İşyerinde Çalışan Kişisel Verilerinin İşlenmesinde Hukuki Ölçüt

Bir şirketin insan kaynakları birimi, işten ayrılan bir çalışanın kurumsal e-posta hesabında devam eden müşteri yazışmalarını bulmak ister; aynı hafta üretim sahasında kamera kayıtları üzerinden disiplin dosyası hazırlanır, giriş çıkış sisteminde de parmak izi veya yüz tanıma verisi kullanılmaktadır. Bu üç işlem, işveren açısından işletmenin düzeni, ispat ihtiyacı ve bilgi güvenliğiyle açıklanabilir. Çalışan açısından ise aynı işlemler özel hayat, haberleşme, kişisel verilerin korunması ve iş güvencesi alanlarına doğrudan temas eder. Bu yazının ana tezi şudur: işyerinde çalışan kişisel verilerinin işlenmesi, işverenin yönetim hakkı ile açıklanabilirse de ancak hukuki sebep, şeffaflık, amaçla bağlılık, ölçülülük, veri güvenliği ve yargısal denetlenebilirlik birlikte sağlandığında hukuken taşınabilir bir zemine oturur (6698 sayılı Kanun m. 4, 5, 6, 10, 12; Anayasa m. 20 ve 22).

Bu içerik 18.04.2026 itibarıyla hazırlanmıştır. Veri koruma mevzuatı, Kurul kararları ve Anayasa Mahkemesi içtihadı somut olayın tarihine, işlenen verinin niteliğine, işverenin ispat ettiği amaca ve çalışana sağlanan güvencelere göre farklı sonuçlar doğurabilir.

Kavramsal Çerçeve

Çalışan kişisel verisi, yalnızca kimlik numarası, adres, banka hesabı veya özlük dosyasıyla sınırlı değildir. İşçinin e-posta adresi, kurumsal yazışma içeriği, IP kaydı, kamera görüntüsü, vardiya kayıtları, sağlık raporu, sendika bilgisi, disiplin savunması, performans notu, konum verisi ve biyometrik tanımlayıcıları da kişiyi belirli veya belirlenebilir kıldığı ölçüde kişisel veri alanına girer (KVKK, Kişisel Verilerin İşlenmesi açıklaması; Manav, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması). Bu nedenle işverenin “şirket sistemi”, “şirket bilgisayarı” veya “şirket e-postası” nitelendirmesi tek başına kişisel veri rejimini devre dışı bırakmaz.

Hukuki nitelendirme bakımından ilk ayrım, genel nitelikli kişisel veri ile özel nitelikli kişisel veri arasındadır. Sağlık bilgisi, sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik veriler gibi alanlar özel nitelikli veri rejimine tabidir; bunların işlenmesi, sıradan personel kaydı tutma mantığıyla açıklanamaz (6698 sayılı Kanun m. 6; KVKK Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber). İşyerindeki parmak izi, yüz tanıma, ibadethane görüntüsü veya sağlık raporu gibi veriler, veri minimizasyonu ve zorunluluk değerlendirmesi yapılmadan işlenirse idari yaptırım, tazminat ve delil hukuku bakımından sonuç doğurabilir.

İşveren çoğu zaman veri sorumlusu sıfatını taşır; çünkü işleme amaçlarını ve araçlarını belirleyen, veri kayıt sistemini kuran ve çalışan verilerinin saklama, erişim, aktarım ve imha süreçlerini yöneten taraftır (6698 sayılı Kanun m. 3). İşverenin insan kaynakları yazılımı, bordro hizmeti, bulut sağlayıcısı veya dış muhasebe firması kullanması bu sıfatı ortadan kaldırmaz; işveren, veri işleyenle kurduğu ilişkinin güvenlik ve talimat boyutunu da gösterebilmelidir (KVKK Veri Güvenliğine İlişkin Yükümlülükler).

