Biyometrik Veri İşleme Süreçlerinde Hukuki Çerçeve ve Temel Esaslar
Kurumsal işletmelerin dijital dönüşüm süreçlerinde insan kaynakları operasyonlarını otomatikleştirmek adına en sık başvurduğu çözümlerin başında dijital personel devam kontrol sistemleri gelmektedir. Ancak personelin işe giriş ve çıkış saatlerini, mola sürelerini ve fazla mesailerini takip ederken kullanılan yöntemler, yasal bir uyumluluk sürecini de beraberinde getirir. Özellikle yüz tanıma, parmak izi okuma veya avuç içi tarama gibi teknolojiler, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel veri kategorisinde yer alan biyometrik verileri işlemektedir. Kanunun altıncı maddesine göre bu veriler, kişilerin genetik, fiziksel veya davranışsal özelliklerini temsil ettiğinden, usulsüz işlenmesi halinde telafisi imkansız mağduriyetlere ve işletmeler için çok ağır idari para cezalarına yol açabilir.
Dijital bir PDKS yazılımı altyapısını kurarken hukuki zafiyet yaşamamak için veri işleme faaliyetinin kanunda belirtilen temel ilkelere tam uyumlu olması zorunludur. İşletmelerin veri sorumlusu sıfatıyla gerçekleştireceği her türlü biyometrik tarama faaliyeti; hukuka ve dürüstlük kurallarına uygun olmalı, belirli, açık ve meşru amaçlar için işlenmeli ve en önemlisi işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Kişisel Verileri Koruma Kurulu (KVKK) tarafından yayımlanan güncel kararlar ve rehberler, personelin sadece mesai takibini yapmak amacıyla doğrudan biyometrik verilerinin merkezi bir veri tabanında açıkça saklanmasını çoğunlukla ölçülülük ilkesine aykırı bulmaktadır. Bu nedenle kurumsal şirketlerin, veri minimizasyonu sağlayan ve şifreleme teknolojileriyle donatılmış dijital sistemleri tercih etmesi yasal bir zorunluluk haline gelmiştir.
Açık Rıza Mekanizması ve Alternatif Geçiş Sistemlerinin Hukuki Zorunluluğu
KVKK mevzuatına göre özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin, yani personelin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan açık rızasının alınması şarttır. İşçi ve işveren arasındaki bağımlılık ilişkisi göz önünde bulundurulduğunda, personelin işini kaybetme veya baskı altında kalma korkusu olmadan bu rızayı verebilmesi hukukun en hassas noktalarından biridir. Bu doğrultuda, işletmelerin çalışanlarına biyometrik veri işleme süreçlerine dair katı bir zorunluluk dayatması yasal olarak mümkün değildir; personelin rıza göstermeme hakkı her zaman saklı tutulmalıdır.
Yasal bir denetim anında açık rızanın sakatlanmadığını kanıtlamanın tek yolu, rıza göstermeyen çalışanlar için biyometrik olmayan alternatif geçiş sistemleri sunulmasıdır. Örneğin; yüz tanıma entegreli turnike geçiş sistemleri kullanan bir fabrikada, bu sisteme onay vermeyen bir personel için RFID kartlı geçiş, şifreli panel veya mobil uygulama üzerinden konum doğrulamalı geçiş gibi muadil bir imkan sağlanmalıdır. Eğer işletme, biyometrik doğrulamayı tek seçenek olarak sunar ve rıza vermeyen personelin binaya girişini engellerse, alınan açık rıza geçersiz sayılır ve Kurul tarafından doğrudan veri ihlali cezası uygulanır. Dolayısıyla, dijital dönüşüm projelerinde tercih edilecek yazılım ve donanımların, hibrit kimlik doğrulama yöntemlerini aynı anda destekleyebilecek teknik esneklikte olması kritik önem taşır.
Veri Güvenliği Standartları ve Kriptolojik Veri Saklama Teknolojileri
Dijital PDKS projelerinde hukuki uyum kadar, toplanan verilerin siber saldırılara ve yetkisiz erişimlere karşı nasıl korunduğu da veri sorumlusunun en büyük yükümlülükleri arasından yer alır. Kanunun on ikinci maddesi, veri sorumlusunun her türlü teknik ve idari tedbiri almak zorunda olduğunu açıkça belirtir. Bu bağlamca, modern ve güvenli bir dijital PDKS yazılımı, personelin gerçek yüz fotoğrafını veya parmak izi görselini ham bir veri dosyası (JPEG, PNG vb.) olarak veri tabanında kesinlikle barındırmamalıdır.
