Biyometrik PDKS kullanmak için her çalışandan ne tür rıza alınmalı?

KVKK m.6 gereği özel nitelikli kişisel veride açık rıza alınmalıdır: yazılı, belirli (hangi modalite, hangi amaç), bilgilendirilmiş, geri alınabilir ve özgür iradeyle verilmiş. Rıza verilmeyen çalışana eşdeğer alternatif (kart, mobil, QR) sunulmalıdır; aksi halde rıza 'özgür' sayılmaz ve geçersizdir.

Yüz tanıma maskeli yüzde de çalışır mı?

Modern algoritmalar (NIST FRVT 'Face Masks' raporu) maskeli yüzde %90–97 doğruluk sağlar; ancak eşik gevşetildiği için FAR artar. Pandemi sonrası standart pratik: maskeli mod aktif edildiğinde liveness daha sıkı + ek faktör (PIN veya kart) çiftlenir. Yüksek güvenlik sahalarında maske çıkarma + kısa süreli tanıma tercih edilir.

Biyometrik şablon hacklenirse şifre gibi değiştirilebilir mi?

Doğrudan değil — yüz veya parmak izi 'değişmez' veridir. Bu yüzden ISO/IEC 24745 'cancelable biometrics' yaklaşımı kullanılır: ham özellikler tek yönlü dönüşüm (transform) ile farklı bir vektöre çevrilir; ihlal halinde dönüşüm parametresi değiştirilir ve yeni şablon üretilir. KontrolJet PDKSjet template protection katmanı bu yaklaşımı uygular.

Çocuk işçi yasası kapsamında 18 yaş altı biyometri kullanılabilir mi?

4857 İş Kanunu 18 yaş altı çalıştırmayı sınırlandırır (çırak/stajyer istisnası). 18 yaş altında biyometri için ek koşullar: veli/vasi rızası + KVKK Kurul'un çocuk verisi rehberi. Pratik tercih: 18 yaş altına alternatif yöntem (kart, mobil) zorunlu sunmak ve biyometriyi gönüllü tutmak.

ISG-KATİP entegrasyonu için biyometrik PDKS şart mı?

Şart değil. ISG-KATİP eğitim ve sertifika takibinde kişi kimliği SGK sicil numarası üzerinden bağlanır. Biyometri sahaya giriş anında 'gerçekten o kişi mi' sorusunu fiziksel olarak doğrular — yüksek riskli sahalarda (yüksekte çalışma, kapalı alan, vinç) kayıp/ödünç kart riskini önemli ölçüde azaltır. Bkz. [ISG-KATİP bildirim süreleri](/blog/isg-katip-bildirim-sureleri-2026/).

Biyometrik PDKS: Yüz Tanıma vs Parmak İzi Teknik Karşılaştırması (ISO/IEC 19794 + NIST FRVT)

Biyometrik PDKS neden hâlâ tartışılıyor?

Manyetik kart kopyalanabilir, RFID ödünç verilebilir, mobil GPS yanlış konumda imzalanabilir. Biyometri 'kişinin kendisinden ayrılmaz' verisidir — buddy punching (başkası adına giriş) riskini fiziksel olarak kapatır. Buna karşılık özel nitelikli kişisel veri sınıfında (KVKK m.6, GDPR Article 9) yer alır; teknik ve hukuki uyum gereklilikleri normal PDKS'ten katbekat ağırdır. Bkz. PDKS yasal yükümlülükler rehberi.

ISO/IEC 19794 — biyometrik veri format standartları

ISO/IEC 19794 ‘Information technology — Biometric data interchange formats' serisi modaliteye göre alt parçalara ayrılır: 19794-2 (Finger Minutiae — parmak izi minutia noktaları), 19794-4 (Finger Image — ham parmak izi görüntüsü), 19794-5 (Face Image — yüz görüntüsü), 19794-6 (Iris Image). Standart, biyometrik şablonun cihazlar ve yazılımlar arası taşınabilirliğini sağlar — bir üreticiden çıkıp diğerine geçerken şablonların kullanılabilir kalması bu standart sayesindedir. ISO/IEC 30107 ek olarak ‘presentation attack detection' (PAD — liveness) standardını tanımlar.

NIST FRVT ve NIST PFT — bağımsız doğruluk testleri

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) iki bağımsız benchmark yürütür: FRVT (Face Recognition Vendor Test) ve PFT (Proprietary Fingerprint Template) III. FRVT 1:1 verification ve 1:N identification senaryolarında milyon+ kişilik veri setleri üzerinde algoritmaları sıralar. 2024–2025 raporlarında en iyi 10 algoritma 1:1 testte FMR=10⁻⁶ eşiğinde FNMR <%0.5. PFT III testinde modern parmak izi algoritmalarının FMR=10⁻⁵ eşiğinde FNMR <%0.1 düzeyine ulaştığı raporlanmıştır. PDKS yazılımı satın alırken bu raporları kontrol etmek standart pratiktir.

