Gizlilik ve Veri Koruma
Biyometrik Veri Aydınlatma ve Açık Rıza

Biyometrik Veri Aydınlatma ve Açık Rıza Metni

Son güncelleme: 18.02.2026 · Sürüm: 1.0

Bu metin; WIN platformu (“Platform”) kapsamında uygulanan selfie doğrulama / liveness kontrolü akışında, kullanıcıdan alınan selfie görüntüsü ve bu görüntü üzerinden yapılan yüz doğrulama gibi işlemlerin biyometrik veri kapsamına girebilecek yönleri hakkında sizi bilgilendirmek ve bu işleme faaliyetleri için açık rızanızı almak amacıyla hazırlanmıştır.

Bu metin, KVKK Aydınlatma Metni’nin yerine geçmez. Veri sorumlusu bilgileri, genel veri kategorileri, hukuki sebepler, aktarım çerçevesi ve KVKK kapsamındaki haklarınız için lütfen: KVKK Aydınlatma Metni. Bu metin; özellikle biyometrik veri niteliği taşıyabilecek doğrulama sürecine ilişkin özel ve detaylı bilgilendirme ve açık rıza bölümüdür. Platformun günlük kullanımında “ne görünür, ne görünmez, hangi kontroller sende” gibi pratik açıklamalar için: Gizlilik Politikası.

İlişkili dokümanlar (kısa yollar)

KVKK Aydınlatma MetniGizlilik PolitikasıAçık Rıza MetinleriKullanım KoşullarıTopluluk KurallarıKolluk Kuvvetleri Rehberi

1) Kısa özet (katmanlı bilgilendirme)

⚠️
  • Ne yapıyoruz? Profil doğrulama amacıyla bir selfie alıyor ve (teknik araçlarla) yüz doğrulaması yapıyoruz. Bu işlem, KVKK bakımından biyometrik veri kapsamında değerlendirilebilir (KVKK m. 6). - Neden yapıyoruz? Sahte hesapları azaltmak, dolandırıcılık/taciz risklerini düşürmek ve Platform bütünlüğünü korumak için. - Hangi teknoloji? Poz ve selfie tabanlı profil doğrulaması Google Gemini 2.5 Flash ile; selfie görüntüsünde uygunsuz içerik denetimi Google Cloud Vision (safeSearchDetection) ile yapılır. (Detaylar: Bölüm 6 ve 8) - Pazarlama var mı? Bu biyometrik işleme, pazarlama amacıyla yapılmaz; kişiselleştirilmiş reklam hedeflemesi için kullanılmaz. - Görünür mü? Doğrulama selfie’si yayımlanmaz. Başarılı doğrulama sonrası, doğrulanan her fotoğrafın üzerine yeşil tik rozeti eklenir. Platformun keşif akışında (Deck) yer alabilmek için en az bir fotoğrafın doğrulanmış olması zorunludur.
  • Rızayı geri çekebilir misiniz? Evet, ancak bu durum platformun güvenliğini etkilediği için rıza geri çekildiğinde platform kullanımı kısıtlanabilir veya hesap kapatılabilir. - Rıza vermezseniz ne olur? Selfie doğrulama; Platform güvenliği için tasarlanmış bir adım olduğundan, rıza verilmemesi halinde hesap oluşturma veya Platformu kullanma süreci tamamlanamaz; zira bu adım Platform güvenliği için fonksiyonel bir zorunluluktur.

2) Amaç, kapsam ve mevzuat dayanağı

2.1 Amaç

Bu metnin amacı; Platformun selfie doğrulama akışında gerçekleşen veri işleme faaliyetleri hakkında sizi açık ve anlaşılır şekilde bilgilendirmek ve (gerekli olduğu ölçüde) açık rızanızı almaktır.

2.2 Kapsam

Bu metin; Platformun aşağıdaki süreçlerini kapsar:

  • Selfie doğrulama / liveness kontrolü (kamera ile selfie çekimi veya doğrulama görseli sağlama),
  • Yüz doğrulama (selfie ile profil fotoğraf(lar)ı veya referans görsel(ler) arasında teknik karşılaştırma yapılması),
  • doğrulama sonucu oluşan doğrulama durumu ve buna ilişkin işlem kayıtları (zaman damgası, deneme sayısı vb.).

Not: Platformda profil fotoğrafı yükleme ve fotoğraf moderasyonu gibi başka görsel süreçler de bulunabilir. Bu metin, özellikle “biyometrik veri” niteliği taşıyabilecek doğrulama sürecine odaklanır.

