By Elif Demir 
Parmak izi okuyucular yıllarca personel devam kontrolünün varsayılan cihazı oldu; Kişisel Verileri Koruma Kurulunun mesai takibinde biyometrik veri kullanımını kural olarak hukuka aykırı sayan İlke Kararı, bu varsayılanı bir anda geçersiz kıldı. Kararın ayrıntılarını biyometrik mesai takibi ve iş yeri kamerası yazımızda incelemiştik; bu yazının konusu ise sonraki adım: yerine hangi sistemi koyacaksınız?
Piyasadaki personel devam kontrol sistemlerini (PDKS) tanıtan içeriklerin neredeyse tamamı, biyometrik doğrulamayı seçenekler arasında sayan eski tarihli metinler. Bu sayfada seçenekleri yeni hukuki duruma göre, yani biyometrinin masada olmadığı bir dünyada karşılaştırıyoruz.
PDKS Ne İşe Yarar, Neyi Kaydeder?
Personel devam kontrol sistemi; çalışanın işe giriş ve çıkış saatlerini kaydeden, bu kayıtları puantaj, bordro ve izin süreçlerine aktaran yazılım-donanım bütünüdür. Sistemin üç katmanı vardır: çalışanın kimliğini doğrulayan uç cihaz, kayıtları toplayan yazılım ve veriyi bordroya bağlayan entegrasyon. Yasak yalnızca ilk katmanı, kimlik doğrulama yöntemini etkiliyor; yazılım ve entegrasyon katmanları aynı kalıyor. Bu yüzden çoğu işletmede mesele sistemi çöpe atmak değil, uç cihazı veya okuma modülünü değiştirmektir.
Kayıt altına alınan veri her senaryoda kişisel veridir: ad, sicil numarası, giriş-çıkış saatleri ve cihaza göre konum. Yöntem ne olursa olsun aydınlatma yükümlülüğü, amaçla sınırlılık ve saklama süresi kuralları geçerliliğini korur; biyometrik yasak, diğer yükümlülükleri ortadan kaldırmaz.
Seçenek Bir: Kartlı ve Temassız Sistemler
RFID veya NFC teknolojisiyle çalışan temassız kartlar, biyometri sonrası dönemin en yaygın tercihi. Çalışan kartı okuyucuya yaklaştırır, kayıt düşer; turnike, kapı ve asansör erişimi aynı karttan yönetilebilir. Kart içinde yalnızca bir kimlik numarası bulunur; kart kaybolduğunda iptal edilip yenisi tanımlanır, oysa sızan parmak izinin iptali yoktur. Kurulun alternatif yöntemleri sayarken bu teknolojiyi açıkça anması, hukuki güvenlik açısından da elini güçlendirir.
Zayıf nokta bellidir: kart devredilebilir. Bir çalışanın mesai arkadaşının kartını okutması, kartlı sistemlerin klasik suistimalidir. Bunu dengelemenin hukuka uygun yolları var: giriş noktasına güvenlik görevlisi konumlandırmak, kart okutma anını amaçla sınırlı bir düzenle desteklemek ve suistimali disiplin hükümleriyle caydırmak. Suistimal riskini gerekçe göstererek biyometriye geri dönmek ise artık savunulabilir bir tercih değil.
Seçenek İki: PIN ve Şifre Tabanlı Sistemler
Tuş takımına kişisel kod girilerek çalışan sistemler, kart basım maliyetini ortadan kaldırır. Kod unutma ve kod paylaşma riskleri kartla aynıdır; ek olarak yoğun vardiya değişimlerinde tuşlama süresi kuyruk yaratabilir. Küçük ekiplerde pratik, yüzlerce kişinin aynı saatte giriş yaptığı tesislerde yavaş kalan bir çözümdür. Kart okuyucuyla birlikte çift faktör olarak kullanıldığında devretme riskini ciddi ölçüde azaltır: kart + kod kombinasyonu, biyometrinin doğrulama gücüne hukuka uygun biçimde en çok yaklaşan kurgudur.
Seçenek Üç: Mobil Uygulama Tabanlı Sistemler
Bulut tabanlı mobil PDKS uygulamaları, fiziksel cihaz gerektirmeden telefondan vardiya başlatma imkânı verir. Saha ekipleri, şantiyeler ve dağıtık çalışan organizasyonlar için neredeyse tek gerçekçi seçenektir. İki konuya dikkat gerekir. Birincisi konum verisi: vardiya başlangıcında tek seferlik konum teyidi ölçülü kabul edilebilirken, gün boyu kesintisiz konum izleme bambaşka bir hukuki değerlendirme gerektirir; bu ayrımı çalışanı dijital izlemenin yasal sınırları yazısında işledik. İkincisi cihaz sahipliği: uygulama çalışanın kişisel telefonuna kuruluyorsa, telefonun başka verilerine erişilmediği teknik olarak ve yazılı biçimde netleştirilmelidir.
