info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

İşçinin Kişisel Verilerinin Korunması (KVKK)

03 Eki 2025
0

1) Giriş: Yönetim Hakkı – Mahremiyet Dengesi

İşverenin yönetim hakkı, işyerinde düzeni sağlamak, iş sağlığı ve güvenliğini temin etmek, iş süreçlerinin sürekliliğini ve verimliliğini artırmak gibi meşru amaçlara dayanır. Buna karşın, işçinin kişilik değerleri iş hukuku ve veri koruma hukuku tarafından korunur. İş ilişkilerinde işverenin güç konumu dikkate alındığında, gözetim araçlarının öngörülebilir, orantılı ve şeffaf kılınması, mevzuata uyumun omurgasını oluşturur. Bu sebeple, her izleme tekniği için ayrı ayrı amaç–araç–ölçülülük analizi yapmak; veri işleme faaliyetini belirli ve meşru amaçlara bağlamak; gerektiği kadar veri kategorisi işlemek ve gerektiği kadar süreyle saklamak esastır.

2) Kavramsal Çerçeve: Kişisel Veri, Özel Nitelikli Veri, Hukuki Sebep

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. İşyeri kameralarıyla elde edilen görüntüler, araç takip sistemlerinin ürettiği konum koordinatları ve hız bilgileri, kurumsal e-posta hesaplarının içerikleri ile trafik/meta verileri bu kapsamdadır. Özel nitelikli veriler (örneğin yüz tanıma, parmak izi gibi biyometrik veriler; sağlık, sendika bilgisi) sıkı korumaya tabidir ve ancak özel koşullar altında işlenebilir. Her veri işleme faaliyeti için hukuki sebep gerekir: sözleşmenin kurulması/ifası, meşru menfaat, hukuki yükümlülük, açık rıza vb. İş ilişkilerinde rızanın özgür irade olup olmadığı tartışmalı olduğundan, çoğu senaryoda meşru menfaat veya sözleşmenin ifası gibi temeller daha sağlıklı olur; fakat meşru menfaatte mutlaka denge testi yapılarak işçinin temel hak ve özgürlüklerinin üstün gelip gelmediği yazılı olarak analiz edilmelidir.

3) İşyerinde Kamera Kaydı

3.1 Amaç ve Hukuki Dayanak

Kamera izleme çoğunlukla işyeri güvenliği, iş sağlığı ve güvenliği (İSG) tedbirlerinin izlenmesi, mülkiyetin korunması, olay sonrası delil temini ve ziyaretçi trafiğinin yönetilmesi amaçlarına dayanır. Bu senaryolarda meşru menfaat güçlü bir hukuki sebep olabilir. Ancak amaç güvenlik iken, kamerayı sürekli performans ölçümü için kullanmak ölçülülüğü zedeler; işçi üzerinde aşırı ve sürekli gözetim baskısı oluşturur. Performans değerlendirmesi gerekiyorsa, daha düşük müdahale içeren alternatifler (örneğin çıktı verileri, kalite kontrol süreçleri) öncelenmelidir.

3.2 Aydınlatma, Şeffaflık ve İşyeri İçi Duyurular

Kamera izleme başlamadan önce işçilere aydınlatma metni sunulmalı; metinde veri sorumlusu/irtibat kişisi, amaçlar, hukuki sebep, toplanan veri kategorileri (görüntü, varsa ses), saklama süreleri, alıcı grupları, haklar ve başvuru yolu açıkça yazılmalıdır. Kamera bölgeleri girişlerinde görsel işaretler (piktogram ve kısa bilgilendirme) yer almalı; detaylı metne QR kodla erişim sağlanmalıdır. Personel özlük dosyasında aydınlatmanın tebellüğ edildiğine dair kayıt tutulması, talep halinde ispat kolaylığı sağlar.

3.3 Konumlandırma, Görüş Açısı ve Özel Alan Yasağı

Kameralar işle ilgili alanları görecek şekilde konumlandırılmalı; tuvalet, soyunma odası, duş, emzirme odası gibi mahremiyetin en yüksek olduğu alanlarda kamera bulundurulmamalıdır. Dinlenme odaları gibi alanlarda zorunluluk yoksa kameradan kaçınılmalı; zorunlu ise en dar görüş açısı kullanılmalı ve bu gerekçe ölçülülük raporunda yazılı olmalıdır.

