İşveren-Çalışan İlişkisinde KVKK Gözetim, Özlük Dosyası, BYOD ve Disiplin
İşveren ve çalışan arasındaki iş ilişkisinde, işverenin yönetim hakkı bulunur. Türk Borçlar Kanunu’nun 399. maddesinde “İşveren, işin görülmesi ve işçilerin iş yerindeki davranışlarıyla ilgili genel düzenlemeler yapabilir ve onlara özel talimat verebilir.” hükmüyle bu yetki çerçevesi ortaya konulmuştur. Bunun doğal sonucu olarak çalışan, işini işverenin kontrol ve gözetimi altında yürütür.
Ancak yönetim hakkının kullanımı sınırsız değildir. 6698 sayılı KVKK başta olmak üzere ilgili mevzuat; işverenin elektronik gözetleme, özlük dosyası yönetimi, kişisel cihazların işte kullanımı (BYOD) ve disiplin uygulamalarında hukuka uygunluk, amaçla sınırlılık, veri minimizasyonu ve orantılılık ilkelerine uyum sağlamasını gerektirir. Bu rehber; işverenin denetim ihtiyacı ile çalışanın mahremiyeti arasında doğru dengeyi kurabilmeniz için uygulamaya dönük bir çerçeve sunar.
Yönetim hakkı: İşin yürütümü ve işyeri düzeni için denetim/talimat yetkisidir (TBK 399).
KVKK sınırı: Amaçla sınırlı, gerekli ve orantılı olma; aydınlatma yükümlülüğü ve veri güvenliği.
Elektronik gözetleme: Gizli kamera ve sınırsız izleme yüksek risklidir; açık bilgilendirme şarttır.
Özlük & BYOD: Saklama süreleri, erişim yetkileri ve teknik tedbirler netleştirilmelidir.
En sağlıklı yaklaşım: süreç bazlı risk analizi + net politikalar + ölçülü izleme + düzenli denetim.
1. Yönetim Hakkı ve KVKK Dengesinin Temeli
İşverenin yönetim hakkı; işin organizasyonu, işyeri güvenliği, hizmet kalitesi ve iş sürekliliğinin sağlanması gibi meşru amaçlarla denetim ve talimat verme yetkisini kapsar. Bununla birlikte, işverenin denetim faaliyetleri çalışanların kişisel verilerinin işlenmesi sonucunu doğuruyorsa, KVKK’nın temel ilkeleri çerçevesinde hareket edilmelidir.
Uygulamada Dengeyi Kurmak için 4 Kritik İlke
- Amaçla sınırlılık: Denetim hangi iş ihtiyacını karşılıyor? (güvenlik, bilgi güvenliği, işin yürütümü vb.)
- Gereklilik ve orantılılık: Aynı amaç daha az müdahaleci yöntemle sağlanabiliyor mu?
- Şeffaflık: Çalışana “ne izleniyor, neden izleniyor, ne kadar süre saklanıyor, kim erişiyor?” net biçimde açıklanmalı.
- Veri güvenliği: Erişim yetkileri, loglar, saklama/imtaha ve tedarikçi süreçleri kontrol altında olmalı.
2. Elektronik Gözetleme (Kamera, Kart Okuma, IT İzleme)
İşyerinde gerçekleştirilen elektronik gözetleme faaliyetleri (kamera, kartlı geçiş, turnike, biyometri, bilgisayar/kurumsal e-posta/kurumsal hat kullanımı izleme vb.) çalışanların kişisel verilerinin işlenmesine yol açar. Bu nedenle gözetlemenin maksada uygun ve orantılı olması, ayrıca çalışanların önceden bilgilendirilmesi gerekir.
Elektronik Gözetlemede Sık Hata Yapılan Alanlar
- Mahrem alanlara yönelim: Tuvalet, bebek odası, mescit vb. alanlara yönelik izleme; kural olarak amaçla bağdaşmaz ve orantısız kabul edilir.
- Gizli kamera / gizli izleme: Çalışan bilgilendirilmeden yapılan izleme, yüksek uyum riski doğurur.
- Sınırsız IT izleme: “Her şeyi izlerim” yaklaşımı yerine, olay/riske dayalı ve kayıtlı bir yöntem tercih edilmelidir.