Yönetim Hakkı ve Gözetme Borcu

İşverenin yönetim hakkı, işin görülme biçimini, işyerinin düzenini, bilgi güvenliği kurallarını ve çalışma organizasyonunu belirleme yetkisini içerir. Ne var ki bu yetki, çalışanın temel haklarını tamamen işyeri kapısının dışında bırakan sınırsız bir denetim alanı oluşturmaz. Türk Borçlar Kanunu, işçinin kişiliğinin korunması borcunu ve işçiye ait kişisel verilerin ancak işe yatkınlık veya hizmet sözleşmesinin ifası için gerekli olduğu ölçüde kullanılabileceğini düzenler (6098 sayılı Türk Borçlar Kanunu m. 417 ve 419). İş Kanunu’nun özlük dosyasına ilişkin hükmü de işverenin kayıt tutma yetkisini gizlilik ve dürüstlük yükümlülüğünden bağımsızlaştırmaz (4857 sayılı İş Kanunu m. 75).

Doktrinde iş ilişkisinin bağımlılık unsuru, kişisel veri hukukunu daha hassas kılan başlıca nedenlerden biri olarak ele alınır. Çalışan, ekonomik ve organizasyonel bakımdan işverene bağlı olduğu için rıza beyanının özgür iradeye dayanıp dayanmadığı ayrıca incelenmelidir (Deniz Özer, İşçilerin Özel Nitelikli Kişisel Verilerinin Korunması; İşverenin İşçinin Kişisel Verilerini Koruma Yükümlülüğü). Bu nedenle “çalışan imzaladı” cümlesi, özellikle açık rıza, özel nitelikli veri ve gözetim teknolojileri bakımından tek başına yeterli güvence sayılmaz.

Anayasa Mahkemesi, özel hukuk iş ilişkilerinden doğan uyuşmazlıklarda da devletin pozitif yükümlülüklerini hatırlatır. Derece mahkemeleri, yalnızca işverenin iddiasını veya sözleşme hükmünü esas almakla yetinmemeli; çalışanın özel hayatı, haberleşmesi ve kişisel verileri ile işverenin işletme menfaati arasında adil denge kurulup kurulmadığını incelemelidir (AYM, Ömür Kara ve Onursal Özbek, B. No: 2013/4825, 24/3/2016; AYM, E.Ü., B. No: 2016/13010, 17/9/2020). Bu denge testi, özellikle iş akdinin feshi, işe iade davası, disiplin cezası ve tazminat uyuşmazlıklarında belirleyici hale gelir.

Hukuki Sebep ve Aydınlatma

Çalışan verilerinin işlenmesinde ilk kontrol noktası, hangi verinin hangi amaçla ve hangi hukuki sebebe dayanarak işlendiğidir. İş sözleşmesinin kurulması veya ifası için zorunluluk, işverenin hukuki yükümlülüğü, bir hakkın tesisi veya korunması, kanunda öngörülme ve ilgili kişinin temel haklarına zarar vermeyen meşru menfaat gibi hukuki sebepler farklı olaylarda gündeme gelebilir (6698 sayılı Kanun m. 5). Ancak bu sebepler birbirinin yerine rastgele kullanılamaz; bordro için kimlik ve banka bilgisi ile işverenin çalışan bilgisayarındaki özel yazışma içeriğine erişmesi aynı hukuki yoğunlukta değildir.

Aydınlatma yükümlülüğü, işverenin çalışanı soyut bir “KVKK metni” ile karşı karşıya bırakmasından ibaret değildir. Aydınlatma metni; veri sorumlusunu, işlenen veri kategorilerini, işleme amaçlarını, hukuki sebepleri, aktarım alıcılarını, saklama yaklaşımını ve başvuru haklarını anlaşılır biçimde göstermelidir (6698 sayılı Kanun m. 10 ve 11). Kurulun kurumsal e-posta denetimine ilişkin kararlarında da aydınlatmanın varlığı, denetimin kapsamı ve çalışan bakımından öngörülebilirlik özellikle tartışılmıştır (KVKK Kurulu, 2023/86 sayılı karar özeti; KVKK Kurulu, 2021/1187 sayılı karar özeti).