3.4 Ses Kaydı – Biyometrik Tanıma – Yapay Zekâ Analizi

Görüntü yanında ses kaydı yapmak, müdahaleyi artırır; çoğu durumda güvenlik amacını ses olmadan da gerçekleştirmek mümkündür. Bu nedenle ses kaydı istisnai olmalı; açık ve güçlü bir gerekçe ortaya koyulmalıdır. Yüz tanıma gibi biyometrik çözümler, özel nitelikli veri rejimini tetikler; sıkı teknik-idari tedbirler, açık ve ayrı rıza ve etki değerlendirmesi gerektirir. Kameralarda yapay zekâ ile davranış analizi (ör. kitle yoğunluk analizi) yapılacaksa, bu ek işlemenin amacı, hukuki sebebi ve anonimleştirme pratikleri özellikle açıklanmalıdır.

3.5 Saklama Süresi, Erişim ve İmha

Kayıtların saklama süresi somut risk ve ihtiyaç üzerinden belirlenmeli (ör. 15–60 gün bandı gibi kurumsal politika ile netleştirilir), süre dolduğunda imha/anonimleştirme otomatikleşmelidir. Erişim görev gereği olan sınırlı personelle sınırlandırılmalı; erişim logları tutulmalı; şifreleme, ayrık depolama, yetki matrisleri işletilmelidir. Olay araştırmalarında üçüncü kişi paylaşımı yapılacaksa, paylaşılan kopya için maskeleme/blur gibi veri minimizasyonu teknikleri uygulanmalıdır.

4) GPS / Araç Takip Sistemleri

4.1 İş Amaçlı Konum Takibinin Sınırları

Araç ve saha personeli yönetiminde GPS takibi; rota optimizasyonu, lojistik güvenliği, çalıntı önleme, yakıt ve zaman yönetimi gibi amaçlarla gündeme gelir. Burada kritik nokta, iş ile ilgisi olmayan zaman ve alanlarda çalışanın konumunun izlenmemesidir. Araç mesai dışında personel tarafından kullanılıyorsa, mesai bitiminde takibin otomatik kapandığı veya kişinin kapatabileceği bir mekanizma sağlanmalıdır. Çalışanın özel yaşamına sızan, 7/24 takip görüntüsü veren sistemler meşru menfaat dengesini bozar.

4.2 Aydınlatma, Veri Kategorileri ve Frekans

Aydınlatmada hangi verilerin işlendiği (enlem-boylam, hız, duraklama, zaman damgası), kayıt frekansı (ör. her 30 saniye), saklama süresi, paylaşım ve imha süreçleri açıkça yazılmalıdır. Gereksiz veri toplanmamalı; örneğin hız verisi işin gereği değilse kaydedilmemelidir. Konum doğruluğu yüksek cihazlarda, geofencing ile yalnızca iş rotaları içinde izleme kurgulanarak veri minimizasyonu sağlanabilir.

4.3 Erişim Yetkileri ve Raporlama

Konum verilerine erişim, operasyon ve güvenlik birimiyle sınırlı tutulmalı; raporlar anonimleştirilmiş/aggregated formatta üst yönetime sunulmalıdır. Detaylı bireysel raporlar düzenli ve yaygın şekilde paylaşılmamalı; ihtiyaç doğduğunda ve belgelenmiş gerekçeyle üretilmelidir.

5) E-Posta Denetimi ve İletişimin İzlenmesi

5.1 Kurumsal E-Posta, Haberleşmenin Gizliliği ve KVKK Dengesi

Kurumsal e-posta hesabı, işverene ait bir iş aracıdır; işveren, bu aracın iş amacıyla kullanılıp kullanılmadığını makul ölçüde denetleyebilir. Ancak denetim, haberleşmenin gizliliğine gereğinden fazla müdahale edemez. Sürekli ve içerik düzeyinde genel tarama yerine; tehdit istihbaratı/zararlı yazılım filtreleri, meta veri düzeyinde otomatik denetimler, anahtar risk tetikleyicileri (ör. büyük hacimli dışa aktarım) gibi kademeli ve hedefli yöntemler tercih edilmelidir. İçeriğe erişim istisna olmalı; ciddi güvenlik şüphesinde, izin ve kayıt prosedürü işletilerek, iki kademeli onay ile erişilmelidir.