Hukuki Zemin ve Şeffaflık Gerekliliği
Elektronik gözetleme; KVKK’daki işleme şartlarından birine dayanmalı veya gerekli hallerde açık rıza gerektirebilir. Her durumda; çalışanlara aydınlatma yapılmalı, izleme kapsamı iş sözleşmesi ekleri ve şirket içi politika/prosedürlerle netleştirilmelidir. Örneğin, çalışanların kullandığı kurumsal bilgisayarlarda belirli güvenlik kontrolleri uygulanacaksa; bunun kapsamı, amacı, yöntemi ve saklama süreleri yazılı olarak duyurulmalıdır.
| Gözetleme Türü | Meşru Amaç Örneği | KVKK Uyum Notu |
|---|---|---|
| Kamera | Fiziksel güvenlik, işyeri giriş-çıkış kontrolü | Uyarı levhaları + aydınlatma + sınırlı açı + saklama süresi + erişim yetkisi |
| Kartlı Geçiş / Turnike | Yetkisiz erişimi önleme, mesai/ziyaretçi takibi | Veri minimizasyonu + raporlama yetkisi sınırı + saklama/imtaha |
| IT İzleme | Sızma/zararlı yazılım riski, veri sızıntısı önleme | Politika ile kapsam belirleme + denetim izi (log) + amaçla sınırlı kontrol |
3. Özlük Dosyaları: Hukuki Dayanak, Saklama ve Güvenlik
İşverenler, 4857 sayılı İş Kanunu kapsamında her işçi için özlük dosyası düzenlemek; işçinin kimlik bilgileri ve ilgili mevzuat gereği tutulması gereken belge/kayıtları muhafaza etmek ve talep halinde yetkili mercilere ibraz etmekle yükümlüdür. Bu çerçevede, özlük dosyası için gerekli kişisel veriler, uygun hukuki zemine dayanarak işlenebilir.
Özlük Dosyasında KVKK Riskini Azaltan Temel Yaklaşım
- “Gerekli olanı” toplama: İleride lazım olur mantığıyla belge/veri biriktirilmemeli.
- Rol tabanlı erişim: Özlük dosyasına erişim; yalnızca yetkili birim ve kişilerle sınırlandırılmalı.
- Saklama ve imha: Saklama süreleri belirlenmeli; süresi dolan evrak/ kayıtlar kontrollü imha edilmeli.
- Özel nitelikli veriler: Sağlık ve benzeri yüksek riskli veriler için ek tedbirler (ayrı klasör, kısıtlı erişim, şifreleme) uygulanmalı.
Özlük Dosyası İçin Örnek Kontrol Matrisi
| Kontrol Alanı | Asgari Uygulama | İyi Uygulama |
|---|---|---|
| Erişim | HR ile sınırlı erişim | RBAC + erişim logları + periyodik yetki gözden geçirme |
| Saklama | Genel saklama kuralı | Belge bazlı saklama süresi + imha tutanağı + denetim izi |
| Özel nitelikli veri | Ayrı dosyalama | Ayrı şifreli depolama + çift onaylı erişim + maskeleme |
4. BYOD (Şahsi Cihazını Getir): Riskler ve Politika Tasarımı
Bazı işverenler, çalışanların iş süreçleri için şahsi cihazlarını kullanmasını talep edebilmektedir (Bring Your Own Device - BYOD). Çalışan, kişisel cihazı üzerinden işveren adına veri işlediğinde; veri güvenliği ve süreç yönetimi bakımından veri sorumlusu rolü pratikte işverende kalır. Bu nedenle BYOD; bilgi güvenliği ve KVKK uyumu açısından özel bir risk başlığıdır.
BYOD’nin Tipik KVKK Riskleri
- Güvenlik seviyesi belirsizliği: Cihaz güncel mi, şifreli mi, zararlı yazılım koruması var mı?
- Veri sızıntısı: Kişisel e-posta/mesajlaşma uygulamalarından iş verisi paylaşımı.
- Kaybolma/çalıntı: Şifreleme yoksa veri ihlali ihtimali yükselir.
- Çalışan mahremiyeti: Aşırı cihaz yönetimi (tüm telefona erişim gibi) çalışanın kişisel verilerini gereksiz etkileyebilir.
Uyumlu BYOD için Önerilen Mimari
En sağlıklı yaklaşım; çalışanın kişisel alanı ile iş alanını ayrıştıran bir tasarımdır. Örneğin; cihaz üzerinde iş için ayrı bir profil/oturum oluşturulması, kurumsal uygulamaların bu alan içinde çalışması ve güvenlik tedbirlerinin yalnızca bu alanda uygulanması, hem veri güvenliğini hem de çalışan mahremiyetini güçlendirir.
