Single Blog Title

This is a single blog caption

Çalışan Kişisel Verilerinin Korunması: İşverenler İçin KVKK Yükümlülükleri

Giriş

İşverenler, iş ilişkisinin kurulmasından sona ermesine kadar çalışanlara ait çok sayıda kişisel veri işler. İş başvurusu sırasında alınan özgeçmiş, kimlik bilgileri, iletişim bilgileri, diploma ve sertifikalar, referans bilgileri, adli sicil kayıtları, sağlık raporları, banka hesap bilgileri, SGK kayıtları, bordro bilgileri, kamera görüntüleri, giriş-çıkış kayıtları, performans değerlendirmeleri, disiplin dosyaları, işyeri e-posta yazışmaları, araç takip verileri ve personel devam kontrol kayıtları bu kapsamda değerlendirilebilir.

Çalışan kişisel verilerinin korunması, işveren açısından yalnızca idari bir formalite değildir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, işverenlere veri sorumlusu sıfatıyla ciddi yükümlülükler yüklemektedir. İşveren, çalışan verilerini hukuka uygun şekilde işlemeli, çalışanı aydınlatmalı, veri güvenliğini sağlamalı, gereksiz veri toplamaktan kaçınmalı, özel nitelikli verilerde daha sıkı tedbirler almalı ve veri işleme faaliyetlerini ölçülü yürütmelidir.

KVKK’ya göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilerin işlenmesi ise ancak Kanun’un 5. maddesinde yer alan açık rıza, kanunlarda açıkça öngörülme, sözleşmenin kurulması veya ifası, hukuki yükümlülük, hakkın tesisi veya korunması, meşru menfaat gibi işleme şartlarından en az birinin bulunması halinde mümkündür.

İşçi-işveren ilişkisinde temel sorun şudur: İşverenin işyerini yönetme, denetleme ve organizasyonu sağlama hakkı vardır; ancak bu hak çalışanın mahremiyetini ve kişisel verilerinin korunması hakkını ortadan kaldırmaz. Çalışan işyerinde bulunuyor olsa bile özel hayatına, kişiliğine ve kişisel verilerine saygı gösterilmesini talep edebilir. Bu nedenle çalışan verilerinin işlenmesinde her işlem ayrı ayrı amaç, hukuki sebep, ölçülülük, aydınlatma, saklama süresi ve veri güvenliği bakımından değerlendirilmelidir.

Çalışan Kişisel Verisi Nedir?

Çalışan kişisel verisi, iş ilişkisi kapsamında çalışana ait olan ve çalışanı doğrudan veya dolaylı şekilde belirlenebilir kılan her türlü bilgidir. Ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta, doğum tarihi, medeni hal, banka hesap bilgisi, maaş bilgisi, SGK sicil numarası, işe giriş-çıkış kayıtları, izin bilgileri, performans değerlendirmeleri, disiplin kayıtları, kamera görüntüleri, işyeri bilgisayar logları ve şirket aracı GPS kayıtları çalışan kişisel verileri arasında sayılabilir.

Bunun yanında bazı çalışan verileri özel nitelikli kişisel veri niteliğindedir. Sağlık raporları, engellilik bilgisi, iş kazası ve meslek hastalığı kayıtları, periyodik muayene sonuçları, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin bilgiler, sendika üyeliği ve dini inanca ilişkin veriler özel nitelikli kişisel veri kapsamında değerlendirilir. Özel nitelikli kişisel veriler, öğrenilmesi halinde ayrımcılık veya mağduriyet doğurabilecek veriler olduğu için daha sıkı korunur ve yalnızca Kanun’da sayılan sınırlı hallerde işlenebilir.

Bu nedenle işverenin “çalışanıma ait veridir, işyeri dosyamda tutabilirim” şeklinde hareket etmesi doğru değildir. İşverenin her veri bakımından şu soruları sorması gerekir: Bu veriyi neden topluyorum? Hangi hukuki sebebe dayanıyorum? Bu veri gerçekten gerekli mi? Daha az veriyle aynı amacı sağlayabilir miyim? Veriyi ne kadar süre saklamalıyım? Kimler erişebilecek? Çalışanı aydınlattım mı?

