KVKK ve Personel Verisi: Veri Sorumlusu Yükümlülüklerinin Madde Madde Karşılığı

Personel verisinin yönetimi konusu hukukçuya götürülünce çoğu zaman 60 sayfalık dokümanla geri dönüyor. Aslında işverenin günlük operasyonunda anlaması gereken on-on iki temel başlık var. Bu yazıda 6698 Sayılı KVKK\'yı bir muhasebeci-İK\'cı pratiğine indirgeyerek, "yarın denetim gelse hangi belgeyi gösteririm" sorusuna cevap arayacağız.

Veri sorumlusu kimdir, neden işveren?

KVKK\'nın 3/1-i maddesi: kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi. Personel için bu tartışmasız işveren. Çalışanın TC kimlik numarasını, parmak izini, sağlık raporunu, adresini hangi amaçla, ne kadar süre tutacağına işveren karar verir.

Yazılım sağlayıcısı (PDKS, bordrog, İK paketi) ise "veri işleyen" sıfatıyla devreye girer. Veri işleyen, sorumlunun yazılı talimatlarıyla işler. İkisinin yetki dağılımı sözleşmede yazılı olmak zorunda; aksi halde Kurum denetiminde sorumluluğun nereye düştüğü belirsiz kalır.

Aydınlatma yükümlülüğü (Madde 10)

"Personelimizden veri topluyoruz, ne yapmamız gerekir?" sorusunun ilk cevabı: aydınlatma. Madde 10 üç şart sayar: ilgili kişinin bilgilendirilmesi, hukuki sebebin açıkça belirtilmesi, aktarımın varsa hangi koşullarda olduğunun yazılı olması.

Pratikte: işe başlama sözleşmesinin bir eki olarak "Çalışan Aydınlatma Metni" imzalattırılır. Bu metinde geçmesi gereken alanlar:

• Veri sorumlusunun kim olduğu (firma adı, MERSIS, iletişim)
• Toplanan veri kategorileri (kimlik, iletişim, mesleki bilgi, sağlık, biyometrik vb.)
• İşlenme amacı (bordro hesabı, vardiya planı, devamsızlık takibi, İSG vb.)
• Hukuki sebep (sözleşmenin kurulması, kanuni yükümlülük, açık rıza)
• Aktarılan üçüncü taraflar (SGK, vergi dairesi, bordrog yazılımı, PDKS sağlayıcı, banka)
• Saklama süresi
• İlgili kişinin Madde 11 hakları (düzeltme, silme, itiraz, tazminat)

Aydınlatma metni "imzalatılır" değil "tebliğ edilir" — yani çalışanın okuması yeterli. Yine de imza alınması ileride ispat açısından kolaylıktır.

Açık rıza ve biyometri (Madde 5–6)

Madde 5/2 sayılan altı istisna dışında kişisel veri ancak açık rıza ile işlenebilir. Personel-işveren ilişkisinde en sık dayanılan istisna "sözleşmenin kurulması veya ifası". Yani çalışanın TC kimliğini, banka hesabını, adresini almak için ayrıca rıza istemek gerekmez; iş sözleşmesi kapsamında zaten zorunlu.

Madde 6 ise "özel nitelikli kişisel veri" sınıfını tanımlar: ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep, sağlık, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veriler. Bunlardan biyometrik veri PDKS\'i doğrudan ilgilendiriyor. Madde 6/2 açık rıza alınmasını şart koşar; ancak kanunda açıkça öngörülen istisnalar varsa rıza aranmaz.

Kişisel Verileri Koruma Kurulu kararları parmak izi ve yüz tanımanın işveren tarafından zorunlu kılınamayacağına net şekilde hükmetmiş durumda. Yani bir çalışan "biyometrik kayıt istemiyorum" derse alternatif yöntem (kart, PIN, mobil uygulama) sunmak işverenin yükümlülüğüdür. Sistemde bu alternatifin teknik olarak mümkün olması da bir gerekliliktir.

