Blog'a DönİK Trendleri

KVKK ve İK: Bilmeniz Gerekenler

İnsan kaynakları süreçlerinde KVKK uyumluluğu. Çalışan verilerinin korunması, rıza yönetimi ve yasal yükümlülükler.

Ayşe Yılmaz
Ayşe Yılmaz
İK Uzmanı
2 Ocak 2025
18 dakika okuma
KVKK ve İK: Bilmeniz Gerekenler

KVKK ve İK: Bilmeniz Gerekenler

2024'te bir teknoloji şirketi, eski çalışanlarının verilerini silmedi. KVKK Kurulu, şirkete 850.000 TL para cezası verdi. Sebep: Veri saklama süresini aşmış, silmemiş.

Bir perakende zinciri, çalışan sağlık verilerini güvensiz sistemde sakladı. Veri ihlali yaşandı. KVKK Kurulu, 1.200.000 TL ceza kesti.

Kişisel Verilerin Korunması Kanunu (KVKK), 2016'da yürürlüğe girdi. Ancak çoğu şirket, İK süreçlerinde KVKK uyumluluğunu hala tam sağlamıyor.

KVKK Kurulu'nun 2024 verilerine göre, İK kaynaklı şikayetler tüm şikayetlerin %34'ünü oluşturuyor. En çok şikayet edilen konular: Veri güvenliği, aydınlatma yükümlülüğü ve veri silme.

KVKK Nedir? İK'yı Neden İlgilendirir?

Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini düzenleyen yasadır. İK departmanları, çalışanların kişisel verilerini işlediği için KVKK kapsamında.

KVKK'nın temel ilkeleri:

  • Hukuka uygunluk
  • Doğruluk ve güncellik
  • Belirli, açık ve meşru amaç
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İK'yı ilgilendirme sebepleri:

İK departmanları, çalışanların en hassas kişisel verilerini işliyor:

  • Kimlik bilgileri (TC kimlik no, doğum tarihi)
  • İletişim bilgileri (adres, telefon, e-posta)
  • Özgeçmiş bilgileri (eğitim, deneyim)
  • Performans verileri (değerlendirmeler, hedefler)
  • Finansal veriler (maaş, prim, ikramiye)
  • Sağlık verileri (raporlar, izin kayıtları)
  • Biyometrik veriler (parmak izi, yüz tanıma)

Bu verilerin korunması, KVKK'nın temel gereksinimi.

İK'da KVKK İhlalleri: Gerçek Ceza Örnekleri

Örnek 1: Veri Güvenliği İhlali

Durum: Bir üretim şirketi, çalışan verilerini şifrelenmemiş Excel dosyalarında sakladı. Dosyalar, internete açık bir sunucuda tutuldu. Veri ihlali yaşandı.

KVKK Kurulu Kararı:

  • Para cezası: 650.000 TL
  • Veri güvenliği tedbirlerinin alınması zorunluluğu
  • Erişim loglarının tutulması gerekliliği

Ders: Çalışan verileri mutlaka şifrelenmeli. Güvenli sunucularda saklanmalı.

Örnek 2: Aydınlatma Yükümlülüğü İhlali

Durum: Bir danışmanlık şirketi, çalışanlardan veri toplarken aydınlatma metni vermedi. Çalışanlar, verilerinin nasıl kullanıldığını bilmiyordu.

KVKK Kurulu Kararı:

  • Para cezası: 450.000 TL
  • Aydınlatma metninin hazırlanması ve paylaşılması zorunluluğu
  • Çalışanlara bilgilendirme yapılması gerekliliği

Ders: Veri toplarken mutlaka aydınlatma metni verilmeli. Çalışanlar bilgilendirilmeli.

Örnek 3: Veri Silme Yükümlülüğü İhlali

Durum: Bir finans şirketi, işten ayrılan çalışanların verilerini 5 yıl sakladı. KVKK'ya göre saklama süresi 2 yıldı. Eski çalışanlar şikayet etti.

KVKK Kurulu Kararı:

  • Para cezası: 850.000 TL
  • Verilerin derhal silinmesi zorunluluğu
  • Veri saklama politikasının gözden geçirilmesi gerekliliği

Ders: Veriler, saklama süresi dolunca mutlaka silinmeli. Saklama politikası net olmalı.