5.2 Aydınlatma, Kullanım Politikası ve Rıza Sorunu

Çalışanlara işe başlarken e-posta ve iletişim araçları kullanım politikası tebliğ edilmeli; hangi durumlarda, kimler tarafından ve hangi usulle denetim yapılabileceği öngörülebilir şekilde belirtilmelidir. İş ilişkisindeki asimetrik güç nedeniyle salt açık rızaya yaslanmak risklidir; meşru menfaat ve sözleşmenin ifası zemini daha tutarlı olur. Bununla birlikte, özelleşmiş izleme kurguları (ör. kişisel cihazın ayrıntılı içerik taraması) söz konusu ise, ayrı ve özgür bir rıza aramak gerekebilir.

5.3 Saklama, Silme ve Delil Boyutu

E-posta kutuları için otomatik arşivleme ve silme politikası belirlenmeli (ör. 12/24/36 ay); hukuki uyuşmazlık çıktığında legal hold uygulanarak ilgili klasörlerin silinmesi geçici olarak durdurulmalıdır. Delil olarak kullanılacak kayıtların bütünlük ve zinciri korunmalı; gerektiğinde hash değerleriyle ispat gücü artırılmalıdır.

6) KVKK – GDPR Karşılaştırması (Kritik Başlıklar)

6.1 İlkeler ve Hukuki Sebep

Her iki rejim de şeffaflık, amaçla sınırlılık, veri minimizasyonu, doğruluk, saklama sınırlaması ve güvenlik ilkelerini benimser. GDPR, iş ilişkilerinde rızayı çoğu zaman uygun görmez; pratikte meşru menfaat ve sözleşmenin ifası öne çıkar. KVKK’da da meşru menfaat güçlü bir zemindir; ancak denge testinin somutlaştırılması önemlidir.

6.2 Etki Değerlendirmesi ve DPO

GDPR, Yüksek Riskli işlemler için Etki Değerlendirmesi (DPIA) öngörür. Konum takibi, sistematik izleme ve biyometrik işleme çoğunlukla bu kapsamdadır. KVKK, özel bir DPIA zorunluluğunu açık hükümle düzenlemez; ancak risk temelli yaklaşım ve teknik-idari tedbirler mantığı, fiilen benzer bir değerlendirmeyi gerektirir. GDPR’da Veri Koruma Görevlisi (DPO) kurumu yerleşiktir; KVKK’da doğrudan bir DPO yükümlülüğü yoktur; pratikte uyum sorumlusu/komitesi ile aynı fonksiyon üstlenilir.

6.3 Yurt Dışına Aktarım ve Sözleşmesel Güvenceler

GDPR “yeterlilik kararı”, “bağlayıcı şirket kuralları” ve “standart sözleşme maddeleri” gibi araçlar kullanır. KVKK’da da yurt dışına aktarıma ilişkin ayrı izin/güvence mekanizmaları ve taahhüt süreçleri söz konusudur. Uygulamada, bulut e-posta/depoda veri yerleşimi haritası çıkarılmalı; aktarımın hukuki zemini belgelenmelidir.

6.4 Çalışma Hayatına Özgü Rehberler

GDPR pratiğinde çalışan verisi yüksek risk kategorisinde değerlendirilir; çalışma hayatı bağlamında yerel rehberler (iş-özel yaşam dengesi, e-posta ve internet izleme, CCTV) ayrıntılı içtihatlar üretmiştir. KVKK pratiğinde de Kurul kararları ve duyurular ölçüt koyucu niteliktedir; kamera yerleşimi, ses kaydı, özel alan yasağı, saklama-imha ve aydınlatma uygulamaları bakımından giderek netleşen standartlar oluşmuştur.

7) Yargısal Ölçütler ve Uyuşmazlıkta Delil Kullanımı

Mahkemeler, işverenin sunduğu kamera görüntüsü, GPS raporu veya e-posta çıktısının delil değerini değerlendirirken iki ekseni birlikte gözetir: (i) usule uygun elde edilip edilmediği (aydınlatma, ölçülülük, saklama-erişim zinciri), (ii) iş uyuşmazlığı ile ilgisi. Usulsüz elde edilen bir kayıt, kimi zaman delil yasaklarına takılır veya delil değeri zayıflar. Buna karşılık, uyumlu sistemlerden alınmış kayıtlar, özellikle hırsızlık, iş kazası, sahte rapor, gizli bilgi sızdırma gibi vakalarda belirleyici olabilir. Bu nedenle, delil stratejisi daha izleme başlamadan önce kurgulanmalı; kayıt bütünlüğü ve zaman damgası uygulamaları iç prosedüre yazılmalıdır.