2.3 Mevzuat dayanağı (atıflar)

Bu metin hazırlanırken özellikle şu düzenlemeler esas alınır:

  • 6698 sayılı KVKK:
    • m. 6 (biyometrik ve genetik veriler dâhil özel nitelikli kişisel veriler),
    • m. 10 (aydınlatma yükümlülüğü),
    • m. 11–14 (ilgili kişi hakları ve başvuru usulleri),
    • m. 12 (veri güvenliğine ilişkin yükümlülükler).
  • KVKK Aydınlatma Yükümlülüğü Tebliği (katmanlı/açık bilgilendirme yaklaşımı).
  • Kişisel Verilerin Yurt Dışına Aktarılması Yönetmeliği (yurt dışı aktarım mekanizmaları — uygulanabilir olduğu ölçüde).

AB/AEA’da hizmet sunulması hâlinde ayrıca GDPR yaklaşımı da dikkate alınır (Bölüm 7).

3) Biyometrik veri nedir? (bu akış açısından)

KVKK kapsamında biyometrik veri, özel nitelikli kişisel veri kabul edilir (KVKK m. 6). Platform bağlamında biyometrik veri değerlendirmesi, özellikle şu durumlarda gündeme gelir:

  • selfie gibi yüz görüntülerinin, bir kişiyi benzersiz biçimde tanımlamaya/doğrulamaya imkân verecek şekilde teknik araçlarla işlenmesi,
  • “yüz doğrulama”, “yüz eşleştirme”, “liveness” gibi doğrulama çıktıları üretilmesi.

Platformda profil fotoğrafı yükleme; kural olarak “biyometrik işlem” olarak tasarlanmamalıdır. Ancak fotoğraf/selfie, kimlik/profil doğrulama amacıyla teknik işleme tabi tutulduğunda “biyometrik veri” kapsamı gündeme gelebilir. Bu nedenle selfie doğrulama için ayrı bir metinle bilgilendirme ve açık rıza yaklaşımı benimsenmiştir.

4) Selfie doğrulama akışı nasıl işler? (WIN’in mevcut kullanıcı yolculuğuna göre)

Adım 1: Açık rıza katmanı

Selfie doğrulama başlamadan önce, kullanıcıdan “selfie ve yüz bilgilerinin doğrulama amacıyla işlenmesine” ilişkin açık rıza istenir.

Adım 2: Kamera (ve bazı cihazlarda mikrofon) izni

Doğrulama akışında:

  • kamera izni zorunlu olabilir,
  • bazı cihazlarda veya uygulama tasarımlarında mikrofon izni istenebilir (ör. video selfie altyapısı / teknik gereklilik). (Önemli: Mikrofon izni talep edilse dahi hiçbir şekilde ses kaydı alınmamakta ve saklanmamaktadır).

Bu izinler, cihazınızın işletim sistemi ayarlarından her zaman yönetilebilir.

Adım 3: Selfie çekimi (Pose Verification / Liveness)

Platform, kullanıcıdan sağ veya sol elini rastgele şekilde kaldırdığı bir pozu taklit ederek selfie çekmesini ister. Bu adımda doğrudan ön kamera açılır; güvenliği sağlamak amacıyla galeri üzerinden fotoğraf yükleme seçeneği sunulmaz.

Adım 4: Yüz doğrulama ve Moderasyon (Teknik Karşılaştırma)

Çekilen selfie görüntüsü aşağıdaki teknik süreçlerden geçer:

  • Google Gemini 2.5 Flash: İstenen poz (el kaldırma), selfie ile profil fotoğraf(lar)ınız arasındaki tutarlılık ve kişi doğrulaması otomatik değerlendirilir. Doğrulama amacıyla sınırlı işlemdir; kalıcı biyometrik şablon/embedding saklanması hedeflenmez.
  • safeSearchDetection (Google Cloud Vision): Selfie görüntüsünde uygunsuz içerik olup olmadığı denetlenir.

