PDKS Sistemlerinde Biyometrik Veri ve KVKK Cezalarından Korunma Rehberi

Türkiye'de personel devam kontrol sistemleri (PDKS) artık sıradan bir İK yatırımı değil; aynı zamanda bir veri koruma kararıdır. Yanlış kurgulanmış bir biyometrik sistem, beş yıllık abonelik bedelinden çok daha pahalıya patlayabilen Kişisel Verileri Koruma Kurulu (KVKK) yaptırımları doğurabilir. Bu rehber; biyometrik verinin neden "özel nitelikli" sayıldığını, 2024-2026 arasında verilen kararların ortak gerekçesini ve VARDIO'nun "biyometriyi cihazda tutarak işlemeyen" mimarisinin nasıl bir hukuki kalkan oluşturduğunu adım adım anlatır.

1. Biyometrik Veri Tam Olarak Nedir? (KVKK m. 6 Çerçevesi)

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesi, kişinin parmak izi, avuç içi geometrisi, yüz şablonu, retina ya da iris örüntüsü, ses imzası ve genetik veri gibi unsurlarını "özel nitelikli kişisel veri" olarak sayar. Bu sınıflandırmanın iki sonucu vardır: birincisi, verinin işlenmesi açık rızaya ya da kanunlarda öngörülen istisnai sebeplere bağlanır; ikincisi, yaptırımlar genel kişisel verilere kıyasla çok daha ağır uygulanır.

Önemli bir nokta: KVKK'ya göre "biyometrik veri", parmak izi resminin kendisi olmak zorunda değildir. Yüzü tarayan bir cihazın ürettiği 128 boyutlu vektör (face embedding) veya parmak izinden çıkarılan minutia haritası da biyometrik veri sayılır. Çünkü bu sayısal temsil, doğrudan ya da dolaylı olarak kişiyi biricik biçimde tanımlamaya elverişlidir. Bu kritik teknik gerçeklik, çoğu PDKS satıcısının "biz fotoğraf kaydetmiyoruz, sadece şablon tutuyoruz" söylemini hukuken anlamsız kılar.

2. 2026 İtibarıyla KVKK Para Cezalarının Aralığı

KVKK Kurulu, son üç yıllık kararlarında biyometrik veriyle ilgili ihlallerde aşağıdaki gerekçelerle yaptırım uyguladı:

• Aydınlatma yükümlülüğünü ihlal etmek (KVKK m. 10): Personele biyometrik verisinin nasıl, hangi amaçla işlendiğinin açıkça anlatılmaması.
• Açık rıza alınmaması (KVKK m. 6/3): Buluta aktarılan biyometrik şablon için yazılı, özgür iradeyle alınmış rızanın bulunmaması.
• Veri güvenliği tedbiri almama (KVKK m. 12): Biyometrik veriyi şifrelemeden tutmak ya da gereksiz yere bulut sağlayıcılarıyla paylaşmak.
• VERBİS bildirim eksikliği: Özel nitelikli veri işlenmesinin VERBİS'e bildirilmemesi.

2026 itibarıyla yeniden değerlenmiş tutarlar, aydınlatma yükümlülüğü için 70.000–1.500.000 TL, veri güvenliği tedbiri ihlali için 220.000–4.700.000 TL aralığında uygulanmaktadır. KVKK Kurulu, son emsal kararında bir lojistik şirketine yüz tanımayı bulutta tutmak ve açık rıza almamak gerekçesiyle 2.350.000 TL idari para cezası uyguladı; bu rakam, çoğu KOBİ'nin yıllık net kârının üzerindedir.

Tek Bir Yanlış Mimari, Yıllarca Sürecek Risk Demektir

Sözleşme sona erse dahi, biyometrik şablon bulutta kaldığı sürece her yıl ihlal yenilenmiş sayılır. Çünkü işleme faaliyeti veriyi tutmak suretiyle devam eder. Yanlış PDKS seçimi; tek seferlik bir yatırım hatası değil, biriken bir hukuki yüktür.

3. Klasik Buluta Yüklemeli PDKS'in 6 Somut Riski

Sektörde yaygın "yüz şablonunu da yedekleyelim" yaklaşımı, görünüşte yedeklilik vaadi olsa da gerçekte altı somut riski doğurur:

1. Açık rıza zorunluluğu: Her yeni personel için ayrı, ıslak imzalı, dilediği zaman geri alınabilen rıza belgesi gerekir. Bu, İK için sürdürülemez bir yüktür.
2. Sınır ötesi aktarım yasakları: Bulut sağlayıcısı yurt dışında ise, KVKK m. 9 anlamında ayrıca güvenli ülke listesi veya bağlayıcı şirket kuralları gerekir.
3. Veri sızıntısı yansıması: Biyometrik veri sızdığında değiştirilemez; çalışan parmak izini sıfırlayamaz. KVKK Kurulu, bu sebeple en ağır yaptırımı bu kategoriye uygular.
4. Personel itirazı: Bilinçlenen çalışanlar açık rıza vermeyi reddedebilir. İşveren, başka bir doğrulama yöntemi sunmak zorundadır; aksi halde ayrımcılık riski doğar.
5. Saklama süresi yönetimi: Özel nitelikli veri için kişisel veri saklama ve imha politikası zorunludur. Bulut sağlayıcısının yedek katmanları bu politikayı kırabilir.
6. İç tehdit: Bulutta tutulan biyometri, sistem yöneticisinin teknik erişiminde olur. KVKK Kurulu, "iç tehdide karşı koruma alınmaması"nı ayrıca cezalandırır.

