Beka Legal

Çalışanların Kişisel Verileri: İşverenin KVKK Yükümlülükleri

7 Haziran 2026 7 dk okumaBilişim ve KVKK Hukuku
Çalışanların Kişisel Verileri: İşverenin KVKK Yükümlülükleri

İş ilişkisi, doğası gereği yoğun bir veri akışını beraberinde getirir. Özgeçmiş, sağlık raporu, banka hesap bilgisi, konum verisi, kamera görüntüsü… Bunların tamamı 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında değerlendirilen kişisel verilerdir. Peki işverenler bu verileri işlerken hangi kurallara uymak zorunda? Uyumsuzluğun bedeli ne olabilir?

Türkiye'de birçok işletme, KVKK'yı yalnızca müşteri verileriyle ilgili bir mesele olarak görüyor. Oysa Kişisel Verileri Koruma Kurumu'nun (KVKK Kurumu) inceleme ve denetim pratiğine bakıldığında, çalışan verilerine yönelik şikayetlerin kayda değer bir yer tuttuğu görülmektedir. Bu nedenle işverenin yükümlülüklerini doğru anlamak, hem hukuki riskten korunmak hem de iş yeri güvenini pekiştirmek açısından kritik önem taşır.

İşveren Neden "Veri Sorumlusu" Sayılır?

KVKK, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen tarafı "veri sorumlusu" olarak tanımlar. İş ilişkisinde işveren, hangi verilerin toplanacağını, ne kadar süre saklanacağını ve kiminle paylaşılacağını belirleyen taraf olduğundan veri sorumlusu sıfatını taşır. Bu sıfat, kanunun öngördüğü yükümlülüklerin tamamını —aydınlatma, veri güvenliği, saklama süresi belirleme, ilgili kişi başvurularına yanıt verme— işverenin omzuna yükler.

Bu ilişkide çalışan ise "ilgili kişi" statüsündedir ve kanunun güvence altına aldığı haklardan yararlanır: verilerine erişim talep etme, hatalı verilerin düzeltilmesini isteme, silinmesini talep etme ve işlemeye itiraz etme gibi haklar bunların başında gelir.

Hangi Çalışan Verileri İşleniyor?

İş süreçlerinde karşılaşılan veri kategorileri düşündüğünüzden çok daha geniştir:

  • Kimlik ve iletişim bilgileri: Ad-soyad, T.C. kimlik numarası, adres, telefon, e-posta
  • Özlük dosyası verileri: Diploma, sertifika, işe giriş belgesi, SGK kayıtları
  • Mali veriler: Maaş bilgisi, banka hesabı, icra takip kayıtları
  • Sağlık verileri: İşe giriş sağlık raporu, iş göremezlik belgesi, engellilik durumu
  • Biyometrik veriler: Parmak izi veya yüz tanıma ile giriş-çıkış sistemleri
  • Konum ve güzergah verileri: Şirket araçlarına takılan GPS sistemleri
  • Elektronik iz verileri: Kurumsal e-posta kayıtları, internet kullanım logları, kamera görüntüleri

Sağlık ve biyometrik veriler, KVKK'nın "özel nitelikli kişisel veri" olarak ayrıca koruduğu kategorilere girer. Bu tür verilerin işlenmesi çok daha sıkı koşullara bağlıdır.

Aydınlatma Yükümlülüğü: Sadece Bir Metin Değil

KVKK'nın temel ilkelerinden biri şeffaflıktır. İşveren, çalışandan veri toplamadan önce —ya da en geç veri toplama anında— aydınlatma yükümlülüğünü yerine getirmek zorundadır. Bu yükümlülük çoğu zaman bir "aydınlatma metni" ile karşılanmaya çalışılır; ancak uygulamada sıkça yapılan hatalar vardır:

Sık Görülen Aydınlatma Hataları

1. Genel ve muğlak amaç ifadeleri: "İş süreçlerimizin yürütülmesi" gibi ifadeler yeterli değildir. Hangi verinin hangi amaçla işlendiği somutlaştırılmalıdır.

