Kamu Personel Verilerinde KVKK: Özlük Dosyasından Performans Değerlendirmeye Tam Uyum Rehberi
Bu rehber, kamu personel verilerinde KVKK uyumunu; hukuki dayanaklar, özel nitelikli veriler, özlük dosyası güvenliği, performans değerlendirme ve saklama-imha politikaları üzerinden kurumsal bir çerçevede açıklar.
Kamu kurumları personel verilerinde KVKK’ya neden uymak zorundadır?
Kamu kurum ve kuruluşları; işe alımdan emekliliğe kadar memur, sözleşmeli personel ve diğer çalışanlara ilişkin çok sayıda kişisel veriyi işler. Kimlik, iletişim, mali, eğitim, görev ve performans verilerinin yanında; sağlık, sendika üyeliği, adli sicil ve biyometrik veriler gibi özel nitelikli kişisel veriler de bu kapsamdadır. 6698 sayılı KVKK; bu verilerin hukuka uygun, ölçülü ve güvenli şekilde işlenmesini emreder. Uyum; yasal zorunluluğun yanı sıra çalışan güveni, kurumsal itibar ve hesap verebilirlik için kritiktir.
Personel verisi işlemenin hukuki dayanakları nelerdir?
Kanunda Öngörülen İşleme
KVKK m.5/2-a kapsamında; 657 sayılı Devlet Memurları Kanunu, İş Kanunu, SGK ve mali mevzuattan doğan zorunlu işlemler.
Sözleşme / Hizmet İfası
KVKK m.5/2-c kapsamında; sözleşmeli personel süreçleri, maaş ve yan hakların yürütümü.
Diğer Şartlar
Meşru menfaat, veri sorumlusunun hukuki yükümlülüğü, hakların tesisi/korunması; özel nitelikliyse m.6 koşulları.
Not: Hukuki dayanak, aydınlatma, güvenlik ve saklama-imha yükümlülüklerini ortadan kaldırmaz.
Kişisel Veri Envanteri · VERBİS · Aydınlatma
Envanterin Oluşturulması
Veri türü, işleme amaçları, hukuki dayanak, saklama süresi, alıcı grupları ve teknik/idari tedbirlerin kaydı. Özel nitelikli veriler için ayrı izleme katmanı.
VERBİS Kaydı
Eşik kriterleri sağlayan kurumlar için zorunludur. Envanter temelli, süreç bazlı ve güncel tutulmalıdır.
Aydınlatma Yükümlülüğü
KVKK m.10 uyarınca; amaç, yöntem, hukuki sebep, alıcı grupları, saklama süresi ve m.11 hakları açık/sade dille işe girişte ve intranette sunulur.
Hangi personel verileri işlenir; özel nitelikli verilerde hassasiyet nasıl sağlanır?
Genel Nitelikli Veriler
- Kimlik: Ad, soyad, T.C. kimlik no, doğum yeri/tarihi, medeni hal
- İletişim: Adres, telefon, e-posta
- Eğitim/İş: Diplomalar, sertifikalar, unvan, sicil, görev, performans notu
- Mali: IBAN, bordro, vergi no
- Görsel/İşitsel: Fotoğraflar, kamera kayıtları
Özel Nitelikli Veriler
Sağlık, sendika üyeliği, adli sicil, biyometrik ve istisnai olarak dini/mezhebi veriler KVKK m.6 kapsamında sıkı koruma ister. İşleme; kanunda açıkça öngörülen haller veya açık rıza gibi sınırlı şartlarla mümkündür.