İşveren Hangi Hukuki Sebeplere Dayanarak Çalışan Verisi İşleyebilir?

İşverenlerin çalışan verilerini işlemesi her zaman açık rızaya bağlı değildir. Hatta iş ilişkisi bakımından birçok veri işleme faaliyeti açık rıza dışında başka hukuki sebeplere dayanır. Örneğin işverenin çalışanın kimlik bilgilerini, SGK kayıtlarını, bordro bilgilerini ve özlük dosyasında bulunması gereken belgeleri işlemesi çoğu zaman kanuni yükümlülük, iş sözleşmesinin ifası veya kanunlarda açıkça öngörülme sebebine dayanır.

4857 sayılı İş Kanunu’nun 75. maddesi, işverenin her işçi için özlük dosyası düzenlemesini ve işçinin kimlik bilgileri yanında ilgili kanunlar uyarınca düzenlemek zorunda olduğu belge ve kayıtları saklamasını öngörür. KVKK Kurumu’nun kişisel veri işleme şartlarına ilişkin açıklamalarında da işverenin çalışanın kimlik verilerini İş Kanunu’nun 75. maddesi kapsamında “kanunlarda açıkça öngörülme” şartına dayanarak işleyebileceği örnek olarak belirtilmiştir.

Kişisel Verileri Koruma Kurulu’nun 2022/896 sayılı kararında da işverenin özlük dosyasında kimlik bilgilerini İş Kanunu’nun 75. maddesi kapsamında “kanunlarda açıkça öngörülme”; özlük dosyasında bulunması gereken diğer bazı kişisel verileri ise “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanarak işleyebileceği değerlendirilmiştir.

Ancak bu durum, işverenin çalışan hakkında istediği her veriyi toplayabileceği anlamına gelmez. Özlük dosyası için gerekli olmayan, işin niteliğiyle ilgisiz, aşırı veya gereksiz verilerin toplanması KVKK’nın ölçülülük ve veri minimizasyonu ilkelerine aykırı olabilir. Örneğin çalışanın tüm aile bireylerine ait ayrıntılı bilgilerinin, sağlık geçmişinin, özel hayatına ilişkin detayların veya işin niteliğiyle ilgisiz ceza kayıtlarının talep edilmesi ayrıca hukuki risk doğurur.

Açık Rıza İşçi-İşveren İlişkisinde Ne Zaman Geçerlidir?

Açık rıza, çalışanın belirli bir konuda, bilgilendirmeye dayalı ve özgür iradesiyle verdiği onaydır. Ancak işçi-işveren ilişkisinde açık rızanın geçerliliği her zaman tartışmasız değildir. Çünkü çalışan, işini kaybetme veya olumsuz muamele görme endişesiyle rıza vermek zorunda hissedebilir. Bu nedenle çalışanlardan alınan açık rızalarda özgür irade unsuru özellikle dikkatle değerlendirilmelidir.

Kişisel Verileri Koruma Kurulu’nun 2020/404 sayılı kararında, işveren tarafından çalışanlardan alınan muvafakatname ve açık rıza metinleri incelenmiş; çalışan rıza vermezse özlük dosyasının tamamlanmamış kabul edildiğine dair uygulamalar, işçi-işveren ilişkisindeki güç dengesi bakımından değerlendirilmiştir. Kararda ayrıca parmak izi gibi verilerin işlenmesi, aydınlatma yükümlülüğü ve özel nitelikli verilerin hukuka uygunluğu tartışılmıştır.

Bu nedenle işveren, kanuni yükümlülük veya sözleşmenin ifası kapsamında işlenebilecek veriler için gereksiz şekilde açık rıza almamalıdır. Açık rıza, ancak gerçekten açık rızaya ihtiyaç duyulan özel veri işleme faaliyetlerinde kullanılmalıdır. Örneğin çalışanın fotoğrafının şirketin sosyal medya hesaplarında tanıtım amacıyla paylaşılması, çalışan verilerinin pazarlama faaliyeti kapsamında kullanılması veya açık rıza dışında hukuki sebep bulunmayan bazı özel nitelikli veri işleme faaliyetleri açık rıza gerektirebilir.

