tags: [kvkk, hr, accesscontrol, turkish]
Parmak İzi Yerine Ne Kullanmalı? KVKK Uyumlu 5 Mesai Takip Yöntemi
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında biyometrik veri işlemenin özel nitelikli kişisel veri sayılması ve Kişisel Veri Koruma Kurumu'nun bu konudaki denetimlerini sıklaştırması, pek çok IT yöneticisini ve sistem yöneticisini yeni bir arayışa yöneltti. Parmak izi okuyucular hem ek açık rıza metni gerektiriyor hem de veri ihlali riskini ciddi ölçüde artırıyor. Peki PDKS altyapısını yeniden kurarken hangi yöntemi seçmek daha mantıklı?
Aşağıda, geçiş kontrolü ve personel devam takibini birlikte çözmeye çalışan sistem yöneticileri için beş pratik yöntemi KVKK uyumu, kurulum maliyeti ve operasyonel sürtünme açısından karşılaştırıyoruz.
1. Şifreli Kart / PIN Kombinasyonu
Kullanıcı, bir proximity kart ya da manyetik kart ile birlikte dört-altı haneli PIN giriyor. Kimlik doğrulama iki faktörlü olduğundan güvenlik seviyesi yükselir.
KVKK açısından: PIN, biyometrik veri değildir; özel nitelikli veri işleme hükümleri (Madde 6) devreye girmez. Kart numarası ise kişisel veri olmakla birlikte sıradan kategoride yer aldığından aydınlatma metni ve teknik önlemler yeterlidir.
Kısıtlar: PIN paylaşımı ya da kart devri ile "buddy punching" (başkası adına giriş yapma) riski hâlâ mevcuttur. Bu riski azaltmak için yöneticilerin kamera entegrasyonu veya yazılım tarafında anomali tespiti kurması gerekir.
2. RFID / NFC Akıllı Kart
Pasif RFID veya NFC kartlar, kurumsal geçiş kontrolünün en yaygın standardı olmaya devam ediyor. Kart, kapıyı açarken aynı sinyal PDKS sistemine mesai girişini de iletebilir.
KVKK açısından: Kart UID'si kişisel veridir; ancak biyometrik veri kategorisinde yer almaz. Veri minimizasyonu ilkesine uygun şekilde yalnızca giriş-çıkış zaman damgası ve kapı kimliği saklanırsa uyumluluk oldukça basit hale gelir.
Kısıtlar: Kart kayıpları, yetkisiz erişim vektörü oluşturabilir. Kart iptali ve yeniden atama süreçlerini otomatikleştiren bir yazılım katmanına ihtiyaç duyulur.
3. Apple Wallet / Google Wallet Dijital Rozeti
NFC'yi telefonun işletim sistemi katmanında çalıştıran bu yaklaşım, fiziksel kart dağıtım maliyetini sıfıra indiriyor. Çalışanın telefonu hem kimlik belgesi hem de geçiş anahtarı işlevi görüyor.
KVKK açısından: Rozet verisi telefonda şifreli olarak saklanır; veri işleme yalnızca okuyucu ile temas anında gerçekleşir. Biyometrik işleme yok, özel nitelikli veri yok.
Kısıtlar: iOS 16+ ve Android 11+ gereksinimi, eski cihazlara sahip personelde sorun yaratabilir. Ayrıca çalışanın kişisel telefonunu iş süreçlerine dahil etmek BYOD politikasının güncellenmesini zorunlu kılar.
4. QR Kod Tabanlı Devam Takibi
Çalışanın telefon uygulamasından ürettiği dinamik (tek kullanımlık) QR kodunu sabit bir okuyucu ya da supervisor'ın cihazı okuyor. Her QR yalnızca 30-60 saniye geçerli olduğundan ekran görüntüsüyle sahtecilik önleniyor.
KVKK açısından: QR içeriği şifreliyse ve sunucuda saklanmıyorsa yalnızca mesai zaman damgası işlenmiş olur. Biyometrik veri kesinlikle söz konusu değildir.
Kısıtlar: Saha çalışanları için pratik; ofis ortamında ise sürtünme yaratabilir. Telefon şarjı ve internet bağlantısı bağımlılığı operasyonel bir risk faktörüdür.