2. Veri aktarımının gizlenmesi: Çalışan verileri çoğu zaman bordro şirketi, muhasebe yazılımı veya yurt dışındaki bulut sistemi gibi üçüncü taraflara aktarılır. Aydınlatma metninde bu aktarımların açıkça belirtilmesi gerekir.

3. Tek seferlik aydınlatma yanılgısı: İşe giriş sırasında yapılan aydınlatma, yeni bir veri işleme faaliyeti başladığında (örneğin parmak izi sistemi devreye girdiğinde) güncellenmezse yetersiz kalır.

4. İmzalatma yeterli değil: Aydınlatma metni, çalışana gerçekten okunup anlaşılacak biçimde sunulmalıdır. Sayfalar dolusu iş sözleşmesinin arasına gömülmüş küçük punto yazılar, hukuken geçerli bir aydınlatma sayılmayabilir.

Pratik Not: Aydınlatma ve açık rıza birbirinden farklı kavramlardır. Aydınlatma bir bilgilendirme yükümlülüğüdür; açık rıza ise bazı özel veri kategorilerinin işlenmesinde aranan ek bir hukuki dayanak. Bu iki kavramı tek bir belgede karıştırmak, her ikisini de işlevsiz kılabilir.

Açık Rıza Ne Zaman Gerçekten Geçerlidir?

KVKK, kişisel verilerin işlenmesini birden fazla hukuki temele dayandırır. İşverenler zaman zaman her şeyi "açık rıza" ile çözmeye çalışır; ancak bu yaklaşım hem hukuki hem de etik açıdan sorunludur.

Gerçekten özgür bir rızadan söz edebilmek için kişinin, sonuçlardan korkmadan reddetme imkânına sahip olması gerekir. Bağımlılık ilişkisinin doğası gereği, iş akdinin kurulmasını ya da devamını açık rızaya bağlamak KVKK'ya aykırıdır. Kurum da bu konuda rehber kararlarında açık bir tutum sergilemiştir.

Peki çalışan verilerinin işlenmesinde hangi hukuki temeller kullanılabilir?

  • Kanunlarda açıkça öngörülme: SGK bildirimi, vergi kesintisi gibi yasal yükümlülükler bağlamında toplanan veriler bu temele dayanır.
  • Sözleşmenin kurulması veya ifası: İş sözleşmesinin gereği olarak işlenen maaş, IBAN gibi veriler bu kategoriye girer.
  • Meşru menfaat: Güvenlik kamerasının ofis girişine yerleştirilmesi gibi durumlarda, çalışanın temel haklarına orantısız bir müdahale oluşturmadığı sürece meşru menfaat hukuki temeli kullanılabilir.

Özel nitelikli veriler söz konusu olduğunda ise tablonun değiştiğini hatırlatmak gerekir: Sağlık verisi için genellikle açık rıza ya da kanunda düzenlenen istisnalar devreye girer.

Biyometrik Sistemler: Parmak İzi ve Yüz Tanıma

Pek çok iş yerinde mesai takibi artık parmak izi veya yüz tanıma sistemleriyle yapılmaktadır. Bu sistemler son derece pratik görünse de KVKK açısından ciddi riskler barındırır.

Parmak izi ve yüz tanıma verileri, özel nitelikli kişisel veri kategorisinde yer alır. Bunların işlenmesi için:

  • Çalışanın açık rızasının alınması,
  • Gerekli teknik ve idari güvenlik tedbirlerinin alınması,
  • Bu verilerin amacın dışında kullanılmaması

zorunludur. Kurumun bu alanda yayımladığı rehber kararlar, parmak izi sisteminin zorunlu tutulmasının tek başına açık rızayı geçersiz kılabileceğine dikkat çekmektedir. Çalışana gerçek bir alternatif sunulmadan yalnızca parmak izi sistemiyle mesai takibi yapılması hukuki açıdan risklidir.

Çalışan E-postası ve İnternet Kullanımının Denetlenmesi

İş yeri e-postalarının ve internet kullanımının denetlenmesi, veri koruma hukuku ile çalışan mahremiyeti arasındaki en gerilimli alanlardan biridir.

İşveren, şirket altyapısını kullanarak gerçekleştirilen iletişimleri izleme yetkisine prensipte sahip olabilir; ancak bu yetkinin sınırları vardır:

  1. Çalışan önceden bilgilendirilmeli: Hangi verilerin, hangi ölçüde izlenebileceği iş sözleşmesi ya da çalışan el kitabında açıkça belirtilmelidir.
  2. Orantılılık ilkesi: İzleme faaliyeti, amaçla orantılı olmalıdır. Tüm e-posta içeriklerinin sürekli okunması genellikle orantısız kabul edilir.
  3. Özel yazışmalara müdahale: Şirket altyapısı kullanılsa bile çalışanın kişisel nitelikteki yazışmalarına erişim, Avrupa İnsan Hakları Mahkemesi kararlarında da ele alındığı üzere ciddi sınırlamalarla çevrelenmiştir.

Çalışan izleme politikasını yazılı hale getirmemiş, çalışanlara bildirmemiş ve yalnızca şüphelenilen bir durumda log kayıtlarına başvuran işveren, hem KVKK ihlali hem de iş hukuku uyuşmazlığı riskiyle eş zamanlı karşı karşıya kalabilir.

Veri Güvenliği İhlali: Ne Yapmalı?

Veri ihlali yalnızca büyük şirketlerde yaşanan bir kriz değildir. Yanlışlıkla farklı bir adrese gönderilen bordro listesi, kötü yapılandırılmış bir bulut klasörü ya da kaybedilen bir dizüstü bilgisayar da KVKK anlamında ihlal sayılabilir.

Kanun, ihlali öğrenen veri sorumlusuna belirli süreler içinde Kişisel Verileri Koruma Kurulu'na bildirim yapma yükümlülüğü getirir. İhlalden etkilenen kişilerin de haberdar edilmesi gerekebilir. Bu süreçte yapılacak hatalar veya bildirimden kaçınmak, idari para cezası riskini artırır.

İhlal anında yapılması gerekenler:

  • İhlalin kapsamını ve kaynağını tespit edin
  • Mümkünse ihlali durdurun ya da sınırlayın
  • İç kayıtlara derhal not düşün (tarih, saat, etkilenen veriler)
  • Hukuki danışmanlık alarak bildirim yükümlülüğünü değerlendirin
  • Etkilenen çalışanları gerekli durumlarda bilgilendirin

Saklama Süreleri ve Veri Minimizasyonu

KVKK'nın temel ilkelerinden biri, verilerin "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü" olması gerektiğidir. Bir başka deyişle, amacı ortadan kalkan veri tutulmaya devam edilemez.

İşverenler açısından bu durum özellikle iş ilişkisinin sona ermesinden sonra kritik hale gelir. İş kanunu ve ilgili mevzuat, bazı özlük belgelerinin belirli süreler boyunca saklanmasını zorunlu kılar. Ancak bu yasal zorunlulukla örtüşmeyen veriler —örneğin eski çalışana ait sağlık raporu ya da yıllar önce reddedilen iş başvurusuna ait belgeler— makul süre sonra imha edilmelidir.

İyi bir veri saklama politikası oluşturmak, hem KVKK uyumunu sağlar hem de ileride doğabilecek uyuşmazlıklarda savunma kalkanı işlevi görür.

İdari Para Cezaları: Rakamlar Söyler

Kurul, KVKK ihlalleri karşısında önemli miktarlarda idari para cezası uygulama yetkisine sahiptir. Aydınlatma yükümlülüğünün ihlali, açık rızanın geçersiz biçimde alınması, veri güvenliği tedbirlerinin yetersizliği ve ihlal bildiriminin yapılmaması farklı ceza bantlarını tetikler.

