Yüz tanıma sistemi her kullanımda yasak değildir; ancak kişiyi benzersiz biçimde tanımaya yönelik biyometrik veri işleniyorsa uygun hukuki şart, belirli amaç, gereklilik, ölçülülük, güçlü güvenlik ve daha az müdahaleci alternatiflerin neden yetersiz kaldığı gösterilmelidir. Yüz tanıma, sıradan kamera kaydından farklı olarak görüntüden özellik çıkarıp kişiyi eşleştirebilir.

Bu fark, verinin hassasiyetini ve bir sızıntı hâlinde geri alınamaz niteliğini artırır. Kurulumun pratik olması hukuki gerekliliği kanıtlamaz.

Kart, şifre, görevli kontrolü veya cihaz içi doğrulama gibi daha az müdahaleci yöntemler amaç bakımından karşılaştırılmalıdır.

Kamera kaydı ile yüz tanıma ayrılmalı

Kamera görüntüsü kişisel veri olabilir; yüz tanıma ise kişiyi benzersiz biçimde tanımlamak için görüntünün özel teknik işlemden geçirilmesini içerir. Özel teknik işlemle elde edilen biyometrik veri, KVKK’da özel nitelikli kişisel veri olarak daha sıkı korumaya tabidir. Ham görüntü, özellik vektörü, şablon, eşleşme skoru ve kimlik sonucu teknik mimaride ayrı gösterilmelidir.

Mağazanın güvenlik kamerası görüntüsü ile kapıdaki yüz şablonunu çalışan listesiyle otomatik eşleştiren sistem aynı veri işlemesini yapmaz. Her kamera sistemi biyometrik veri işler şeklinde genelleme yapılamaz.

Amaç belirli ve meşru olmalı

Yüz tanıma kullanımı açıkça tanımlanmış bir amaca ve KVKK’da öngörülen uygun işleme şartına dayanmalıdır. Genel 'güvenlik' veya 'verimlilik' ifadesi, hangi tehdidin önleneceğini ve biyometrik verinin neden gerektiğini tek başına açıklamaz.

Amaç, hukuki şart, kişi grubu, kullanım yeri, eşleşme sonucu ve sonraki kullanım sınırı yazılı belirlenmelidir.

Site spor salonuna yetkisiz girişi önleme amacı ile ziyaretçilerin duygusunu ve alışveriş eğilimini profil çıkarma amacı aynı değildir. Bir amaç için toplanan yüz şablonunun sonradan pazarlama veya çalışan performansı için kullanılması yeni bir işlemedir.

Ölçülülük ve alternatif yöntem testi

KVKK Kurulu yüz tanıma ile devam kontrolüne ilişkin kararlarında amaç için daha az müdahaleci alternatiflerin bulunmasını ölçülülük değerlendirmesinde dikkate almaktadır. Yüz tanımanın hızlı veya modern olması, kart ya da başka yöntemlerin neden yetersiz kaldığını kendiliğinden göstermez. Alternatiflerin maliyeti, güvenliği, erişilebilirliği, hata oranı ve mahremiyet etkisi karar belgesinde karşılaştırılmalıdır.

On çalışanlı ofiste giriş kaydı için yüz tanıma kurmak ile yüksek güvenlikli sınırlı alanda çok faktörlü doğrulama kullanmak farklı gereklilik gerekçeleri doğurur. Alternatif bulunması her durumda yüz tanımayı otomatik yasaklamaz; amaç, tehdit ve etkinlik karşılaştırılır.

İşleme şartı güncel KVKK m. 6’ya göre belirlenmelidir

Biyometrik veri, özel nitelikli kişisel veridir.

İşleme şartı, alternatif yöntem, zorunluluk, saklama, erişim ve özel nitelikli veriler için ek güvenlik tedbirleri birlikte belgelenmelidir.