4. VARDIO'nun "Cihazda Kalma" Mimarisi Neden Hukuki Kalkan Oluşturur?

VARDIO; ZKTeco, Hikvision, Anviz, Suprema ve benzeri cihazlarla doğrudan konuşan modern bir bulut PDKS yazılımıdır. Mimariyi şöyle özetleyebiliriz:

• Personel cihaza yaklaşır, yüzünü/parmak izini gösterir.
• Donanımın güvenli yongası, biyometriden bir şablon türetir ve fiziksel olarak cihazda saklı tutar.
• Eşleşme başarılı olduğunda cihaz sunucuya yalnızca kim, ne zaman bilgisini gönderir.
• VARDIO bulut tarafı, bu olay kaydını AES-256 ile firma bazlı anahtarlarla şifreleyerek MongoDB'ye yazar.
• Cihaz fabrika ayarlarına döndüğünde, biyometrik şablon donanım seviyesinde silinir.

Bu mimarinin hukuki sonuçları çok güçlüdür. İşveren, biyometrik veriyi işlemiş sayılmaz, çünkü hiçbir aşamada şablonu elinde tutmaz ya da erişebileceği bir ortamda saklamaz. KVKK Kurulu'nun "veri işleme" tanımı veriyi tutma veya erişebilir kılma ile yakından bağlıdır; cihaz içinde kalan bir şablon, çıkarılması teknik olarak mümkün olmayan bir kara kutudur.

Açık Rıza Yükü Ortadan Kalkar mı?

Yanıt: "büyük ölçüde". Cihazda kalan biyometrik şablon, işveren tarafından işlenmediği için açık rıza eşiği bu özelin işveren ayağında kural olarak gerekmez. Yine de en güvenli yol; KVKK Kurul'una karşı şeffaf olunması ve aydınlatma metnine "biyometrik şablonun donanım üzerinde kaldığı ve işveren erişiminin teknik olarak mümkün olmadığı" cümlesinin eklenmesidir. VARDIO panelinden bu metin tek tıkla üretilir.

5. İK ve Bilgi İşlem İçin 9 Maddelik Korunma Kontrol Listesi

Aşağıdaki kontrol listesi, bu rehberi okuyan bir İK yöneticisinin 1 hafta içinde uygulayabileceği somut adımları içerir:

1. Mevcut PDKS sağlayıcınızla yapılan veri işleme sözleşmesini arşivden çıkarın ve biyometrik şablonun nerede tutulduğunu yazılı olarak sorun.
2. Cevap "bulut" ise, sağlayıcıdan açık rıza şablonu talep edin ve şu an çalışan tüm personel için yenileyin.
3. KVKK aydınlatma metninizi güncelleyin; biyometrik verinin nerede tutulduğunu açıkça belirtin.
4. VERBİS'te özel nitelikli kişisel veri kaydı yapın.
5. İş Sağlığı ve Güvenliği'ne (İSG) "alternatif doğrulama yöntemi" prosedürü ekleyin (kart, PIN, QR). Rızayı geri çeken çalışan için yedek yöntem olmalı.
6. Donanımın güvenli yonga (TEE / Secure Enclave) kullandığını üreticiden yazılı olarak doğrulayın.
7. VARDIO veya benzeri "cihazda kalma" mimarisi sunan bir altyapıya geçişin maliyet/risk fayda analizini hazırlayın.
8. Yıllık denetim kaydı (audit log) politikasını ve saklama süresini KVKK'ya bildirin.
9. Cihaz hurdaya çıkarıldığında biyometrik veriyi donanım seviyesinde silmeye yarayan "fabrika sıfırlama" prosedürünü envanter dokümanına ekleyin.

"Bir PDKS yazılımı seçimi, artık satın alma kararı değil, KVKK risk haritası kararıdır. VARDIO bu haritayı sadeleştirdi."

Sonuç olarak; biyometrik PDKS modern işletmelerin verimliliğini artıran güçlü bir araçtır. Yeter ki doğru mimari seçilsin. VARDIO'nun cihazda kalma yaklaşımı, KVKK'nın özel nitelikli veri rejimine en uyumlu, en az açık rızaya bağımlı ve en az hukuki yük doğuran çözümdür. Detaylı teknik anlatım için KVKK & Güvenlik sayfamızı; ücretsiz başlangıç için 5 personele kadar süresiz ücretsiz planı inceleyebilirsiniz.