Ancak açık rıza alınsa bile veri işleme faaliyeti ölçülü, gerekli ve amaca uygun olmalıdır. Çalışan rıza verdi diye işverenin sınırsız veri işlemesi mümkün değildir. Açık rıza, KVKK’nın genel ilkelerini bertaraf etmez.

Çalışan Aydınlatma Metni Nasıl Hazırlanmalıdır?

İşveren, çalışan verilerini işlerken aydınlatma yükümlülüğünü yerine getirmek zorundadır. Aydınlatma metninde veri sorumlusunun kimliği, hangi kişisel verilerin hangi amaçlarla işlendiği, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplama yöntemi, hukuki sebep ve çalışanın KVKK kapsamındaki hakları açıkça belirtilmelidir.

Çalışan aydınlatma metni, genel ve kopyala-yapıştır bir metin olmamalıdır. İnsan kaynakları süreçleri, bordro ve muhasebe süreçleri, SGK ve vergi bildirimleri, iş sağlığı ve güvenliği, performans değerlendirmesi, kamera kayıtları, giriş-çıkış takibi, yan haklar, disiplin süreçleri, eğitim faaliyetleri ve işten ayrılma işlemleri ayrı ayrı değerlendirilmelidir.

Örneğin çalışan aydınlatma metninde şu mantık kurulabilir: Kimlik ve iletişim bilgileriniz, iş sözleşmesinin kurulması ve yürütülmesi amacıyla; sözleşmenin ifası ve hukuki yükümlülüklerin yerine getirilmesi hukuki sebeplerine dayanarak işlenmektedir. Banka hesap bilgileriniz, ücret ödemelerinin yapılması amacıyla; iş sözleşmesinin ifası hukuki sebebine dayanarak işlenmektedir. Sağlık bilgileriniz, iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla; ilgili mevzuat ve özel nitelikli kişisel veri işleme şartları kapsamında işlenmektedir.

Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı işverene aittir. Kurul’un 2022/896 sayılı kararında, işverenin aydınlatma yükümlülüğünü sözlü olarak yerine getirdiğini savunmasına rağmen bunu tevsik edici belge sunamaması ayrıca değerlendirilmiştir. Bu nedenle işverenlerin çalışan aydınlatma metinlerini imza, elektronik onay, personel portalı kaydı veya benzeri yöntemlerle ispatlanabilir hale getirmesi önemlidir.

Özlük Dosyası ve Çalışan Verileri

İşveren, her çalışan için özlük dosyası düzenlemekle yükümlüdür. Bu dosyada çalışanın kimlik bilgileri, iş sözleşmesi, SGK bildirimleri, bordro kayıtları, izin belgeleri, eğitim kayıtları, iş sağlığı ve güvenliği belgeleri, gerekli belgeler ve mevzuatın öngördüğü kayıtlar bulunabilir. Ancak özlük dosyası, çalışana ilişkin her türlü bilginin sınırsızca depolanabileceği bir arşiv değildir.

Özlük dosyasında yer alan veriler dürüstlük kurallarına ve hukuka uygun kullanılmalı, gizli kalmasında çalışanın haklı çıkarı bulunan bilgiler açıklanmamalıdır. KVKK Kurulu’nun 2022/896 sayılı kararında, İş Kanunu’nun 75. maddesindeki bu yükümlülük açıkça hatırlatılmış ve işverenin çalışan verilerini özlük dosyası kapsamında işleyebileceği hukuki sebepler tartışılmıştır.

İşverenin özlük dosyasındaki verilere erişimi sınırlandırması gerekir. İnsan kaynakları, muhasebe ve yönetim birimleri dışında ilgisiz çalışanların özlük dosyalarına erişebilmesi ciddi veri güvenliği riski doğurur. Fiziki dosyalar kilitli dolaplarda veya kontrollü arşivlerde tutulmalı; elektronik dosyalar ise yetkilendirme, parola, log kaydı ve erişim sınırlamalarıyla korunmalıdır.

