Yeni KVKK kararı sonrası, personel takibinde yasal uyum ve veri güvenliği işletmelerin en önemli zorlukları haline geldi. Manuel veri yönetimi ile bu standartları sağlamak artık yetersiz kalmıştır; bulut tabanlı çözümler, özellikle PDKS Bulut, bu dönemdeki dönüm noktası olarak ortaya çıkmıştır.
Biyometrik verilerin mesai takibinde yasaklanmasıyla birlikte, şirketlerin yasal risklerini sıfırlayan, donanım maliyetlerini ortadan kaldıran ve operasyonel verimliliği artıran yeni nesil sistemlere geçişi bir zorunluluktur. Bu yazıda; yeni KVKK kararına uyum sürecini, olası idari para cezalarından ve risklerden kaçınma yöntemlerini ve modern sistem seçim kriterlerinin somut faydalarını detaylıca öğreneceksiniz.
Kişisel Verileri Koruma Kurulu’nun parmak izi, retina taraması ve yüz tanıma gibi biyometrik verilerin mesai takibinde kullanımına getirdiği kısıtlamalar, insan kaynakları departmanlarının operasyonel süreçlerini temelden değiştirmiştir. Bu karar, veri mahremiyetini merkeze alan yepyeni bir personel yönetim anlayışını zorunlu kılmaktadır.
Yeni KVKK Kararının Temel İçeriği
Alınan son karar, çalışanların mesai saatlerini kayıt altına almak gibi basit bir işlem için, kişilerin en mahrem ve değiştirilemez verileri olan biyometrik verilerin işlenmesinin ölçülülük ilkesine aykırı olduğuna hükmetmektedir. KVKK Madde 4 (Genel İlkeler) kapsamında belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi gereğince, daha az veri işleyerek (örneğin kart okutma veya mobil uygulama kullanımı) ulaşılabilecek bir amaç için biyometrik veri kullanılamaz. Aynı zamanda, KVKK Madde 6‘da tanımlanan özel nitelikli kişisel verilerin (biyometrik ve genetik veriler dâhil) işlenme şartları katı bir şekilde sınırlandırılmıştır; işçi-işveren arasındaki hiyerarşik yapı sebebiyle alınan “açık rıza”nın özgür iradeyi yansıtmadığı kabul edilmektedir.
Personel Yönetimi ve Takibinde Ortaya Çıkan Yasal Riskler
Eski donanımları kullanmaya devam eden işletmeler, çalışan şikayeti olmasa dahi yapılacak rutin denetimlerde devasa idari para cezalarıyla karşı karşıya kalmaktadır. Yasal riskler yalnızca para cezalarıyla sınırlı değildir; çalışanların kuruma karşı açabileceği tazminat davaları, kurum itibarının zedelenmesi ve veri ihlali durumlarında yöneticilerin yasal sorumlulukları gibi ciddi tehlikeler barındırır.
İşverenlerin artık “çalışan işe geldi mi?” sorusunun cevabını ararken, “bu veriyi yasalara uygun topluyor muyum?” sorusunu da önceliklendirmesi gerekmektedir.
Geleneksel imza föyleri, Excel tabloları veya yerel sunucularda çalışan eski tip PDKS yazılımları, günümüzün hızla değişen veri güvenliği regülasyonlarına ayak uyduramamaktadır.
Manuel Veri Yönetiminin KVKK Uyum Açıkları
Kağıt üzerindeki imza sirküleri veya ortak klasörlerde tutulan ve şifrelenmemiş Excel dosyaları, veriye yetkisiz kişilerin erişimini son derece kolaylaştırır. Bir çalışanın vardiya çizelgesine veya giriş-çıkış saatlerine şirket içindeki herhangi bir çalışanın kolayca erişebilmesi, gizlilik ihlalidir.
Ayrıca bu verilerin zamanı geldiğinde güvenli ve geri döndürülemez bir şekilde imha edilmesi manuel süreçlerde neredeyse imkansızdır.
Sağlıklı Denetim İzi ve Raporlama Eksikliği
Eski sistemlerde “hangi yöneticinin hangi çalışanın verisine ne zaman baktığı” veya “veri üzerinde bir değişiklik yapılıp yapılmadığı” (log kayıtları) tutulamaz. Bir veri sızıntısı yaşandığında kaynağı tespit etmek imkansızdır.
Oysa modern KVKK uyumluluğu, veriye kimin, ne zaman ve hangi amaçla ulaştığının saniye saniye şifreli bir şekilde kaydedilmesini (denetim izi) şart koşar.
PDKS Bulut, temel mimarisini veri güvenliği ve hukuki regülasyonlar üzerine inşa etmiş yeni nesil bir SaaS (Hizmet olarak Yazılım) çözümüdür.
Veri Şifreleme ve Güvenli Depolama Mekanizması
Uluslararası standartlarda veri koruması sağlamak (Avrupa Birliği standartlarına paralel olarak GDPR Madde 32 veya KVKK mevzuatının gereklilikleri doğrultusunda uygun teknik ve idari tedbirlerin alınması), sistemin en büyük gücüdür. PDKS Bulut, personelin giriş-çıkış saatlerini, konum verilerini ve kimlik bilgilerini uçtan uca şifreleyerek depolar.
