Mobil PDKS + Geofence: EDPB Çerçevesinde Yasal Sınırlar

Saha personeli (kurye, satış, kurulum, bakım) sabit terminale ulaşamaz. Eski çözüm: telefon araması veya WhatsApp grup mesajı — denetim için yetersiz, KVKK için riskli. Mobil PDKS uygulaması: çalışan akıllı telefondan 'işe başla' butonuna basar, sistem GPS lokasyonu + zaman damgası ile kayıt eder. EU-OSHA 'Digitalisation of Work Health and Safety' raporu mobil PDKS'i şirketlerin %58'inin denediği teknoloji olarak listeler.

Geofence = belirli bir coğrafi alanı (poligon veya yarıçap) yazılım üzerinde tanımlamak. Saha personeli geofence içine girdiğinde 'on-site' otomatik tetiklenir, çıkınca 'off-site'. ISO 19111 'Geographic information — Spatial referencing' geofence standartı. Pratik örnek: müteahhit firma 5 inşaat sahası için 5 geofence tanımlar, sürücü Sürücü A şantiye 1'e girince başlangıç otomatik kayıt.

Kişisel Verileri Koruma Kurulu 27/08/2020 tarih 2020/65 sayılı Karar: işveren tarafından çalışanın mobil cihazı/aracı ile konumunun takip edilmesi (a) açık yazılı bilgilendirme, (b) meşru menfaat dengesi testi, (c) mesai saatleri ile sınırlı, (d) verinin amaca uygun süre saklanması koşulu ile mümkün. Mesai dışı izleme açık rıza gerektirir ve rıza geri çekilebilir.

Avrupa Veri Koruma Otoritesi (EDPB) 'Guidelines 4/2022 on the calculation of administrative fines' işyerinde GPS izlemeyi yüksek risk kategorisinde sınıflandırır. Risk azaltıcı önlemler: amaç sınırlama (sadece İSG ve mesai kayıt — performans değil), veri minimizasyonu (her saniye değil her 5 dakikada bir lokasyon), kademeli erişim (sadece doğrudan yönetici), saklama süresi (6 ay max).

KVKK Madde 10 + EDPB 'Guidelines on Transparency' WP260: aydınlatma metni 'kısa, açık, anlaşılır, kolay erişilir' olmalı. Mobil PDKS uygulaması ilk kurulumda yazılı + sözlü bilgilendirme — 'GPS konumun şu amaçla, şu süre, şu kişilere erişimde tutulacaktır' — sunmalı. Çalışan onay tıklamadan uygulama aktive edilmemeli (just-in-time consent UX deseni).

KVKK Karar 2020/65 ve mantıken Direktif 2003/88: çalışan mesai dışı izlenemez. Mobil PDKS uygulaması (a) otomatik vardiya bitimi konum servisi durdurma, (b) çalışan kontrol panelinde 'tracking şu an aktif/pasif' görünür gösterge, (c) hafta sonu / izin günü tam kapatma yapmalı. Bu özellikler olmayan PDKS uygulaması KVKK Kurul şikâyetine açıktır.

Mobil PDKS'de 'fake GPS' uygulamaları ile evden 'şantiyedeyim' yalanı yapılabilir. Anti-spoofing önlemler: (a) hücre baz istasyonu üçgenlemesi + WiFi MAC pozisyon ile çapraz kontrol (NIST 'Cellular Carrier Network Forensics'), (b) zaman serisi anomalisi (1 saniyede 50 km gitmek mümkün değil), (c) jailbreak/root tespit, (d) zorunlu fotoğraf çekimi (selfie + lokasyon). KontrolJet PDKSjet bu kontrolleri varsayılan içerir.