KVKK Uyumlu Personel Veri Yönetimi: PDKS ve İK Sistemleri için Rehber

Personel devam kontrol sistemleri, izin yönetimi yazılımları ve bordro çözümleri; kişisel verinin en yoğun işlendiği kurumsal alanlardır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bu süreçlerin tamamı için işverene açık yükümlülükler getirir. Bu yazıda PDKS sistemleri ve İK yazılımlarında KVKK uyumunun teknik ve hukuki çerçevesini inceliyoruz.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı

KVKK; ad-soyad, T.C. kimlik numarası, telefon, e-posta gibi sıradan kişisel verilerle; sağlık verisi, biyometrik veri, ceza mahkûmiyeti gibi özel nitelikli kişisel verileri farklı korumalara tabi tutar. PDKS sistemlerinde kullanılan parmak izi ve yüz tanıma şablonları özel nitelikli veri kategorisindedir ve işlenmesi için kural olarak açık rıza gerekir.

Aydınlatma Yükümlülüğü

İşveren, kişisel veri toplamadan önce çalışana hangi verinin, hangi amaçla, hangi hukuki sebebe dayalı olarak işlendiğini ve kimlere aktarılacağını yazılı bir aydınlatma metni ile bildirmek zorundadır. Bu metin işe giriş sürecinin standart bir parçası hâline gelmelidir. DİNİBH'in örnek aydınlatma yaklaşımını KVKK sayfamızdan inceleyebilirsiniz.

Açık Rıza ve Alternatif Yöntem Sunma

Biyometrik PDKS kullanımı için çalışandan açık rıza alınmalı; rıza vermeyen çalışana alternatif bir mesai takip yöntemi (kart, şifre, mobil uygulama) sunulmalıdır. Tek yöntemli, "ya parmak izi ya da hiç" modelleri Kurum kararlarında riskli bulunmaktadır.

Veri Minimizasyonu İlkesi

KVKK'nın temel ilkelerinden biri; amaçla bağlantılı, sınırlı ve ölçülü veri işlemedir. Mesai takibi için kişinin tam parmak izi görüntüsünü saklamak yerine, geri dönüştürülemeyen şablon (template) tutmak; veri minimizasyonunun pratik karşılığıdır. DİNİBH PDKS altyapısı tüm biyometrik verileri tek yönlü şablon olarak saklar.

Veri Saklama Süresi

İş Kanunu, mesai ve özlük verilerinin saklanması için belirli süreler öngörür. KVKK ise amacı ortadan kalkmış verinin silinmesini ya da anonimleştirilmesini zorunlu kılar. Sistemin yaş alan kayıtları otomatik olarak imha edebilmesi; manuel temizlik yapılmasının önüne geçer.

Erişim Yetkileri ve Rol Bazlı Güvenlik

Personel verisine erişim, yalnızca görev gereği bu veriye ihtiyaç duyan kişilerle sınırlandırılmalıdır. Bordro uzmanı tüm çalışanların mesaisini görebilirken; bir departman müdürü yalnızca kendi ekibinin verisine erişmelidir. Rol bazlı yetkilendirme modeli bu ayrımı sistem düzeyinde uygular.

Veri Aktarımı ve Üçüncü Taraflar

PDKS ve izin verilerinin SGK, bordro firması veya muhasebe yazılımı gibi üçüncü taraflara aktarılması KVKK kapsamında özel olarak değerlendirilir. Bu aktarımların aydınlatma metninde belirtilmesi ve güvenli kanallarla yapılması şarttır. Entegrasyon altyapımız tüm aktarımları şifreli kanallar üzerinden gerçekleştirir.

VERBİS Kaydı ve Veri Sorumlusu Yükümlülüğü

Belirli kriterleri karşılayan işletmeler, veri sorumlusu sıfatıyla VERBİS kaydı yaptırmak zorundadır. PDKS ve İK yazılımlarında işlenen veri kategorileri, saklama süreleri ve aktarım yapılan taraflar bu kayıt sırasında doğru biçimde beyan edilmelidir.

İhlâl Bildirimi ve Müdahale Planı

Veri ihlâli yaşanması durumunda işveren, 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapmakla yükümlüdür. Sistemin loglarının düzenli tutulması, anormal erişim girişimlerinin tespit edilebilmesi; ihlâl anında olayın boyutunu hızla ortaya koymayı mümkün kılar.

Çalışanın Hakları

KVKK; çalışana verisine erişme, düzeltilmesini isteme, silinmesini talep etme gibi haklar tanır. Modern İK yazılımları, çalışanın bu haklarını self-servis arayüz üzerinden kullanabilmesini sağlayarak süreci hem hukuki hem de kullanıcı deneyimi açısından olgunlaştırır.

Sonuç

KVKK uyumu, sadece bir hukuki yükümlülük değil; kurumsal güvenin temelidir. Doğru yazılım altyapısıyla bu uyum, ek bir yük olmaktan çıkar ve günlük operasyonun doğal parçası hâline gelir. DİNİBH'in KVKK uyumlu PDKS ve İK çözümlerini görmek için ücretsiz demo talep edebilir, ilgili rehberimiz olan izin sürecinin dijitalleşmesi yazısını inceleyebilirsiniz.