Olası bir siber saldırı durumunda, ele geçirilen verilerin okunamaz ve anlamsız şifre dizilerinden ibaret olması sağlanır.
Otomatik Denetim İzi ve Erişim Kayıtları
Sistem içerisindeki her hareket (log) kayıt altına alınır. İnsan Kaynakları yöneticisinin sisteme girişi, bir çalışanın vardiyasının değiştirilmesi veya verinin dışarı aktarılması gibi her adım, değiştirilemez denetim izleriyle zaman damgalı olarak tutulur. Bu özellik, Kurul’un talep edebileceği denetimlerde şirketin şeffaflığını ve hesap verebilirliğini %100 oranında kanıtlar.
Veri Silme Talebine Otomatik Yanıt Vermek
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen KVKK Madde 17 uyarınca, işten ayrılan personelin verilerinin saklama süresi dolduğunda güvenli bir şekilde silinmesi gerekir. PDKS Bulut’un otomasyon modülü sayesinde, yasal saklama süresi dolan veriler hiçbir manuel müdahaleye gerek kalmadan otomatik olarak anonimleştirilir veya tamamen silinir.
Çalışanların “unutulma hakkı” talepleri sistem üzerinden saniyeler içinde yerine getirilir.
Personel verilerinin hepsi aynı hassasiyet seviyesinde değildir. Bir çalışanın adı-soyadı ile kan grubu, sağlık raporları veya biyometrik verileri yasalara göre farklı şekillerde muhafaza edilmelidir.
Hassas Kişisel Verilerin İzole Edilmesi
PDKS Bulut, sistemde tutulan verileri kategorize eder. Özel nitelikli veriler (Eğer özlük dosyası modülü de kullanılıyorsa sağlık raporları vb.) sistem içinde ayrı ve daha yüksek güvenlikli kasalarda (vault) tutulur. Bu verilere erişim, standart İK personelinden dahi gizlenebilir, sadece yetkili üst yöneticilere açılabilir.
İhtiyaç Fazlası Veri Tutmanın Yasal Sonuçları
Sistem, işletmenizin gereksiz veri toplamasının önüne geçer. PDKS Bulut’ta varsayılan ayarlar “minimum veri” kuralına göre programlanmıştır.
Kullanılmayan veya iş süreci için elzem olmayan alanlar devre dışı bırakılabilir. İhtiyaç fazlası veri tutmak, olası bir ihlal durumunda şirketin niyetinin sorgulanmasına ve ağır yaptırımlara neden olmaktadır.
Eski sistemlerden buluta geçiş karmaşık görünse de, PDKS Bulut’un uzman altyapısı sayesinde bu süreç sorunsuz, hızlı ve tamamen yasalara uygun bir şekilde gerçekleştirilir.
Mevcut Personel Verilerinin İthalatı ve Validasyonu
Eski veritabanınızda yer alan veriler, güvenli API bağlantıları veya şifrelenmiş CSV dosyaları aracılığıyla PDKS Bulut’a aktarılırken “veri temizliği” (validasyon) yapılır. Yasaya aykırı tutulan eski biyometrik şablonlar bu aşamada sistem tarafından reddedilir ve imha edilmeleri gerektiği konusunda işveren uyarılır.
Çalışan Onayı ve Rıza Yönetimi
Yeni sisteme geçişte çalışanların aydınlatılması esastır.
PDKS Bulut, personelin kendi paneline ilk girişinde güncel “Aydınlatma Metni”ni okuyup onaylamasını sağlayan dijital bir onay akışı sunar. Rıza yönetimi elektronik ortamda, zaman damgalı olarak tutulur ve geriye dönük ispatlanabilirlik sağlanır.
Ekip Rolleri ve Erişim İzinlerinin Ayarlanması
RBAC (Role-Based Access Control) mimarisiyle, şube müdürü sadece kendi şubesindeki personelin devam durumunu görebilirken, genel merkez İK yöneticisi tüm tabloya hakim olur. Bu sayede “bilmesi gereken prensibi” işletilerek gereksiz veri ifşasının önüne geçilir.
VERBİS kayıtları ve iç denetim süreçleri, şirketlerin düzenli olarak yerine getirmesi gereken görevlerdir. PDKS Bulut bu yükü omuzlarınızdan alır.
Veri İşleme Envanteri Oluşturma ve Güncelleme
Kurumların VERBİS’e sunmakla yükümlü olduğu Kişisel Veri İşleme Envanteri için PDKS Bulut, sistemde hangi verilerin ne amaçla, ne kadar süre tutulduğuna dair otomatik raporlar oluşturur.
Mevzuatta bir değişiklik olduğunda sistem bu raporları otomatik olarak günceller.
