100+ Kurumsal Müşteri
15+ Yıl Deneyim
7/24 Destek
Sertifikalı Uzmanlar
Güçlü İş Ortakları
Blog / KVKK & Uyumluluk

PDKS Sistemleri KVKK Uyumu: 2026 Rehberi ve Cezalardan Korunma

📅 3 Haziran 2026 ✏️ Güncelleme: 3 Haziran 2026 👤 İnvekor Siber Güvenlik Ekibi ⏱️ Okuma süresi: 11 dk
PDKS Sistemleri KVKK Uyumu: 2026 Rehberi ve Cezalardan Korunma
⚡ HIZLI ÖZET

PDKS sistemleri KVKK uyumu, şirketlerin personel devam-gidiş takibinde çalışanlara ait kimlik, biyometrik ve konum verilerini 6698 sayılı Kişisel Verilerin Korunması Kanunu'na uygun işlemesi demektir. Aydınlatma metni, açık rıza alımı, veri saklama sınırı ve teknik güvenlik önlemleri bu uyumun temel gereklilikleridir.

2026 itibarıyla KVK Kurulu, PDKS kayıtlarını 5 yıldan uzun süre saklayan ya da çalışan rızasını hukuka aykırı biçimde alan işletmelere 2 milyon TL'ye varan idari para cezaları uyguluyor. Sahada 15 yıldır gözlemlediğimiz en büyük hata, PDKS yazılımını aldıktan sonra KVKK proje sürecini ihmal etmek ve çalışan verilerini cloud ortamlarda şifrelenmeden tutmaktır.

📑 Bu Rehberde Neler Var?

  1. PDKS Nedir ve Hangi Verileri Toplar?
  2. KVKK'nın PDKS Sistemlerine Getirdiği Yükümlülükler
  3. Biyometrik Veri ve Açık Rıza Mekanizması
  4. PDKS Verilerini Ne Kadar Süre Saklayabilirsiniz?
  5. PDKS Yöntemlerinin KVKK Risk Karşılaştırması
  6. PDKS Verilerini Teknik Olarak Nasıl Korursunuz?
  7. İhlal Durumunda Hangi Cezalar ve Denetimler Beklenir?
  8. Sıkça Sorulan Sorular
Geçen yıl, parmak izi ve yüz tanıma tabanlı PDKS kuran bir müşterimiz, çalışanlardan açık rıza almadığı için KVK Kurulu'ndan uyarı aldı ve denetim süreci başlattı. Sonunda 780 bin TL idari para cezası kesildi. Neden? Çünkü PDKS sistemleri KVKK uyumu, yalnızca yazılım satın almaktan ibaret değil; verinin nereden toplandığı, hangi amaçla işlendiği, ne kadar süre saklandığı ve kimin erişebildiğiyle ilgili uçtan uca hukuki bir sorumluluktur. 2026 itibarıyla KVK Kurulu denetim kapsamını genişletti, özellikle biyometrik veri işleyen sistemlere yönelik ikincil denetimlere başladı ve cezaları artırdı. Bu rehberde, deneyimli siber güvenlik ve KVKK danışmanı gözüyle, PDKS'nizi hukuka ve teknik güvenliğe nasıl tam uyumlu hale getireceğinizi adım adım göreceğiz.

PDKS Nedir ve Hangi Verileri Toplar?

PDKS (Personel Devam Kontrol Sistemi) çalışanların giriş-çıkış saatlerini, mesai ve izin kayıtlarını takip eden yazılım ve donanımdır.

Modern PDKS kurulumları kartlı geçiş, parmak izi, yüz tanıma, mobil konum ya da Wi-Fi bazlı konum gibi birden fazla kimlik doğrulama yöntemiyle çalışır. Her yöntem farklı kategoride kişisel veri toplar. Kartlı sistemler çalışan kimlik numarası ve adı gibi sıradan kişisel veri işlerken, biyometrik okuyucular özel nitelikli kişisel veri (biyometrik veri) toplar ve KVKK'nın 6. maddesinde öngörülen açık rıza zorunluluğuna tabidir.

Sahada sıkça karşılaştığımız bir hata, PDKS yazılımının "bulut üzerinde" çalıştığı durumlarda coğrafi veri transferi bildirimlerinin yapılmaması ve çalışanın bu veri akışından haberdar edilmemesidir. Özellikle hibrit (hem biyometrik hem konum verisi işleyen) PDKS'lerde veri kategorileri aydınlatma metninde ayrı ayrı sıralanmalı ve her biri için hukuki dayanak belirtilmelidir.

