Gelişen teknolojiyle birlikte işletmeler, personel yönetim süreçlerini otomatikleştirmek ve operasyonel verimliliği artırmak amacıyla dijital sistemlere yönelmektedir. Ancak bu dijitalleşme dalgası, yasal sorumlulukları ve veri güvenliği zorunluluklarını da beraberinde getirmektedir. Türkiye’de 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), personelin devam kontrolü amacıyla toplanan her türlü veriyi yasal koruma altına almıştır. Bu bağlamda PDKS (Personel Devam Kontrol Sistemi), sadece işe giriş-çıkış saatlerini ölçen mekanik bir araç olmaktan çıkıp, doğrudan kanuni yükümlülüklerin merkezinde yer alan dijital bir veri işleme sürecine dönüşmüştür.
KVKK kapsamında, bir çalışanın adı, soyadı, T.C. kimlik numarası, giriş-çıkış zaman damgaları, hatta iş yerindeki konum bilgileri "kişisel veri" olarak kabul edilir. Eğer sistemde yüz tanıma, parmak izi, avuç içi damar izi veya iris tarama gibi teknolojiler kullanılıyorsa, bu veriler kanunun 6. maddesinde düzenlenen "Özel Nitelikli Kişisel Veri" statüsüne girer. Özel nitelikli kişisel verilerin işlenmesi, ifşa edilmesi veya çalınması durumunda işletmeler çok daha ağır idari ve hukuki yaptırımlarla karşı karşıya kalır. Dolayısıyla, bir işletmede personel devam kontrol süreçlerinin kurgulanması, sadece insan kaynaklarının ihtiyacını çözmeyi değil, yasal otoritelerin belirlediği bilgi güvenliği standartlarını da eksiksiz karşılamayı zorunlu kılmaktadır.
Biyometrik Verilerin İşlenmesindeki Hukuki Riskler
İşletmeler, suiistimalleri engellemek ve yüksek hızda geçiş sağlamak amacıyla turnikelerin veya duvar tipi terminallerin üzerine sıklıkla biyometrik okuyucular konumlandırır. Ancak biyometrik veri işleme süreçleri, KVKK’nın en hassas yaklaştığı ve Kişisel Verileri Koruma Kurulu tarafından en çok ceza kesilen alanların başında gelir. Kurulun geçmiş kararları incelendiğinde, personelin devam kontrolünü sağlamak amacıyla doğrudan biyometrik veri toplanması, kanunun "ölçülülük" ve "amaçla sınırlılık" ilkelerine aykırı bulunabilmektedir. Yani, bir personelin işe gelip gelmediğini kartla veya şifreyle takip etmek mümkünken, doğrudan parmak izinin veya yüzünün taranması yasal otorite tarafından orantısız güç kullanımı olarak değerlendirilebilir.
Bu hukuki riskleri minimize etmek için işletmelerin "Açık Rıza" ve "Aydınlatma Metni" süreçlerini kusursuz yürütmesi gerekir. Personele, biyometrik verilerinin neden alındığı, nerede saklandığı, ne zaman silineceği ve alternatif geçiş yöntemlerinin olup olmadığı net bir şekilde açıklanmalıdır. Eğer bir çalışan yüzünü veya parmak izini sisteme taratmak istemiyorsa, işveren ona zorunlu yaptırım uygulayamaz; aksine, kartlı geçiş veya şifreli turnike gibi alternatif bir yöntem sunmakla yükümlüdür. Personelin özgür iradesine dayanmayan, iş sözleşmesinin feshi tehdidiyle veya baskıyla alınan açık rızalar hukuken geçersiz sayılır. Bu durumun ihlali, şirketlere milyonlarca lirayı bulan idari para cezaları yükleyebilir.
Dijital PDKS Yazılımı Py ve Teknik Güvenlik Altyapısı
Yasal uyumluluğun sağlanmasında top sadece insan kaynakları veya hukuk departmanında değildir; kullanılan PDKS yazılımı da teknik olarak KVKK’nın talep ettiği veri güvenliği kriterlerine sahip olmak zorundadır. Modern ve yerli mevzuatlara uyumlu bir yazılım, biyometrik donanımlardan gelen verileri asla ham bir resim, parmak izi fotoğrafı veya video kaydı olarak veri tabanına kaydetmez. Güvenli bir yazılım mimarisi, donanımdan gelen biyometrik haritayı "giriş yapılamaz" ve "geriye döndürülemez" tek yönlü matematiksel kod dizilimlerine (hash / template) dönüştürerek şifreler. Böylece, veri tabanı kötü niyetli kişilerin eline geçse bile, o şifrelerden personelin gerçek parmak izi veya yüz görüntüsü asla yeniden üretilemez.