8) Uyum Programı: Adım Adım Yol Haritası

8.1 Envanter ve Amaç Analizi

  • Tüm izleme araçlarını (CCTV, NVR, VMS; GPS cihazları; e-posta güvenlik ağ geçidi; DLP, CASB, SIEM vb.) envantere alın.

  • Her araç için amaç–hukuki sebep–veri kategorisi–alıcı grupları–saklama süresi matrisi oluşturun.

  • Alternatif ve daha az müdahaleci yöntemlerin mümkün olup olmadığını ölçülülük raporunda irdeleyin.

8.2 Aydınlatma ve Politika Seti

  • Genel Aydınlatma Metni (çalışan) + CCTV Aydınlatması + GPS Aydınlatması + E-posta/İletişim Politikası ayrı ayrı yazılsın.

  • Politikalarda, erişim yetkileri, denetim usulü, log yönetimi, silme-imha ve başvuru/itiraz mekanizmaları somutlaştırılsın.

  • Giriş kapıları ve kamera bölgelerinde kısa bilgilendirme ve QR kodla detay metne erişim sağlansın.

8.3 Teknik ve İdari Tedbirler

  • Erişim kontrolü (RBAC), çok faktörlü kimlik doğrulama, şifreleme, log bütünlüğü, ayrıcalıklı erişim yönetimi.

  • Veri maskeleme/blur, yüz bulanıklaştırma, plaka maskeleme gibi minimizasyon teknikleri.

  • Sızma testleri ve konfigürasyon denetimleri ile güvenlik sertleştirmesi.

  • Eğitim: Yıllık KVKK farkındalık eğitimi + olay bildirimi ve ihlal prosedürleri.

8.4 Saklama–İmha–Anonimleştirme

  • Saklama ve İmha Politikası ile sistem bazlı süreler belirleyin (ör. CCTV 30 gün; GPS 30/60 gün; e-posta arşivi 24/36 ay).

  • Otomatik imha tetikleri kurun; imha tutanakları ve sistem loglarını saklayın.

  • Anonimleştirme gerektiren raporlarda kimlikten arındırma kurallarını yazın.

8.5 Yüksek Risk Analizi ve Test

  • Biyometrik tanıma, sürekli konum takibi, içerik bazlı e-posta taraması gibi işlemlerde etki değerlendirmesi yapın; risk azaltıcı kontrolleri (ör. kapsama daraltma, süre kısaltma, daha kaba/anonim veri) ekleyin.

  • Tedarikçi sözleşmelerine veri işleyen hükümleri, teknik-idari tedbir listeleri, denetim hakkı ve ihlal bildirimi yükümlülükleri koyun.

8.6 Başvuru ve Hak Yönetimi

  • Çalışanların erişim/düzeltme/silme/itiraz talepleri için SLA içeren bir başvuru prosedürü oluşturun.

  • İtiraz üzerine meşru menfaat denge testini güncelleyin; gerekirse kapsamı daraltın.

Sonuç ve Öneriler

Kamera, GPS ve e-posta denetimi; doğru kurgulandığında işyerinde güvenliği artıran, olay sonrası delil sağlamaya yardımcı olan ve işletme sürekliliğini destekleyen araçlardır. Ancak bu araçların hukuka uygunluğu, amaç ve kapsamın dikkatle belirlenmesine, aydınlatma ve şeffaflığa, ölçülülük ve minimizasyona, saklama-imha disiplinine ve erişim güvenliğine bağlıdır. KVKK ile GDPR arasındaki yaklaşım farklarını dikkate alarak, meşru menfaat denge testini yazılı hale getiren, politikaları yaşayan dokümanlara dönüştüren ve teknik-idari tedbirleri somutlaştıran bir uyum programı, hem yaptırım riskini azaltır hem de uyuşmazlıklarda delil değerini güçlendirir.

, , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button