İnsan Kaynaklarında KVKK Uyumu İş Başvurusundan İstihdam Sonrasına Uçtan Uca Yol Haritası
Kişisel Verilerin Korunması, mahremiyet hakkı ile doğrudan ilişkili olup kurumların hem hukuki uyum hem de kurumsal itibar yönetimi açısından kritik sorumluluk alanlarından biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), yürürlüğe girmeden önce Anayasa, Türk Ceza Kanunu ve çeşitli ikincil düzenlemelerle şekillenen veri koruma yaklaşımını daha somut, denetlenebilir ve yaptırımı yüksek bir çerçeveye taşımıştır.
KVKK, İnsan Kaynakları süreçlerinde; aday başvurusu, mülakat, işe alım, özlük yönetimi, performans, eğitim, yan haklar, işten ayrılış ve saklama-imha gibi geniş bir döngü boyunca şirketlere aydınlatma, veri minimizasyonu, güvenlik tedbirleri, saklama süreleri ve imha gibi yükümlülükler getirir. Bu rehber; uygulamaya dönük kontrol noktalarıyla uyumu operasyonelleştirmenize yardımcı olur.
KVKK İK etkisi: Adaylıktan işten ayrılışa kadar tüm süreçlerde veri işleme envanteri ve kontrol noktası gerekir.
Temel gereklilik: Aydınlatma + hukuki sebep + güvenlik + saklama-imha + ispat yükü.
Özel alanlar: Özel nitelikli veri (sağlık vb.), biyometri (parmak izi), kamera sistemleri, özlük dosyası, erişim yetkileri.
Kritik çıktı: Politika/prosedür seti + farkındalık eğitimleri + risk analizi + müdahale planı.
Uyum; “doküman üretmek” değil, süreçlerin ölçülebilir ve denetlenebilir şekilde işletilmesidir.
1. İK Süreçlerinde KVKK Neyi Zorunlu Kılar?
KVKK, 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiş ve kişisel verilerin işlenmesinde “hukuka uygunluk” kriterini kurumların operasyonel süreçlerine doğrudan entegre etmiştir. İnsan Kaynakları özelinde; iş başvurusunun alınmasından istihdamın sona ermesine kadar aday/çalışan verileri yoğun şekilde işlendiği için risk ve yükümlülük seviyesi artar.
İK Birimleri İçin Temel Uyum Prensipleri
- Veri minimizasyonu: Sadece gerekli veriyi, gerekli aşamada toplayın.
- Şeffaflık (aydınlatma): Aday/çalışan; veri işleme amaçları, alıcı grupları, yöntem ve haklar konusunda bilgilendirilmelidir.
- Hukuki sebep yönetimi: İşleme faaliyetleri uygun işleme şartına dayandırılmalı; açık rıza “istisna” niteliğinde konumlandırılmalıdır.
- Özel nitelikli veriler: Sağlık gibi veri grupları için ilave erişim, kayıt ve saklama tedbirleri gerekir.
- Saklama ve imha: Yasal zorunluluklar + işleme amacı sona erdiğinde imha süreçleri işletilmelidir.
- Güvenlik tedbirleri: Erişim matrisi, loglama, yetkilendirme, DLP, şifreleme ve eğitimlerle desteklenmelidir.
| Veri Grubu | İK Süreci | Risk Notu |
|---|---|---|
| Kimlik/İletişim Bilgileri | Aday başvurusu, özlük | Yanlış aktarım/sızıntı, güncellik ve erişim riski |
| Özlük & Bordro Kayıtları | İstihdam | Rol tabanlı erişim ve muhafaza süreleri kritik |
| Sağlık Verileri | İşe giriş, İSG, raporlar | Özel nitelikli veri: ayrı saklama, ilave güvenlik |
| Biyometrik Veriler | Giriş-çıkış kontrolü | Yüksek risk: alternatif yöntemler önceliklendirilmelidir |
| Kamera Kayıtları | Fiziksel güvenlik | Orantılılık, erişim, saklama ve alan kurgusu önemli |
2. Adaylık Süreçlerinde KVKK Uyumu
Adaylık aşaması, veri minimizasyonunun en çok ihlal edildiği süreçlerden biridir. Kurumsal yaklaşım; başvuruyu standartlaştırmak, aydınlatmayı görünür kılmak ve gereksiz veri akışlarını daha en başta kesmek üzerine kurulmalıdır.
Aday Başvuru Formları Oluşturun
- Aday başvurularını standart form üzerinden toplayın; kontrolsüz CV paylaşımını minimize edin.
- Form alanlarını “zorunlu / opsiyonel” olarak ayrıştırın ve gerekçesiz alan eklemeyin.
- Formdan gelen veriler için erişim yetkisi ve iç paylaşım kuralları tanımlayın.
Adayı Bilgilendirin (Aydınlatma)
Aday başvuru formunda; işleme amaçları, aktarılabilecek alıcı grupları, toplama yöntemi ve hukuki sebep ile adayın sahip olduğu haklar açık ve anlaşılır şekilde sunulmalıdır. Ayrıca a see-through yaklaşımıyla, adayın metne ulaşması “alt sayfa”ya saklanmamalı, form akışında görünür olmalıdır.
