi) ise biyometrik veri işlemeye özel yasal yetkilerini ayrıca değerlendirmelidir.

Sık Sorulan Sorular

Yüz tanıma sistemi KVKK kapsamında hangi veri kategorisine girer?

Yüz görüntüsü ve biyometrik şablon, KVKK Madde 6 kapsamında “özel nitelikli kişisel veri” sayılır. Bu kategori genel kişisel verilere kıyasla çok daha sıkı kurallara tabidir; işlenmesi için açık rıza veya kanunda açıkça öngörülme şartı aranır.

Kameralarımız zaten var; yüz tanıma eklersek yeni rıza almak zorunda mıyız?

Evet. Kamera kaydı ile biyometrik veri işleme hukuki olarak farklıdır. Mevcut “güvenlik kamerası” aydınlatma metni yüz tanımayı kapsamaz; metnin güncellenmesi ve çalışanlardan ayrı biyometrik veri rızası alınması gerekir.

Ziyaretçilerden rıza almak pratik değil; ne yapabiliriz?

Genel ziyaretçi alanlarında kapsamlı yüz tanıma KVKK açısından güçleşir. Önerilen yaklaşım: yüz tanımayı yalnızca çalışanlar ve gönüllü VIP üyeleri ile sınırlamak; kara liste yönetimi için hukuki dayanak ayrıca değerlendirmek ve danışmanlık almak.

Yüz verisini saklamak zorunda mıyız?

Veriler Videokernel’de kurumun kendi yerel sunucusunda tutulur ve yurt dışına aktarılmaz. Hangi verinin ne kadar süre saklanacağı ve ne zaman silineceği, kurumun veri politikasına göre kurum tarafından belirlenir. On-premise yapı, bu kontrolün tamamen kurumda olmasını sağlar.

Biyometrik veri için saklama süresi ne olmalı?

Biyometrik şablon, kişinin sisteme kayıtlı olduğu süreyle sınırlı tutulmalıdır; işten ayrılan çalışanın verisi derhal silinmelidir. Erişim kayıtları (log) için 30–90 gün sektör standardıdır. Videokernel’de veriler yerel sunucuda tutulur; saklama ve silme süreleri kurumun politikasına göre uygulanır.

Yabancı uyruklu çalışanlar için ek yükümlülük var mı?

AB vatandaşı çalışanlar için GDPR da geçerli olabilir. GDPR, KVKK’ya benzer ancak veri koruma görevlisi (DPO) atama eşiği ve etki değerlendirmesi gibi ek gereksinimler içerir. Uluslararası çalışanlar varsa hukuki danışmanlık önerilir.

Sistem hacklenirse sorumluluk kime ait?

Veri sorumlusu sıfatıyla kurum sorumludur. Ancak erişim kısıtlaması, sunucu güvenliği ve güncel yazılım gibi teknik tedbirlerin alınmış olması KVKK Kurumu tarafından hafifletici etken olarak değerlendirilebilir. On-premise çözümler, veri kurumun kendi ortamında kaldığından, bulut tabanlı sistemlere kıyasla kuruma daha fazla denetim yetkisi tanır.

VERBİS kaydı zorunlu mu?

50+ çalışanı olan veya büyük ölçekli veri işleyen kuruluşlar için VERBİS kaydı zorunludur. Biyometrik veri işleme eklendiğinde mevcut kaydın güncellenmesi gerekir. Küçük işletmeler VERBİS’ten muaf olabilir ancak diğer KVKK yükümlülükleri devam eder.

Açık rıza ile meşru menfaat arasındaki fark nedir?

Biyometrik veri için KVKK’da “meşru menfaat” yasal dayanak olarak kullanılamaz; yalnızca açık rıza veya kanunda açıkça öngörülme geçerlidir. Bu, genel kişisel verilerden kritik bir farktır; yüz tanıma kurmadan önce hukuki dayanağın netleştirilmesi gerekir.

GDPR ile Karşılaştırma

Türkiye’de faaliyet gösteren ancak AB ile iş ilişkisi olan firmalar GDPR ile de karşılaşabilir. GDPR ve KVKK biyometrik veri konusunda benzer bir yaklaşım benimsemiştir: her ikisi de biyometrik veriyi hassas kategori olarak tanımlar ve işleme için açık rızayı ön koşul sayar.

GDPR’da ek olarak:

  • 250+ çalışanı olan işletmelerde Veri İşleme Kaydı tutma zorunluluğu bulunur
  • Bazı işleme türleri için Veri Koruma Görevlisi (DPO) atanması zorunludur
  • Veri ihlali bildirimi 72 saat içinde yapılmalıdır, KVKK ile aynıdır

Videokernel’in on-premise, Türkiye sunucu tabanlı mimarisi, AB-Türkiye veri transferi konusundaki belirsizlikleri ortadan kaldırdığından her iki mevzuat için de avantajlı bir konumdur.

Sonuç: KVKK Engel Değil, Çerçevedir

KVKK, yüz tanıma teknolojisinin önünde bir engel değil, doğru uygulamayı güvence altına alan bir çerçevedir. Açık rıza alma, aydınlatma yükümlülüğünü yerine getirme ve teknik güvenlik tedbirlerini uygulama koşullarında yüz tanıma sistemi hem yasal hem etkili biçimde çalışabilir.

Videokernel’in on-premise mimarisi — verinin kurumun kendi ortamında kalması ve yurt dışına aktarılmaması — KVKK uyumu için sağlam bir teknik temel sunar. Kurumun üstlendiği yükümlülük; hukuki dayanağı belirlemek, rıza/aydınlatma belgelerini hazırlamak, saklama-silme politikasını uygulamak ve idari prosedürleri oluşturmaktır.

Yüz tanıma, Videokernel Akıllı Geçiş Kontrol Sistemi’nin bir modülü olarak konumlanır. Bu yazıda anlatılan KVKK yükümlülükleri biyometrik veri işleyen bu modül için geçerlidir; plaka tanıma veya akıllı kart gibi biyometrik veri işlemeyen diğer modüllerin hukuki çerçevesi ayrı değerlendirilir.

Daha fazla bilgi almak ve KVKK uyumlu bir yüz tanıma kurulumu için bizimle iletişime geçin. Teknik güvenlik belgesi ve aydınlatma metni şablonunu talep etmeniz yeterlidir.

Similar Posts

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir