İş Yerlerinde KVKK Uygulamaları Nasıl Olmalı?

İş Yerlerinde KVKK Uygulamaları: İşverenler İçin Yasal Uyum Rehberi

Bir iş yeri, sadece üretimin veya hizmetin yapıldığı bir alan değil, aynı zamanda yoğun bir kişisel veri işleme merkezidir. İşe başvuran adayın özgeçmişinden (CV), çalışanın sağlık raporuna; parmak iziyle geçiş sisteminden, güvenlik kamerası kayıtlarına kadar her gün yüzlerce veri işlenmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işveren ile çalışan arasındaki bu veri trafiğini, "güçlü işveren karşısında zayıf işçiyi koruma" prensibiyle sıkı kurallara bağlamıştır.

İstanbul’un en önemli sanayi ve ticaret merkezlerinden biri olan Kartal ve Anadolu Yakası’nda faaliyet gösteren işletmeler için KVKK uyumu, artık bir tercih değil, yasal zorunluluktur. Eski usul "Ben işverenim, istediğim bilgiyi alırım, istediğim yere kamera koyarım" anlayışı, bugün şirketlere milyonlarca liralık idari para cezaları ve itibar kaybı olarak geri dönmektedir. Bu rehberde, bir çalışanın işe alımından işten çıkışına kadar olan süreçte, işverenlerin dikkat etmesi gereken kritik KVKK uygulamalarını ele alıyoruz.

1. İşe Alım Süreci ve Aday Personel Verileri

KVKK yükümlülükleri, işçi işe başladığında değil, daha kapıdan girmeden, yani "Aday Personel" aşamasında başlar.

Özgeçmiş (CV) Toplama ve Saklama

İş başvurusu sırasında adaylardan alınan CV'ler, adayın eğitim bilgisi, adresi, telefon numarası ve fotoğrafını içerir.

• Aydınlatma: Başvuru formu doldurulurken veya CV alınırken adaya mutlaka "Çalışan Adayı Aydınlatma Metni" sunulmalıdır.

• Gereksiz Veri: İşe alım kararı için gerekli olmayan veriler (Örn: Adayın dini inancı, siyasi görüşü, hamilelik planı, babasının mesleği vb.) talep edilmemelidir.

• Referans Kontrolü: Adayın referans olarak yazdığı kişileri aramadan önce, adaydan izin alınmalı veya adayın o kişileri bilgilendirmesi istenmelidir. Aksi takdirde, referans kişinin verisi hukuka aykırı işlenmiş olur.

Kritik Uyarı: İşe alınmayan adayların CV'leri, "belki ileride lazım olur" denilerek sonsuza kadar saklanamaz. Makul bir süre (örn: 6 ay veya 1 yıl) sonunda imha edilmeli veya anonim hale getirilmelidir.

2. Çalışma Süreci ve Personel Özlük Dosyası

İşçi işe alındığında, 4857 sayılı İş Kanunu gereği "Personel Özlük Dosyası" oluşturulur. Ancak bu dosyanın oluşturulması, KVKK'dan muaf olduğu anlamına gelmez.

Açık Rıza Ne Zaman Gerekir?

İşverenlerin en sık yaptığı hata, "Battaniye Rıza" denilen, "Tüm verilerimin işlenmesine izin veriyorum" şeklinde tek sayfalık matbu bir kağıt imzalatmasıdır. Bu hukuken geçersizdir.

• Genel Veriler: İsim, adres, banka hesabı gibi veriler; "Kanunlarda öngörülme" ve "Sözleşmenin ifası" (Maaş ödemek için banka hesabı şarttır) gerekçesiyle açık rıza olmadan işlenebilir. Sadece aydınlatma yapılması yeterlidir.

• Özel Nitelikli Veriler: Sağlık raporları, sabıka kaydı, sendika üyeliği, kan grubu kartı gibi veriler "Hassas Veri"dir. Bunların işlenmesi için çalışanın Açık Rızası şarttır.

Sağlık Verilerinin İşlenmesi

İş yeri hekimi bulunan yerlerde, sağlık verilerini (işe giriş raporu, periyodik muayene) sadece iş yeri hekimi görebilir ve işleyebilir. İnsan Kaynakları (İK) departmanı veya işveren, çalışanın hastalığının detayını (teşhisini) göremez; sadece "Çalışmaya uygundur/değildir" raporunu görebilir. Sağlık verilerinin İK dolaplarında herkesin erişimine açık durması ağır bir ihlaldir.