KVKK m. 6, 1 Haziran 2024’ten beri yalnızca açık rızaya dayanan eski ikili yapıdan daha geniş bir işleme şartları sistemi içerir. Bu nedenle uygun şart somut amaç, tarafların ilişkisi ve kanundaki bentler üzerinden belirlenmelidir; “biyometrik veri yalnızca açık rızayla işlenebilir” şeklindeki eski ve mutlak ifade güncel değildir. Açık rıza kullanılıyorsa rızanın özgür iradeye dayanması gerekir. Özellikle iş ilişkisinde alternatif yöntem bulunmaması rızanın özgürlüğünü tartışmalı hâle getirebilir. Kurulun 2022/797 sayılı kararında kart, RFID veya SMS gibi alternatifler varken yüz tanımanın ölçüsüz bulunması, açık rızanın genel ilkeleri ve gereklilik testini ortadan kaldırmadığını gösterir.

Biyometrik veri güvenliği neden ayrı tasarlanır?

Yüz şablonu şifre gibi kolayca değiştirilemediği için veri ihlalinin kişiye etkisi uzun süreli olabilir. Veri sorumlusu erişim, şifreleme, ayrıştırma, saklama süresi, imha, olay müdahalesi ve tedarikçi denetimi gibi tedbirleri risk düzeyine göre kurmalıdır. Verinin cihazda mı bulutta mı işlendiği, anahtar yönetimi, erişim logu, eşleşme eşiği ve silme kanıtı belgelenmelidir.

Bulut sağlayıcıda ham görüntü ve şablonun gereksiz biçimde yıllarca tutulması, yalnızca depolama tercihi değildir. Şablonun kriptografik korunması, gereksiz toplama ve ölçüsüz kullanım sorunlarını tek başına ortadan kaldırmaz.

Biyometri hakkında kısa sorular

Kamera görüntüsü her zaman biyometrik veri midir?

Hayır. Görüntü kişisel veri olabilir; biyometrik özel nitelik için kişiyi benzersiz tanımaya yönelik özel teknik işlem önemlidir.

Çalışandan açık rıza almak yüz tanımayı hukuka uygun yapar mı?

Tek başına değil. Rızanın özgürlüğü, alternatif yöntem, amaçla sınırlılık, ölçülülük ve güvenlik ayrıca değerlendirilir.

Yüz tanıma için uygunluk sonucu

Yüz tanımada hukuki uygunluk, cihazın doğruluk oranından önce biyometrik verinin gerçekten gerekli olup olmadığıyla başlar. Amaç, alternatif, rıza veya diğer işleme şartı ve güvenlik tedbirleri birlikte gerekçelendirilmelidir.

Bu yazı genel yüz tanımaya odaklanır; işyerindeki AI gözetimi ve ses biyometrisi ayrı sayfalarda ele alınmıştır.

Aktörler arasındaki genel dağılım için yapay zekâ kullanımında hukuki sorumluluk yazımız bütünleyici bir çerçeve sunar.

Bu içerik genel bilgilendirme amaçlıdır; her dosyanın koşulları farklıdır ve somut durum ayrıca değerlendirilmelidir. Son hukuki kontrol: 12 Temmuz 2026. Konuyla ilgili destek için iletişim sayfamızı kullanabilirsiniz.

Kaynaklar ve hukuki dayanaklar
  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu — https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
  2. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber — https://www.kvkk.gov.tr/Icerik/8184/Ozel-Nitelikli-Kisisel-Verilerin-Islenmesine-Iliskin-Rehber
  3. 6698 Sayılı Kanunda Yapılan 2024 Değişiklikleri Hakkında Duyuru — https://www.kvkk.gov.tr/Icerik/7834/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanununda-Yapilan-Degisiklikler-Hakkinda-Kamuoyu-Duyurusu
  4. Yüz Tanıma Sistemi Kullanılması Hakkında 2022/797 Sayılı Karar Özeti — https://www.kvkk.gov.tr/Icerik/7434/2022-797

Bağlantılar resmî kaynaklara gider. Son hukuki kontrol: 12 Temmuz 2026.