Ceza miktarları kanunla belirlenmiş olup her yıl yeniden değerleme oranında güncellenir. Önemli olan yalnızca ceza miktarı değil; ihlal kararlarının Kurul'un kamuya açık ihlal duyuruları aracılığıyla yayımlanabilmesi ve bunun yarattığı itibar riskidir.

KVKK Uyum Sürecinde Pratik Adımlar

Pek çok işletme KVKK uyumunu soyut bir hedef olarak görür. Oysa somut adımlarla başlamak mümkündür:

  1. Veri envanteri çıkarın: Hangi veriler toplanıyor, nerede saklanıyor, kimlerle paylaşılıyor?
  2. Hukuki temeli her veri kategorisi için belirleyin: Rıza mı, kanuni yükümlülük mü, meşru menfaat mi?
  3. Aydınlatma metinlerini güncelleyin: Çalışana yönelik, iş başvuru sahibine yönelik ve eski çalışana yönelik metinleri ayrı ayrı hazırlayın.
  4. Üçüncü taraf sözleşmelerini gözden geçirin: Bordro firması, muhasebe yazılımı gibi veri işleyenlerle veri işleme sözleşmesi imzalanmalıdır.
  5. Çalışanlara farkındalık eğitimi verin: İnsan hatası veri ihlallerinin önemli bir nedenidir; eğitim bu riski azaltır.
  6. İhlal müdahale planı hazırlayın: Kriz anında kimin ne yapacağını önceden belirlemek, hem yasal sürelere uymayı hem de hasarı sınırlamayı kolaylaştırır.

Sonuç

Çalışan verileri, iş hukuku ile veri koruma hukukunun kesiştiği hassas bir alan oluşturur. Yalnızca müşteriye yönelik değil, iç işleyişe yönelik KVKK uyumunu da sağlamak artık bir tercih değil, yasal zorunluluktur. Üstelik doğru kurgulanmış bir uyum sistemi, işverenin itibarına ve çalışan güvenine de somut katkı sağlar.

Çalışan verilerinin korunması konusunda şüphe duyduğunuz her noktada, KVKK alanında deneyimli bir avukattan hukuki görüş almanız hem risklerinizi minimize eder hem de sürecin doğru kurgulanmasını sağlar.

B
Bu yazıyı hazırlayan
Bedirhan Karakaş
Yönetici

Bu makale bilgilendirme amaçlıdır. Durumunuza özel hukuki destek için bizimle iletişime geçebilirsiniz.

İletişime Geç
Yasal Uyarı: Bu makale yalnızca genel bilgilendirme amacı taşır; hukuki tavsiye niteliği taşımaz. Somut durumunuza ilişkin profesyonel destek için bir avukatla görüşmeniz önerilir.

Bu konuda hukuki desteğe mi ihtiyacınız var?

Av. Bedirhan Karakaş ile iletişime geçin, dosyanızı gizlilik içinde değerlendirelim.

İletişime Geçin

Diğer Makaleler

Haksız Tutukluluk: Tazminat Hakkı ve Başvuru Yolu

Haksız tutukluluk, kişinin özgürlüğünü doğrudan etkileyen en ağır mağduriyetlerden biridir. Bu makalede, haksız tutukluluk tazminatının şartları, başvuru süreci ve sık yapılan hatalar ele alınmaktadır.

Oku

İşyerinde Mobbing: Hukuki Haklar ve İspat Yolları

İşyerinde psikolojik taciz olarak da bilinen mobbing, mağdurların büyük çoğunluğunun farkında olmadan yaşadığı ve hukuki boyutunu geç keşfettiği ciddi bir sorundur. Bu makalede mobbingin tanımından ispat yöntemlerine, başvurulabilecek hukuki yollara kadar tüm süreci ele alıyoruz.

Oku

İş Sözleşmesi Feshi: Haklı ve Geçerli Neden Farkı

İş sözleşmesini fesheden tarafın 'haklı neden' mi yoksa 'geçerli neden' mi ileri sürdüğü, hukuki sonuçları tamamen değiştirir. Bu iki kavram arasındaki ince ama hayati farkı anlamak, hem işçi hem işveren için büyük önem taşır.

Oku