Örnek 4: Rıza Yönetimi İhlali

Durum: Bir teknoloji şirketi, çalışan fotoğraflarını web sitesinde kullanmak için genel rıza aldı. Ancak rıza metni belirsizdi. Çalışanlar, fotoğraflarının başka yerlerde kullanıldığını fark etti.

KVKK Kurulu Kararı:

  • Para cezası: 320.000 TL
  • Rıza metninin netleştirilmesi zorunluluğu
  • Fotoğrafların kaldırılması gerekliliği

Ders: Rıza metinleri net ve spesifik olmalı. Kullanım amacı açık belirtilmeli.

İK'da İşlenen Kişisel Veriler: Kapsamlı Liste

1. Kimlik Bilgileri

  • Ad, soyad
  • TC kimlik numarası
  • Doğum tarihi ve yeri
  • Medeni hal
  • Çocuk sayısı

İşleme amacı: İş sözleşmesi, SGK bildirimi, vergi işlemleri

Saklama süresi: İş sözleşmesi süresi + 10 yıl (SGK kayıtları)

2. İletişim Bilgileri

  • Adres (ikamet, iş)
  • Telefon numarası
  • E-posta adresi
  • Acil durum iletişim bilgileri

İşleme amacı: İletişim, acil durum bildirimi

Saklama süresi: İş sözleşmesi süresi + 2 yıl

3. Özgeçmiş Bilgileri

  • Eğitim bilgileri
  • İş deneyimi
  • Sertifikalar
  • Yabancı dil bilgisi
  • Referanslar

İşleme amacı: İşe alım, terfi değerlendirmesi

Saklama süresi: İşe alınmayan adaylar: 2 yıl, Çalışanlar: İş sözleşmesi süresi + 10 yıl

4. Performans Verileri

  • Performans değerlendirmeleri
  • Hedef takibi
  • Geri bildirimler
  • Disiplin kayıtları

İşleme amacı: Performans yönetimi, terfi kararları

Saklama süresi: İş sözleşmesi süresi + 10 yıl

5. Finansal Veriler

  • Maaş bilgileri
  • Prim ve ikramiye kayıtları
  • Vergi kesintileri
  • SGK primleri
  • Bordro kayıtları

İşleme amacı: Bordro hazırlama, vergi işlemleri

Saklama süresi: 10 yıl (vergi mevzuatı)

6. Sağlık Verileri (Özel Nitelikli)

  • Sağlık raporları
  • İzin kayıtları (hastalık izni)
  • Engellilik durumu
  • Gebelik bilgisi

İşleme amacı: İzin yönetimi, iş sağlığı ve güvenliği

Saklama süresi: İş sözleşmesi süresi + 10 yıl

Özel dikkat: Sağlık verileri özel nitelikli veri. Daha sıkı koruma gerekiyor.

7. Biyometrik Veriler (Özel Nitelikli)

  • Parmak izi
  • Yüz tanıma verileri
  • Ses kayıtları

İşleme amacı: Mesai takibi, güvenlik

Saklama süresi: İş sözleşmesi süresi

Özel dikkat: Biyometrik veriler özel nitelikli veri. Açık rıza şart.

KVKK Yükümlülükleri: İK İçin Pratik Rehber

1. Aydınlatma Yükümlülüğü

Çalışanlara, hangi verilerin neden toplandığını açıklamak zorunlu.

Aydınlatma metni içeriği:

  • Veri sorumlusu kimliği (şirket bilgileri)
  • Hangi veriler toplanıyor?
  • Veriler neden toplanıyor? (işleme amacı)
  • Veriler kimlerle paylaşılıyor?
  • Veriler ne kadar süre saklanıyor?
  • Çalışan hakları neler? (erişim, düzeltme, silme)

Ne zaman verilmeli?

  • İşe alım sürecinde (adaylara)
  • İşe başlarken (çalışanlara)
  • Veri toplama sırasında (her yeni veri için)

Pratik örnek:

"İK Aydınlatma Metni" başlıklı bir doküman hazırlayın. İşe başlarken çalışanlara verin. İmza alın. Dijital ortamda saklayın.

2. Rıza Yönetimi

Bazı durumlarda açık rıza gerekli. Ancak her durumda rıza gerekmez.

