Single Blog Title

This is a single blog caption

Çalışanların Kişisel Verilerinin Korunması ve İşverenin Sorumluluğu

Giriş

Çalışanların kişisel verilerinin korunması, iş hukuku ile kişisel verilerin korunması hukukunun en önemli kesişim alanlarından biridir. İşveren, iş ilişkisi kurulmadan önce adaydan başlayarak, iş sözleşmesinin devamı boyunca ve hatta iş ilişkisi sona erdikten sonra dahi çalışanlara ait birçok kişisel veriyi işler. Kimlik bilgileri, iletişim bilgileri, özlük dosyası, ücret ve banka bilgileri, SGK kayıtları, sağlık raporları, adli sicil bilgileri, kamera görüntüleri, araç takip kayıtları, e-posta yazışmaları, performans değerlendirmeleri, disiplin kayıtları, bordrolar, izin formları, iş kazası kayıtları ve biyometrik veriler bu kapsamda gündeme gelebilir.

Bu nedenle işverenin çalışan verilerini işlemesi çoğu zaman kaçınılmazdır. Ancak bu durum, işverene sınırsız veri işleme yetkisi vermez. İşveren, yalnızca iş ilişkisinin kurulması, yürütülmesi, kanuni yükümlülüklerin yerine getirilmesi, iş sağlığı ve güvenliği, bordro ve özlük süreçleri, işyeri güvenliği, hak taleplerinin ispatı ve işletmenin meşru menfaatleri gibi hukuka uygun amaçlarla, ölçülü ve sınırlı şekilde veri işleyebilir.

Kişisel Verileri Koruma Kurumu’na göre kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, elde edilebilir hâle getirilmesi veya kullanılmasının engellenmesi gibi veriler üzerinde yapılan her türlü işlem kişisel veri işleme faaliyeti sayılır. Dolayısıyla işverenin çalışana ait özlük belgesi tutması da, kamera görüntüsü kaydetmesi de, e-posta hesabı açması da, bordro düzenlemesi de kişisel veri işleme faaliyetidir.

Çalışan Kişisel Verisi Nedir?

Çalışan kişisel verisi, bir çalışanın kimliğini belirli veya belirlenebilir kılan her türlü bilgidir. Bu kapsam yalnızca ad, soyad ve T.C. kimlik numarasıyla sınırlı değildir. Çalışanın adresi, telefonu, e-posta adresi, banka hesap bilgisi, maaş bilgisi, medeni hâli, çocuk bilgisi, SGK sicil numarası, imzası, fotoğrafı, kamera görüntüsü, işe giriş-çıkış saatleri, izin kayıtları, performans puanları, disiplin tutanakları, iş kazası belgeleri, sağlık raporları, engellilik bilgisi, sendika üyeliği, ceza mahkûmiyeti bilgisi, biyometrik verisi ve kurumsal sistemlerdeki kullanıcı hareketleri de kişisel veri niteliği taşıyabilir.

KVKK m.6’ya göre sağlık verisi, biyometrik ve genetik veriler, sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler özel nitelikli kişisel veriler arasında sayılmaktadır. Bu veriler işlenirken daha sıkı hukuki şartlara ve daha güçlü güvenlik tedbirlerine ihtiyaç vardır.

İşverenin çalışan hakkında veri işlemesi, iş ilişkisinin doğası gereği çoğu zaman zorunludur. Örneğin SGK bildirimi yapmak için kimlik ve çalışma bilgileri, maaş ödemesi için banka hesabı, iş sağlığı ve güvenliği için bazı sağlık bilgileri, yıllık izin takibi için izin kayıtları işlenebilir. Ancak “gerekli” olan ile “merak edilen” veya “ileride lazım olabilir” düşüncesiyle toplanan veriler birbirinden ayrılmalıdır. KVKK’nın temel ilkeleri gereğince çalışan verileri amaçla bağlantılı, sınırlı ve ölçülü şekilde işlenmelidir.

İşveren Veri Sorumlusu mudur?

İşveren, çalışanlara ait kişisel verilerin işleme amaçlarını ve araçlarını belirlediği için çoğu durumda veri sorumlusu sıfatına sahiptir. İşveren; hangi personel verilerinin toplanacağına, bu verilerin hangi sistemde saklanacağına, hangi departmanların erişeceğine, muhasebe, SGK, bordro şirketi, iş sağlığı ve güvenliği firması, banka, avukat, denetçi veya kamu kurumlarıyla hangi verilerin paylaşılacağına karar verir.