Seçenek Dört: İmza Föyü ve Elle Kayıt
Geleneksel imza çizelgesi, Kurulun saydığı seçenekler arasında yer alıyor ve küçümsenmemeli. On kişilik bir büroda dijital sistem kurmanın getirisi tartışmalıdır; imza föyü sıfır maliyetle ve sıfır veri güvenliği altyapısıyla yükümlülüğü karşılar. Sınırı da açıktır: kayıtların bordroya elle aktarılması hata üretir, çalışan sayısı büyüdükçe sürdürülemez hâle gelir.
Hangi İşletmeye Hangi Sistem?
Seçimi belirleyen üç değişken var: çalışan sayısı, lokasyon yapısı ve vardiya düzeni. Tek lokasyonda elliye kadar çalışan için temassız kart, kurulum ve işletme maliyeti dengesiyle öne çıkar. Çok vardiyalı ve kalabalık tesislerde kart + PIN kombinasyonu, hem hız hem doğrulama gücü sağlar. Saha ağırlıklı işlerde mobil uygulama; on kişinin altındaki ofislerde imza föyü yeterlidir.
Satın almadan önce tedarikçiye sorulacak sorular da hukuki tarafla iç içe: veriler nerede barındırılıyor, yurt dışına aktarım var mı, saklama süresi yapılandırılabilir mi, sözleşmede veri işleyen yükümlülükleri tanımlı mı? Yazılımın eski biyometrik kayıtları içe aktarma özelliği varsa, bu özelliğin kullanılmayacağı da kayda geçirilmeli.
Eski Cihazdan Yeniye Geçişte Sıralama
Geçişin sağlıklı sırası şöyle kurulur: önce yeni sistem devreye alınır ve bir bordro dönemi boyunca paralel doğrulama yapılır; ardından biyometrik modül kapatılır; son olarak cihazlarda, sunucularda ve tedarikçide birikmiş biyometrik şablonlar tutanakla imha edilir. İmha basamağının ayrıntılarını kişisel veri saklama ve imha politikası yazısında bulabilirsiniz. Aydınlatma metninin ve veri envanterinin yeni yönteme göre güncellenmesi de geçişin parçasıdır; metin hâlâ “parmak izi ile giriş” diyorsa, uygulamayla belge birbirini yalanlıyor demektir.
Sıkça Sorulan Sorular
Mevcut parmak izi cihazımın yalnızca kart modülünü açsam yeter mi?
Cihaz kart moduna alındığında biyometrik okuma fiilen durur; ancak cihaz hafızasındaki eski şablonların silinmesi ve bu işlemin belgelenmesi gerekir. Modül kapalı ama şablonlar içeride duruyorsa, veri saklama devam ediyor sayılır.
Çalışan kartını unutursa giriş nasıl kaydedilir?
Vardiya amirinin onayıyla elle kayıt düşülmesi yaygın ve kabul gören uygulamadır. Bu istisnai girişlerin kim tarafından onaylandığının loglanması, hem bordro itirazlarında hem denetimde işverenin elini güçlendirir.
Mobil uygulama çalışanın özel telefonuna zorla kurdurulabilir mi?
İş görme borcunun gereği olarak savunulabilse de temiz çözüm, kişisel cihaz kullanmak istemeyen çalışana kart veya föy gibi bir seçenek sunmaktır. Cihaz tahsis etmek de bir yol; tartışmayı tümüyle ortadan kaldırır.
Yüz tanımalı kameralı giriş da yasak kapsamında mı?
Yüz geometrisi biyometrik veridir; mesai takibi amacıyla kullanımı parmak iziyle aynı değerlendirmeye tabidir. Kameranın güvenlik amaçlı kullanımı ile yüz tanımayla kimlik doğrulama birbirinden ayrı konulardır.
Servis güzergâhı için kart verisi kullanılabilir mi?
Giriş-çıkış verisinin servis planlaması gibi ikincil bir amaçla kullanılması, amaç değişikliği demektir; aydınlatma metninde bu amacın da tanımlanması gerekir. Tanımlanmamış amaçla kullanım, veri işleme ilkelerine aykırılık doğurur.
Bu içerik bilgilendirme amacıyla hazırlanmıştır; hukuki danışmanlık yerine geçmez. Uygulamaya geçmeden önce güncel mevzuat metinlerini Kişisel Verileri Koruma Kurumu’nun resmî kanallarından doğrulamanız ve gerektiğinde uzman desteği almanız önerilir.