Modern iş dünyasında zaman yönetimi ve verimlilik analizi, şirketlerin başarısında kritik bir rol oynar. Bu ihtiyacı karşılamak amacıyla uzun yıllardır kullanılan PDKS (Personel Devam Kontrol Sistemi) çözümleri, günümüzde dijital dönüşümün ve yasal regülasyonların merkezinde yer almaktadır. Türkiye’de 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), personel takip yöntemlerini kökten değiştirmiştir.
Bugün bir işletmenin yalnızca “çalışanların giriş-çıkış saatlerini takip etmesi” yeterli değildir; bu takibin yasalara uyumlu, şeffaf ve güvenli bir altyapıyla yapılması zorunludur. Aksi takdirde, şirketler milyonlarca lirayı bulan idari para cezaları ve itibar kayıplarıyla karşı karşıya kalabilmektedir.
PDKS Sistemlerinde KVKK Krizi: Biyometrik Veri Neden Riskli?
Geleneksel personel takip sistemlerinde yaygın olarak kullanılan parmak izi, yüz tanıma veya retina tarama gibi yöntemler, KVKK kapsamında özel nitelikli kişisel veri statüsündedir. Kanunun 6. maddesine göre, özel nitelikli kişisel verilerin işlenmesi çok daha sıkı şartlara bağlanmıştır.
Kişisel Verilerin Korunması Kurulu’nun (KVKK Kurulu) geçmiş dönemlerde verdiği emsal kararlar, şirketlerin personel takibinde biyometrik veri kullanmasını neredeyse tamamen sınırlandırmıştır. Kurulun bu konudaki temel argümanı ölçülülük ilkesidir.
Kurulun Temel Yaklaşımı: Bir amaca (personel devam takibi) daha az veri işleyen, alternatif ve daha hafif yöntemlerle (kart, şifre, mobil uygulama) ulaşmak mümkünken, doğrudan kişinin biyometrik verisinin işlenmesi “ölçüsüz” olarak kabul edilmektedir. Çalışanın “açık rızası” alınmış olsa bile, işçi-işveren arasındaki asimetrik ilişki nedeniyle bu rızanın her zaman özgür iradeye dayanmadığı varsayılabilmektedir.
Personel Takip Yöntemlerinin KVKK Açısından Karşılaştırılması
Şirketlerin tercih edebileceği farklı personel takip teknolojileri mevcuttur. Bu sistemlerin yasal risklerini, maliyetlerini ve operasyonel verimliliklerini doğru analiz etmek gerekir.
| Takip Yöntemi | KVKK Risk Seviyesi | Açık Rıza Zorunluluğu | Temel Avantajı | Temel Dezavantajı |
| Biyometrik Sistemler (Yüz/Parmak İzi) | Çok Yüksek | Kesinlikle Zorunlu | Sahtecilik yapılamaz, kart unutma derdi yoktur. | Yüksek ceza riski, ölçülülük ilkesine aykırılık. |
| Kartlı ve Şifreli Geçiş | Düşük | Aydınlatma Yükümlülüğü Yeterli | Yasal risk minimumdur, kurulumu kolaydır. | Kartların başkasına okutulma riski (suistimal). |
| Mobil ve QR Kod Takibi | Orta – Düşük | Konum işleniyorsa zorunlu | Esnek çalışma ve saha personeli için idealdir. | Kişisel cihaz kullanımı durumunda direnç. |
| Yazılım Tabanlı Takip (Log/PC) | Orta | Aydınlatma Yükümlülüğü Yeterli | Masa başı çalışanlar için yüksek veri doğruluğu. | Gizlilik algısı zedelenmesi, stres yaratma. |
1. Biyometrik Personel Takip Sistemleri
Yüz tanıma ve parmak izi okuyucular, operasyonel olarak en güvenli (başkası yerine kart basılmasını engelleyen) yöntem gibi görünse de yasal uyum açısından en tehlikeli seçenektir. KVKK Kurulu, spor salonları ve şirket girişlerinde yapılan biyometrik takiplere yönelik ağır cezalar uygulamıştır. Bu sistemleri kullanmakta ısrar eden şirketlerin, biyometrik veriyi merkezi bir sunucuda tutmak yerine, şifrelenmiş olarak sadece personelin kendi taşıdığı akıllı kartın içinde saklayan (Match-on-Card) özel teknolojilere yönelmesi gerekmektedir.
2. Kartlı ve Şifreli Geçiş Sistemleri
RFID kartlar ve kişiye özel şifreler, KVKK uyumu en kolay sağlanan yöntemlerdir. Bu sistemlerde işlenen veri “genel nitelikli kişisel veri” (ad-soyad, sicil numarası, giriş-çıkış zamanı) olduğu için, kanunun 5/2-f maddesindeki “veri sorumlusunun meşru menfaati” hukuki sebebine dayanarak, açık rıza alınmadan dahi (ancak net bir aydınlatma yapılarak) kullanılabilir. En büyük dezavantajı, çalışanların birbirleri yerine kart okutabilmesidir.
