Birçok işletme PDKS kurarken biyometrik terminalleri otomatik tercih eder; oysa parmak izi veya yüz tanımayla çalışan sistemler KVKK açısından ciddi yükümlülükler doğurur. Yanlış kurgulanmış bir biyometrik PDKS, idari para cezalarına ve çalışan şikâyetlerine yol açabilir. Bu yazıda KVKK ile PDKS ilişkisini, biyometrik verinin hukuki statüsünü ve cihazsız/mobil çözümlerin avantajını açıklıyoruz.
KVKK Açısından PDKS Nedir?
PDKS, çalışanların giriş-çıkış ve mesai verisini işler; yani kişisel veri işleyen bir sistemdir. Sistem yalnızca kart numarası, kullanıcı adı veya konum gibi sıradan veri topluyorsa standart KVKK kurallarına tabidir. Ancak parmak izi, avuç içi veya yüz tanıma kullanıyorsa, işlenen veri özel bir kategoriye girer ve çok daha katı kurallara bağlanır.
Biyometrik Veri Neden Özel Nitelikli?
KVKK, biyometrik veriyi özel nitelikli (hassas) kişisel veri olarak tanımlar. Bunun nedeni, biyometrik verinin değiştirilemez ve kişiye benzersiz olmasıdır: bir şifre çalınırsa değiştirilebilir, ama parmak izi çalınırsa değiştirilemez. Bu nedenle özel nitelikli verinin işlenmesi için:
- Kural olarak ilgili kişinin açık rızası gerekir.
- Verinin saklanması için ek teknik ve idari tedbirler (şifreleme, erişim kısıtı, ayrı saklama) zorunludur.
- Veri Sorumluları Sicili (VERBİS) kaydı ve aydınlatma yükümlülüğü doğar.
Açık Rıza Sorunu
Burada kritik bir hukuki incelik vardır: işçi ile işveren arasında denge eşitsizliği olduğundan, çalışandan alınan açık rızanın gerçekten özgür iradeyle verilip verilmediği tartışmalıdır. Kurul kararları ve yargı içtihatları, çalışandan alınan biyometrik veri rızasının çoğu zaman geçerli kabul edilmediğini, çünkü çalışanın işini kaybetme baskısı altında rıza verdiğini ortaya koyar. Ayrıca ölçülülük ilkesi gereği, devam takibi gibi bir amaç için biyometrik veri toplamak çoğu zaman orantısız bulunur; daha az veri işleyen bir yöntem mümkünse onu seçmek gerekir.
Cihazsız ve Mobil PDKS'nin KVKK Avantajı
İşte bu noktada cihazsız ve mobil çözümler öne çıkar. Cihazsız PDKS ve mobil PDKS, devam takibini biyometrik veri toplamadan yapar:
- Kimlik doğrulama, kullanıcı adı/şifre veya cihaz eşleşmesiyle yapılır.
- Konum doğrulama (GPS), Wi-Fi ağı veya QR kod ile giriş alınır.
- Toplanan veri sıradan kişisel veri kategorisindedir; özel nitelikli veri işlenmez.
Bu sayede işletme, özel nitelikli veri işlemenin getirdiği açık rıza, ek güvenlik tedbiri ve ölçülülük tartışmalarından tümüyle kurtulur. Konum verisi de elbette kişisel veridir ve aydınlatma gerektirir; ancak biyometrik veriye göre çok daha düşük riskli ve yönetilebilirdir.
KVKK Uyumlu PDKS İçin Kontrol Listesi
- Mümkünse biyometrik yöntem yerine kart, mobil veya konum tabanlı doğrulama seçin.
- Çalışanları aydınlatma metniyle bilgilendirin; hangi verinin neden toplandığını açıklayın.
- Yalnızca amaç için gerekli minimum veriyi toplayın (veri minimizasyonu).
- Veriyi sınırlı erişimle ve şifreli saklayın.
- Saklama sürelerini belirleyin; amaç ortadan kalkınca silin.
Standart bir PDKS programı bu prensiplerle kurgulandığında, hem yasal uyumu hem de çalışan güvenini sağlar.
Sonuç
Parmak izi ve yüz tanıma, KVKK'da özel nitelikli veridir; açık rıza, ek tedbir ve ölçülülük yükümlülükleri getirir ve çoğu zaman orantısız bulunur. Cihazsız ve mobil PDKS, biyometrik veri toplamadan devam takibi yaparak bu riskleri ortadan kaldırır. KVKK uyumu için en güvenli yol, en az ve en az hassas veriyle çalışmaktır.
Sık sorulan sorular
PDKS KVKK kapsamında mıdır?
Evet. PDKS, çalışanların giriş-çıkış ve mesai verisini işlediği için kişisel veri işleyen bir sistemdir ve KVKK kapsamındadır. Eğer parmak izi veya yüz tanıma kullanıyorsa, işlenen veri özel nitelikli kategoriye girer ve çok daha katı kurallara tabi olur.
Parmak izi ile PDKS yasal mı?
Parmak izi özel nitelikli kişisel veridir. İşlenmesi açık rıza ve ek güvenlik tedbirleri gerektirir. Ancak işçi-işveren ilişkisindeki denge eşitsizliği nedeniyle çalışan rızası çoğu zaman geçerli sayılmaz ve ölçülülük ilkesi gereği orantısız bulunabilir. Bu nedenle biyometrik PDKS yüksek risklidir.
Cihazsız PDKS KVKK'ya neden daha uygundur?
Cihazsız ve mobil PDKS, biyometrik veri toplamaz; doğrulamayı kullanıcı adı, cihaz eşleşmesi veya konum/QR ile yapar. Toplanan veri sıradan kişisel veri kategorisinde olduğundan açık rıza, ek tedbir ve ölçülülük tartışmaları büyük ölçüde ortadan kalkar.
PDKS için aydınlatma metni gerekli mi?
Evet. PDKS hangi yöntemi kullanırsa kullansın kişisel veri işler; bu nedenle çalışanların aydınlatma metniyle bilgilendirilmesi zorunludur. Metin, hangi verinin hangi amaçla toplandığını, saklama süresini ve çalışanın haklarını açıklamalıdır.