Özlük dosyasındaki veriler iş ilişkisi sona erdikten sonra da belirli sürelerle saklanabilir. Ancak saklama süresi her veri bakımından ayrı belirlenmelidir. İş hukuku, SGK, vergi, tazminat, iş kazası ve zamanaşımı süreleri dikkate alınmalı; saklama süresi sona eren veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Çalışan Sağlık Verilerinin İşlenmesi

Çalışan sağlık verileri özel nitelikli kişisel veridir. İşe giriş sağlık raporu, periyodik muayene kayıtları, iş göremezlik raporu, engellilik bilgisi, hamilelik bilgisi, iş kazası kayıtları, meslek hastalığı bilgileri ve işyeri hekimi kayıtları bu kapsamdadır.

İşveren, iş sağlığı ve güvenliği yükümlülüklerini yerine getirmek için bazı sağlık verilerini işleyebilir. Ancak bu veri işleme faaliyeti işin gereğiyle sınırlı olmalıdır. Örneğin tehlikeli sınıfta çalışan bir işçi için işe uygunluk raporu alınması gerekli olabilir; fakat ofis çalışanından işin niteliğiyle bağlantısız ayrıntılı sağlık geçmişi istenmesi ölçüsüz sayılabilir.

Özel nitelikli veriler ancak Kanun’da sayılan sınırlı hallerde işlenebilir. Sağlık verileri, iş sağlığı ve güvenliği, istihdam yükümlülükleri veya ilgili mevzuat kapsamında işleniyorsa bu durum aydınlatma metninde açıkça gösterilmelidir. Ayrıca özel nitelikli veriler bakımından daha güçlü teknik ve idari tedbirler alınmalıdır.

Sağlık verilerinin işyerinde yayılması, yöneticiler veya diğer çalışanlarla gereksiz paylaşılması, WhatsApp gruplarında dolaştırılması veya personel dosyasında kontrolsüz tutulması ciddi KVKK ihlali oluşturabilir. İşveren, çalışanın sağlık bilgisini yalnızca görev gereği bilmesi gereken kişilerle ve gerekli olduğu ölçüde paylaşmalıdır.

İşyerinde Kamera Kaydı ve Çalışanın Mahremiyeti

İşyerinde kamera kaydı, çalışan kişisel verilerinin işlenmesi anlamına gelir. İşveren işyeri güvenliği, suçların önlenmesi, iş sağlığı ve güvenliği veya tesis güvenliğinin sağlanması gibi meşru amaçlarla kamera kullanabilir. Ancak kamera sistemi, çalışanların sürekli gözetim altında tutulmasına ve mahremiyetlerinin ölçüsüz şekilde ihlal edilmesine yol açmamalıdır.

Kişisel Verileri Koruma Kurumu’nun işyerlerinde güvenlik kamerası kullanımına ilişkin 2026 tarihli duyurusunda, kameraların kuruluş amacının somut olarak belirlenmesi, “genel kontrol”, “disiplini artırma” veya “çalışanları sürekli denetleme” gibi soyut amaçlardan kaçınılması gerektiği vurgulanmıştır. Kurum ayrıca tuvalet, soyunma odası, mescit ve dinlenme alanı gibi özel alanlara kamera yerleştirilmemesi gerektiğini açıkça belirtmiştir.

Kamera kayıtlarında ölçülülük çok önemlidir. Giriş-çıkış alanı, depo, kasa bölümü veya güvenlik riski taşıyan alanlarda kamera kullanımı daha kolay gerekçelendirilebilir. Buna karşılık çalışanların masalarını yakın çekim izleyen, yüz odaklı sürekli kayıt alan veya tüm çalışma alanını sınırsız şekilde gözetleyen sistemler hukuki risk doğurabilir.

Kamera sistemlerinde aydınlatma yükümlülüğü de ayrıca yerine getirilmelidir. İşyerinde görünür kamera uyarı levhaları bulunmalı; ayrıntılı kamera aydınlatma metnine erişim sağlanmalı; kamera kayıtlarının amacı, saklama süresi, erişim yetkilileri ve çalışan hakları açıkça belirtilmelidir. Kamera kayıtları mümkün olan en kısa süre saklanmalı ve yalnızca yetkili kişiler tarafından erişilebilir olmalıdır. Kurum, gereğinden uzun süre kayıt saklanmasının KVKK’ya aykırılık oluşturabileceğini ve otomatik imha mekanizması bulunması gerektiğini belirtmektedir.