3. Mobil Uygulama ve QR Kod Destekli Sistemler
Özellikle hibrit çalışma modeline geçen veya sahada personeli bulunan firmalar için popüler bir çözümdür. Çalışanlar iş yerine geldiklerinde duvardaki dinamik bir QR kodu okutarak veya Bluetooth/Wi-Fi eşleşmesiyle giriş yaparlar. Ancak bu sistemlerde personelin anlık konum (GPS) verisi toplanıyorsa, bu durum yine özel hayatın gizliliğine müdahale sayılacağından, takibin sadece mesai saatleri ve iş yeri sınırları içinde yapıldığı kanıtlanmalı ve hukuki altyapı doğru kurulmalıdır.
KVKK Uyumlu Bir Personel Takip Sisteminin Olmazsa Olmaz 4 Bileşeni
Şirketinize entegre edeceğiniz PDKS yazılımının sadece teknik olarak çalışması yetmez. Hukuki ve teknik entegrasyonun eş zamanlı yapılması gerekir.
1. Katmanlı Aydınlatma Yükümlülüğü
Sistemlerin kurulduğu giriş alanlarına, kameraların veya turnikelerin yanına çalışanların kolayca görebileceği Aydınlatma Metni Özetleri (Katmanlı Aydınlatma) yerleştirilmelidir. Çalışanlara ise hangi verilerinin, hangi amaçla, hangi hukuki sebebe dayanarak işlendiğini ve ne kadar süreyle saklanacağını anlatan detaylı bir “Çalışan Aydınlatma Metni” imza karşılığı veya dijital onay ile tebliğ edilmelidir.
2. Veri Minimizasyonu ve Amaca Bağlılık
Sistem, sadece personelin devamlılığını kontrol etme amacına hizmet edecek kadar veri toplamalıdır. Örneğin; bir personelin işe giriş çıkış saati yeterliyken, giriş yaparken her seferinde yüksek çözünürlüklü fotoğrafının çekilip sisteme kaydedilmesi veri minimizasyonu ilkesine aykırıdır.
3. Veri Güvenliği ve Erişim Logları
PDKS yazılımının veri tabanına herkes erişememelidir. İnsan Kaynakları (İK) veya idari işler departmanında yetkili kişilerin rolleri tanımlanmalı, veritabanı şifrelenmeli ve bu verilere kimin, ne zaman eriştiğini gösteren erişim logları (iz kayıtları) değiştirilemez bir şekilde tutulmalıdır.
4. Veri İmha Politikası ve Saklama Süreleri
İşten ayrılan bir personelin devam kontrol kayıtları sonsuza kadar saklanamaz. İş kanunu ve vergi mevzuatından doğan zamanaşımı süreleri (genellikle 5 ila 10 yıl) dikkate alınarak bir saklama süresi belirlenmeli, bu süre dolduğunda veriler sistemden geri döndürülemeyecek şekilde silinmeli veya anonim hale getirilmelidir.
Şirketiniz İçin Doğru Yazılımı Nasıl Seçersiniz?
KVKK uyumlu bir personel takip sistemi seçerken yazılım tedarikçisine şu kritik soruları yöneltmeniz, gelecekteki hukuki risklerinizi sıfırlayacaktır:
- Veriler nerede saklanıyor? PDKS yazılımı bulut tabanlıysa, sunucularının Türkiye içinde olması (KVKK Madde 9 – Yurtdışına Veri Aktarımı yasağı nedeniyle) hayati önem taşır. Amazon, Google veya Azure gibi yurtdışı menşeili bulutlarda veri tutan sistemler, taahhütname veya kurul izni yoksa doğrudan kanuna aykırı duruma düşebilir.
- Yetkilendirme matrisi var mı? Yazılım, farklı departman yöneticilerine sadece kendi personellerinin verilerini görme yetkisi kısıtlaması sunabiliyor mu?
- Otomatik imha özelliği mevcut mu? Belirlenen süre sonunda eski çalışanların verilerini otomatik olarak anonimleştirebilecek bir teknik altyapıya sahip mi?
Sonuç
“KVKK Uyumlu Personel Takip Sistemi” seçimi, sadece bir yazılım veya donanım satın alma süreci değildir; şirketin hukuk, insan kaynakları ve bilgi işlem (BT) departmanlarının ortak yönetmesi gereken bir uyum projesidir. Biyometrik sistemlerin yüksek idari para cezası riskleri göz önüne alındığında, günümüz regülasyon ikliminde en rasyonel ve güvenli seçenekler; yerli sunucularda barındırılan, gelişmiş şifreleme altyapısına sahip kartlı geçiş sistemleri veya konum suiistimali yapmayan mobil PDKS çözümleri olarak öne çıkmaktadır. Şirketinizin geleceğini güvence altına almak için, operasyonel hız kadar yasal uyumluluğu da ilk sıraya koymanız kritik bir zorunluluktur.