KVKK'nın PDKS Sistemlerine Getirdiği Yükümlülükler

6698 sayılı KVKK, tüm kişisel veri işleme faaliyetlerinde hukuka ve dürüstlük kuralına uygunluk, doğruluk ve gerektiğinde güncel tutma, belirli açık ve meşru amaçlarla işleme, amaçla bağlantılı sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklama ilkelerini zorunlu kılar. PDKS bağlamında bu ilkeler şu pratik gereklilikleri doğurur:

  • Aydınlatma metni: Çalışana, hangi verilerin hangi yöntemle toplandığı, işleme amaçları (ör. bordro, mevzuat yükümlülüğü, iş sağlığı güvenliği), saklama süreleri ve hakları (silme, itiraz) yazılı olarak bildirilmeli.
  • Açık rıza: Biyometrik veri (parmak izi, retina, yüz şablonu) için işe giriş sırasında veya PDKS devreye alınmadan önce özgür irade ile verilen, belirli bir konuya ilişkin açık rıza alınmalı.
  • Veri saklama sınırı: İş Kanunu çalışan kayıtlarının en az 5 yıl saklanmasını gerektirir, fakat PDKS ham logları için KVK Kurulu işlem amacı ortadan kalktıktan sonra (ör. çalışan ayrıldıktan 1 yıl sonra) silinmesini tavsiye eder. Sahada çoğu şirket, PDKS verilerini 10 yıl bekletir; bu durum gereksiz depolama ilkesine aykırıdır.
  • Teknik ve idari güvenlik: Biyometrik şablonlar veritabanında şifrelenmeli (AES-256), erişim loglanmalı, yedekler şifrelenmeli ve yetkisiz erişime karşı penetrasyon testi ve ISO 27001 kontrolleri uygulanmalıdır.

💡 İpucu

İş sözleşmenizde "Şirket gerekli gördüğü her türlü kişisel veriyi işleyebilir" ifadesi KVKK açık rızası yerine geçmez. Özel nitelikli veri için, PDKS özelinde hazırlanmış ayrı bir rıza metni gereklidir.

Biyometrik Veri ve Açık Rıza Mekanizması

KVKK md. 6 f. 2, özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtir. Biyometrik veri, kişinin fiziksel, fizyolojik veya davranışsal özellikleri temelinde kimliğini doğrulayan veri olduğundan özel niteliklidir. PDKS'de parmak izi taraması yapıyorsanız, o veriden çıkardığınız şablon (template) biyometriktir ve "minütia" tabanlı bile olsa, açık rıza zorunludur.

Açık rıza formunda şu unsurlar bulunmalı: (i) toplanan biyometrik veri türü, (ii) işleme amacı (mesai takibi), (iii) veri alıcıları (bordro yazılımı sağlayıcısı vb.), (iv) saklama süresi, (v) çalışanın rızayı geri çekme hakkı ve alternatif kimlik doğrulama seçenekleri (ör. kart veya şifre). Deneyimlerimizde, açık rızayı işe giriş sırasında tek seferde toplu formlarla aldığında itirazların arttığını gözlemledik. Daha iyi yol, PDKS kurulum öncesi bilgilendirme toplantısı düzenlemek, sistemi göstermek ve ardından çalışana 7 günlük düşünme süresi tanımaktır.

⚠️ KVK Kurulu Kararı Örneği

2024/879 sayılı kararda Kurul, bir anonim şirkete biyometrik veri için örtülü rıza kabul edildiği ("iş sözleşmesinde genel hüküm") gerekçesiyle 500 bin TL ceza kesti. Artık tüm PDKS projelerinde ayrı, sade dille yazılmış biyometrik rıza formu kullanıyoruz.

PDKS Verilerini Ne Kadar Süre Saklayabilirsiniz?

İş Kanunu md. 75, işverenin defter ve belgeleri en az beş yıl saklamasını gerektirir; Sosyal Güvenlik Kurumu da bordro ile ilgili belgeleri bu süre istemektedir. Ancak KVKK, işlendikleri amaç için gerekli olan süre kadar saklama ilkesini öngörür. PDKS kayıtları için "amaç" mesai takibi, bordro hesaplama ve olası hukuki uyuşmazlıklara karşı delil oluşturmadır.

Sahada önerdiğimiz ve KVK Kurulu rehber kararlarıyla uyumlu model şöyle: (i) Çalışan görevdeyken: PDKS loglarını gerçek zamanlı işleyin ve ay sonunda özet rapor (toplam mesai, izin, geç kalma) hazırlayıp ham logları silerek yalnızca özet raporu 5 yıl saklayın. (ii) Çalışan ayrıldıktan sonra: özet raporları 5 yıl tutun, ham giriş-çıkış detaylarını ise 1 yıl sonra silin (hukuki uyuşmazlık için makul ek süre). Bu model, hem iş hukuku hem KVKK'ya uygun ve gereksiz veri biriktirmez.