Shutterstock

Keşfet

3. İş Yerinde Gözetim ve Denetim (Kamera ve E-Posta)

İşveren, yönetim hakkı kapsamında işçiyi ve iş yerini denetleyebilir. Ancak bu yetki, işçinin "Özel Hayatın Gizliliği" hakkını ihlal edemez.

E-Posta ve Bilgisayar Denetimi

Anayasa Mahkemesi kararlarına göre, işveren kurumsal e-postaları veya bilgisayarları denetleyebilir ancak şu şartla:

1. Önceden Bildirim: İşçiye, "Bu e-posta adresi sadece iş içindir, özel yazışma yapmayınız, işveren tarafından denetlenebilir" şeklinde yazılı bir bildirim (Aydınlatma veya Politika) yapılmış olmalıdır.

2. Meşru Amaç: Denetim keyfi olmamalı, bir şüpheye veya gerekliliğe dayanmalıdır.

3. Ölçülülük: Sadece konu başlıklarına bakmak yetiyorsa, içeriği okumamalıdır.

Güvenlik Kameraları

Kamera kayıtları; iş güvenliği, bina güvenliği ve üretim takibi için meşrudur. Ancak;

• Çalışanın sürekli ensesinde, sadece onun masasını ve ekranını çeken kamera Mobbing ve veri ihlali sayılır.

• Tuvalet, soyunma odası, duş ve ibadethane gibi alanlarda kamera kesinlikle yasaktır.

• Ses kaydı alınması, TCK 133 kapsamında suçtur.

4. Biyometrik Veri (Parmak İzi ve Yüz Tanıma)

Kartal'daki birçok plaza ve fabrikada, personelin mesai takibi (PDKS) için parmak izi, yüz tanıma veya retina taraması kullanılmaktadır. Danıştay ve KVKK Kurulu Kararı: Mesai takibi için biyometrik veri alınması, "Ölçülülük İlkesi"ne aykırıdır. Çünkü mesai takibi kartla, şifreyle veya turnikeyle de yapılabilir. Parmak izi almak, sineği balyozla ezmeye benzer.

• Risk: Çalışanın açık rızası olsa bile, Kurul bu uygulamayı hukuka aykırı bulmakta ve ağır idari para cezası kesmektedir. Alternatif yöntemler (Kartlı geçiş vb.) kullanılmalıdır.

5. Veri Güvenliği ve Erişim Yetkileri

İş yerindeki verilerin güvenliği işverenin sorumluluğundadır.

• Yetki Matrisi: Her çalışan her veriye ulaşamamalıdır. Muhasebe departmanı sağlık raporlarını, pazarlama departmanı maaş bordrolarını görmemelidir.

• Fiziksel Güvenlik: Özlük dosyaları kilitli dolaplarda saklanmalı, anahtar sadece yetkili personelde olmalıdır.

• Siber Güvenlik: Şirket bilgisayarlarında güncel antivirüs, güvenlik duvarı bulunmalı ve şifreler periyodik olarak değiştirilmelidir.

6. İşten Çıkış Süreci ve Veri İmhası

İş sözleşmesi sona erdiğinde, işverenin veri işleme hakkı da kural olarak sona erer. Ancak bazı yasal zorunluluklar nedeniyle veriler hemen silinemez.

• Saklama Süresi: İş Kanunu ve SGK mevzuatı gereği, özlük dosyaları ve maaş bordroları, işten çıkıştan itibaren 10 yıl (zaman aşımı süresi) saklanmak zorundadır.

• İmha: 10 yıllık süre dolduğunda veya dava riski ortadan kalktığında, veriler Kişisel Verileri Saklama ve İmha Politikası'na uygun olarak silinmeli, yok edilmeli veya anonim hale getirilmelidir.

• Erişim Kısıtlama: İşten ayrılan personelin bilgisayar, e-posta ve sistem erişim yetkileri derhal kapatılmalıdır.