Yeni nesil endüstriyel biyometrik terminaller ve akıllı yazılımlar, kişilerin fiziki özelliklerini taradığı anda insan yüzündeki benzersiz geometrik noktaları veya parmak izindeki kıvrımları matematiksel birer algoritma dizisine dönüştürür. Bu matematiksel kodlar, tek yönlü kriptolojik şifreleme yöntemleri (hash algoritmaları) kullanılarak dijitalleştirilir. Saklanan bu geri döndürülemez şifreler, veri tabanı çalınsa bile siber korsanlar tarafından yeniden bir insan yüzü fotoğrafına dönüştürülemez. Ayrıca, sunucu ile cihazlar arasındaki tüm veri trafiğinin uçtan uca SSL/AES şifreleme protokolleri ile korunması, veritabanına erişim yetkilerinin sadece belirli İK yöneticileriyle sınırlandırılması ve tüm erişim hareketlerinin loglanması, teknik tedbirlerin eksiksiz yerine getirilmesini sağlar.
Aydınlatma Yükümlülüğü ve Veri Saklama Politikalarının Kurgulanması
Veri işleme faaliyetinin başlamasından önce işverenlerin, çalışanlarına karşı aydınlatma yükümlülüğünü eksiksiz bir şekilde yerine getirmesi yasal bir diğer sacayağıdır. Personellere imzalatılacak veya dijital ortamda onaylatılacak olan PDKS aydınlatma metni içeriğinde; verilerin hangi hukuki gerekçeyle işlendiği, hangi departmanlara (örneğin bordro veya bilgi işlem) aktarılabileceği, hangi teknik yöntemlerle saklandığı ve personelin kanunun on birinci maddesi kapsamındaki hakları açık ve anlaşılır bir dille belirtilmelidir. Aydınlatma yükümlülüğünün yerine getirilmesi, açık rıza alma şartından bağımsız ve her koşulda yapılması zorunlu bir idari işlemdir.
Sistemin yasal uyum döngüsünü tamamlayan son aşama ise veri saklama ve imha politikalarının net bir şekilde kurgulanmasıdır. Personelin devam kontrolü amacıyla toplanan zaman damgaları ve kimlik doğrulama kodları, sonsuza kadar saklanamaz; iş kanunu ve ilgili mevzuatlardaki zamanaşımı süreleri dikkate alınarak bir veri saklama süresi belirlenmelidir. İşten ayrılan bir personelin biyometrik eşleştirme kodları ve sistem logları, belirlenen politikanın sonunda veya personelin haklı talebi doğrultusunda geri döndürülemeyecek şekilde dijital olarak yok edilmeli, silinmeli veya anonim hale getirilmelidir. Tüm bu imha süreçlerinin tutanak altına alınması, olası resmi denetimlerde işletmenin KVKK mevzuatına tam uyumlu hareket ettiğinin en somut kanıtı olacaktır.
Sonuç
Kurumsal işletmelerde dijital PDKS yazılımı ve donanımlarının kullanımı, operasyonel verimliliği zirveye çıkarırken, aynı zamanda KVKK mevzuatına tam uyum sağlama zorunluluğunu da beraberinde getirmektedir. Bu rehberde detaylandırdığımız gibi; insan yüzü veya parmak izi gibi özel nitelikli kişisel verilerin işlenmesi, ancak ölçülülük ilkesine sadık kalınarak, personelin sakatlanmamış açık rızasıyla ve alternatif geçiş imkanlarının sunulmasıyla hukuki bir zemine oturabilir. Verilerin ham görsel olarak değil, geri döndürülemez matematiksel şifreleme algoritmalarıyla saklanması ve uçtan uca siber güvenlik katmanlarıyla korunması, işletmeleri milyonlarca liralık idari para cezalarından ve kurumsal itibar kayıplarından korur. Teknolojik dönüşümü, şeffaf aydınlatma metinleri ve yasalara uygun veri imha politikalarıyla destekleyen vizyoner şirketler, hem çalışanlarının haklarına saygılı, güvenli bir çalışma ortamı inşa edecek hem de geleceğin dijital dünyasında hukuki risklerden arınmış bir şekilde yollarına güvenle devam edeceklerdir.