Biyometrik Veri ile Mesai Takibi

İşverenlerin en riskli uygulamalarından biri parmak izi, yüz tanıma, iris taraması, retina taraması veya avuç içi okuma gibi biyometrik sistemlerle mesai takibi yapmasıdır. Biyometrik veriler özel nitelikli kişisel veri olduğu için çok daha sıkı hukuki şartlara tabidir.

Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı ilke kararına ilişkin duyurusunda, mesai takibi amacıyla biyometrik veri işlenmesinin Kanun’un 6. maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı; geçerli bir açık rıza bulunsa dahi bu işlemenin ölçülülük kriterini sağlamayacağı belirtilmiştir. Kurul, mesai takibinin biyometrik sistemler yerine şifreli kart, PIN tabanlı sistem, geleneksel imza çizelgesi, RFID/NFC kart veya denetçi gözetiminde manuel giriş gibi alternatif yöntemlerle sağlanması gerektiğini açıklamıştır.

Bu karar işverenler açısından son derece önemlidir. Çalışanın parmak izini almak, yüzünü tanıma sistemine kaydetmek veya iris verisini işlemek, basit bir personel takip yöntemi olarak görülemez. Aynı amaca daha az müdahaleci yöntemlerle ulaşılabiliyorsa biyometrik veri işlenmesi ölçüsüz kabul edilebilir. Açık rıza alınması da bu riski tamamen ortadan kaldırmaz; çünkü işçi-işveren ilişkisinde açık rızanın özgür iradeye dayanıp dayanmadığı ayrıca tartışmalıdır.

Bu nedenle işverenler biyometrik mesai takip sistemlerini kullanmadan önce ciddi bir hukuki risk analizi yapmalı, mevcut sistemlerini gözden geçirmeli ve mümkünse daha az müdahaleci alternatif sistemlere geçmelidir.

İş E-Postası, Bilgisayar ve İnternet Kullanımının Denetlenmesi

İşveren, çalışanlara tahsis ettiği bilgisayar, kurumsal e-posta hesabı, internet erişimi, yazılım sistemleri ve şirket cihazları üzerinde belirli ölçüde denetim yapabilir. Bu denetimin amacı şirket sırlarının korunması, bilgi güvenliği, iş süreçlerinin yürütülmesi, hukuka aykırı kullanımın önlenmesi veya işverenin haklarının korunması olabilir.

Ancak denetim sınırsız değildir. İşveren, çalışanların özel hayatına ölçüsüz müdahale edemez. Kurumsal e-posta ve bilgisayar kullanım politikası önceden belirlenmeli, çalışana bildirilmelidir. Çalışan, hangi sistemlerin denetlenebileceğini, kişisel kullanımın yasak olup olmadığını, e-posta içeriklerinin hangi hallerde incelenebileceğini ve log kayıtlarının hangi amaçla tutulduğunu bilmelidir.

Örneğin çalışan şirket e-postasını kullanarak şirket sırlarını üçüncü kişilere aktarıyorsa, işverenin hakkın tesisi, kullanılması veya korunması amacıyla sınırlı bir inceleme yapması mümkün olabilir. Ancak işverenin çalışanın tüm özel yazışmalarını sürekli izlemesi, kişisel hesaplarına erişmeye çalışması veya sırf merak saikiyle özel dosyalarını incelemesi hukuka aykırı olabilir.

Bu alanda işverenlerin yazılı bilişim sistemi kullanım politikası, kurumsal e-posta politikası ve bilgi güvenliği politikası hazırlaması; çalışanları bu metinlerle bilgilendirmesi ve denetimleri ölçülü yürütmesi gerekir.

Araç Takip Sistemi ve Konum Verisi

Şirket araçlarında GPS takip sistemi kullanılması, özellikle saha personeli, satış ekipleri, teknik servis, lojistik ve kargo süreçlerinde yaygındır. Konum verisi de kişisel veri niteliği taşıyabilir. Bu nedenle araç takip sistemi kullanılırken KVKK’ya uygunluk analizi yapılmalıdır.