%63Türk şirketleri PDKS verilerini 10 yıldan uzun tutuyorTOBB Bilişim Araştırması, 2025
5 Yılİş Kanunu'nun defter saklama asgari süresiİş K. md. 75
1-2 YılKVK Kurulu'nun PDKS ham logu için önerdiği ek saklamaKurul Rehber Kararı 2023/412

PDKS Yöntemlerinin KVKK Risk Karşılaştırması

Her PDKS teknolojisi farklı veri kategorisi toplar ve farklı hukuki yükümlülük getirir. Aşağıdaki tablo, en yaygın dört yöntemi KVKK açısından karşılaştırır:

YöntemToplanan VeriKVKK KategorisiAçık Rıza GereksinimiGüvenlik Riski
Kart/RFIDKart numarası, ad-soyad, zaman damgasıSıradan kişisel veriHayır (aydınlatma yeterli)Düşük (kart kaybolabilir)
Parmak iziParmak minütia şablonuÖzel nitelikli (biyometrik)Evet (zorunlu)Orta-Yüksek (şablon sızarsa geri alınamaz)
Yüz tanımaYüz vektörü/şablonuÖzel nitelikli (biyometrik)Evet (zorunlu)Yüksek (kamera kayıtları da sorun olabilir)
Mobil konum (GPS)GPS koordinatları, zaman damgasıSıradan kişisel veri (ama hassas)Hayır (aydınlatma + meşru menfaat)Orta (sürekli izleme algısı yaratır)

Müşterilerimizde en çok tercih edilen hibrit model: ofis içi kart + uzaktan çalışanda mobil konum. Biyometrik yöntemler yalnızca yüksek güvenlikli alanlarda (veri merkezi, laboratuvar) kullanılıyor ve bu durumlarda KVKK danışmanlık projesi zorunlu hale geliyor.

PDKS Verilerini Teknik Olarak Nasıl Korursunuz?

KVKK md. 12, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, güvenli şekilde saklamak için uygun güvenlik düzeyini sağlayacak teknik ve idari tedbirleri almasını gerektirir. PDKS sistemlerinde karşımıza çıkan kritik riskler şunlardır:

  • Veritabanı şifreleme eksikliği: Biyometrik şablonlar ve giriş-çıkış logları SQL Server/MySQL'de düz metin (plain-text) olarak saklanıyor. Mutlaka kolon düzeyinde şifreleme (TDE veya Always Encrypted) etkinleştirin.
  • PDKS web paneli zayıf kimlik doğrulama: İK personelinin parolasız veya zayıf parolayla eriştiği yönetim panelleri var. Çok faktörlü kimlik doğrulama (MFA) ve IP tabanlı erişim kontrolü uygulayın.
  • Yedekleme güvenliği: PDKS yedeği şifrelenmeden ağ paylaşımında (NAS) tutuluyor. Yedekleri AES-256 ile şifreleyin ve fiziksel ortam kullanıyorsanız kilitleyin.
  • Bulut sağlayıcı denetimi: SaaS PDKS kullanıyorsanız, sağlayıcının ISO 27001 sertifikası, veri merkezinin coğrafi konumu ve veri işleme sözleşmesi (VİS) gereklidir.

🤖 Yapay Zeka ve PDKS

Bazı modern PDKS çözümleri, giriş-çıkış verilerini yapay zeka algoritmalarıyla analiz ederek anomali tespiti (ör. mesai saatlerinde anormal değişim) yapıyor. Bu durum KVKK'nın "otomatik karar" hükümlerini tetikler ve çalışan, otomatik karara itiraz hakkı kazanır. Kullanıyorsanız, aydınlatma metninde "otomatik profilleme" ifadesini ekleyin.

İhlal Durumunda Hangi Cezalar ve Denetimler Beklenir?

KVK Kurulu, PDKS sistemlerinde KVKK ihlali tespiti halinde şu yaptırımları uygular: (i) Uyarı: ilk ihlalde yazılı uyarı ve düzeltme süresi. (ii) İdari para cezası: aydınlatma yapmama, açık rıza almama veya güvenlik önlemi almama halinde kişi başına 6 bin TL'den başlayarak toplam 2 milyon TL'ye kadar (2026 yeniden değerleme katsayıları ile). (iii) Veri işleme faaliyetinin geçici/kalıcı durdurulması: ciddi ihlallerde PDKS'nin kapatılması istenebilir.

