KVKK aydınlatma metni nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016'da yürürlüğe girdiğinden bu yana Türkiye'deki tüm işverenler için yeni bir yasal yükümlülük doğurdu: çalışanlarının kişisel verilerinin nasıl, neden ve kime karşı işlendiğini yazılı olarak bildirme zorunluluğu. Bu yükümlülüğün karşılanmaması idari para cezası ve çalışan tarafından dava açılması gibi ciddi sonuçlara yol açabilir; nitekim Kişisel Verileri Koruma Kurulu yıllar içinde yüzlerce işverene bu yükümlülük ihlali nedeniyle para cezası uygulamıştır. Gelin yakından bakalım. KVKK aydınlatma metni (pratikte çalışan aydınlatma metni veya personel KVKK metni olarak da adlandırılır), 6698 sayılı Kanun'un 10. maddesi uyarınca işverenin çalışana kişisel verilerinin işlenme amacı, hukuki sebebi, aktarıldığı taraflar ve veri sahibinin hakları konusunda yazılı bilgi vermek için kullandığı yasal yükümlülük belgesidir.

Aydınlatma metni bir izin belgesi değildir; bilgilendirme belgesidir. Bu fark kritiktir: işveren aydınlatmayı yaparken çalışandan onay almak zorunda değildir, sadece bilgi vermek zorundadır. Onay (açık rıza) ise sadece KVKK m.6 kapsamındaki özel nitelikli verilerin işlenmesinde veya m.5'te belirtilen diğer hukuki sebeplerin uygulanmadığı durumlarda gereklidir. Bu sayfada işverenin aydınlatma yükümlülüğünü nasıl karşılayacağı detaylı olarak işlenmektedir; KVKK kapsamında diğer çalışan belgeleri için gizlilik sözleşmesi (NDA) ve özlük dosyası kontrol listesi sayfalarına bakabilirsiniz.

KVKK m.10 nedir? Aydınlatma yükümlülüğünün kapsamı

KVKK m.10 aydınlatma yükümlülüğünün kapsamını net çizer. Veri sorumlusu (işveren) veri sahibine (çalışana) mutlaka şu bilgileri vermek zorundadır:

• Veri sorumlusunun ve varsa temsilcisinin kimliği — Şirket ticari unvanı, adresi, iletişim bilgileri, KVKK irtibat kişisi
• Kişisel verilerin hangi amaçla işleneceği — Bordro ödemesi, performans yönetimi, SGK bildirimleri vb. tüm amaçlar
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği — SGK, mali müşavir, banka, sağlık sigortası, İK yazılımı sağlayıcıları
• Kişisel veri toplamanın yöntemi ve hukuki sebebi — İş başvuru formu, çalışan portalı, kamera kayıtları gibi yöntemler ve KVKK m.5/m.6 hukuki sebepler
• KVKK m.11'de sayılan veri sahibi hakları — Bilgi talep etme, düzeltme, silme, itiraz, tazminat hakları

Bu bilgilerin yazılı, açık ve anlaşılır şekilde verilmesi gerekir; muğlak veya genel ifadeler aydınlatma yükümlülüğünü karşılamış sayılmaz. KVK Kurulu kararlarında aydınlatma metinlerinin "anlaşılmaz hukuki dil ile yazılması" veya "kapsam dışı tutulan veri kategorilerinin gizlenmesi" durumlarında aydınlatmanın geçersiz sayıldığı görülmüştür.

9 veri kategorisi: İK süreçlerinde hangi veriler işleniyor?