İşveren, araç güvenliği, rota planlaması, müşteri hizmetlerinin yürütülmesi, yakıt kontrolü veya iş organizasyonu amacıyla araç takip sistemi kullanabilir. Ancak sistemin mesai dışı çalışanın özel hayatını izleme aracına dönüşmemesi gerekir. Çalışana tahsis edilen araç özel kullanım için de veriliyorsa, mesai dışı konum takibinin devam etmesi ciddi mahremiyet ihlali oluşturabilir.

Araç takip sistemi için çalışan aydınlatılmalı; hangi verinin toplandığı, hangi amaçla işlendiği, kimlerin eriştiği, verinin ne kadar süre saklandığı ve mesai dışı takip yapılıp yapılmadığı açıkça belirtilmelidir. İşverenin “araç şirketin, istediğim gibi takip ederim” yaklaşımı KVKK bakımından yeterli değildir.

Veri Güvenliği ve İşverenin Teknik-İdari Tedbirleri

İşveren, çalışan verilerini korumak için gerekli teknik ve idari tedbirleri almak zorundadır. KVKK’nın 12. maddesi kapsamında veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişimi önlemek ve kişisel verilerin muhafazasını sağlamakla yükümlüdür. Kurum, veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunu belirtmektedir.

Çalışan verileri bakımından alınabilecek idari tedbirler arasında KVKK politikalarının hazırlanması, çalışan aydınlatma metinlerinin düzenlenmesi, gizlilik taahhütnameleri, yetki matrisi, personel eğitimi, disiplin prosedürleri, saklama-imha politikası ve veri ihlali müdahale planı yer alır.

Teknik tedbirler ise erişim yetkilendirmesi, güçlü parola politikası, iki faktörlü kimlik doğrulama, şifreleme, log kayıtları, yedekleme, antivirüs, güvenlik duvarı, veri kaybı önleme sistemleri, ağ güvenliği, bulut erişim kontrolleri ve eski çalışanların sistem erişimlerinin kapatılması gibi önlemleri kapsar.

İşveren, çalışan verilerini kendi adına başka bir şirket işliyorsa da sorumluluktan tamamen kurtulmaz. Bordro şirketi, muhasebeci, iş sağlığı ve güvenliği firması, yazılım sağlayıcı, bulut hizmet sağlayıcı, güvenlik şirketi veya insan kaynakları danışmanı ile çalışılıyorsa, bu taraflarla veri güvenliği hükümleri içeren sözleşmeler yapılmalı ve veri işleme süreçleri denetlenmelidir. Kurum, veri sorumlusunun kişisel verilerin kendi adına başka kişiler tarafından işlenmesi halinde gerekli tedbirlerin alınması bakımından bu kişilerle birlikte sorumlu olduğunu açıklamaktadır.

Çalışanın KVKK Kapsamındaki Hakları

Çalışan, kişisel verisi işlenen ilgili kişi konumundadır. Bu nedenle işverene başvurarak kişisel verilerinin işlenip işlenmediğini öğrenebilir, işlenmişse buna ilişkin bilgi talep edebilir, işleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenebilir, yurt içinde veya yurt dışında aktarıldığı kişileri sorabilir, eksik veya yanlış işlenen verilerin düzeltilmesini isteyebilir, şartları varsa verilerin silinmesini veya yok edilmesini talep edebilir ve zarara uğramışsa zararın giderilmesini isteyebilir.

İşveren, çalışanın KVKK başvurusunu en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi halinde çalışan, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün ve her halde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.

Bu nedenle işverenlerin çalışan başvurularını ciddiyetle değerlendirmesi gerekir. “Eski çalışan olduğu için cevap vermiyoruz” veya “personel dosyasında ne varsa onu tutarız” şeklindeki yaklaşım hukuki risk doğurur. İş ilişkisi sona erse bile eski çalışanların kişisel verileri bakımından KVKK hakları devam eder.

