Çalışanların Kişisel Verilerinin Korunması: KVKK ve İş Hukuku 2026
Yayın tarihi: 2026-03-20
İşverenlerin KVKK Kapsamındaki Temel Yükümlülükleri
6698 sayılı Kişisel Verilerin Korunması Kanunu, işverenler açısından çalışanlara ait kişisel verilerin toplanması, işlenmesi, saklanması ve aktarılmasında katı yükümlülükler öngörmektedir. İşveren, çalışan verilerini işleyen bir "veri sorumlusu" sıfatıyla hareket etmekte olup KVKK m.10 uyarınca aydınlatma yükümlülüğünü yerine getirmek zorundadır.
İşyerinde Hangi Veriler Kişisel Veri Sayılır?
- Ad, soyad, T.C. kimlik numarası, iletişim bilgileri
- Biyometrik veriler (parmak izi, yüz tanıma, retina tarama)
- Sağlık verileri (işyeri hekimi raporları, periyodik muayene sonuçları)
- Bordro ve SGK bilgileri, banka hesap numaraları
- Performans değerlendirme kayıtları, disiplin tutanakları
- Kamera görüntüleri, bilgisayar erişim logları, e-posta içerikleri
- Sendika üyeliği, siyasi görüş, din bilgisi (özel nitelikli veri)
İşverenlerin Dikkat Etmesi Gereken Kurallar
Aydınlatma Yükümlülüğü (KVKK m.10)
İşveren, çalışanı işe alırken hangi verilerin, hangi amaçla ve ne kadar süreyle işleneceğini açık ve anlaşılır biçimde bildirmelidir. Aydınlatma metni, iş sözleşmesiyle birlikte imzalatılmalıdır.
Açık Rıza Koşulları
İşveren, yasal zorunluluk dışında kalan veri işleme faaliyetleri için çalışandan özgür iradeyle verilmiş açık rıza almak zorundadır. İş ilişkisinin doğasından kaynaklanan baskı altında alınan rızanın geçerli olmadığına ilişkin Kişisel Verileri Koruma Kurumu (KVKK) kararları mevcuttur.
Veri Minimizasyonu
Yalnızca iş ilişkisi için zorunlu olan veriler toplanmalıdır. Örneğin, güvenlik kameraları yalnızca ortak alanlara kurulabilir; soyunma odası, tuvalet gibi özel alanların izlenmesi yasaktır.
Çalışanın KVKK Kapsamındaki Hakları
| Hak | Açıklama |
|---|---|
| Bilgi Talep Hakkı (m.11-a) | Hangi verilerinin işlendiğini öğrenme |
| Erişim Hakkı (m.11-b) | Verilerine erişim ve kopya alma |
| Düzeltme Hakkı (m.11-c) | Eksik veya yanlış verilerin düzeltilmesini isteme |
| Silme / Yok Etme Hakkı (m.11-d) | Amacı sona eren verilerin silinmesini talep etme |
| İtiraz Hakkı (m.11-e) | Otomatik sistemlerce işlenen verilere itiraz |
| Zararı Giderme Hakkı (m.11-f) | Hukuka aykırı işlemeden doğan zararın tazmini |
Veri İhlali Durumunda Yükümlülükler
KVKK m.12/5 uyarınca işveren, öğrendiği kişisel veri ihlalini en geç 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirmek zorundadır. İhlalden etkilenen çalışanlar da mümkün olan en kısa sürede bilgilendirilmelidir.
2026 İdari Para Cezaları (KVKK m.18)
| İhlal Türü | Ceza Alt Sınırı | Ceza Üst Sınırı |
|---|---|---|
| Aydınlatma yükümlülüğünü yerine getirmeme | 31.558 TL | 1.577.862 TL |
| Veri güvenliği tedbirlerini almama | 78.896 TL | 7.889.297 TL |
| Kurul kararlarına uymama | 157.790 TL | 15.778.579 TL |
| Veri ihlalini bildirmeme | 78.896 TL | 7.889.297 TL |
İş Hukuku ve KVKK Kesişim Noktaları
İşveren, aşağıdaki durumlarda hem KVKK'ya hem iş hukukuna aykırı hareket edebilir:
- Çalışanın e-postalarının sınırsız biçimde izlenmesi (Yargıtay 9. HD: e-posta izleme için açık politika ve bildirim zorunlu)
- Biyometrik devam sistemlerinin rızasız kullanılması
- Sağlık verilerinin kötü amaçlı kullanılarak feshe dayanak yapılması
- Sendika üyeliği bilgisinin ifşa edilmesi (6356 m.25 kapsamında sendikal tazminat)
2026 Güncel Rakamlar
| Kalem | Değer (2026) |
|---|---|
| Brüt asgari ücret | 33.030,00 TL/ay |
| Kıdem tazminatı tavanı | 53.919,68 TL |
| SGK işveren prim payı | %21,75 |
| Veri ihlali bildirim süresi | 72 saat (KVKK m.12/5) |