Şablonun en kritik bölümlerinden biri 2. bölüm — işlenen kişisel veri kategorileridir. KVKK aydınlatma metni bu noktada şirketin gerçekten işlediği tüm veri tiplerini açıkça sıralamalıdır; eksik veya muğlak liste aydınlatmayı geçersiz kılar. 9 kategori şunlardır:

• Kimlik verileri — Ad-soyad, TC kimlik no, doğum tarihi/yeri, cinsiyet, medeni hal, fotoğraf
• İletişim verileri — Adres, telefon, e-posta, acil durum iletişim kişisi
• Özlük verileri — Sicil no, departman, pozisyon, izin bilgileri, performans değerlendirmeleri, eğitim kayıtları
• Mali veriler — Ücret, IBAN, prim, sosyal yardımlar, SGK/vergi kesintileri
• Mesleki deneyim — Diploma, sertifika, önceki iş tecrübeleri, referanslar, dil bilgisi
• Sağlık verileri (özel nitelikli) — İş yeri hekimi raporları, periyodik muayene, iş kazası kayıtları
• Ceza mahkumiyeti (özel nitelikli) — Adli sicil kaydı (yalnızca pozisyonun gerektirdiği durumlarda)
• İşlem güvenliği — IP adresi, sistem giriş kayıtları, kurumsal e-posta yazışmaları
• Görsel/işitsel kayıt — İşyeri güvenlik kameraları, toplantı kayıtları (önceden bildirilen)

Özel nitelikli veri ayrımı kritiktir. KVKK m.6 sağlık ve ceza mahkumiyeti verileri için ek koruma getirir: bu veriler ya kanunlarda öngörülen hallerde ya da çalışanın açık rızası ile işlenebilir. Açık rıza alınırken belirli, bilgilendirilmiş ve özgür iradeye dayanmalıdır; iş sözleşmesinin imzalanması koşulu olarak alınan rıza geçersizdir.

6 hukuki sebep ve hangi süreçte nasıl uygulanır?

KVKK'nın en sık karıştırılan konularından biri hukuki sebep seçimidir. Birçok işveren "açık rıza" yolunu tüm veri işleme için kullanır; bu hatalı bir yaklaşımdır çünkü işçinin işverene karşı bağımsız iradesi sınırlıdır. KVKK m.5 ve m.6 toplam 6 farklı hukuki sebep tanımlar ve İK süreçlerinde her sebebin farklı kullanım alanı vardır:

Doğru hukuki sebep seçimi pratikte şu mantıkla yapılır: birinci aşamada kanunlarda öngörülme sebebi taranır (SGK, vergi yükümlülükleri); ikinci aşamada sözleşme ifası kontrol edilir (iş sözleşmesi için zorunlu veriler); üçüncü aşamada hukuki yükümlülük değerlendirilir (kamu kurumu bildirimleri); ardından sırasıyla hakkın tesisi, meşru menfaat ve son olarak açık rıza uygulanır. Açık rıza son çare olmalıdır; çünkü çalışan rızasını her zaman geri çekebilir ve bu durumda veri işleme hukuki temelini kaybeder.

7 veri sahibi hakkı: Çalışan ne talep edebilir?

KVKK m.11 çalışana 7 temel hak tanır; aydınlatma metni bu hakları açıkça bildirmek zorundadır:

• Bilgi talep etme hakkı — Verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme
• Amaç sorgulama hakkı — Verilerin hangi amaçla işlendiğini ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Aktarım bilgisi hakkı — Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri öğrenme
• Düzeltme hakkı — Verilerin eksik veya yanlış olması halinde düzeltilmesini isteme
• Silme/yok etme hakkı — Kanunda öngörülen şartlar çerçevesinde verilerin silinmesini veya yok edilmesini isteme
• Bildirim hakkı — Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İtiraz hakkı — Otomatik sistemlerle analiz suretiyle aleyhine sonuç doğan kararlara itiraz etme
• Tazminat hakkı — Kanuna aykırı işleme nedeniyle zarara uğrama halinde zararın tazmin edilmesini talep etme

Veri sahibi bu haklarını veri sorumlusuna yazılı başvuru ile kullanır; başvuru 30 gün içinde ücretsiz olarak sonuçlandırılır. Yanıt verilmemesi veya talebin reddedilmesi durumunda çalışan Kişisel Verileri Koruma Kurulu'na şikayet başvurusu yapabilir; bu durum ciddi idari para cezalarına yol açabilir.