İşverenlerin En Sık Yaptığı KVKK Hataları

İşverenlerin en sık yaptığı ilk hata, çalışanlardan gereksiz ve geniş kapsamlı açık rıza almaktır. İşverenin kanuni yükümlülük kapsamında işleyebileceği veriler için açık rıza alması, veri işleme hukuki sebebini belirsizleştirebilir. Açık rıza gereken hallerde ise metnin belirli, açık ve özgür iradeye dayalı olması gerekir.

İkinci hata, çalışan aydınlatma metninin genel ve yetersiz hazırlanmasıdır. İnsan kaynakları süreçleri, kamera kayıtları, araç takip sistemi, sağlık verileri ve e-posta denetimi aynı metinde belirsiz ifadelerle geçiştirilmemelidir.

Üçüncü hata, özlük dosyasındaki verilere herkesin erişebilmesidir. Personel dosyaları, bordro bilgileri, sağlık raporları ve disiplin kayıtları yalnızca görev gereği erişmesi gereken kişilerce görülebilmelidir.

Dördüncü hata, kamera ve takip sistemlerinin ölçüsüz kullanılmasıdır. Çalışanların sürekli izlenmesi, ses kaydı alınması, özel alanlara kamera konulması veya mesai dışı GPS takibi ciddi KVKK riski doğurur.

Beşinci hata, biyometrik verilerin kolaylık gerekçesiyle işlenmesidir. 2026 tarihli Kurul yaklaşımı çerçevesinde mesai takibi için parmak izi ve yüz tanıma gibi sistemler ciddi hukuki risk taşımaktadır.

Altıncı hata, eski çalışanların verilerinin süresiz saklanmasıdır. İşveren saklama sürelerini belirlemeli, süre sonunda verileri silmeli, yok etmeli veya anonim hale getirmelidir.

Yedinci hata, çalışan başvurularına süresinde cevap verilmemesidir. KVKK başvuruları için iç süreç oluşturulmaması, Kurul şikâyeti ve idari yaptırım riskini artırır.

Sonuç

Çalışan kişisel verilerinin korunması, işverenlerin en dikkatli yürütmesi gereken KVKK uyum alanlarından biridir. İş ilişkisi gereği işverenin çalışan verilerini işlemesi çoğu zaman zorunludur; ancak bu zorunluluk işverene sınırsız veri işleme yetkisi vermez. Her veri işleme faaliyeti belirli bir amaca, geçerli bir hukuki sebebe ve ölçülülük ilkesine dayanmalıdır.

İşveren, çalışanı açık ve anlaşılır şekilde aydınlatmalı, özlük dosyasını hukuka uygun tutmalı, sağlık ve biyometrik verilerde daha sıkı tedbir almalı, kamera ve personel takip sistemlerini ölçülü kullanmalı, e-posta ve bilgisayar denetimini önceden belirlenmiş politikalarla sınırlamalı ve veri güvenliğini sağlayacak teknik-idari tedbirleri uygulamalıdır.

Özellikle 2026 tarihli Kurul duyuruları, işyerinde kamera kullanımı ve biyometrik mesai takibi konularında işverenlerin daha dikkatli olması gerektiğini göstermektedir. İşyerinde güvenlik ihtiyacı meşru olabilir; ancak bu ihtiyaç çalışanın sürekli ve ölçüsüz şekilde izlenmesini haklı kılmaz. Parmak izi veya yüz tanıma gibi biyometrik sistemler ise yalnızca pratik oldukları için tercih edilemez.

Sonuç olarak, işverenler için doğru KVKK uyum süreci; çalışan veri envanterinin çıkarılması, çalışan aydınlatma metinlerinin hazırlanması, açık rıza gereken işlemlerin ayrıştırılması, özlük dosyası ve sağlık verilerinin güvenceye alınması, kamera ve takip sistemlerinin gözden geçirilmesi, veri saklama-imha sürelerinin belirlenmesi ve çalışan başvurularına cevap mekanizmasının kurulmasıyla mümkündür. Bu süreç doğru yürütüldüğünde hem işverenin hukuki ve idari para cezası riski azalır hem de çalışanların mahremiyeti ve kişisel verileri etkin biçimde korunur.

Leave a Reply

Call Now Button