Tedbir Seti (Özel Nitelikli)
- Yetki kısıtlı erişim, ayrı saklama, erişim logları
- Şifreleme, iletim güvenliği, 2FA
- Gizlilik taahhütleri, yetki matrisi, prosedürler
Özlük dosyası yönetimi ve performans/izleme faaliyetlerinde uyum
Fiziksel Özlük Dosyaları
- Kilitli dolaplar, kontrollü oda erişimi (yetkili personelle sınırlı)
- Yangın/su baskını risklerine karşı koruma; teslim-tesellüm kayıtları
- Paylaşımlarda “gerekli bilme” ilkesi ve teslim protokolü
Dijital Özlük Sistemleri
- Rol bazlı yetkilendirme, 2FA, oturum zaman aşımı
- Erişim logları, versiyonlama, güvenli yedekleme
- Şifreleme (dinlenimde/iletişimde), DLP ve IDS/IPS kontrolleri
İzleme (Kamera/Çağrı/Giriş-Çıkış)
- Önceden aydınlatma, amaç ve kapsamın netliği
- Ölçülülük: Tuvalet/soyunma gibi alanlarda kamera yasaktır
- Veri minimizasyonu: Gerekli olmayan ses/görüntü kaydı yapılmamalı
Disiplin & Soruşturma Belgeleri
- Özel nitelikli veri içerebileceğinden ayrı erişim ve kayıt yönetimi
- İlgisiz kişi/kurumlarla paylaşım yasağı; gerekçeli ve sınırlı aktarım
Veri saklama-imha politikası ve eğitim/farkındalık
Saklama-İmha Politikası
Saklama süreleri mevzuat ve meşru amaçlarla belirlenir; süre dolduğunda silme, yok etme, anonimleştirme yöntemleri uygulanır. Ayrılan personel verileri; bordro/SGK gibi mevzuat sürelerince muhafaza edilebilir. Tüm işlemler kayıt altına alınmalıdır.
Eğitim & Farkındalık
İK, BT ve yönetim başta olmak üzere tüm personel; KVKK, bilgi güvenliği, ihlal bildirimi ve gizlilik yükümlülükleri konusunda düzenli eğitim almalıdır. Farkındalık, teknik tedbirler kadar etkili bir idari kontroldür.
Dış Kaynaklar
- Kişisel Verileri Koruma Kurumu (KVKK)
- ENISA iyi uygulamalar
Sonuç Odaklılık: Bulgular, iş etkisi ve uygulanabilir giderim planıyla birlikte sunulmalıdır.
Kamu personel verilerinde KVKK uyumunun kurumsal etkileri
Kurumsal
- Regülasyon uyumu ve denetlenebilirlik
- Çalışan güveni ve kurumsal itibar
- Şeffaf süreçler ve hesap verebilirlik
Operasyonel
- Veri ihlallerinde hızlı müdahale
- Hata ve uygunsuzlukların azalması
- Kaynakların risk bazlı kullanımı
SSS – Kamu personel verilerinde KVKK
VERBİS’e kamu kurumlarının kaydı zorunlu mudur?
Eşik kriterleri sağlayan kamu kurumları için VERBİS kaydı zorunludur. Envanter, süreçlerin şeffaf ve denetlenebilir yürütülmesine destek olur.
Performans değerlendirme verileri ne kadar süre saklanır?
Mevzuat ve meşru amaca göre belirlenen süre kadar saklanmalı; süre dolduğunda saklama-imha politikasına uygun biçimde silinmeli, yok edilmeli ya da anonimleştirilmelidir.
Özel nitelikli personel verilerinde ek hangi tedbirler gerekir?
Yetki kısıtlaması, erişim logları, şifreleme, iki faktörlü doğrulama, ayrı saklama alanı, gizlilik taahhüdü ve prosedür setleri zorunludur.
İzleme (kamera/çağrı/giriş-çıkış) KVKK’ya aykırı mı?
Hayır. Amaç, kapsam ve ölçülülük ilkelerine uygun; önceden aydınlatma yapılmış ve özel yaşam alanları kapsam dışı bırakılmışsa KVKK’ya uygun yürütülebilir.
Sonuç ve kurumsal çağrı
Kamu personel verilerinde KVKK uyumu; hukuki dayanakların netleştirilmesi, özlük ve performans süreçlerinde ölçülülük, özel nitelikli verilerde üst düzey koruma ve etkin saklama-imha disiplininin bir arada yürütülmesini gerektirir. Bu yaklaşım, çalışan güvenini ve kurumsal itibarı güçlendirir.
Nesil Teknoloji, kamu kurumlarına özel KVKK danışmanlığı, veri envanteri, aydınlatma metni ve saklama-imha politikası tasarımı ile tam uyum sağlar.