Bu nedenle işverenin KVKK kapsamındaki yükümlülükleri yalnızca “çalışandan açık rıza almak” değildir. İşveren; çalışanı aydınlatmalı, hukuki sebebi doğru belirlemeli, gereksiz veri toplamamalı, özel nitelikli verileri daha sıkı korumalı, erişim yetkilerini sınırlandırmalı, çalışan verilerini güvenli şekilde saklamalı, veri işleyenlerle sözleşme yapmalı ve veri ihlali durumunda gerekli bildirimleri yapmalıdır.

KVKK m.12 kapsamında veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almak zorundadır. Ayrıca veriler kendi adına başka bir kişi veya şirket tarafından işleniyorsa veri sorumlusu, gerekli tedbirlerin alınması bakımından veri işleyenle birlikte sorumlu olabilir.

İşe Alım Sürecinde Aday Verilerinin Korunması

Çalışan verilerinin korunması, iş sözleşmesi imzalandıktan sonra değil, iş başvurusu aşamasında başlar. İşveren, iş başvurusu yapan adaylardan özgeçmiş, iletişim bilgisi, eğitim bilgisi, önceki iş deneyimi, referans bilgisi, sertifika, yabancı dil bilgisi ve mesleki yeterlilik belgeleri alabilir. Ancak adaydan talep edilen bilgiler, başvurulan pozisyonla bağlantılı ve ölçülü olmalıdır.

Örneğin muhasebe pozisyonu için adaydan mesleki deneyim, eğitim ve referans bilgisi istenmesi makul olabilir. Ancak pozisyonla ilgisi bulunmayan aile bilgileri, özel hayat bilgileri, sağlık bilgileri, siyasi görüş, dini inanç veya sendika üyeliği gibi verilerin istenmesi hukuki risk doğurur. İşverenin “standart formumuz böyle” gerekçesi, gereksiz veri toplama uygulamasını hukuka uygun hâle getirmez.

Adaylara iş başvurusu sırasında ayrıca aydınlatma yapılmalıdır. Aday verilerinin hangi amaçla işlendiği, kimlerle paylaşılacağı, ne kadar süre saklanacağı ve adayın hakları açıkça belirtilmelidir. Aydınlatma Yükümlülüğü Tebliği’ne göre veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişiye veri sorumlusunun kimliği, işleme amacı, aktarım yapılacak alıcı grupları, toplama yöntemi, hukuki sebep ve ilgili kişinin hakları konusunda bilgi vermelidir.

İş başvurusu olumsuz sonuçlanan adayların verileri de süresiz saklanamaz. İşveren, ileride uygun pozisyonlar için aday havuzunda saklama yapmak istiyorsa bu konuda adayı açıkça bilgilendirmeli ve hukuki sebebi değerlendirmelidir. Adayın rızası olmadan veya makul saklama süresi belirlenmeden özgeçmişlerin sınırsız şekilde arşivlenmesi KVKK bakımından sorunludur.

Özlük Dosyası ve Personel Kayıtları

İşverenin çalışan için özlük dosyası tutması iş hukuku bakımından gereklidir. Ancak özlük dosyasında yalnızca gerekli belgeler bulunmalı, gereksiz ve ölçüsüz veri toplanmamalıdır. İş sözleşmesi, kimlik bilgileri, SGK işe giriş bildirgesi, bordro, izin kayıtları, disiplin tutanakları, eğitim belgeleri, sağlık raporu, iş sağlığı ve güvenliği belgeleri, ücret ve banka bilgileri özlük dosyasında bulunabilecek belgelerdendir.

Bununla birlikte özlük dosyasına erişim sınırlı olmalıdır. Her yönetici, her insan kaynakları çalışanı veya her departman çalışanı tüm personel dosyalarına erişememelidir. Ücret bilgisi, sağlık raporu, disiplin tutanağı veya özel nitelikli veri içeren belgeler yalnızca görev gereği erişmesi gereken kişiler tarafından görülmelidir.

Özlük dosyasındaki belgeler elektronik ortamda tutuluyorsa güvenli erişim, parola, yetki matrisi, log kaydı, yedekleme ve şifreleme tedbirleri alınmalıdır. Fiziksel dosyalar ise kilitli dolaplarda, sınırlı erişimli alanlarda saklanmalıdır. İşverenin “personel dosyaları insan kaynaklarında duruyor” demesi yeterli değildir; kimlerin eriştiği, ne zaman eriştiği ve verinin nasıl korunduğu önemlidir.