Rıza gereken durumlar:

  • Özel nitelikli veriler (sağlık, biyometrik)
  • Pazarlama amaçlı veri kullanımı
  • Verilerin üçüncü kişilerle paylaşılması (belirli durumlarda)

Rıza gerekmeyen durumlar:

  • İş sözleşmesi gereği veri işleme
  • Yasal yükümlülükler (SGK, vergi)
  • Meşru menfaat (iş güvenliği)

Rıza metni özellikleri:

  • Açık ve anlaşılır
  • Spesifik (genel rıza geçersiz)
  • İsteğe bağlı (zorunlu değil)
  • Geri alınabilir

Pratik örnek:

Çalışan fotoğraflarını web sitesinde kullanmak için rıza alıyorsanız:

"Fotoğraflarınızın şirket web sitesinde ve sosyal medya hesaplarında kullanılması için rızanız gereklidir. Bu rıza, isteğe bağlıdır ve istediğiniz zaman geri alabilirsiniz."

3. Veri Güvenliği: Teknik ve İdari Tedbirler

Çalışan verileri mutlaka güvenli saklanmalı.

Teknik tedbirler:

  • Veri şifreleme (encryption)
  • Güvenli sunucular (SSL/TLS)
  • Erişim kontrolü (kullanıcı adı, şifre)
  • Yedekleme sistemleri
  • Güvenlik duvarı (firewall)
  • Antivirüs yazılımları

İdari tedbirler:

  • Veri güvenliği politikası
  • Çalışan eğitimi
  • Erişim yetkilendirmesi (rol bazlı)
  • Erişim logları (kim, ne zaman, ne yaptı)
  • Düzenli güvenlik denetimleri
  • Veri ihlali müdahale planı

Pratik kontrol listesi:

  • [ ] Veriler şifrelenmiş mi?
  • [ ] Güvenli sunucularda mı saklanıyor?
  • [ ] Erişim logları tutuluyor mu?
  • [ ] Çalışanlar eğitildi mi?
  • [ ] Veri ihlali planı hazır mı?

4. Veri Saklama Süresi: Ne Kadar Saklamalı?

Veriler, işleme amacı için gerekli süre kadar saklanmalı. Süre dolunca silinmeli.

Saklama süreleri (genel):

  • İş sözleşmesi kayıtları: İş sözleşmesi süresi + 10 yıl
  • SGK kayıtları: 10 yıl
  • Vergi kayıtları: 10 yıl
  • Bordro kayıtları: 10 yıl
  • İşe alım başvuruları (işe alınmayan): 2 yıl
  • Performans değerlendirmeleri: İş sözleşmesi süresi + 10 yıl

Veri silme prosedürü:

  1. Saklama süresi dolan verileri tespit et
  2. Silme işlemini planla
  3. Yedek al (gerekirse)
  4. Verileri güvenli şekilde sil
  5. Silme işlemini logla
  6. Çalışanları bilgilendir (gerekirse)

Pratik örnek:

İşten ayrılan çalışanın verileri, 10 yıl sonra otomatik silinmeli. Sistem, bu süreyi takip etmeli. Süre dolunca uyarı vermeli.

5. Çalışan Hakları: Erişim, Düzeltme, Silme

Çalışanlar, kendi verileri hakkında haklara sahip.

Erişim hakkı:

Çalışan, hangi verilerinin işlendiğini öğrenebilir.

Düzeltme hakkı:

Çalışan, yanlış verilerin düzeltilmesini isteyebilir.

Silme hakkı:

Çalışan, verilerinin silinmesini isteyebilir (saklama süresi dolmuşsa).

Başvuru süreci:

  1. Çalışan başvurur (yazılı veya dijital)
  2. Şirket 30 gün içinde yanıtlar
  3. Gerekirse veri sağlar/düzeltir/siler
  4. İşlem loglanır

Pratik örnek:

Çalışan self-service portal üzerinden kendi verilerini görebilmeli. Yanlış bilgi varsa düzeltebilmeli. Talep ederse verilerini indirebilmeli.

KVKK Uyumluluğu İçin Kontrol Listesi

Aydınlatma

  • [ ] Aydınlatma metni hazırlandı mı?
  • [ ] Çalışanlara verildi mi?
  • [ ] İmza alındı mı?
  • [ ] Dijital ortamda saklanıyor mu?