Adım 5: Sonuç, Kısıtlamalar ve İtiraz

Doğrulama sonucuna göre:

  • Başarılı doğrulama sonrası ilgili fotoğraflara yeşil tik rozeti eklenir. Başka kişilerin bulunduğu fotoğraflara doğrulama verilmez; sadece kullanıcının kendisinin olduğu fotoğraflar doğrulanabilir.
  • Hata/Başarısızlık: Doğrulama başarısız olursa kullanıcı bilgilendirilir. Suistimali (abuse/spam) önlemek amacıyla saat başına 5 deneme hakkı gibi bir "cool down" (bekleme süresi) uygulanabilir.
  • İtiraz: Kullanıcılar doğrulama sorunları için support@whoisnextapp.com adresi üzerinden destek ekibine ulaşabilirler.
⚠️

Yüz doğrulama gibi süreçler; yanlış eşleşme, ayrımcılık/yanlılık, hesap kilitlenmesi ve mahremiyet gibi riskler doğurabileceğinden; veri minimizasyonu, kısa saklama süresi ve güçlü güvenlik önlemleri özellikle önemlidir.

5) Hangi veriler işlenir? (kategori bazında)

Bu süreçte işlenebilecek veri türleri özetle şunlardır:

Veri / ÇıktıAçıklamaKaynakNot
Doğrulama selfie görüntüsüDoğrulama için çekilen fotoğraf (veya doğrulama görseli)KullanıcıProfil fotoğrafı olarak yayımlanması hedeflenmez.
Yüz doğrulama çıktılarıBenzerlik skoru, eşleşme sonucu, doğrulama durumu gibi teknik çıktılarPlatform / sağlayıcıTeknik çıktılar “biyometrik değerlendirme” kapsamında ele alınır.
Liveness / canlılık sinyalleriPoza uyum, tekrar deneme sayısı, teknik kalite sinyalleriPlatformÜrünün teknik tasarımına göre değişebilir.
İşlem meta verileriDoğrulama zamanı, deneme sayısı, hata kodu/başarı sonucuPlatformGüvenlik ve kalite amaçlarıyla sınırlı tutulur.
Güvenlik kayıtlarıSahte hesap şüphesi, itiraz/inceleme notlarıPlatformUyuşmazlık ve güvenlik için saklama gerekebilir.

Selfie doğrulama kapsamında işlenen biyometrik veri; reklam hedefleme, pazarlama profillemesi veya kampanya iletisi kişiselleştirmesi amacıyla kullanılmaz.

6) Hangi amaçlarla işleriz?

Selfie doğrulama kapsamında biyometrik verileriniz; aşağıdaki amaçlarla ve bu amaçlarla sınırlı olarak işlenir:

  1. Profil doğrulama: Profilin bir gerçek kişiye ait olma ihtimalini artırmak ve sahte profilleri azaltmak.
  2. Güvenlik ve kötüye kullanım önleme: Bot/spam, kimlik taklidi ve dolandırıcılık risklerini azaltmak.
  3. Hizmet bütünlüğü: Platformda güvenilir eşleşme deneyimini desteklemek.
  4. İtiraz/inceleme: Doğrulama başarısızlıklarında veya itirazlarda kalite ve güvenlik incelemesi yapabilmek.
  5. Hukuki yükümlülükler ve hakların korunması: Resmî talepler, uyuşmazlıklar veya hukuki iddialar söz konusu olduğunda kayıtların saklanması gerekebilir.

7) Hukuki sebep ve açık rıza yaklaşımı

KVKK kapsamında biyometrik veriler özel nitelikli kişisel veridir (KVKK m. 6). Platformun selfie doğrulama akışında biyometrik veri işlenmesi; kural olarak açık rızanıza dayanır.

Bu kapsamda:

  • açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak alınır,
  • rızanızı dilediğiniz zaman geri çekebilirsiniz,
  • rıza geri çekildiğinde; doğrulama özelliği ve buna bağlı bazı işlevler çalışmayabilir (Bölüm 10).

Not: Platformun genel KVKK çerçevesi, veri sorumlusu bilgileri ve haklarınız için: KVKK Aydınlatma Metni.

8) Açık rıza metni (uygulama içinde kullanıcıya sunulacak şablon)

Aşağıdaki metin, uygulama içinde kullanıcıya sunulacak açık rıza metninin önerilen şablonudur. Ürün akışına göre dil sadeleştirilebilir; ancak “ne işleniyor, kimlerle paylaşılıyor, hangi amaçla, ne kadar süre, rızayı geri çekme” unsurlarının korunması gerekir.

Selfie/Yüz Verisi İşleme Açık Rızası (Biyometrik Veri)

Platformda profil doğrulama ve sahte hesapların önlenmesi amacıyla; doğrulama için sağladığım selfie görüntüsünün ve bu görüntü üzerinden gerçekleştirilecek yüz doğrulama işlemlerinin (biyometrik değerlendirme niteliğinde olabilecek teknik işlem ve çıktılar dâhil) işlenmesine açık rıza veriyorum.