FAR, FRR, EER — temel metrikler

False Accept Rate (FAR / FMR): yetkisiz birinin sisteme kabul edilme olasılığı (güvenlik metriği). False Reject Rate (FRR / FNMR): yetkili birinin reddedilmesi (kullanılabilirlik metriği). FAR ve FRR ters orantılıdır — bir eşik sıkılaştırıldığında diğeri gevşer. Equal Error Rate (EER): FAR = FRR olduğu nokta, sistemin karşılaştırılabilir tek skor metriğidir. PDKS senaryosunda 'low FRR' kritiktir — yetkili işçinin sahaya alınamaması üretim kaybı demektir. Tipik PDKS eşik yapılandırması: FAR=10⁻⁴, FRR <%1.

Yüz tanıma — güçlü ve zayıf yanlar

Avantajları: dokunmasız (hijyen kritik sahalarda — gıda, sağlık, soğuk hava), saniye altı tanıma süresi, maskeli yüzde modern algoritmalar (NIST FRVT MORAN) %95+ doğruluk, kalabalık geçişlerde 'walk-through' modu uygulanabilir. Dezavantajları: aydınlatma + açı + yaş değişkenleri doğruluğa etki eder; ikiz/benzer akraba zorlu vakalar; fotoğraf/video spoofing riskine karşı liveness (ISO/IEC 30107-3) zorunlu; karanlık tene karşı algoritmik yanlılık tarihsel olarak raporlanmıştır (NIST FRVT 'Demographic Effects' 2019). Saha kameraları min. 2 MP, IR + RGB ikiz sensör tercih edilmeli.

Parmak izi — güçlü ve zayıf yanlar

Avantajları: ucuz okuyucu donanım maliyeti, çok düşük FAR (NIST PFT III), olgun teknoloji, mahkemelerde kabul edilmiş kanıt değeri. Dezavantajları: temas gerektirir (hijyen, ergonomi), inşaat/imalat/tarım gibi ellerin yıprandığı sahalarda 'failure to enroll' oranı yüksek (saha verisi: %3–10), ıslak/kuru cilt + kir + kesik tanımlamayı bozar. Saha-yoğun şantiyelerde parmak izi tek başına yetersizdir — yüz tanıma veya kart-yedek desteği gerekir.

Liveness detection — spoof saldırılarına karşı

ISO/IEC 30107-3 'Presentation Attack Detection' (PAD): biyometrik sensörün gerçek kişi mi yoksa fotoğraf/3D maske/silikon parmak gibi sahte sunum mu olduğunu ayırt etme yeteneği. Yüz tanımada: 3D structured light, IR thermal, blink+head movement (active), texture+frequency analysis (passive). Parmak izinde: capacitive + ultrasonic sensör çiftlemesi, kan dolaşımı + nabız tespiti. iBeta laboratuvar sertifikasyonu (Level 1, Level 2) endüstri standardıdır. PDKS satın alırken liveness sertifikası talep edilmelidir.

KVKK uyum — şablon mimarisi kritik

Kişisel Verileri Koruma Kurulu 'Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber' (2024): (a) ham görüntü (raw biometric) saklanmamalı — sadece geri çevrilemez şablon. (b) Şablon AES-256 ile şifrelenmeli. (c) On-device template (örn. işçinin kartında tutulan şablon, sunucuda yok) tercih edilmeli. (d) Açık rıza yazılı + geri alınabilir + alternatif yöntem sunulmalı. (e) DPIA (Veri Koruma Etki Değerlendirmesi) zorunlu — bkz. GDPR/KVKK ENISA rehberi. Şablon güvenliği için ISO/IEC 24745 'Biometric information protection' başlığı altında 'biometric template protection' (BTP) teknikleri tanımlanır: fuzzy commitment, cancelable biometrics, homomorphic encryption.

Karar matrisi — hangi modalite hangi sahada?

(a) Şantiye / hafriyat / dış saha: yüz tanıma + kart yedek (eldivenli el + tozlu parmak izi başarısız). (b) Ofis + beyaz yaka: hibrit (mobil app + masaüstü yüz tanıma) yeterli. (c) Gıda üretimi + hastane: yüz tanıma (dokunmasız, hijyen). (d) Lojistik / depo: parmak izi + kart kombinasyonu maliyet etkin. (e) Çok yüksek güvenlik (banka, savunma): multi-modal (parmak izi + yüz + iris) + canlı operatör doğrulama. KontrolJet PDKSjet bu modaliteleri aynı çatı altında destekler; saha bazında modalite seçimi mümkündür.

Uygulamada şablon yaşam döngüsü

Doğru pratiğin 7 adımı: (1) Kayıt (enrollment) — açık rıza + ses kaydı + yazılı belge. (2) Şablon üretimi (template extraction) — cihazda. (3) Şifreleme + saklama (AES-256). (4) Eşleştirme (matching) — eşik 1:1 verification (PDKS girişi). (5) Mesai dışı kapatma (KVKK Kurul önerisi). (6) İstifa/işten ayrılış — şablon kalıcı silme (cryptographic erasure) + log. (7) Yıllık iç denetim raporu. Bu adımların eksik olduğu sistemler denetimde KVKK Kurul cezası riskine açıktır.