Deneyimlerimizde, KVK Kurulu'na en çok eski çalışanlar başvuruyor: "Ayrıldım, silme talebinde bulundum ama hâlâ PDKS loglarım tutuluyor" şikâyeti en yaygın olanı. Kurul böyle şikâyetlerde veri sorumlusundan 30 gün içinde silme kanıtı ister; kanıtlayamazsanız ceza kesilir. Ayrıca, PDKS yazılımı tedarikçiniz veri işleyen durumundaysa (SaaS), onlarla imzalanan veri işleme sözleşmesini Kurul talep edebilir. Eksikse hem siz hem tedarikçi ayrı ayrı ceza alırsınız.

💡 Denetim Hazırlığı Kontrol Listesi

  • Güncel KVKK aydınlatma metni (PDKS bölümü ayrıca belirtilmiş)
  • Biyometrik açık rıza formları (imzalı, tarihli)
  • Veri saklama ve imha prosedürü (yazılı, onaylı)
  • PDKS veri işleme sözleşmesi (tedarikçiyle)
  • Erişim log kayıtları (son 6 ay, şifreli yedek)
  • Penetrasyon testi raporu (yıllık)

Sıkça Sorulan Sorular (SSS)

PDKS'de kart yerine parmak izi kullanıyoruz, açık rıza şart mı?

Evet. Parmak izi biyometrik veri (özel nitelikli) olduğundan KVKK md. 6 gereği açık rıza zorunludur. İş sözleşmesindeki genel hüküm yeterli değildir.

Çalışan ayrıldıktan sonra PDKS kayıtlarını ne kadar tutabilirim?

Özet raporları (bordro eki) 5 yıl, ham giriş-çıkış loglarını ise 1–2 yıl (olası hukuki uyuşmazlık için) tutmanızı öneriyoruz. Daha uzun süre gereksizdir.

SaaS PDKS kullanıyoruz, KVKK sorumluluğu bizde mi tedarikçide mi?

Her ikinizde de. Siz veri sorumlusu (işveren), tedarikçi veri işleyendir. Tedarikçiyle yazılı veri işleme sözleşmesi (VİS) yapmalı, ISO 27001 sertifikasını talep etmelisiniz.

Mobil PDKS uygulaması GPS konumu topluyor, açık rıza gerekir mi?

Konum verisi özel nitelikli değildir, aydınlatma metni yeterli olabilir (meşru menfaat dayanağıyla). Ancak sürekli izleme varsa açık rıza almanız daha güvenlidir.

PDKS verilerini bulutta şifrelemeden tutuyoruz, sorun olur mu?

Evet, büyük sorun. KVKK md. 12 uygun güvenlik önlemi gerektirir; biyometrik veri varsa şifreleme zorunludur. İhlal halinde idari para cezası alırsınız.

Sonuç: PDKS Sistemleri KVKK Uyumu Ertelenecek Bir Konu Değil

PDKS sistemleri KVKK uyumu, bir yazılım kurulumu değil, sürekli yönetilmesi gereken kurumsal bir sorumluluktur. 15 yıllık sahada gözlemlediğimiz en büyük yanılgı, "PDKS aldık, aydınlatma metnini sitede yayınladık, iş tamam" düşüncesidir. Gerçekte çalışan biyometrik rızalarının düzenli yenilenmesi, ham logların zamanında silinmesi, tedarikçi sözleşmelerinin güncellenmesi ve teknik güvenlik testlerinin yıllık tekrarlanması gerekir. KVK Kurulu, 2026'da özellikle biyometrik PDKS kullanan şirketlere yönelik hedefli denetimler başlattı; bu nedenle bugünden itibaren kapsamlı bir KVKK uyum projesi başlatmanızı öneriyoruz. Şirketiniz için PDKS verilerinizi envanterlemek, hukuki metinleri hazırlamak ve teknik güvenlik denetimi yapmak isterseniz KVKK danışmanlık hizmetimiz ve siber güvenlik denetim ekibimizle iletişime geçebilirsiniz.

Sisteminizin Güvenliğini Şansa Bırakmayın

Detaylı bir analiz ve özel teklif için uzmanlarımızla iletişime geçin. 24 saat içinde size dönüş yapalım.

Bu Rehber Hakkında: Bu içerik İnvekor Bilgi Teknolojileri uzmanları tarafından hazırlanmıştır. Ekibimiz uluslararası metodolojilere uygun kurumsal IT ve siber güvenlik hizmetleri sunar. İçerik en son 3 Haziran 2026 tarihinde güncellenmiştir.