Çalışanların Sağlık Verileri

Çalışanların sağlık verileri özel nitelikli kişisel veridir. İşe giriş sağlık raporu, periyodik muayene kayıtları, iş kazası raporları, engellilik bilgisi, gebelik bilgisi, meslek hastalığı belgeleri, ilaç raporları ve sağlık izni belgeleri bu kapsamda değerlendirilebilir. Bu tür veriler, çalışanın ayrımcılığa veya mağduriyete uğrama riskini artırabileceği için özel olarak korunmalıdır.

İşverenin sağlık verilerini işlemesi, iş sağlığı ve güvenliği yükümlülükleri bakımından bazı durumlarda zorunlu olabilir. Ancak bu verilerin işlenmesi, erişimi ve saklanması çok daha dikkatli yürütülmelidir. Sağlık verileri tüm yöneticilerle paylaşılmamalı; yalnızca işyeri hekimi, yetkili insan kaynakları görevlileri ve kanunen erişmesi gereken kişilerle sınırlı tutulmalıdır.

Örneğin bir çalışanın sağlık raporunun tüm ekip yöneticilerine e-posta ile gönderilmesi, çalışanın hastalık bilgisinin grup yazışmasında paylaşılması veya engellilik durumunun gereksiz şekilde ilan edilmesi veri ihlali doğurabilir. İşveren, çalışma planlaması için gerekli olan bilgiyi alabilir; fakat hastalığın detaylarını tüm işyeriyle paylaşamaz.

Biyometrik Veri, Parmak İzi ve Yüz Tanıma Sistemleri

İşyerlerinde giriş-çıkış takibi için parmak izi, yüz tanıma, retina taraması veya avuç içi okuma sistemleri kullanılabilmektedir. Ancak biyometrik veriler özel nitelikli kişisel veri olduğundan, işverenlerin bu sistemleri kullanırken çok dikkatli olması gerekir. KVKK m.6, biyometrik ve genetik verileri özel nitelikli kişisel veri olarak saymaktadır.

Biyometrik veri işlemede temel sorun ölçülülüktür. İşverenin mesai takibi veya işyeri giriş kontrolü yapma hakkı vardır; ancak bu hakkın mutlaka parmak izi veya yüz tanıma sistemiyle kullanılması gerekmeyebilir. Kartlı geçiş, şifre, personel kartı, turnike kaydı veya imza gibi daha az müdahaleci yöntemlerle aynı amaç sağlanabiliyorsa biyometrik veri işleme hukuki risk taşıyabilir.

Bu nedenle işveren, biyometrik sistem kullanmadan önce şu soruları sormalıdır: Bu sistem gerçekten zorunlu mu? Daha az müdahaleci alternatif var mı? Çalışan açıkça aydınlatıldı mı? Açık rıza gerekiyorsa bu rıza özgür iradeyle verildi mi? Biyometrik veri ham veri olarak mı saklanıyor, şablon veri olarak mı işleniyor? Veri şifreleniyor mu? Kimler erişebiliyor? Veri ne kadar süre saklanıyor? İşten ayrılan çalışanın biyometrik verisi derhal siliniyor mu?

Çalışan ile işveren arasındaki güç dengesizliği nedeniyle açık rızanın özgür iradeyle verilip verilmediği her zaman tartışmalıdır. Bu nedenle biyometrik veri işlemede yalnızca imzalı açık rıza formu almak yeterli görülmemeli; zorunluluk, ölçülülük ve alternatif yöntem analizi de yapılmalıdır.

İşyerinde Kamera Kaydı ve Gözetim

İşyerinde kamera kaydı alınması, çalışanların kişisel verilerinin işlenmesi anlamına gelir. Kamera görüntüsü, kişinin kimliğini belirlenebilir kıldığı için kişisel veridir. İşveren, işyeri güvenliği, iş sağlığı ve güvenliği, suçların önlenmesi, iş kazalarının tespiti veya işletme güvenliği gibi meşru amaçlarla kamera sistemi kullanabilir. Ancak kamera kullanımı sınırsız değildir.