Açık rıza üç şartı taşımak zorunda: belirli bir konuya ilişkin, bilgilendirilmeye dayanan, özgür iradeyle açıklanmış. Yani "çalışan rıza vermezse işten atılır" baskısı altında alınan rıza geçersiz sayılır. Pratik tavsiye: rıza formunu aydınlatma metninden ayrı yapın, "hayır" seçeneğini sözleşme sürecinin sonucuna bağlamadan tutun.

Saklama süresi: ne kadar tutmalı?

KVKK Madde 7: kişisel veriler işlenme amacının gerektirdiği süreyi geçmemek üzere muhafaza edilir. Pratiğe çevirmek için üç farklı kalemde sürelere bakmak gerekir.

• Bordro kalemleri (ücret, fazla mesai, kesintiler): Vergi mevzuatı 213 Sayılı VUK gereği 5 yıl, ticaret hukuku açısından 10 yıl. Tipik pratik 10 yıl.
• Giriş-çıkış (PDKS) kayıtları: Borçlar Kanunu zaman aşımı 5 yıl. İş Kanunu davalarında temel kanıt olduğu için 5 yıl makul tabandır.
• Biyometrik şablonlar: Çalışan ayrılır ayrılmaz silinmesi tavsiye edilir. Borçlar Kanunu zaman aşımına karşı argüman gerekirse anonimleştirilmiş hash\'i tutulabilir, ama açık biyometrik şablon süresiz tutulamaz.

"Ne kadar tutalım?" tartışması yazılı bir imha politikasına dönüşmek zorunda. Bu politika çalışanın aydınlatma metninde de geçmeli. Süre dolduğunda imhanın otomatik olması (sistem cron\'u) manuel hatırlatmaya bağlı kalmaktan daha güvenlidir.

VERBİS kaydı: kim kayıt yaptırmak zorunda?

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) zorunluluğu üç kriterden birine bakar: yıllık çalışan sayısı 50\'den fazla, yıllık mali bilanço 25 milyon TL üstü veya yurt dışına veri aktarımı yapılıyor olması. Bunlardan biri varsa kayıt zorunlu.

VERBİS kaydı ücretsiz, kvkk.gov.tr üzerinden yapılır. İsterseniz bir hukuk danışmanlığı firmasına yaptırın. Kayıt sırasında işlenen veri kategorileri, işleme amaçları, saklama süreleri, alınan teknik-idari tedbirler, aktarılan ülkeler beyan edilir. Bu beyan denetimde tekrar sorulur; gerçeği yansıtmıyorsa idari para cezası gündeme gelir.

Aktarım: kimlere veri verebilirsiniz?

Personel verisinin aktarıldığı tipik üçüncü taraflar: SGK, vergi dairesi, bordrog yazılımı sağlayıcı, banka (maaş ödemesi), iş sağlığı güvenliği ortak sağlık birimi, sigorta şirketi (özel sigorta), eğitim sağlayıcı. Hepsi farklı hukuki sebeplere dayanır.

Yurt içine aktarım Madde 8\'de düzenlenir, hukuki sebep varsa serbest. Yurt dışına aktarım Madde 9 daha sıkı: ilgili ülkenin yeterli koruma sağladığına dair Kurum kararı veya taraflar arası taahhütname (KVKK Kurumu onaylı) gerekir. AB\'ye ve birkaç başka ülkeye "yeterlilik kararı" verilmiş durumda; ABD için durum karışıktır.

Bulut yazılım kullanımında dikkat edilmesi gereken nokta: sunucunun fiziksel konumu. Türkiye sınırları içinde barındırılan çözümlerde bu sorun ortadan kalkar; sözleşme metninde "veri merkezi Türkiye" ifadesi açıkça yer almalıdır.

Veri ihlali bildirimi

Madde 12: kişisel verilerin hukuka aykırı olarak elde edilmesi durumunda veri sorumlusu en kısa sürede ve her halükarda ihlali öğrendiği tarihten itibaren 72 saat içinde KVKK Kurumu\'na bildirimde bulunur. Bu süre çok kısa; bildiriminin yapılabilmesi için ihlalin anında tespit edilebilmesi gerekir. Yazılım kayıtları (audit log) bu tespiti mümkün kılar.