Açık Rıza Gereken Alanları Ayrıştırın
- Başvurunun değerlendirilmesi için “zorunlu” olmayan işlemler (ör. gelecek pozisyonlar için havuzda tutma, pazarlama/etkinlik daveti vb.) için ayrı rıza tasarlayın.
- Rızayı “paket” yapmayın; ayrı ayrı ve geri alınabilir şekilde kurgulayın.
- Rıza kayıtlarını zaman damgası ve versiyon bilgisiyle arşivleyin.
Makul Süre Belirleyin ve İmha Edin
Başvuru değerlendirmesi için makul saklama süresi belirleyin. Olumsuz sonuçlanan başvurularda; saklama süresi dolduğunda veya işleme amacı ortadan kalktığında verileri silme, yok etme veya anonimleştirme yöntemlerinden uygun olanıyla imha edin.
3. İstihdam Sürecinde KVKK Uyumu
İstihdam süreci boyunca çalışan verileri; özlük, bordro, yan haklar, performans, eğitim, erişim kayıtları, IT logları ve fiziksel güvenlik verileri gibi çok sayıda kanaldan üretilir. Bu nedenle uyum; HR-IT-İSG-Hukuk-İç Denetim iş birliğiyle yönetilmelidir.
Şeffaf Olun (Aydınlatma)
- Çalışanın hangi verisinin hangi amaçla işlendiği netleştirilmelidir.
- Aktarım alıcı grupları (grup şirketi, tedarikçi, bordro firması, İSG hizmeti vb.) işleme bazında tanımlanmalıdır.
- Aydınlatma metinleri, uygulamada kullanılan süreçlerle (ERP/HR yazılımı, bordro sistemi, giriş-çıkış, kamera) uyumlu olmalıdır.
Açık Rıza Gereken Faaliyetleri Tespit Edin
Çalışanın açık rızası ile yürütülebilecek faaliyetler (özellikle özel nitelikli veri içeren ya da iş ilişkisinin doğası gereği zorunlu olmayan işlemler) ayrı başlıklar halinde belirlenmelidir. Rıza metinleri, iş sözleşmesinin içine “genel onay” olarak gömülmemeli; açık iradeyi ortaya koyacak şekilde ayrıştırılmalıdır.
Politika ve Prosedürler Belirleyin
- Rol bazlı erişim: Hangi çalışanın hangi veriye temas edeceği yetki matrisiyle tanımlanmalıdır.
- İmha prosedürü: Özlük, bordro, İSG, kamera, IT logları gibi farklı kayıtlar için ayrı saklama-imha akışı oluşturulmalıdır.
- Disiplin kurgusu: Kişisel veri ihlallerini disiplin süreçlerine entegre edin.
Kişisel Verileri Takip Edin (Güncellik)
Çalışan verilerinin doğru ve güncel tutulması; bordro hataları, yanlış bildirimler ve güvenlik risklerini azaltır. Güncellenmesi gereken veri setleri için (adres, iletişim, acil durum kişisi, banka bilgisi vb.) standart kanallar oluşturun.
Kişisel Verileri Sınıflandırın
Özel nitelikli verileri (özellikle sağlık) özlük dosyasından ayrı şekilde konumlandırın; ayrı erişim, ayrı saklama ve ilave loglama uygulayın. Ayrıcalıklı kullanıcılar için MFA, güçlü parola, periyodik erişim gözden geçirme ve veri maskeleme gibi kontroller devreye alın.
Kamera Sistemlerini Düzenleyin
- Kameraların görüş alanı orantılılık ilkesine göre belirlenmelidir.
- Çalışanın özel hayatına müdahale doğurabilecek alanlar (tuvalet, bebek bakım odası, mescit vb.) izlenmemelidir.
- Kayıtların saklama süresi, erişim yetkileri ve izleme kayıtları açık şekilde yönetilmelidir.
Parmak İzine Alternatif Bulun
Mesai ve giriş-çıkış kontrolünde biyometrik veri kullanımı yüksek riskli kabul edilir. Alternatif yöntemler (kartlı geçiş, PIN, mobil doğrulama vb.) değerlendirilerek temel hak ve özgürlükler üzerinde daha düşük etki oluşturan çözümler tercih edilmelidir.
Eğitimler Düzenleyin
Periyodik farkındalık eğitimleri; hatalı paylaşım, yanlış alıcıya e-posta, ekran görüntüsü sızıntısı ve iç tehdit risklerini azaltır. Eğitim içeriklerini rol bazlı (HR, IT, yöneticiler, saha ekipleri) kurgulayın.
4. İstihdam Sonrası: Saklama, Muhafaza ve İmha
İş ilişkisinin sona ermesi; veri işlemenin bittiği anlamına gelmez. İş ve sosyal güvenlik mevzuatı kapsamında belirli kayıtların saklanması gerekir. Buna karşın saklama süresi dolduğunda veya işleme sebebi ortadan kalktığında imha zorunluluğu devreye girer.