Teknik altyapının bir diğer önemli ayağı ise verilerin depolandığı sunucuların fiziksel lokasyonudur. KVKK, kişisel verilerin (özellikle yurt dışı menşeili bulut servislerine) açık rıza olmaksızın aktarılmasını katı kurallarla sınırlandırmaktadır. Bu nedenle tercih edilecek yazılımın veri tabanı, Türkiye sınırları içerisinde yer alan, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip güvenli veri merkezlerinde (data center) barındırılmalıdır. Yazılım içerisinde veriye erişim yetkileri de sıkı bir şekilde denetlenmelidir; muhasebe personeli sadece puantaj saatlerini görebilmeli, personelin özlük bilgilerine veya özel nitelikli loglarına erişim hakkı sadece yetkilendirilmiş insan kaynakları yöneticisine tanımlanmalıdır.
Turnike Geçiş Sistemi Üzerindeki Veri Kayıt Yönetimi
Personel kontrol süreçlerinde fiziki bariyer oluşturan turnike geçiş sistemi, verinin ilk toplandığı ve donanımsal olarak işlendiği noktalardır. Turnike gövdeleri üzerine takılan okuyucu terminaller, kendi içlerinde sınırlı da olsa bir depolama hafızasına sahiptir. KVKK uyumu açısından, sadece merkezi yazılımın değil, turnike üzerindeki bu uç donanımların (edge cihazların) da siber saldırılara ve fiziksel hırsızlıklara karşı korunması gerekir. Bir fabrikanın veya ofisin dış kapısında duran turnike cihazının çalınması veya sökülmesi durumunda, içindeki verilerin yetkisiz kişilerce okunması engellenmelidir.
Bunun için turnike terminal aygıtları ile ana sunucu arasındaki tüm veri trafiği SSL veya benzeri kriptolu haberleşme protokolleri ile şifrelenmelidir. Turnike donanımları üzerinde personelin kimlik bilgileri açık metin olarak yazmamalı, sadece sisteme özel tanımlanmış ID numaraları yer almalıdır. Ayrıca, işten ayrılan bir personelin verileri merkezi yazılımdan silindiği anda, yazılım bu emri turnike üzerindeki yerel cihaz hafızalarına da göndermeli ve personelin verisini o uç noktadan da tamamen temizlemelidir. Turnike alanlarında güvenlik kameraları ile yapılan izleme faaliyetleri varsa, turnike girişlerine "Bu alan 7/24 kamera ile izlenmektedir" ibareli aydınlatma tabelalarının asılması da fiziki alan güvenliği ve yasal şeffaflık açısından zorunlu bir diğer adımdır.
Veri İmhası, Anonimleştirme ve Denetim Süreçleri
Kanunun işletmelere yüklediği en önemli ödevlerden biri de, işlenme amacı ortadan kalkan kişisel verilerin sistemlerden güvenli bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesidir. Personel işten ayrıldığında, onun devam kontrolünü yapma ihtiyacı (yani verinin işlenme amacı) yasal olarak sona erer. Bu aşamada, dijital sistemlerin otomatik veri imha politikalarına sahip olması gerekir. İşten ayrılan çalışanın özel nitelikli biyometrik verileri turnikelerden ve yazılım veri tabanından kalıcı olarak silinmelidir.
Ancak, iş kanunu ve vergi mevzuatları gereği, personelin geriye dönük çalışma süreleri, fazla mesai kayıtları ve bordro puantaj verileri belirli bir süre (genellikle 10 yıl) saklanmak zorundadır. Bu hukuki çatışmayı çözmek için gelişmiş sistemler "anonimleştirme" yöntemini kullanır. İşten ayrılan personelin ismi, soyismi ve T.C. kimlik numarası veri tabanından silinir veya maskelenir; geriye kalan çalışma saatleri ve log verileri ise sadece istatistiksel ve mali analizler için saklanır. Sistem üzerinde yapılan tüm bu silme, yetkilendirme ve veri erişim hareketleri "Loglama / Audit Trail" sistemleri ile kayıt altına alınmalı, olası bir resmi denetimde yasal otoritelere sistemin KVKK kurallarına tam uyumlu çalıştığı dijital raporlarla kanıtlanabilmelidir.
Sonuç
Dijitalleşme, işletmelere büyük bir operasyonel güç ve hız kazandırırken, insan hakları ve veri mahremiyeti standartlarına uyum göstermeyi de zorunlu kılmaktadır. Personel devam kontrol süreçlerinin geleneksel yöntemlerden dijital yazılımlara ve akıllı turnike sistemlerine taşınması, şirketlerin mali kayıplarını engellemek adına harika bir adımdır; ancak bu adım atılırken KVKK ve GDPR gibi küresel veri koruma kanunlarının göz ardı edilmesi, işletmeleri telafisi imkansız finansal zararlarla ve kurumsal prestij kayıplarıyla karşı karşıya bırakabilir. Başarılı ve sürdürülebilir bir dijital dönüşüm, veri güvenliğini ilk günden itibaren bir tasarım ilkesi (privacy by design) olarak kabul eden yerli mevzuat uyumlu yazılımların seçilmesi, turnike donanımlarının şifreli haberleşme altyapısıyla donatılması ve çalışanların açık rıza süreçlerinin şeffaf bir şekilde yönetilmesi ile mümkündür. Yasal uyumluluğu teknik güvenlik duvarlarıyla birleştiren vizyoner işletmeler, hem kurumsal risklerini sıfırlayacak hem de çalışanlarına verilerinin güvende olduğu, adil, şeffaf ve modern bir çalışma ortamı sunmanın gururunu yaşayacaktır.