Açık rıza ise iş ilişkisinde özenle kullanılmalıdır. Çalışanın işe alınmama, vardiya değişikliği, terfi kaybı veya fesih baskısı altında imzaladığı metinlerin özgür iradeyi yansıtıp yansıtmadığı tartışmalı olabilir. Kurulun mescit görüntülerinin işe iade davasına sunulmasına ilişkin kararında, geriye dönük belge imzalatılması ve işten çıkarılma korkusuyla rıza verilmesi iddiası, özel nitelikli veri ve ölçülülük tartışmasıyla birlikte ele alınmıştır (KVKK Kurulu, 2023/1356 sayılı karar özeti). Meşru menfaat de sınırsız bir dayanak değildir; işverenin menfaati mevcut olmalı, veri işleme zorunlu olmalı ve çalışanın temel haklarına ağır basmamalıdır (Günal ve Üstün, Meşru Menfaat).

E-Posta ve Mesajlaşma Denetimi

Kurumsal e-posta hesabı, işverenin iş organizasyonu için tahsis ettiği bir araçtır; buna rağmen e-posta adresi ve yazışma içeriği çalışana ilişkin kişisel veri ve çoğu durumda haberleşme alanı oluşturur. Anayasa Mahkemesi E.Ü. kararında, işverenin kurumsal e-posta içeriğine erişimini değerlendirirken denetim yetkisinin önceden bildirilip bildirilmediğini, müdahalenin amacını, içerik incelemesinin zorunluluğunu, daha az müdahaleci yol bulunup bulunmadığını ve çalışan üzerindeki etkiyi dikkate almıştır (AYM, E.Ü., B. No: 2016/13010, 17/9/2020). Bu yaklaşım, şirket e-postasının mutlak denetim alanı değil, güvenceli bir işyeri iletişim aracı olduğunu gösterir.

WhatsApp veya benzeri mesajlaşma içerikleri bakımından müdahalenin ağırlığı daha da artar. Samet Ayyıldız kararında, işveren tarafından tahsis edilen bilgisayarda açık kalan WhatsApp içeriğinin işveren tarafından elde edilmesi ve feshe dayanak yapılması, özel hayata saygı ve haberleşme hürriyeti bakımından ihlal sonucuna bağlanmıştır (AYM, Samet Ayyıldız, B. No: 2018/34548, 28/12/2021). Fırat Gerçek ve Ertan Enginyurt kararları da işverenin cep telefonu veya mesajlaşma içeriklerine erişiminde denge testinin ihmal edilmemesi gerektiğini teyit eder (AYM, Fırat Gerçek, B. No: 2019/25604, 21/9/2022; AYM, Ertan Enginyurt, B. No: 2019/37012, 23/11/2022).

Bu içtihatlar, işverenin hiçbir zaman iletişim denetimi yapamayacağı anlamına gelmez. Bilgi güvenliği ihlali, ticari sır sızıntısı, işyeri tacizi, müşteri verisinin korunması veya sistem güvenliği gibi somut ve meşru amaçlar bulunabilir. Fakat içerik incelemesine geçmeden önce trafik verisi, erişim logu, dosya meta verisi, tanık anlatımı, iş akış kaydı veya daha dar kapsamlı teknik inceleme ile amaca ulaşılıp ulaşılamayacağı tartışılmalıdır. Celal Oraj Altunörgü kararında ihlal olmadığı sonucuna ulaşılırken de bilgilendirme, sözleşmesel düzenleme, amaçla sınırlılık ve denetimin kapsamı değerlendirme konusu yapılmıştır (AYM, Celal Oraj Altunörgü, B. No: 2018/31036, 12/1/2021).