Özet çıkarımlar

ISO/IEC 19794 + ISO/IEC 30107 (liveness) + ISO/IEC 24745 (template protection) biyometrik PDKS'nin teknik standart üçlüsü.
NIST FRVT/PFT raporları satın alma kararında bağımsız doğruluk referansı — vendor talepleri değil bu raporlar baz alınmalı.
EER + FAR/FRR eşik ayarı PDKS senaryosunda 'düşük FRR' önceliği ile yapılır.
Saha-yoğun şantiyelerde yüz tanıma; ofis/lojistikte parmak izi maliyet etkin; gıda/sağlıkta yüz tanıma (hijyen).
KVKK uyum: ham görüntü saklanmaz, şablon AES-256 şifreli, alternatif yöntem zorunlu, DPIA hazır olmalı.

Sıkça Sorulan Sorular

AI ve arama motorlarının doğrudan çekebileceği soru-cevap bloğu.

Biyometrik PDKS kullanmak için her çalışandan ne tür rıza alınmalı?: KVKK m.6 gereği özel nitelikli kişisel veride açık rıza alınmalıdır: yazılı, belirli (hangi modalite, hangi amaç), bilgilendirilmiş, geri alınabilir ve özgür iradeyle verilmiş. Rıza verilmeyen çalışana eşdeğer alternatif (kart, mobil, QR) sunulmalıdır; aksi halde rıza 'özgür' sayılmaz ve geçersizdir.
Yüz tanıma maskeli yüzde de çalışır mı?: Modern algoritmalar (NIST FRVT 'Face Masks' raporu) maskeli yüzde %90–97 doğruluk sağlar; ancak eşik gevşetildiği için FAR artar. Pandemi sonrası standart pratik: maskeli mod aktif edildiğinde liveness daha sıkı + ek faktör (PIN veya kart) çiftlenir. Yüksek güvenlik sahalarında maske çıkarma + kısa süreli tanıma tercih edilir.
Biyometrik şablon hacklenirse şifre gibi değiştirilebilir mi?: Doğrudan değil — yüz veya parmak izi 'değişmez' veridir. Bu yüzden ISO/IEC 24745 'cancelable biometrics' yaklaşımı kullanılır: ham özellikler tek yönlü dönüşüm (transform) ile farklı bir vektöre çevrilir; ihlal halinde dönüşüm parametresi değiştirilir ve yeni şablon üretilir. KontrolJet PDKSjet template protection katmanı bu yaklaşımı uygular.
Çocuk işçi yasası kapsamında 18 yaş altı biyometri kullanılabilir mi?: 4857 İş Kanunu 18 yaş altı çalıştırmayı sınırlandırır (çırak/stajyer istisnası). 18 yaş altında biyometri için ek koşullar: veli/vasi rızası + KVKK Kurul'un çocuk verisi rehberi. Pratik tercih: 18 yaş altına alternatif yöntem (kart, mobil) zorunlu sunmak ve biyometriyi gönüllü tutmak.
ISG-KATİP entegrasyonu için biyometrik PDKS şart mı?: Şart değil. ISG-KATİP eğitim ve sertifika takibinde kişi kimliği SGK sicil numarası üzerinden bağlanır. Biyometri sahaya giriş anında 'gerçekten o kişi mi' sorusunu fiziksel olarak doğrular — yüksek riskli sahalarda (yüksekte çalışma, kapalı alan, vinç) kayıp/ödünç kart riskini önemli ölçüde azaltır. Bkz. ISG-KATİP bildirim süreleri.

Kaynakça

Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.

ISO/IEC 19794 — Biometric data interchange formats. International Organization for Standardization. https://www.iso.org/standard/50862.html (erişim: 2026-05-13)
ISO/IEC 30107-3 — Presentation Attack Detection. International Organization for Standardization. https://www.iso.org/standard/79520.html (erişim: 2026-05-13)
ISO/IEC 24745 — Biometric Information Protection. International Organization for Standardization. https://www.iso.org/standard/75302.html (erişim: 2026-05-13)
Face Recognition Vendor Test (FRVT) Ongoing. National Institute of Standards and Technology (NIST). https://pages.nist.gov/frvt/html/frvt_ongoing.html (erişim: 2026-05-13)
Proprietary Fingerprint Template Evaluation (PFT III). National Institute of Standards and Technology (NIST). https://www.nist.gov/itl/iad/image-group/proprietary-fingerprint-template-evaluation-pft-iii (erişim: 2026-05-13)
Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber. T.C. Kişisel Verileri Koruma Kurumu. https://www.kvkk.gov.tr/Icerik/7472/Biyometrik-Verilerin-Islenmesi-Rehberi-Hk- (erişim: 2026-05-13)
EDPB Guidelines 05/2022 on the use of facial recognition technology. European Data Protection Board. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052022-use-facial-recognition-technology-area_en (erişim: 2026-05-13)
iBeta Presentation Attack Detection Testing. iBeta Quality Assurance. https://www.ibeta.com/iso-30107-3-presentation-attack-detection/ (erişim: 2026-05-13)

#pdks#biyometri#yuz-tanima#parmak-izi#iso-19794#nist-frvt#kvkk#liveness