Rıza Yönetimi

  • [ ] Rıza gereken durumlar tespit edildi mi?
  • [ ] Rıza metinleri hazırlandı mı?
  • [ ] Rıza alındı mı?
  • [ ] Rıza geri alınabilir mi?

Veri Güvenliği

  • [ ] Veriler şifrelenmiş mi?
  • [ ] Güvenli sunucularda mı?
  • [ ] Erişim kontrolü var mı?
  • [ ] Erişim logları tutuluyor mu?
  • [ ] Yedekleme yapılıyor mu?

Veri Saklama

  • [ ] Saklama süreleri belirlendi mi?
  • [ ] Süre takibi yapılıyor mu?
  • [ ] Süre dolan veriler siliniyor mu?
  • [ ] Silme prosedürü var mı?

Çalışan Hakları

  • [ ] Erişim hakkı sağlanıyor mu?
  • [ ] Düzeltme hakkı sağlanıyor mu?
  • [ ] Silme hakkı sağlanıyor mu?
  • [ ] Başvuru süreci net mi?

Eğitim ve Farkındalık

  • [ ] İK ekibi eğitildi mi?
  • [ ] Çalışanlar bilgilendirildi mi?
  • [ ] Veri güvenliği politikası var mı?
  • [ ] Düzenli denetim yapılıyor mu?

İK Yazılımı Seçerken KVKK Uyumluluğu

İK yazılımı seçerken KVKK uyumluluğu kritik.

Kontrol edilmesi gerekenler:

  • Veri şifreleme (encryption)
  • Güvenli sunucular (Türkiye'de mi?)
  • Erişim logları
  • Veri silme özellikleri
  • Rol bazlı yetkilendirme
  • KVKK uyumluluk sertifikası
  • Veri ihlali bildirimi özellikleri

Sözleşme maddeleri:

  • Veri işleme sözleşmesi (KVKK md. 10)
  • Veri güvenliği taahhüdü
  • Veri ihlali bildirimi yükümlülüğü
  • Veri silme taahhüdü

Sonuç: KVKK Uyumluluğu Zorunluluk

KVKK, İK süreçlerinde uyulması gereken yasal zorunluluk. Uyumsuzluk, ciddi para cezalarına neden oluyor.

Başarılı KVKK uyumluluğu için:

  1. Aydınlatma metinlerini hazırlayın
  2. Veri güvenliği tedbirlerini alın
  3. Saklama sürelerini belirleyin
  4. Çalışan haklarını sağlayın
  5. Düzenli denetim yapın

Bu adımları atmayan şirketler, para cezası riskiyle karşı karşıya. Geç kalmayın.

IKAI, KVKK'ya tam uyumlu olarak tasarlanmıştır. Veri şifreleme, erişim logları, veri silme özellikleri ve rol bazlı yetkilendirme ile çalışan verilerinizi güvenle yönetin.

14 gün ücretsiz deneme ile başlayın ve KVKK uyumlu İK yönetiminin nasıl kolaylaştığını görün.

Yazar Hakkında

Ayşe Yılmaz

Ayşe Yılmaz

İK Uzmanı

10 yıllık İK deneyimi ile işe alım ve çalışan deneyimi konularında uzmanlaşmış.

Bu Yazıyı Paylaş

LinkedInX (Twitter)E-posta ile Paylaş

Anahtar Kelimeler

KVKK İKkişisel veri korumaçalışan verisiGDPR İK

İlgili Yazılar

İK Trendleri

2025 İK Trendleri: Yapay Zeka ve Otomasyon

2025 yılında insan kaynaklarını şekillendirecek yapay zeka ve otomasyon trendleri. AI CV analizi, chatbot asistanlar ve akıllı İK süreçleri.

İK Trendleri

Dijital İK Dönüşümü Rehberi

İK süreçlerini dijitalleştirme rehberi. Excel'den İK yazılımına geçiş, değişim yönetimi ve başarı kriterleri.

İlgili Sayfalar

Tüm Blog YazılarıİK YazılımlarıÇözümlerimiz

IKAI ile İK Süreçlerinizi Dönüştürün

Blogda öğrendiklerinizi pratiğe dökün. 14 gün ücretsiz deneme ile IKAI'nin tüm özelliklerini keşfedin.

Ücretsiz Başlayın