Veri İhlali Bildirimi ve İstisnai Durumlar
Olağandışı bir durum tespit edildiğinde (Örneğin: Gece saat 03:00’da sisteme yurtdışından yetkisiz erişim denemesi), sistem yöneticileri anında uyarır. Veri ihlali yaşanması durumunda yasal bildirim süresi olan 72 saat içinde Kurul’a sunulması gereken sistem logları ve etki analiz raporları PDKS Bulut tarafından dakikalar içinde hazır edilir.
KVKK Madde 28‘de belirtilen istisnai durumlar (örneğin adli makamların resmi talepleri) haricinde veriler asla üçüncü partilerle paylaşılmaz.
Şirketiniz için bir sistem seçerken yasal zeminin ne kadar sağlam olduğunu denetlemelisiniz.
Veri Merkezinin Lokasyonu ve Uluslararası Transfer Politikası
KVKK Madde 9 kişisel verilerin yurt dışına aktarımını sıkı kurallara bağlar. PDKS Bulut, verilerinizi Türkiye sınırları içerisindeki Tier III/IV standartlarındaki yerel veri merkezlerinde (sunucularda) muhafaza eder. Bu sayede verileriniz yurt dışına çıkarılmamış sayılır ve uluslararası veri transferi yasaklarına takılmazsınız.
Hizmet Sağlayıcı Sözleşmesi ve İşleme Talimatları
İşletmeniz “Veri Sorumlusu”, PDKS Bulut ise “Veri İşleyen” konumundadır. Aranızda imzalanacak sözleşmeler, KVKK kurallarına tam uyumlu olarak hazırlanır ve yazılım şirketinin sizin talimatlarınız dışında hiçbir veriyi işleyemeyeceği hukuki olarak güvence altına alınır.
Sertifikasyon ve Güvenlik Denetimleri
PDKS Bulut, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir ve düzenli olarak bağımsız sızma (penetrasyon) testlerinden geçer.
Bu sertifikalar, Kurul nezdinde aldığınız idari ve teknik tedbirlerin en büyük kanıtıdır.
Teorik bilgilerin şirketinizde nasıl pratiğe döküldüğünü görmek, kararı anlamanızı kolaylaştıracaktır.
İK Yönetim Sürecinde Sık Yapılan KVKK Hataları
Pek çok işletme, parmak izi okuyucularını kapatıp WhatsApp gruplarından konum atmaya dönerek daha büyük bir hata yapmaktadır. WhatsApp gibi sunucuları yurt dışında olan platformlar üzerinden çalışan konumu ve giriş-çıkış bilgisi almak, Madde 9‘un doğrudan ve ağır ihlalidir. Ayrıca kimin hangi saatte işe girdiğinin tüm grup üyeleri tarafından görülmesi gizlilik ihlalidir.
PDKS Bulut ile Sorunları Çözen İşletme Senaryosu
500 personeli olan bir üretim tesisi, parmak izi okuyucularını söküp yerine PDKS Bulut’un QR kod entegreli mobil uygulamasını devreye aldı. Şirket içi kapılara yerleştirilen karekodları kendi telefonlarından okutan personelin verisi anlık olarak şifrelenip sunucuya iletildi. Cihaz bakım maliyetleri sıfırlandı, personel kapıda kuyruk bekleme derdinden kurtuldu ve en önemlisi; yaklaşan KVKK denetiminden sıfır hatayla geçerek tam uyum sertifikası aldılar.
KVKK cezaları ne kadar yüksek? PDKS Bulut ile kaçınılabilir mi?
KVKK ihlallerinde idari para cezaları her yıl yeniden değerleme oranına göre artırılmaktadır. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumunda şirketler milyonlarca Türk Lirası tutarında cezalarla karşılaşabilir. PDKS Bulut, baştan sona veri minimizasyonu ve şifreleme prensipleriyle tasarlandığı için bu ihlalleri sistemsel olarak engeller ve şirketinizi olası para cezalarından korur.
Eski sistemdeki personel verilerini silmem gerekir mi yoksa PDKS Bulut’a taşıyabilir miyim?
Biyometrik verilerinizi (parmak izi şablonları, yüz haritaları) kesinlikle yasal prosedürlere uygun olarak imha etmelisiniz; bunları yeni bir sisteme aktaramazsınız. Ancak personelin özlük bilgileri, geçmiş mesai saatleri ve izin kayıtları gibi yasal tutulmasında sakınca olmayan veriler güvenli bir şekilde PDKS Bulut altyapısına ithal edilebilir ve burada KVKK’ya uygun şekilde barındırılabilir.
PDKS Bulut ile KVKK uyumlu olduğu nasıl kanıtlarım?
PDKS Bulut size detaylı “Denetim İzi (Log) Raporları”, zaman damgalı çalışan aydınlatma onamları, veri işleme envanteri çıktıları ve sistemin ISO 27001 güvenlik sertifikalarını sunar. Bir Kurul denetimi sırasında yetkililere bu dijital raporları saniyeler içinde sunarak gerekli tüm teknik ve idari tedbirleri aldığınızı kanıtlayabilirsiniz.