Kamera ve Biyometrik Veri

İşyeri kamera sistemleri, güvenlik ve iş sağlığı gerekçeleriyle yaygın biçimde kullanılır. Görüntü kaydı kişisel veri niteliği taşıdığı için kamera uygulamasında alan, amaç, süre, erişim yetkisi ve bilgilendirme açıkça belirlenmelidir. Ses kaydı yapan kamera veya mahremiyeti yoğun alanları kapsayan kamera uygulaması, görüntü kaydına göre daha ağır bir müdahale oluşturur; Kurul, ses kayıt özelliği bulunan güvenlik kamerasında beklenen faydanın ses kaydı olmaksızın sağlanıp sağlanamayacağını ölçülülük bakımından tartışmıştır (KVKK Kurulu, 2020/212 sayılı karar özeti). Kamera uygulaması çalışanı sürekli gözetim altında tutan bir performans baskısına dönüşürse, yönetim hakkı ile kişilik hakkı arasındaki denge bozulur.

Biyometrik veri, işyeri denetiminde en hassas alanlardan biridir. Parmak izi, yüz tanıma, retina veya avuç içi gibi veriler, kişinin benzersiz fiziksel özelliklerine dayandığı için geri döndürülemez risk taşır. AYM Ramazan Şahin kararında, parmak iziyle mesai takibi uygulamasını kanunilik ve kişisel verilerin korunması hakkı yönünden incelemiş; çalışanın mesaiye uyumunun kontrolünde biyometrik verinin işlenmesi için açık kanuni dayanak bulunmadığına vurgu yapmıştır (AYM, Ramazan Şahin, B. No: 2018/11988, 10/3/2022). Kurul da belediyede parmak iziyle giriş çıkış takibi ve işyerinde yüz tanıma uygulamalarında amaçla bağlantılılık, ölçülülük ve hukuki sebep sorunlarını ayrıntılı biçimde ele almıştır (KVKK Kurulu, 2020/915 sayılı karar özeti; KVKK Kurulu, 2022/797 sayılı karar özeti).

Özel nitelikli verilerde işverenin “verimli takip” veya “kolaylık” gerekçesi çoğu zaman yeterli olmaz. Kartlı geçiş, şifre, turnike kaydı veya manuel kontrol gibi daha az müdahaleci yollar aynı amaca ulaşabiliyorsa biyometrik veri işleme ölçüsüz kabul edilebilir. Yüz tanıma teknolojileri üzerine akademik literatür de biyometrik verinin güvenlik ve etik risklerinin, sıradan giriş kontrolü ihtiyacından daha ağır değerlendirilmesi gerektiğini ortaya koyar (Çiçek, Türkiye’de Biyometrik Veri Güvenliği; Şıracı, Yüz Tanıma Teknolojileri).

Dava Dosyasında Delil Olarak Kullanım

İşverenin çalışan verisini dava dosyasına sunması, veri işleme faaliyetinin yeni bir aşamasıdır. Delil elde etme, saklama ve mahkemeye sunma süreçleri birlikte değerlendirilir. Bir verinin işyerinde bulunması, mahkeme dosyasına sınırsız biçimde aktarılabileceği anlamına gelmez. Kurulun mescitte ibadet etme görüntülerinin işe iade davasına ibrazına ilişkin kararında, görüntünün özel nitelikli veri boyutu, açık rızanın özgür iradeyle verilip verilmediği ve ölçülülük birlikte tartışılmıştır (KVKK Kurulu, 2023/1356 sayılı karar özeti).

Ceza hukuku boyutu da göz ardı edilmemelidir. Kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, yayılması veya ele geçirilmesi Türk Ceza Kanunu’nda ayrıca düzenlenmiştir (5237 sayılı Türk Ceza Kanunu m. 135-140). AYM H.Ö. kararında sağlık verilerinin hukuka aykırı elde edilmesi iddiaları bakımından etkili ve özenli soruşturma yükümlülüğünü vurgulamış; B.Y. kararında da telefondaki fotoğraf, video, konuşma ve mesaj içeriklerinin kişisel veri niteliğini ve caydırıcı yargısal tepki gereğini tartışmıştır (AYM, H.Ö., B. No: 2019/20473, 3/2/2022; AYM, B.Y., B. No: 2018/30296, 7/9/2021).