5. Disiplin Kuralları, Yaptırımlar ve Veri Güvenliği
KVKK kapsamında veri sorumluları, teknik tedbirlerin yanında idari tedbirleri de tesis etmek zorundadır. Çalışan kaynaklı veri ihlallerinin önemli bir kısmı; farkındalık eksikliği, yetki aşımı, yanlış paylaşım veya şirket içi prosedürlere aykırı davranışlardan kaynaklanır. Bu nedenle işveren; şirket içi disiplin kurallarını, bilgi güvenliği ve kişisel veri koruma yükümlülükleriyle uyumlu şekilde yapılandırmalıdır.
Şirket İçi Disiplin Mekanizmasının Yapı Taşları
- Politika ve prosedür seti: Kişisel veri işleme, erişim yetkileri, veri sızıntısı önleme, taşınabilir medya kullanımı, uzaktan çalışma kuralları.
- Sözleşmesel çerçeve: İş sözleşmesi ekleri, gizlilik taahhüdü, bilgi güvenliği taahhüdü ve ihlal yaptırımları.
- Eğitim ve farkındalık: Düzenli periyotlarla KVKK ve bilgi güvenliği eğitimleri; örnek vaka çalışmaları.
- İhlal yönetimi: Olay bildirim kanalı, iç soruşturma akışı, delil/log yönetimi, disiplin karar süreci.
KVKK Uyum Kontrol Listesi (İşveren Perspektifi)
- Aydınlatma metni çalışanlara tebliğ edildi mi? (elektronik gözetleme, IT izleme, özlük süreçleri, BYOD dâhil)
- Elektronik gözetleme amaç, kapsam, saklama süresi ve erişim yetkileriyle yazılı hale getirildi mi?
- Özlük dosyası için saklama & imha süreçleri ve erişim rolleri net mi?
- BYOD için minimum güvenlik gereksinimleri (şifreleme, ekran kilidi, MFA, güncelleme) tanımlı mı?
- Veri sızıntısı/ihlal halinde olay müdahale ve bildirim süreçleri hazır mı?
- Disiplin kurallarında kişisel veri ihlali senaryoları ve yaptırımlar ölçülü ve uygulanabilir şekilde düzenlendi mi?
6. Sık Sorulan Sorular (SSS)
İşveren çalışanı her koşulda kamerayla izleyebilir mi?
Hayır. Kamera ve diğer izleme yöntemleri; belirli bir meşru amaca dayanmalı, çalışan önceden bilgilendirilmeli ve kapsam orantılı olmalıdır. Mahrem alanlara yönelik izleme kural olarak yüksek uyum riski taşır.
Gizli kamera kullanımı KVKK açısından uygun mudur?
Genel yaklaşım, çalışan bilgilendirilmeden yapılan gizli izlemelerin hukuka uygunluk bakımından ciddi risk taşıdığı yönündedir. Denetim ihtiyacı varsa, şeffaf ve ölçülü yöntemler tercih edilmelidir.
Özlük dosyasında hangi belgeler tutulmalı?
Mevzuat gereği tutulması gereken ve iş ilişkisinin yürütümü için gerekli belgelerle sınırlı kalınmalıdır. “Gereksiz belge biriktirme” yaklaşımı, veri minimizasyonu ve saklama ilkeleri bakımından risk doğurur.
BYOD kullanılıyorsa işveren hangi tedbirleri almak zorunda?
Minimum güvenlik standartları (ekran kilidi, şifreleme, güncelleme, zararlı yazılım koruması, MFA vb.) ve kayıp/çalıntı prosedürleri tanımlanmalıdır. Ayrıca çalışanın mahremiyetini zedelemeyecek şekilde iş alanı ile kişisel alan ayrıştırılmalıdır.
Çalışanın kişisel cihazını yönetmek çalışan verisini ihlal eder mi?
Tüm cihaza sınırsız müdahale çalışan mahremiyetini gereksiz etkileyebilir. Bu nedenle yalnızca iş amaçlı profil/oturumda kontrol uygulanması ve sınırların açıkça politikada belirtilmesi önerilir.
Çalışan veri sızıntısı yaparsa işveren nasıl hareket etmeli?
Olay müdahale akışı işletilmeli (erişim kesme, delil/log koruma, etki analizi), gerekiyorsa veri ihlali süreci yönetilmeli ve disiplin hükümleri ölçülü şekilde uygulanmalıdır. Sürecin baştan sona kayıt altında tutulması, denetim ve hukuki süreçlerde kritiktir.