KVKK, 8 Haziran 2026 tarihli işyerlerinde güvenlik kamerası kullanımına ilişkin duyurusunda, kamera sistemlerinin iş sağlığı ve güvenliği, iş kazalarının önlenmesi, çalışma koşullarının denetlenmesi, işyeri güvenliği ve suçun önlenmesi gibi amaçlarla kullanılabildiğini; ancak belirlenen amaç dışında ve ölçüsüz kamera kullanımının özel hayatın gizliliğine müdahale edebileceğini ve kişisel verilerin hukuka aykırı işlenmesine neden olabileceğini açıklamıştır.

Bu nedenle kamera sistemi kurulurken amaç belirli olmalıdır. Soyunma odası, tuvalet, dinlenme alanı, ibadethane, emzirme odası gibi mahremiyet beklentisinin yüksek olduğu alanlarda kamera kullanımı kural olarak ağır hukuki risk taşır. Kamera açısı, yalnızca gerekli alanı görecek şekilde düzenlenmeli; çalışanları sürekli ve baskılayıcı şekilde izleme amacı taşımamalıdır.

İşveren, kamera sistemi hakkında çalışanları aydınlatmalıdır. Kamera kaydının hangi amaçla alındığı, kimlerin erişeceği, ne kadar süre saklanacağı, hangi hallerde üçüncü kişilerle paylaşılacağı ve çalışanların hakları açıkça belirtilmelidir. Kamera kayıtları gereğinden uzun süre saklanmamalı, erişim yetkisi sınırlanmalı ve kayıtlar güvenli şekilde muhafaza edilmelidir.

Kurumsal E-Posta ve Bilgisayar Denetimi

İşverenin çalışanlara kurumsal e-posta hesabı, bilgisayar, telefon, araç, yazılım hesabı veya şirket içi iletişim sistemi sağlaması hâlinde kişisel veri işleme ve haberleşme gizliliği tartışmaları gündeme gelir. İşverenin işin yürütülmesini sağlamak, bilgi güvenliğini korumak, iş disiplinini denetlemek ve hukuki sorumluluklarını yerine getirmek amacıyla belirli ölçüde denetim hakkı vardır. Ancak bu denetim sınırsız değildir.

Anayasa Mahkemesi’nin E.Ü. başvurusunda, çalışanın kurumsal e-posta hesabının işveren tarafından incelenmesi nedeniyle kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiğine karar verilmiştir. Kararda işverenin denetim yetkisinin varlığı kabul edilmekle birlikte, çalışanın önceden yeterli şekilde bilgilendirilmesi, denetimin meşru amaç taşıması, ölçülü olması ve daha hafif araçlarla amaca ulaşılıp ulaşılamayacağının değerlendirilmesi gerektiği yaklaşımı öne çıkmaktadır.

Buna karşılık Anayasa Mahkemesi’nin Celal Oraj Altunörgü başvurusunda, kurumsal e-posta hesabının yalnızca iş amaçlı kullanılacağı ve işveren tarafından denetlenebileceği iş sözleşmesinde belirtilmiş; somut olayda işverenin denetiminin kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetini ihlal etmediğine karar verilmiştir.

Bu iki karar birlikte değerlendirildiğinde sonuç şudur: İşveren kurumsal e-posta veya bilgisayar sistemini denetleyebilir; ancak bunu keyfi, sınırsız, gizli ve ölçüsüz şekilde yapamaz. Çalışan önceden açıkça bilgilendirilmeli, kullanım politikası oluşturulmalı, denetim amacı belirli olmalı, sadece gerekli veriler incelenmeli ve özel yazışmalara gereksiz müdahale edilmemelidir.

Performans Takibi, GPS ve Araç Takip Sistemleri

İşverenler, çalışanların performansını değerlendirmek veya saha faaliyetlerini yönetmek amacıyla dijital takip sistemleri kullanabilir. Satış personelinin lokasyon takibi, şirket aracının GPS ile izlenmesi, çağrı merkezi konuşma kayıtları, üretim hattı performans kayıtları, bilgisayar kullanım raporları ve proje yönetim yazılımlarındaki aktivite kayıtları bu kapsamda gündeme gelebilir.

Ancak performans takibi de ölçülü olmalıdır. İşverenin çalışanı günün her anında izleme, özel hayatına müdahale etme veya iş dışı davranışlarını takip etme hakkı yoktur. Örneğin şirket aracına GPS sistemi takılması, iş saatleri içinde rota ve teslimat güvenliği için makul olabilir. Ancak çalışanın mesai dışında özel kullanımına izin verilen araçta sürekli konum takibi yapılması ayrıca değerlendirilmelidir.

