İK, Şirketin En Yoğun Veri İşleyen Birimidir
İşe alımdan işten ayrılışa kadar İK; kimlik, iletişim, ücret, sağlık, aile, performans ve devam verisi işler. 6698 sayılı KVKK bu işlemenin çerçevesini çizer: her veri, belirli bir amaçla, bir hukuki şarta dayanarak, gerektiği kadar ve gerektiği sürece işlenebilir.
Açık Rıza Her Zaman Gerekmez
Yaygın yanılgının aksine, İK'daki işlemelerin çoğu açık rızaya değil KVKK m.5'teki diğer şartlara dayanır:
- Sözleşmenin ifası: Ücret ödemesi için banka bilgisi, vardiya planı için iletişim bilgisi
- Hukuki yükümlülük: SGK bildirimleri, vergi kesintileri, özlük dosyası (İş Kanunu m.75)
- Meşru menfaat: Temel hak ve özgürlüklere zarar vermemek kaydıyla; örneğin işyeri güvenliği amaçlı orantılı uygulamalar
Açık rıza; ancak diğer şartlardan hiçbiri yoksa gündeme gelmelidir ve iş ilişkisindeki güç dengesizliği nedeniyle özgür iradeyle verilip verilmediği sorgulanır. İşe devam koşuluna bağlanmış "rıza", geçerli rıza değildir.
Özel Nitelikli Veriler: Sağlık ve Biyometri
Sağlık raporları, engellilik bilgisi ve biyometrik veriler (parmak izi, yüz tanıma) KVKK m.6 kapsamında özel niteliklidir ve işlenmeleri sıkı şartlara bağlıdır. Kişisel Verileri Koruma Kurulu kararlarında; mesai takibi gibi bir amacın daha az müdahaleci yöntemlerle (kart, QR, konum doğrulama) sağlanabildiği durumlarda biyometrik veri işlemenin ölçülülük ilkesine aykırı bulunduğu görülür. PDKS seçiminde bu, belirleyici bir kriterdir.
PDKS ve Konum Verisi
Konum doğrulamalı PDKS'de ölçülülük şöyle kurulur: konum verisi yalnızca giriş-çıkış anında, kaydın gerçekten işyerinde oluştuğunu doğrulamak için işlenir; mesai boyunca sürekli izleme yapılmaz. Çalışanlar uygulama üzerinden neyin, ne zaman, hangi amaçla işlendiğini bilmelidir. Nord Shift'in GPS konum doğrulaması bu ilkeyle tasarlanmıştır; ayrıntılar için KVKK uyumlu PDKS yazımıza bakabilirsiniz.
Aydınlatma ve Çalışan Hakları
KVKK m.10 gereği işveren; hangi verilerin, hangi amaçla, hangi hukuki sebebe dayanarak işlendiğini ve kimlere aktarıldığını çalışana bildirmekle yükümlüdür — işe girişte imzalatılan genel bir metin değil, süreçlere özgü ve anlaşılır bir aydınlatma esastır. Çalışanlar m.11 kapsamında verilerine erişme, düzeltme, silme ve işlemeye itiraz haklarına sahiptir; başvurulara en geç 30 gün içinde yanıt verilmelidir.
Saklama, İmha ve İhlal
- Saklama süreleri: Veri kategorisi bazında tanımlanmalı (örn. SGK belgeleri için 10 yıl esas alınır); süresi dolan veri imha politikasına göre silinmeli veya anonimleştirilmelidir.
- VERBİS: Kayıt yükümlülüğü kapsamındaki işverenler envanterlerini VERBİS'e işlemelidir.
- Veri ihlali: İhlal öğrenildiğinde en kısa sürede — Kurul uygulamasında 72 saat esas alınır — Kuruma ve etkilenen kişilere bildirim yapılmalıdır.
- Teknik tedbirler: Şifreleme, erişim yetkilendirmesi, loglama ve yedekleme asgari standarttır.
İK için Hızlı Kontrol Listesi
- Süreç bazlı aydınlatma metinleri hazır ve güncel mi?
- Açık rıza yalnızca gerçekten gereken işlemeler için mi isteniyor?
- Biyometrik veri yerine daha az müdahaleci doğrulama kullanılabilir mi?
- Saklama-imha politikası veri kategorisi bazında tanımlı mı?
- İK yazılımlarınız şifreleme ve erişim kontrolü sağlıyor mu?
Nord Shift; verileri SSL/TLS ile iletir, AES-256 ile saklar ve rol bazlı erişimle korur — ayrıntılar güvenlik sayfamızda. İK süreçlerinizin genel uyum resmini İK Check-up ile ücretsiz görebilirsiniz.
Bu yazı bilgilendirme amaçlıdır; KVKK uyum çalışmaları için uzman desteği alınız.
Nord Shift'i ücretsiz deneyin
10 personele kadar ücretsiz,