Sık Sorulan Sorular
PDKS sistemlerinde yüz tanıma veya parmak izi kullanmak yasal mıdır?
Evet, yasaldır; ancak personelin bilgilendirmeye dayalı açık rızasının alınması, aydınlatma yükümlülüğünün yerine getirilmesi ve rıza göstermeyenler için alternatif bir geçiş yöntemi sunulması şartıyla kullanılabilir.
Bir çalışan yüz tanıma sistemine dahil olmak istemezse ne yapılmalıdır?
İşletme, bu personele herhangi bir idari baskı veya yaptırım uygulamadan, kartlı geçiş, şifreli panel veya mobil konum doğrulamalı geçiş gibi biyometrik olmayan alternatif bir geçiş imkanı sağlamak zorundadır.
Sistem personelin fotoğrafını doğrudan veri tabanına kaydeder mi?
Güvenli ve kurumsal yazılımlar fotoğrafı kaydetmez; yüzün geometrik noktalarını geriye döndürülemeyen matematiksel kod dizilimlerine (hash) çevirerek şifreler, böylece veri tabanı ele geçirilse bile fotoğraf üretilemez.
PDKS aydınlatma metni ile açık rıza formu aynı belge mi olmalıdır?
Hayır, aydınlatma yükümlülüğü ile açık rıza alma işlemi hukuken birbirinden farklıdır; aydınlatma metni çalışanı bilgilendirmek amacıyla her durumda verilirken, açık rıza formu personelin özgür iradesiyle imzaladığı ayrı bir onay belgesidir.
İşten ayrılan personelin PDKS verileri sistemde ne kadar süre saklanabilir?
Veriler iş ilişkisi bittikten sonra iş kanunu, borçlar kanunu ve sosyal güvenlik mevzuatındaki genel zamanaşımı ve denetim süreleri (genellikle 5 ila 10 yıl) dikkate alınarak saklanır, süre sonunda sistemden tamamen silinir.
Biyometrik PDKS kullanıp KVKK kurallarına uymayan şirketlere ne tür cezalar uygulanır?
Kişisel Verileri Koruma Kurulu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi ve hukuka aykırı veri işlenmesi gerekçesiyle işletmelere çok yüksek oranlarda idari para cezaları uygulanmaktadır.
Mobil PDKS uygulamalarında personelin konumunun (GPS) sürekli izlenmesi yasal mıdır?
Hayır, sürekli takip ölçülülük ilkesine aykırıdır; konum verisi sadece personelin mesaiye başlama veya bitirme butonuna bastığı anlarda, o konumda olduğunu doğrulamak amacıyla anlık olarak işlenebilir, gün boyu takip yapılamaz.
PDKS yazılımındaki verilerin yurt dışı kaynaklı bulut sunucularında saklanması yasal mıdır?
Yurt dışına veri aktarımı KVKK kapsamında çok sıkı kurallara ve kurul iznine tabidir; bu nedenle yasal risk yaşamamak adına verilerin Türkiye sınırları içerisindeki ISO 27001 sertifikalı yerli veri merkezlerinde saklanması önerilir.
Ziyaretçilerin giriş çeperlerinde yüz tanıma sistemiyle kaydedilmesi uygun mudur?
Ziyaretçilerle sürekli bir iş ilişkisi bulunmadığı için giriş anında doğrudan biyometrik veri işlenmesi Kurul tarafından genellikle ölçüsüz bulunmaktadır; ziyaretçiler için QR kod, geçici kart veya manuel kayıt yöntemleri tercih edilmelidir.
PDKS yazılımının KVKK uyumluluğu için hangi teknik sertifikalara sahip olması gerekir?
Yazılımı geliştiren ve sunucuları barındıran firmanın ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve ISO 27701 Gizlilik Bilgi Yönetim Sistemi sertifikalarına sahip olması, sistem güvenliğinin uluslararası standartlarda olduğunun göstergesidir.