Aynı şekilde uzaktan çalışan personelin bilgisayarına ekran görüntüsü alan, klavye hareketlerini kaydeden veya sürekli kamera açmayı zorunlu tutan yazılımlar kullanılması ciddi KVKK ve özel hayat riski doğurur. İşveren, performans ölçümü için en az müdahaleci yöntemi tercih etmeli ve çalışanı açıkça bilgilendirmelidir.

Çalışan Verilerinin Üçüncü Kişilere Aktarılması

İşveren, çalışan verilerini bazı durumlarda üçüncü kişilerle paylaşmak zorunda kalabilir. SGK, vergi dairesi, İŞKUR, mahkemeler, icra daireleri, bankalar, iş sağlığı ve güvenliği firmaları, bordro hizmet sağlayıcıları, bağımsız denetçiler, avukatlar, muhasebeciler, sigorta şirketleri ve grup şirketleri bu kapsamda alıcı olabilir.

Ancak her aktarımın hukuki sebebi ve amacı bulunmalıdır. Çalışan verileri sırf kolaylık olsun diye grup şirketleriyle, iş ortaklarıyla veya yöneticilerin kişisel e-posta adresleriyle paylaşılmamalıdır. Aktarım yapılırken veri minimizasyonu ilkesi gözetilmelidir. Örneğin banka maaş ödemesi için gerekli bilgileri alabilir; ancak çalışanın sağlık raporunu veya disiplin dosyasını almasına gerek yoktur.

Yurt dışına aktarım söz konusuysa KVKK m.9 hükümleri ayrıca değerlendirilmelidir. Yurt dışındaki grup şirketine çalışan verisi gönderilmesi, yabancı insan kaynakları yazılımı kullanılması, global e-posta ve bulut altyapısında çalışan verilerinin tutulması yurt dışına veri aktarımı doğurabilir. Bu durumda standart sözleşme, bağlayıcı şirket kuralları, yeterlilik kararı veya arızi aktarım istisnaları gibi mekanizmalar incelenmelidir.

Çalışan Verilerinde Aydınlatma Yükümlülüğü

İşveren, çalışanları kişisel verilerinin işlenmesi konusunda bilgilendirmelidir. Bu bilgilendirme işe girişte yapılmalı, ayrıca veri işleme faaliyetleri değiştiğinde güncellenmelidir. Çalışan aydınlatma metninde işverenin kimliği, işlenen veri kategorileri, veri işleme amaçları, hukuki sebepler, aktarım yapılacak alıcı grupları, veri toplama yöntemi ve çalışanın hakları açıkça belirtilmelidir.

Aydınlatma metni genel, uzun ve anlaşılmaz olmamalıdır. Çalışan gerçekten hangi verisinin neden işlendiğini anlayabilmelidir. Örneğin “verileriniz iş süreçlerinin yürütülmesi amacıyla işlenmektedir” demek tek başına yeterli olmayabilir. Bordro, SGK, iş sağlığı ve güvenliği, performans, kamera kaydı, e-posta sistemi, disiplin süreci, eğitim kayıtları ve işyeri güvenliği gibi başlıklar ayrı ayrı açıklanmalıdır.

Çalışandan her işlem için açık rıza almak doğru bir yöntem değildir. İşverenin kanuni yükümlülükleri veya iş sözleşmesinin ifası için gerekli veri işleme faaliyetleri açık rızaya değil, ilgili hukuki işleme şartına dayanmalıdır. Açık rıza ancak gerçekten açık rıza gerektiren, zorunlu olmayan ve çalışanın özgür iradesiyle karar verebileceği durumlarda kullanılmalıdır.

İş İlişkisi Sona Erdikten Sonra Çalışan Verileri

İş akdi sona erdikten sonra çalışan verileri derhal ve tamamen silinmeyebilir. İşverenin kıdem tazminatı, ihbar tazminatı, ücret alacağı, fazla mesai, yıllık izin, iş kazası, SGK denetimi, vergi incelemesi, dava ve icra süreçleri bakımından bazı belgeleri saklaması gerekebilir. Ancak saklama süresi ve kapsamı belirli olmalıdır.

İşten ayrılan çalışanın kurumsal e-posta hesabı, sistem yetkileri, kartlı geçiş yetkileri, bulut dosya erişimi ve uygulama hesapları derhal kapatılmalıdır. Eski çalışanın sisteme erişmeye devam etmesi hem ticari sır hem de kişisel veri güvenliği riski doğurur.