Muhafaza Edin
- İş ve sosyal güvenlik mevzuatı uyarınca saklanması gereken kayıtları tespit edin.
- Saklama sürelerini kayıt türü bazında belirleyin (özel nitelikli veriler için ayrı kural seti oluşturun).
- Erişimleri minimum yetki yaklaşımıyla kısıtlayın.
İmha Edin
- Yasal saklama süresi dolduğunda veya işleme amacı sona erdiğinde silme/yok etme/anonimleştirme uygulayın.
- İmha işlemlerini kayıt altına alın (log, imha tutanağı, raporlama).
- Yedeklerde/arsivlerde imha süreçlerinin nasıl işletileceğini ayrıca planlayın.
Sağlık Kayıtlarına Özen Gösterin
Sağlık verileri özel nitelikli veri kapsamında olduğundan; saklama, erişim ve paylaşım süreçleri daha sıkı kontrollerle yürütülmelidir. Bu veri setleri için ayrı saklama alanı, ayrı erişim profili ve ilave denetim mekanizması önerilir.
5. İK Birimleri İçin Uygulanabilir Uyum Adımları
Aşağıdaki yapı; İK süreçlerinde KVKK uyumunu “dokümantasyon + süreç + teknik kontrol” üçgeninde işletmek için pratik bir çerçeve sunar.
Kurumsal Kontrol Listesi
- Kişisel veri envanteri oluşturun: İK süreçleri bazında veri kategorileri, alıcı grupları, saklama süreleri ve hukuki sebepler.
- Aydınlatma setini standardize edin: Aday, çalışan, kamera, ziyaretçi, IT log, bordro/yan haklar gibi süreç bazlı metinler.
- Açık rıza matrisi çıkarın: Hangi işlem “rıza” gerektiriyor, hangisi sözleşme/kanuni yükümlülük kapsamında.
- Özlük dosyası yönetimi: Dosya içerikleri, erişim profilleri, fiziki arşiv güvenliği ve dijital DMS kontrolleri.
- Özel nitelikli veri kontrolü: Ayrı saklama, ayrı erişim, MFA, loglama, şifreleme.
- Kamera ve giriş-çıkış sistemleri: Orantılılık analizi, saklama süresi, erişim, bilgilendirme.
- BYOD / uzaktan çalışma: Mobil cihaz yönetimi, şifreleme, ekran kilidi, DLP ve kurumsal konteyner yaklaşımı.
- Risk analizi ve mahremiyet etki değerlendirmesi: İç/dış tehditler, süreç zafiyetleri ve aksiyon planı.
- Veri ihlali müdahale planı: Raporlama zinciri, bildirim süreçleri, delil toplama ve iyileştirme adımları.
- Farkındalık eğitimleri: Periyodik, rol bazlı, ölçümlenebilir eğitim planı.
| Çıktı | Amacı | Sahiplik |
|---|---|---|
| İK Veri Envanteri | Süreç bazlı veri akışlarını görünür kılmak | İK + Uyum + IT |
| Saklama & İmha Planı | Süre yönetimi ve imha standardı | Uyum + İK |
| Erişim Yetki Matrisi | Yetkisiz erişimi önlemek | IT + İK |
| İhlal Müdahale Prosedürü | Olay anında hızlı ve doğru aksiyon | IT + Uyum + Hukuk |
6. Sık Sorulan Sorular (SSS)
İK süreçlerinde KVKK uyumu nereden başlatılmalı?
Süreç bazlı veri envanteriyle başlayıp aydınlatma/riyza matrisi, saklama-imha planı ve erişim yetkilendirme kurgusunu birlikte ele almak en sağlıklı yaklaşımdır.
Aday verileri ne kadar süre saklanabilir?
Değerlendirme amacı için makul süre belirlenmeli; olumsuz sonuçlanan başvurularda amaç ortadan kalktığında imha süreci işletilmelidir. Aday havuzu için ayrıca rıza ve süre tanımlanması önerilir.
Özel nitelikli veriler özlük dosyasında tutulabilir mi?
Özel nitelikli veriler için ayrı saklama ve daha sıkı erişim kontrolü önerilir. Bu veri setlerinin özlük dosyasıyla aynı erişim seviyesinde tutulması risk doğurur.
Kamera sistemlerinde en kritik uyum noktası nedir?
Orantılılık (gereklilik), bilgilendirme, saklama süresi ve erişim yetkileridir. Özel hayat alanlarının izlenmesi hukuki risk doğurur.
Parmak izi ile giriş-çıkış kontrolü zorunlu mu?
Hayır. Biyometrik veri yüksek riskli kabul edildiğinden, kartlı geçiş veya alternatif yöntemlerin değerlendirilmesi ve temel haklara daha az müdahale eden çözümlerin tercih edilmesi önerilir.
İstihdam sonrası en sık kaçırılan konu nedir?
Saklama süresi dolan kayıtların imha edilmemesi ve yedek/arsivlerde imha mekanizmasının tasarlanmamasıdır. İmha kayıtlarının tutulması da ispat yükü açısından önemlidir.