Bu kapsamda:

  • Doğrulama işlemi, Google Gemini 2.5 Flash ve Google Cloud Vision (safeSearchDetection) servisleri kullanılarak gerçekleştirilir.
  • Doğrulama işlemi için yalnızca anlık kamera görüntüsünün kullanılacağını, galeri erişimi ile fotoğraf yüklenemeyeceğini biliyorum.
  • Doğrulama için sağladığım selfie görüntüsünün profilimde yayımlanmayacağını ve diğer kullanıcılara gösterilmeyeceğini biliyorum. Başarılı doğrulama halinde fotoğraflarıma yeşil tik rozeti eklenecektir. Platformun keşif akışında (Deck) yer alabilmek için en az bir fotoğrafımın bu şekilde doğrulanmış olması gerektiğini anlıyorum.
  • Bu biyometrik işlemenin pazarlama amacıyla yapılmayacağını ve reklam hedeflemesinde kullanılmayacağını biliyorum.
  • Biyometrik verilerimin saklama süresi ve imha yaklaşımı ile aktarım/yurt dışı aktarım bilgileri bu metinde açıklanmıştır.

Rızamı dilediğim zaman geri çekebileceğimi ve geri çekmenin, geri çekme öncesindeki işlemlerin hukuka uygunluğunu etkilemeyeceğini biliyorum.

⚠️

Selfie doğrulama kapsamında biyometrik verilerin yurt dışındaki hizmet sağlayıcılar tarafından işlenmesi/aktarılması söz konusuysa; KVKK m. 9 ve ilgili ikincil mevzuat kapsamında ayrıca yurt dışı aktarım mekanizması kurulması gerekir. Bu konu için metin ve rıza yaklaşımı: Açık Rıza Metinleri ve KVKK Aydınlatma Metni.

9) Saklama süresi ve imha (biyometrik veri özelinde)

Selfie doğrulama kapsamında işlenen biyometrik veriler; amaçla sınırlı ve gerekli süre kadar saklanır; süre dolduğunda veya işleme amacı ortadan kalktığında güvenli şekilde silinir/imha edilir (KVKK m. 7).

Veri / kayıtSaklama yaklaşımıİmha tetikleyicileri
Biyometrik Harita / Yüz Tanıma DatasıYüz tanıma işlemi tamamlanıp kişinin gerçekliği onaylandıktan hemen sonra derhal imha edilir.Doğrulama işleminin tamamlanması
Doğrulama Durumu (Verified Log)Sistemde sadece "Doğrulandı: Evet/Hayır" şeklinde basit bir log kalır. Biyometrik veri içermez.Hesap silme
Audit Kayıtlarıİşlem güvenliği için tutulan teknik meta veriler (biyometrik olmayanlar), yasal zamanaşımı süreleri boyunca saklanabilir.Yasal sürenin dolması

9.1 Rıza geri çekilirse ne olur?

Önemli: Biyometrik verilerin "belki ileride lazım olur" düşüncesiyle saklanması söz konusu değildir.

Rızanızı geri çektiğinizde:

  • Biyometrik veri işleme durdurulur,
  • Sistemdeki biyometrik veriler derhal ve geri döndürülemez şekilde silinir. Bekleme süresi (grace period) uygulanmaz.
  • Profilinizdeki "Onaylı" rozeti kaldırılır ve buna bağlı güvenlik/ayrıcalık mekanizmaları devre dışı kalır.

9.2 İstisnalar

Aşağıdaki hallerde, verilerin daha uzun süre saklanması gerekebilir:

  • devam eden bir uyuşmazlık/itiraz süreci,
  • resmî makam talepleri veya hukuki yükümlülükler,
  • güvenlik/preservation (delil muhafazası) süreçleri.

Bu istisnaların çerçevesi için: Kolluk Kuvvetleri Rehberi.

10) Rıza vermemenin veya geri çekmenin olası sonuçları

Selfie doğrulama; Platformun sahte hesapları azaltma ve kullanıcı güvenliğini artırma yaklaşımının parçasıdır. Bu nedenle:

  • rıza verilmemesi halinde hesap oluşturma veya Platformu kullanma süreci tamamlanamaz; zira bu adım Platform güvenliği için fonksiyonel bir zorunluluktur,
  • rıza geri çekilirse, doğrulama durumunuz kaldırılır ve Platforma erişiminiz/kullanımınız kısıtlanabilir.
  • güvenlik gerekçesiyle belirli işlemler “doğrulama tamamlanana kadar” askıda kalabilir.