5. Konum Tabanlı Mobil Yoklama (GPS + Coğrafi Sınır)
Çalışan, belirlenen bir coğrafi sınır (geofence) içindeyken uygulamaya giriş yapıyor; sistem koordinatı ve zaman damgasını sunucuya iletiyor. Saha ekipleri, şantiyeler ve çok lokasyonlu operasyonlar için idealdir.
KVKK açısından: Konum verisi kişisel veri kapsamındadır; ancak mesai takibi meşru amacıyla işleme, KVKK Madde 5/2-f çerçevesinde mümkündür. Yine de çalışana yapılacak açık ve anlaşılır aydınlatma ile konum verisinin çalışma saatleri dışında işlenmeyeceğinin teknik güvenceyle sağlanması şarttır.
Kısıtlar: GPS sinyalinin zayıf olduğu kapalı alanlarda (depo, bodrum kat) hata payı artabilir. Wi-Fi ya da BLE beacon ile hibrit yaklaşım bu sorunu büyük ölçüde çözer.
Yöntemleri Karşılaştıran Hızlı Tablo
| Yöntem | KVKK Riski | Buddy Punching Riski | Donanım Maliyeti | Uzaktan Çalışmaya Uygunluk |
|---|---|---|---|---|
| Şifreli Kart + PIN | Düşük | Orta | Orta | Hayır |
| RFID / NFC Kart | Düşük | Orta | Düşük-Orta | Hayır |
| Apple/Google Wallet | Çok Düşük | Düşük | Çok Düşük | Kısmi |
| QR Kod | Çok Düşük | Çok Düşük | Çok Düşük | Evet |
| GPS Geofence | Düşük* | Çok Düşük | Yok | Evet |
*Uygun aydınlatma ve veri minimizasyonu uygulanması koşuluyla.
Sistemi Seçerken Sormak Gereken 3 Kritik Soru
- Kapı geçişi ile PDKS ayrı sistemler mi çalışıyor? Her iki sistemi birbirinden bağımsız yönetmek, hem IT yükünü hem de veri tutarsızlığı riskini ikiye katlar.
- Çalışan verileri yurt içi sunucuda mı saklanıyor? KVKK, yurt dışına veri aktarımında ek yükümlülükler öngörür.
- Denetim izi (audit log) yeterince ayrıntılı mı? İş Kanunu'nun 67. maddesi kapsamında tutulması zorunlu olan çalışma süresi kayıtları, olası bir SGK denetiminde eksiksiz sunulabilmeli.
Tüm Bu Yöntemleri Tek Platformda Yönetmek
Farklı yöntemleri ayrı araçlarla yönetmek operasyonel karmaşıklığı artırır. TimeClock 365, RFID/NFC kartı ya da Apple/Google Wallet rozetini kapıya taktığınızda hem kapıyı açan hem de mesai girişini bulut sistemine kaydeden entegre bir yapı sunuyor. Ayrı bir PDKS terminali kurma zorunluluğunu ortadan kaldırıyor.
Platform; Web, mobil uygulama, Microsoft Teams ve Slack üzerinden de yoklama alabildiği için ofis, saha ve uzaktan çalışanları tek panelden yönetmek mümkün. GPS tabanlı coğrafi sınır, izin-devamsızlık modülü ve ISO 27001 sertifikalı altyapısıyla KVKK ve GDPR gerekliliklerini karşılayan TimeClock 365, parmak izinden RFID'ye ya da mobil yoklamaya geçiş yapan ekiplerin altyapı yenileme sürecini önemli ölçüde sadeleştiriyor.
Sonuç
Parmak izi okuyuculardan vazgeçmek bir uyumluluk zorunluluğu haline geldi; ancak bu geçiş aynı zamanda PDKS altyapınızı modernize etmek için bir fırsat. RFID kart, dijital rozet, QR veya GPS geofence; her yöntemin uygun olduğu bir senaryo var. Asıl mesele, seçtiğiniz yöntemin hem KVKK gerekliliklerini karşılamasını hem de günlük operasyonunuza sürtünme katmamasını sağlamak.
Sisteminizi sıfırdan kurmak yerine entegre bir çözümü denemek istiyorsanız TimeClock 365'i 14 gün ücretsiz kullanmaya buradan başlayabilirsiniz:
Top comments (0)