Ayrıca işten ayrılan çalışanın kişisel verileri gereksiz şekilde aktif personel listelerinde tutulmamalı, internet sitesinde, ekip sayfasında veya müşteri iletişim listelerinde güncellenmelidir. Eski çalışanın fotoğrafı ve adı şirketin tanıtım materyallerinde kullanılmaya devam edecekse ayrıca hukuki değerlendirme yapılmalıdır.

Veri Güvenliği ve İşverenin Teknik-İdari Tedbirleri

İşveren, çalışan verilerini korumak için teknik ve idari tedbirler almak zorundadır. Teknik tedbirler arasında parola politikası, çok faktörlü kimlik doğrulama, erişim yetkilerinin sınırlandırılması, log kayıtları, şifreleme, veri maskeleme, güvenli yedekleme, güvenlik duvarı, antivirüs, sızma testi, cihaz yönetimi ve veri kaybı önleme sistemleri yer alabilir.

İdari tedbirler ise çalışanlara KVKK eğitimi verilmesi, gizlilik taahhütnamesi alınması, yetki matrisi oluşturulması, saklama ve imha politikası hazırlanması, veri işleyen sözleşmeleri yapılması, ihlal müdahale planı oluşturulması, disiplin prosedürlerinde veri güvenliği hükümlerine yer verilmesi ve insan kaynakları süreçlerinin düzenli denetlenmesidir.

Kurum, veri güvenliği önlemlerinin her veri sorumlusunun yapısına, faaliyetlerine ve risklerine uygun belirlenmesi gerektiğini; tek bir model öngörülemeyeceğini, şirketin büyüklüğü ve işlenen verinin niteliğinin de önemli olduğunu belirtmektedir.

Veri İhlali Durumunda İşverenin Sorumluluğu

Çalışan verilerinin üçüncü kişilerce ele geçirilmesi, yanlış kişiye gönderilmesi, internette yayımlanması, eski çalışan tarafından kopyalanması, insan kaynakları sisteminin hacklenmesi veya bordro bilgilerinin ifşa olması veri ihlali oluşturabilir. Böyle bir durumda işveren yalnızca teknik düzeltme yapmakla yetinmemelidir.

KVKK m.12’ye göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmelidir. Kurul uygulamasında bu süre Kurula bildirim bakımından 72 saat olarak kabul edilmektedir.

Çalışan verisi ihlalinde işveren önce ihlalin kapsamını belirlemelidir. Hangi çalışanlar etkilendi? Hangi veri kategorileri sızdı? Sağlık, sendika, biyometrik veri gibi özel nitelikli veri var mı? İhlal devam ediyor mu? Kimin erişimi oldu? Hangi teknik tedbirler alındı? Çalışanlara ne bildirilmelidir? Savcılığa suç duyurusu gerekir mi? Bu sorular hızla cevaplanmalıdır.

İşverenin Hukuki, İdari ve Cezai Sorumluluğu

Çalışan verilerinin hukuka aykırı işlenmesi işveren açısından idari para cezası, tazminat sorumluluğu, iş hukuku yaptırımları ve bazı hallerde ceza hukuku sonuçları doğurabilir. KVKK m.18 kapsamında aydınlatma yükümlülüğünün ihlali, veri güvenliği yükümlülüklerine aykırılık, Kurul kararlarına uyulmaması veya VERBİS yükümlülüklerinin yerine getirilmemesi idari yaptırım riski taşır.

Çalışan, kişisel verilerinin hukuka aykırı işlenmesi nedeniyle maddi veya manevi zarara uğramışsa tazminat talep edebilir. Örneğin sağlık bilgisinin işyerinde yayılması, disiplin dosyasının yetkisiz kişilerle paylaşılması, kamera kayıtlarının hukuka aykırı kullanılması, e-posta yazışmalarının ölçüsüz şekilde incelenmesi veya biyometrik verinin usulsüz işlenmesi kişilik hakkı ihlali doğurabilir.

Ayrıca TCK kapsamında kişisel verilerin hukuka aykırı kaydedilmesi, verilmesi, yayılması veya ele geçirilmesi suçları gündeme gelebilir. İşveren yöneticileri veya insan kaynakları çalışanları, çalışan verilerini hukuka aykırı şekilde üçüncü kişilere vermişse cezai sorumluluk ayrıca değerlendirilir.