İhlal tipleri çeşitli: çalışanın USB ile veri kopyalaması, sistemde yetkisiz erişim, fidye yazılımı, çalınan dizüstü, yanlışlıkla kamuya açılan klasör. Her birinin ayrı bir müdahale planı olmalıdır.

İlgili kişi hakları (Madde 11)

Çalışan veri sorumlusuna yazılı olarak başvurarak şu haklarını kullanabilir:

• Verilerinin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• Amaç ve kullanım yerini öğrenme
• Aktarılan üçüncü tarafları öğrenme
• Eksik/yanlış işlenmişse düzeltilmesini isteme
• İşleme şartlarının ortadan kalkması halinde silinmesini isteme
• Otomatik işleme sonucu aleyhine ortaya çıkan durumun düzeltilmesini isteme
• Hukuka aykırı işleme nedeniyle uğranılan zararın tazmini

Veri sorumlusu başvuruyu en geç 30 gün içinde sonuçlandırmak zorunda. Cevap gecikirse veya olumsuz olursa ilgili kişi Kurum\'a başvurabilir. Pratikte tipik talep "verimi silin" şeklinde gelir; eğer hukuki sebep hâlâ devam ediyorsa (örneğin bordro saklama süresi dolmamış) silmeyi reddetmek hak ihlali değil.

Teknik ve idari tedbirler

Kurum tarafından yayımlanan rehberde teknik ve idari tedbirler ayrıntılı sayılır. Özetle:

• Yetki yönetimi. Her kullanıcı sadece görevine yönelik veri görsün. "Genel müdür her şeyi görür" politikası tek başına KVKK\'ya aykırı değil ama gereksiz geniş yetki KVKK\'nın gerekli olan veri ilkesine ters.
• Şifre politikası. Karmaşıklık ve düzenli yenileme. Çok faktörlü kimlik doğrulama özellikle yönetici hesaplarında zorunlu sayılmalı.
• Erişim kayıtları. Kim ne zaman hangi verilere erişti — log tutulmalı.
• Veri yedekleme. Yedeğin kendisi de ayrı bir kişisel veri kümesidir; aynı politikalara tabidir.
• Eğitim. Personele yıllık KVKK farkındalık eğitimi. Kayıt altına alın.
• Sözleşmeler. Tüm üçüncü taraflarla "Kişisel Veri İşleme Sözleşmesi" imzalanmalı. Bulut yazılım sözleşmesinin eki olarak gelir genelde.

Denetim geldiğinde sorulan sorular

Kurum müfettişi geldiğinde tipik dosyalar:

• Aydınlatma metni (imzalı veya tebliğ edilmiş hâli)
• Açık rıza formu (özellikle biyometri için)
• Yazılı saklama ve imha politikası
• VERBİS kaydı (zorunlu olduğunuz takdirde)
• Veri işleyen sözleşmeleri (yazılım sağlayıcı, bordrog, İSG vb.)
• Erişim log\'ları (örnek son 6 ay)
• Veri ihlali müdahale planı
• KVKK farkındalık eğitim kayıtları

Bu listenin yazılı olarak hazır bulunması, denetimin "uyumsuzluk tespiti"yle değil "uyumluluk teyidi"yle bitmesini sağlar. İdari para cezası alt sınırı 100 bin TL\'den başlar; üst sınır milyon TL\'lere ulaşabilir.

Bir cümlelik özet

KVKK uyumu pahalı bir proje olarak görünür ama günlük operasyona dağıtıldığında ek bir yük değil, mevcut süreçlerin yazılı hâle getirilmesidir. Aydınlatma, rıza, saklama süresi, audit trail, eğitim — bu beş başlık tıkır tıkır işliyorsa diğer ayrıntılar zaten yerine oturur.

SALT PDKS demo sırasında size aydınlatma metni şablonunu, açık rıza formu örneğini ve saklama-imha politikası taslağını veriyoruz. Hukuk danışmanınızla birlikte uyarlayıp imzaya açabilirsiniz.