Somut Vaka Analizi: WhatsApp Grubunda Belge Paylaşımı

Olay: İstanbul Anadolu Yakası'nda bir lojistik firmasının İK müdürü, işçilerin maaş prim listesini ve bazı işçilerin "Raporlu" olduğuna dair hastalık teşhislerini içeren Excel dosyasını, yanlışlıkla tüm çalışanların olduğu "Duyuru Grubu" WhatsApp hattına atmıştır.

Hukuki Sonuç:

1. Veri İhlali: Maaş bilgisi (kişisel veri) ve sağlık verisi (özel nitelikli veri), yetkisiz yüzlerce çalışan tarafından görülmüştür.

2. Cezai Yaptırım: Şirket, veri güvenliğini sağlayamadığı için Kurul tarafından 250.000 TL idari para cezasına çarptırılmıştır.

3. Hapis Riski: İK müdürü hakkında TCK 136 (Verileri Hukuka Aykırı Yayma) suçundan savcılık soruşturması başlatılmıştır.

4. Tazminat: Hastalığı ifşa olan çalışan, manevi tazminat davası açarak şirketten tazminat kazanmıştır.

Ders: Kurumsal veriler, güvenliği düşük olan ve sunucuları yurt dışında bulunan anlık mesajlaşma uygulamaları (WhatsApp, Telegram) üzerinden paylaşılmamalıdır.

Sıkça Sorulan Sorular

İşçinin fotoğrafını web sitesinde yayınlayabilir miyim? Çalışanın fotoğrafı kişisel veridir. "Şirket organizasyon şeması" veya "Ekibimiz" sayfasında yayınlamak için çalışanın açık rızasını almanız gerekir. İş sözleşmesinde yazması yetmeyebilir, ayrı bir rıza formu önerilir.

GPS ile araç takibi yapabilir miyim? Şirket aracı iş amaçlı verilmiştir. Mesai saatleri içinde aracın konumu takip edilebilir. Ancak mesai saati dışında veya çalışanın tatil gününde aracı izlemek özel hayatın ihlalidir. Araç takip sistemlerinde "Özel Mod" bulunmalı veya mesai dışı izleme kapatılmalıdır.

Bordroları muhasebeciye göndermek KVKK ihlali mi? Hayır. Mali müşavir veya dışarıdan muhasebe hizmeti almak, ticari hayatın gereğidir. Ancak muhasebeci ile şirket arasında "Veri İşleyen Sözleşmesi" veya gizlilik taahhütnamesi imzalanmalı ve veriler güvenli yolla (şifreli mail vb.) aktarılmalıdır.

Aydınlatma metnini panoya asmak yeterli mi? Hayır. Aydınlatma metni, kişinin okuyabileceği ve erişebileceği şekilde sunulmalıdır. Panoya asmak bir yöntemdir ancak her çalışana imza karşılığı tebliğ etmek veya şirket intranet sisteminde onaylatmak ispat açısından daha güvenlidir.

Çalışanlar birbirinin verisini görürse ne olur? Bu bir veri ihlalidir. Masada unutulan bir bordroyu diğer çalışanın görmesi bile, şirket içi veri güvenliği açığıdır. "Temiz Masa, Temiz Ekran" politikası uygulanmalıdır.

 

İş yerlerinde KVKK uyumu, bir defaya mahsus yapılan bir "kağıt işi" değil, yaşayan bir kurum kültürüdür. İnsan Kaynakları süreçlerinin her adımı, veri mahremiyeti süzgecinden geçirilmelidir. Aksi takdirde, işçi ile yaşanan en ufak bir uyuşmazlık (kıdem tazminatı davası vb.), bir anda KVKK şikayetine dönüşerek şirketinize çok daha büyük maliyetler çıkarabilir.

Kartal, Pendik ve Maltepe bölgesindeki işletmelerin, hem İş Hukuku hem de KVKK disiplinini bir arada yürüten bütüncül bir yaklaşıma ihtiyacı vardır.

Şirketinizin İK süreçlerini KVKK ile uyumlu hale getiriyor; aydınlatma metinleri, açık rıza formları, kamera politikaları ve veri güvenliği taahhütnamelerini işletmenize özel olarak hazırlıyoruz. Cezai risklerden korunmak ve kurumsal yapınızı güçlendirmek için bizimle iletişime geçebilirsiniz.

Kartal Bilişim Avukatı

---