Yurt dışı aktarım: KVKK m.9'un uygulaması

Bulut tabanlı İK yazılımları, e-posta sistemleri, ücret kıyaslama hizmetleri, performans değerlendirme platformları gibi modern araçların çoğu yurt dışında depolanan verilerle çalışır. Bu durum KVKK m.9 kapsamında yurt dışı aktarımı tetikler ve özel koşullara tabidir:

• Yeterli koruma kararı — KVK Kurulu'nun yeterlilik kararı verdiği ülkelere aktarım yapılabilir (şu ana kadar sınırlı sayıda ülke için verilmiştir)
• Yeterli güvenceler — Yeterlilik kararı olmayan ülkelere aktarım için yazılı taahhütname, bağlayıcı şirket kuralları veya standart sözleşme şartları gerekir
• Açık rıza — İstisnai durumlarda çalışanın bilgilendirilmiş açık rızası ile aktarım yapılabilir
• VERBİS bildirimi — Yurt dışı aktarımı yapan veri sorumlusu VERBİS sistemine bu durumu bildirmek zorundadır

Pratik tavsiye: İK yazılımı seçiminde sağlayıcının veri depolama lokasyonu ve KVKK uyumluluğu mutlaka sorgulanmalı, sözleşme aşamasında veri işleme protokolü imzalanmalıdır. Yurt içi sunucularda depolanan çözümler bu süreci basitleştirir.

Aydınlatma metninin sık yapılan hataları

KVKK uyumluluğu kapsamında en sık yapılan 5 hata vardır:

• Genel ve muğlak ifadeler kullanmak: "Çeşitli amaçlarla veriler işlenebilir" gibi belirsiz ifadeler aydınlatma yükümlülüğünü karşılamaz. Her veri kategorisi, her amaç ve her hukuki sebep somut olarak belirtilmelidir.
• Açık rıza ile diğer hukuki sebepleri karıştırmak: Çoğu işveren tüm veri işlemeyi "çalışan açık rızasına" dayandırır; bu hatalı bir yaklaşımdır. Sözleşme ifası, hukuki yükümlülük, meşru menfaat gibi sebepler çoğu veri için yeterlidir ve açık rıza son çare olmalıdır.
• Aydınlatmanın güncel tutulmaması: Şirket yeni bir İK yazılımı kullanmaya başladığında, yeni veri kategorisi işlemeye başladığında veya yeni bir tarafla veri paylaşımı yaptığında aydınlatma metni güncellenmelidir. Eski tarihli aydınlatma yeni işleme süreçlerini kapsamaz.
• VERBİS kaydının atlanması: Yıllık çalışan sayısı 50'yi aşan veya bilanço toplamı 25 milyon TL'nin üzerinde olan veri sorumluları VERBİS'e kayıt zorunluluğundadır. Aydınlatma metni VERBİS'te ilan edilen bilgilerle uyumlu olmalıdır.
• Çalışan rızası ile işveren yetkisinin karıştırılması: Aydınlatma metni çalışandan onay almak için imzalatılmaz; sadece bilgilendirme yapılır. Açık rıza ayrı bir belgedir ve sadece m.6 özel nitelikli verilerde veya istisnai durumlarda alınır.

İK süreçlerinizi dijitalleştirin

KVKK uyumluluğu sadece aydınlatma metninin hazırlanmasıyla bitmez; sürecin her aşamasında dokümantasyon, yetkilendirme, saklama süresi takibi ve ihlal bildirimi yükümlülükleri devam eder. Manuel KVKK yönetimi onlarca çalışan için ayrı dosyalama, fiziksel imzalı belge arşivi, saklama süresi manuel takibi ve KVK Kurulu denetimlerinde anında belge sunma gerektirir. Kolay İK Personel & Özlük modülü ile özlük, izin, harcama, puantaj, mesai, zimmet, eğitim ve çok daha fazlasını tek uygulamadan yönetin.