Çalışanın Hakları

Çalışan, KVKK kapsamında kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenen verilerin düzeltilmesini isteme, şartları varsa silinmesini veya yok edilmesini talep etme ve kanuna aykırı işleme nedeniyle zarara uğraması hâlinde zararın giderilmesini isteme haklarına sahiptir.

Çalışan bu haklarını kullanmak için öncelikle veri sorumlusu işverene başvurabilir. İşveren başvuruyu süresinde ve gerekçeli şekilde cevaplamalıdır. Cevap verilmemesi, eksik cevap verilmesi veya talebin reddedilmesi hâlinde çalışan Kuruma şikâyet yolunu değerlendirebilir.

Ancak çalışan hakları da sınırsız değildir. Örneğin işverenin kanuni saklama yükümlülüğü bulunan bordro, SGK, vergi, iş kazası veya dava belgeleri sırf çalışan talep etti diye hemen silinmeyebilir. Bu durumda işveren, hangi veriyi hangi hukuki sebebe dayanarak sakladığını açıkça açıklamalıdır.

İşverenler İçin KVKK Uyum Kontrol Listesi

İşverenlerin çalışan verileri bakımından uyum sağlaması için öncelikle personel veri envanteri çıkarılmalıdır. İşe alım, özlük dosyası, bordro, SGK, iş sağlığı ve güvenliği, kamera, e-posta, performans, disiplin, eğitim, araç takip, yan haklar, işten çıkış ve arşiv süreçleri ayrı ayrı incelenmelidir.

Ardından çalışan aydınlatma metni hazırlanmalı veya güncellenmelidir. Açık rıza gerektiren süreçler ayrıca belirlenmeli; gereksiz açık rıza alınmamalıdır. Özel nitelikli veriler için ek güvenlik tedbirleri uygulanmalıdır. Kamera, e-posta denetimi, araç takip ve biyometrik sistemler için ayrı politika ve bilgilendirme yapılmalıdır.

Veri güvenliği yönünden erişim yetkileri sınırlandırılmalı, insan kaynakları ve yöneticiler eğitilmeli, eski çalışanların sistem erişimleri kapatılmalı, veri işleyenlerle sözleşmeler yapılmalı, saklama-imha süreleri belirlenmeli ve veri ihlali müdahale planı oluşturulmalıdır.

Sonuç

Çalışanların kişisel verilerinin korunması, işveren açısından yalnızca KVKK metni imzalatmakla tamamlanacak bir süreç değildir. İşveren, iş ilişkisinin her aşamasında çalışan verilerini hukuka uygun, ölçülü, amaçla sınırlı ve güvenli şekilde işlemelidir. İşe alımda aday verileri, iş ilişkisinde özlük ve bordro kayıtları, iş sağlığı ve güvenliği belgeleri, kamera görüntüleri, e-posta denetimi, performans verileri, biyometrik sistemler ve işten çıkış sonrası saklama süreçleri ayrı ayrı değerlendirilmelidir.

İşverenin denetim ve yönetim hakkı vardır; ancak bu hak çalışanların özel hayatını, haberleşme özgürlüğünü ve kişisel verilerinin korunmasını isteme hakkını ortadan kaldırmaz. Anayasa Mahkemesi’nin kurumsal e-posta denetimine ilişkin kararları da işverenin meşru amaca dayalı, önceden bilgilendirilmiş, ölçülü ve gerekli denetim yapabileceğini; buna karşılık keyfi ve sınırsız denetimin hak ihlali doğurabileceğini göstermektedir.

Sonuç olarak çalışan verilerinin korunması, iş hukuku, KVKK, özel hayatın gizliliği, haberleşme hürriyeti, iş sağlığı ve güvenliği, ceza hukuku ve tazminat sorumluluğunu birlikte ilgilendiren çok yönlü bir alandır. İşverenlerin veri envanteri, aydınlatma metni, veri güvenliği tedbirleri, erişim yönetimi, kamera ve e-posta politikaları, özel nitelikli veri prosedürleri, saklama-imha politikası ve veri ihlali müdahale planı oluşturması büyük önem taşır. Bu süreç doğru yönetilmediğinde işveren; idari para cezası, tazminat, işçilik uyuşmazlığı, itibar kaybı ve cezai sorumluluk riskleriyle karşılaşabilir.

Leave a Reply

Call Now Button