Bir diğer gerilim, verinin üçüncü kişiye veya kamu makamına aktarılmasıdır. Arif Ali Cangı kararında, idarenin kişisel verileri üçüncü kişiyle paylaşmasının kanuni dayanak ve kamu yararı yönünden incelenmesi, veri paylaşımının salt idari kolaylıkla açıklanamayacağını gösterir (AYM, Arif Ali Cangı, B. No: 2016/4060, 17/9/2020). İşverenin mahkemeye delil sunarken de aynı disiplinle hareket etmesi gerekir: delil, uyuşmazlıkla ilgili olmalı, gereğinden fazla kişisel veri içermemeli, üçüncü kişilerin verileri maskelenmeli ve özel nitelikli veriler bakımından ayrıca daraltılmış bir aktarım kurulmalıdır.

Varsayımsal Olay Analizi

Bu olayda ilk soru, e-posta kutusunun kapatılması, otomatik yanıt kurulması, belirli müşteri yazışmalarının yetkili bir kişiye devredilmesi veya yalnızca iş yazışması klasörlerinde arama yapılması gibi daha dar yolların mümkün olup olmadığıdır. Eğer işveren tüm e-posta içeriğini, süre sınırı olmaksızın ve özel yazışmaları ayıklamadan incelemişse, E.Ü. ve Samet Ayyıldız kararlarında görülen şeffaflık ve zorunluluk ölçütleri karşılanmayabilir (AYM, E.Ü.; AYM, Samet Ayyıldız). İşverenin ticari sır kaygısı meşru olabilir; fakat meşru amaç, sınırsız içerik incelemesine dönüşemez.

İkinci soru, kamera ve yüz tanıma verilerinin işlenme amacıdır. Ofis giriş çıkış güvenliği için kamera kaydı tutulması ayrı, mescit veya dinlenme alanı gibi mahremiyet beklentisinin yoğun olduğu alanlarda sürekli görüntü elde edilmesi ayrıdır. Yüz tanıma sistemi de basit kartlı geçişle aynı sonucun elde edilebildiği bir işyerinde ölçülülük sorunu doğurabilir (KVKK Kurulu, 2022/797; AYM, Ramazan Şahin). İşveren, özel nitelikli veri işlediğini kabul ederek hukuki sebep ve yeterli önlem analizini dosyaya koymalıdır.

Üçüncü soru, bu verilerin işe iade veya tazminat davasında nasıl kullanılacağıdır. İşveren, müşteri tekliflerinin sızdırıldığı iddiasını ispat etmek için yalnızca ilgili müşteri yazışmalarını, tarih aralığıyla sınırlı logları ve erişim kayıtlarını kullanabilirken; tüm özel yazışmaları, ibadet görüntülerini ve yüz tanıma ham kayıtlarını dosyaya sunuyorsa veri minimizasyonu ilkesinden uzaklaşır. Bu durumda çalışan hem Kurula başvuru hem tazminat hem de ceza soruşturması yönünden ayrı yolları değerlendirebilir (6698 sayılı Kanun m. 11, 13, 14 ve 18; TCK m. 135-140).

Uygulama Riskleri

Tablodaki ayrımlar, işverenin her işlem için aynı savunmayı kullanamayacağını gösterir. Kurumsal e-posta denetimi için yeterli olan politika, biyometrik veri işleme için yeterli olmayabilir. Kamera kaydı bakımından güvenlik amacı kabul edilebilirken, aynı kamera kaydının disiplin baskısı yaratacak şekilde sürekli performans takibinde kullanılması amaç değişikliği doğurabilir. Bu nedenle çalışan veri süreçleri, tek bir “personel KVKK metni” ile değil, süreç bazlı veri envanteri ve karar ağacı ile yönetilmelidir (KVKK Kişisel Veri İşleme Envanteri Hazırlama Rehberi duyurusu).

