Çalışan Kişisel Verilerinin Korunması: KVKK ve İşveren Yükümlülükleri (2026)
Yayın tarihi: 2026-03-27
Giriş: İşyerinde Kişisel Veri Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girmiş ve işverenler dahil tüm veri sorumlularına kapsamlı yükümlülükler getirmiştir. Bir işveren olarak çalışan adına, çalışan için veya çalışanla ilgili işlediğiniz her türlü veri — ad-soyad, T.C. kimlik numarası, maaş bilgisi, sağlık raporu, sicil fotoğrafı, parmak izi, e-posta ve telefon kayıtları — kişisel veri kapsamına girer.
İşverenin Veri Sorumlusu Sıfatı
KVKK m.3 uyarınca "veri sorumlusu", kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen kişidir. İşveren, çalışana ait verileri topladığı, sakladığı veya aktardığı an veri sorumlusu sıfatını kazanır. Bu sıfat; Veri Sorumluları Siciline (VERBİS) kayıt, aydınlatma yükümlülüğü ve teknik/idari güvenlik tedbirlerini kapsamaktadır.
VERBİS Kayıt Yükümlülüğü
- Yıllık çalışan sayısı 50'nin üzerinde olan ya da yıllık mali bilançosu 25 milyon TL'yi aşan veri sorumluları VERBİS'e kayıt olmak zorundadır.
- VERBİS'e kayıt yapılmaması: 2026 itibarıyla 88.226 TL ile 2.647.000 TL arasında idari para cezası.
Çalışan Verilerinin İşlenme Şartları
KVKK m.5 ve m.6, kişisel verilerin yalnızca belirli hukuki dayanaklara dayanılarak işlenebileceğini düzenlemektedir:
İşyerinde Kullanılan Başlıca Hukuki Dayanaklar
| Hukuki Dayanak | Örnek Veri İşleme |
|---|---|
| İş sözleşmesinin kurulması/ifası (m.5/2-c) | Maaş ödemesi, SGK bildirimi, e-posta hesabı açma |
| Kanuni yükümlülük (m.5/2-ç) | APHB bildirimi, bordro düzenleme, vergi kesintisi |
| İşverenin meşru menfaati (m.5/2-f) | İşyeri güvenlik kamerası, bina giriş-çıkış kaydı |
| Açık rıza (m.5/1) | Sözleşme kapsamı dışı pazarlama, referans paylaşımı |
Özel Nitelikli Veriler (m.6)
Sağlık ve biyometrik veriler (parmak izi, retina taraması), sendika üyeliği ve ceza mahkûmiyeti bilgileri "özel nitelikli kişisel veri" olup yalnızca açık rıza veya kanunda öngörülen hallerde işlenebilir. İşyerinde parmak izi okuyucu kullanmak için çalışanın özgür iradesiyle verdiği açık rıza şarttır; işe alım koşulu olarak rıza alınması geçersiz sayılır.
Aydınlatma Yükümlülüğü (m.10)
İşveren, kişisel verileri toplama aşamasında veya en geç o aşamada çalışanı aydınlatmak zorundadır. Aydınlatma metninde şunlar yer almalıdır:
- Veri sorumlusunun kimliği
- İşlenecek verilerin kategorileri
- Veri işlemenin amacı ve hukuki dayanağı
- Aktarılacak alıcı grupları (muhasebe firması, İŞKUR, SGK vb.)
- Saklama süresi
- Çalışanın KVKK m.11 kapsamındaki hakları
Çalışanın Hakları (m.11)
| Hak | Açıklama |
|---|---|
| Bilgi edinme | Hangi verilerinin işlendiğini öğrenme |
| Erişim | Kişisel verilerin kopyasını isteme |
| Düzeltme | Hatalı verilerin düzeltilmesini talep etme |
| Silme / Yok etme | İşleme amacı ortadan kalktığında silinmesini isteme |
| İşlemeye itiraz | Meşru menfaat dayanağına karşı itiraz hakkı |
| Zararın giderilmesi | Hukuka aykırı işleme nedeniyle tazminat talep etme |
İşveren, bu taleplere 30 gün içinde yanıt vermek zorundadır.
2026 İdari Para Cezaları (KVKK m.18)
| İhlal | Ceza Aralığı |
|---|---|
| Aydınlatma yükümlülüğünü yerine getirmeme | 88.226 TL – 2.647.000 TL |
| Veri güvenliğini sağlamama | 176.452 TL – 8.820.000 TL |
| Kurul kararlarına uymama | 352.904 TL – 17.641.000 TL |
| VERBİS'e kayıt yükümlülüğünü yerine getirmeme | 88.226 TL – 2.647.000 TL |
Cezalar Ocak 2026 itibarıyla yeniden değerleme katsayısıyla güncellenmiş olup her yıl revize edilmektedir.
İşyerinde Dikkat Edilmesi Gereken Pratik Kurallar
- Çalışan e-postalarını ve mesajlarını okumak için önceden yazılı politika ve açık rıza ya da meşru menfaat değerlendirmesi gereklidir.
- Güvenlik kamerası kayıtları en fazla 1 ay saklanabilir; daha uzun süre için KVKK gerekçesi şarttır.
- Eski çalışanların verileri iş sözleşmesinin sona ermesinden sonra zamanaşımı süreleri kadar (kural olarak 5-10 yıl) saklanmalı, ardından imha edilmelidir.
- Üçüncü taraflara (işkur, bordro yazılımı, muhasebe bürosu) veri aktarımı için veri işleme sözleşmesi zorunludur.