Rıza/izin yönetimi için uygulama içi “Ayarlar > Yasal > Rızalar/İzinler” alanını kullanabilir veya KVKK başvuru kanalları üzerinden talepte bulunabilirsiniz. Detaylı başvuru usulü için: KVKK Aydınlatma Metni.

11) Aktarımlar ve hizmet sağlayıcılar (biyometrik süreç özelinde)

Selfie doğrulama sürecinde; altyapı ve doğrulama amacıyla hizmet sağlayıcılar devreye girebilir. Mevcut kurguda:

  • doğrulama selfie’si ve ilişkili kayıtlar, Google Cloud / Firebase altyapısında saklanabilir,
  • poz ve yüz/profil tutarlılığı doğrulaması için Google Gemini 2.5 Flash kullanılabilir.

Önemli: Hizmet sağlayıcıların rolü; “veri işleyen” veya “bağımsız veri sorumlusu” olarak değişebilir. Genel rol yaklaşımı için: KVKK Aydınlatma Metni ve Gizlilik Politikası.

Sağlayıcı / sistemAmaçVeri türüLokasyonNot
Google Cloud / FirebaseBarındırma, saklama; selfie üzerinde uygunsuz içerik denetimi (Google Cloud Vision — Safe Search)Selfie görüntüsü ve teknik kayıtlarEU (multi-region)Veriler şifrelenmektedir.
Google Gemini 2.5 FlashPoz ve selfie tabanlı profil doğrulama (tutarlılık / kişi doğrulaması)Selfie görüntüsü (anlık), profil görselleri[GEMINI_REGION]Doğrulama amacıyla sınırlı otomatik değerlendirme; kalıcı biyometrik şablon/embedding saklanması hedeflenmez.
⚠️

Verilerin yurt dışındaki sunuculara aktarımı söz konusuysa; KVKK m. 9 ve ilgili yönetmelik kapsamında uygun aktarım mekanizması kurulması gerekir. Bu konuda ayrıntı: KVKK Aydınlatma Metni ve Açık Rıza Metinleri.

12) Güvenlik önlemleri (özel nitelikli veri için ek hassasiyet)

Biyometrik veriler, KVKK kapsamında özel nitelikli kabul edildiğinden; güvenlik önlemleri daha yüksek hassasiyetle ele alınır. Bu kapsamda (örnekler):

  • Şifreleme: veri aktarımında TLS; saklamada şifreleme (at-rest) ve güvenli anahtar yönetimi.
  • Erişim kontrolü: en az ayrıcalık (least privilege), rol bazlı yetkilendirme, MFA, kayıt altına alma.
  • Ayrıştırma: doğrulama selfie’sinin, profil fotoğraflarından ve genel içeriklerden ayrı mantıksal depolama/erişim politikalarıyla yönetilmesi.
  • Denetim izi: erişim ve işlem loglarının tutulması; anomali/ihlal tespiti.
  • Tedarikçi yönetimi: hizmet sağlayıcılarla veri işleme sözleşmeleri, gizlilik yükümlülükleri ve güvenlik denetimleri.
  • İmha prosedürleri: süre dolumlarında otomatik silme, silme taleplerinde hızlı imha; yedeklerde silme yaklaşımı.

Genel veri güvenliği yaklaşımı için: KVKK Aydınlatma Metni ve Güvenlik Açığı Bildirim Politikası.

13) Haklarınız ve başvuru yolları

KVKK m. 11 kapsamında; kişisel verilerinizin işlenip işlenmediğini öğrenme, bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme, aktarım yapılan üçüncü kişileri bilme, düzeltme/silme talep etme, itiraz ve zararınızın giderilmesini talep etme gibi haklara sahipsiniz.

Bu hakların kullanımı ve başvuru usulü için: KVKK Aydınlatma Metni.

14) Değişiklikler

Bu metin, Platformun doğrulama kurgusu, tedarikçi altyapısı veya mevzuat değişiklikleri doğrultusunda güncellenebilir. Güncellemeler uygulama içi “Yasal” bölümünde ve whoisnextapp.com (opens in a new tab) adresinde yayımlanır.

15) İletişim

Bu metne ilişkin sorularınız ve KVKK kapsamındaki talepleriniz için, KVKK Aydınlatma Metni içinde belirtilen iletişim kanallarını kullanabilirsiniz.

Çerez PolitikasıAçık Rıza Metinleri