İşverenler için pratik çözüm, veri işleme faaliyetlerini işe alım, sözleşmenin ifası, bordro ve yan haklar, iş sağlığı ve güvenliği, bilgi güvenliği, disiplin, dava yönetimi ve işten ayrılma sonrası saklama başlıklarında ayrı ayrı haritalamaktır. Her başlıkta veri kategorisi, hukuki sebep, saklama süresi, erişim yetkisi, aktarım alıcısı ve imha yöntemi gösterilmelidir. Çalışanlar bakımından ise başvuru hakkı, Kurula şikayet, işe iade veya alacak davasında delile itiraz ve gerektiğinde ceza hukuku yolları birlikte düşünülmelidir. Bu çerçeve, Çiftçi & Partners’ın veri koruma hukuku alanındaki değerlendirmeleriyle ve iş ilişkisinde baskı ve fesih uyuşmazlıkları ekseniyle birlikte okunmalıdır.

Başvuru ve Uyuşmazlık Stratejisi

Çalışan açısından ilk adım, hangi verinin hangi tarihte, kim tarafından, hangi amaçla işlendiğini somutlaştırmaktır. Kurumsal e-posta içeriğinin tamamına erişildiği, WhatsApp yazışmasının ele geçirildiği, kamera kaydının mahkemeye sunulduğu veya biyometrik verinin zorunlu tutulduğu iddiasında; olay tarihi, kullanılan sistem, bilgilendirme metni, imzalanan belgeler, erişen kişiler ve elde edilen verinin nasıl kullanıldığı ayrıntılı biçimde toplanmalıdır. Veri sorumlusuna başvuru yolu tüketilmeden Kurula şikayet süreci işletilemeyebileceği için başvuru metni talep sonucunu açık kurmalıdır (6698 sayılı Kanun m. 13 ve 14).

İşveren açısından ise uyuşmazlık çıkmadan önce hazırlık yapılması daha sağlıklı sonuç verir. E-posta ve internet kullanım politikası, kamera aydınlatması, biyometrik sistem gerekçesi, erişim logları, saklama-imha kayıtları ve disiplin dosyası prosedürü birbirini tutmalıdır. Daha önce idari para cezalarının yargısal denetimi bağlamında tartışılan savunma hakkı ve gerekçe disiplini, KVKK Kurulu kararları bakımından da benzer bir dosya mantığı gerektirir. İşveren, Kurul önünde yalnızca “uyum çalışmamız var” demek yerine, somut olayda ilgili çalışana neyin bildirildiğini, verinin neden gerekli olduğunu ve hangi güvenlikle saklandığını gösterebilmelidir.

Mahkeme aşamasında veri koruma itirazı, iş hukuku iddiasından kopuk kurulmaz. İşe iade davasında fesih sebebi, delilin elde edilişi, delilin kişisel veri niteliği, işverenin bilgilendirme yükümlülüğü ve ölçülülük aynı dosyada tartışılabilir. İşçilik alacağı veya tazminat dosyasında da veri işleme faaliyeti, manevi tazminat veya haksız fiil iddiasıyla bağlantılı hale gelebilir. Yakın konular için çalışma koşullarındaki esaslı değişiklik ve işçilik alacaklarında başvuru yolları analizleri de uygulama zemini bakımından tamamlayıcıdır.

İç Denetim ve Dokümantasyon Disiplini

Çalışan verilerinin işlenmesinde uyum dosyası, yalnızca Kurul incelemesi başladığında hazırlanan savunma metni değildir. İşveren, veri işleme faaliyeti başlamadan önce işleme amacını, hukuki sebebi, veri kategorisini, çalışan grubunu, saklama süresini ve erişim yetkilerini yazılı hale getirmelidir. Bu kayıt, ileride hem Kurula verilecek cevabın hem de iş mahkemesinde yapılacak delil tartışmasının omurgasını oluşturur. Özellikle e-posta denetimi, kamera kayıtlarına erişim, disiplin soruşturması ve biyometrik sistem kullanımı gibi alanlarda kararın kim tarafından, hangi olay nedeniyle, hangi veri setiyle sınırlı olarak alındığı gösterilemezse, sonradan yapılan açıklamalar ikna gücünü kaybeder (KVKK Kişisel Veri İşleme Envanteri Hazırlama Rehberi duyurusu).