Sık Sorulan Sorular
Şirketimde PDKS sistemi kullanmak için personelden izin almak zorunda mıyım?
Eğer sistem kartlı veya şifreli ise ve sadece iş kanununa uygun mesai takibi yapılıyorsa "Aydınlatma Metni" sunulması yeterlidir; ancak yüz tanıma veya parmak izi gibi biyometrik veriler toplanıyorsa personelden kesinlikle "Açık Rıza" alınması zorunludur.
Bir personel yüz tanıma sistemine açık rıza vermezse onu işten çıkarabilir miyim?
Hayır, personelin biyometrik verisini vermek istememesi haklı bir fesih sebebi oluşturmaz. İşveren, açık rıza vermeyen personele kartlı geçiş veya şifreli turnike gibi alternatif bir devam kontrol yöntemi sunmakla yükümlüdür.
Kullanılan yazılımın sunucuları yurt dışında (örneğin AWS veya Google Cloud üzerinde) olabilir mi?
KVKK’nın güncel kurallarına göre, özel nitelikli kişisel verilerin (biyometrik veriler dahil) açık rıza veya kurulun onayladığı standart sözleşmeler olmaksızın yurt dışına aktarılması yasaktır. Bu nedenle verilerin Türkiye içindeki yerli sunucularda saklanması en güvenli yoldur.
İşten ayrılan personelin parmak izi veya yüz tanıma verisi sistemde ne kadar süre kalabilir?
Personel işten ayrıldığı anda, biyometrik verisinin işlenme amacı ortadan kalktığı için bu veriler turnike cihazlarından ve yazılım veri tabanından derhal, kalıcı olarak silinmelidir.
Biyometrik verilerin şifrelenerek (Template / Hash) saklanması sistemi KVKK cezasından kurtarır mı?
Verinin şifrelenmesi teknik bir güvenlik önlemidir ve zorunludur; ancak tek başına hukuki uyumluluk sağlamaz. Şifreli de olsa, açık rıza alınmadan ve ölçülülük ilkesine uyulmadan toplanan biyometrik veriler ceza almanıza neden olur.
Kişisel Verileri Koruma Kurulu (KVKK) biyometrik PDKS kullanan şirketlere ceza kesiyor mu?
Evet, kurulun "ölçülülük" ilkesine aykırı davrandığı, çalışanlarına alternatif geçiş yöntemi sunmadığı ve zorla biyometrik veri topladığı tespit edilen birçok büyük şirkete milyonlarca lirayı bulan idari para cezaları kestiği resmi kararları mevcuttur.
Ziyaretçilerin turnike girişlerinde kimlik fotokopilerini almak yasal mıdır?
Ziyaretçilerin takibi amacıyla ad-soyad ve giriş saati alınabilir; ancak kimlik fotokopisinin doğrudan çekilmesi veya saklanması KVKK'nın "aşırı veri toplama" ve "ölçülülük" ilkelerine aykırıdır ve yasal risk taşır.
PDKS yazılımında çalışanların verilerine kimlerin erişebileceği sınırlandırılmalı mıdır?
Evet, bu kanuni bir zorunluluktur. Yazılım içinde rol tabanlı yetkilendirme (RBAC) olmalı, sistem yöneticisi dışında hiç kimse tüm ham verilere erişememeli ve her kullanıcının veri inceleme hareketleri (log) kayıt altına alınmalıdır.
Evden çalışan personelin konum verilerini mobil PDKS ile sürekli takip etmek yasal mıdır?
Hayır, personelin gün boyunca kesintisiz olarak GPS üzerinden konumunu izlemek temel hak ve özgürlüklerin ihlali sayılır. Mobil uygulamalar sadece mesai başlangıç ve bitiş butonuna basıldığı anlık koordinatı kaydetmelidir.
KVKK uyumlu bir dijital PDKS projesinde hangi belgelerin hazırlanması zorunludur?
Proje kapsamında; PDKS Özel Aydınlatma Metni, Biyometrik Veri Açık Rıza Formu, Veri Saklama ve İmha Politikası belgelerinin hazırlanması ve şirketin VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydına bu veri işleme faaliyetinin işlenmesi zorunludur.