Bu nedenle işverenin veri koruma dosyasında en az dört ayrı katman bulunmalıdır. İlk katman, çalışanlara sunulan aydınlatma metni ve politika setidir. İkinci katman, sistemsel erişim kayıtları, yetki listeleri ve saklama-imha takvimidir. Üçüncü katman, somut olay ortaya çıktığında yapılan ölçülülük değerlendirmesidir; örneğin tüm e-posta kutusuna erişim yerine belirli tarih, belirli müşteri veya belirli konu başlığıyla sınırlı arama yapılıp yapılamayacağı burada tartışılır. Dördüncü katman ise uyuşmazlık dosyasıdır; mahkemeye veya Kurula sunulan belgelerde gereksiz üçüncü kişi verilerinin maskelenmesi, özel nitelikli verinin ayrıştırılması ve delilin elde ediliş zincirinin açıklanması bu aşamada yapılır. Bu yapı kurulmadığında, hukuka uygun başlamış bir veri işleme faaliyeti bile ölçüsüz kullanım nedeniyle tartışmalı hale gelebilir.

Bu dosyalarda zaman unsuru da ayrıca ele alınmalıdır. İşverenin bir güvenlik olayı üzerine dar kapsamlı ve kısa süreli inceleme yapması ile belirsiz süreli, sürekli ve içerik merkezli gözetim yürütmesi aynı hukuki kategoriye yerleştirilemez. Çalışanın işten ayrılmasından sonra e-posta kutusunun açık bırakılması, yeni çalışana devredilmesi veya yöneticiler tarafından taranması gerekiyorsa; otomatik cevap kurulması, müşterilere yeni iletişim adresi bildirilmesi, iş yazışmalarının konu bazlı ayrılması ve kişisel içeriklerin ayıklanması gibi ara tedbirler değerlendirilmelidir. Bu ara tedbirler dosyaya konulduğunda, işverenin amacının çalışan üzerinde baskı kurmak değil, işletme sürekliliğini ve hukuki menfaatini korumak olduğu daha tutarlı biçimde açıklanabilir.

Çalışan tarafında ise veri koruma iddiası yalnızca soyut mahremiyet söylemiyle bırakılmamalıdır. Hangi politikanın tebliğ edilmediği, hangi sistemin kapsamının bilinmediği, hangi verinin iş dışı veya özel nitelikli olduğu, hangi kişilerin eriştiği ve bu erişimin fesih, disiplin, ücret, terfi ya da itibar üzerinde nasıl sonuç doğurduğu açıklaştırılmalıdır. Böyle kurulan bir dosya, hem Kurul başvurusunda hem iş mahkemesi önündeki delil tartışmasında iddianın ağırlığını artırır.

Sık Sorulan Sorular

Sonuç

İşyerinde çalışan kişisel verilerinin işlenmesi, işverenin işletme düzeni ile çalışanın temel hakları arasında hassas bir denge kurar. Bu denge, yalnızca kanun maddesi saymakla veya genel uyum metni imzalatmakla sağlanmaz. Her somut işlemde verinin niteliği, amacın meşruiyeti, hukuki sebebin doğruluğu, bilgilendirmenin açıklığı, denetimin kapsamı, saklama süresi, erişim yetkisi ve daha az müdahaleci yolun bulunup bulunmadığı birlikte incelenmelidir. AYM ve KVKK Kurulu kararları, işverenin denetim hakkını kabul ederken bu hakkı sınırlayan ölçütleri de belirginleştirmiştir.

Çalışan verisi dosyalarında en güçlü hukuki pozisyon, işlem yapılmadan önce kurulan sistematikten doğar. İşveren bakımından bu sistematik; veri envanteri, politika seti, ölçülülük notu, erişim logu, imha kaydı ve olay bazlı gerekçe dosyasından oluşur. Çalışan bakımından ise hukuka aykırı veri işleme iddiasının tarih, sistem, belge, erişim ve kullanım sonucu üzerinden somutlaştırılması gerekir. Bu iki taraflı disiplin kurulmadığında, iş hukuku uyuşmazlığı veri koruma, ceza hukuku ve tazminat boyutlarıyla genişleyebilir.