Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunÇalışan verileri, çoğu şirketin işlediği kişisel verilerin en hassas kategorisidir. Finansal bilgileri (maaş, banka bilgileri), resmi tanımlayıcıları (SSN, vergi kimlikleri), sağlık verilerini (hastalık izni, engellilik düzenlemeleri) ve davranış verilerini (performans incelemeleri, disiplin kayıtları) içerir. Ancak İK departmanları rutin olarak gereğinden fazla çalışan verisi topluyor ve saklıyor, çoğu zaman yetersiz korumayla.
Bu kılavuz, tüm istihdam yaşam döngüsü boyunca çalışan veri gizliliğini yönetmeye yönelik yasal gereklilikleri, pratik çerçeveleri ve teknik uygulamaları kapsar.
Önemli Çıkarımlar
- Rıza, çalışanların verilerinin işlenmesi için nadiren uygun yasal dayanaktır --- güç dengesizliği, rızayı özgür olmaktan çıkarır
- Çalışan izlemesi orantılı, şeffaf olmalı ve yasal bir temele sahip olmalıdır
- Çalışan verilerinin sınır ötesi aktarımı (örn. grup genel merkezine) özel aktarım mekanizmaları gerektirir
- İK verileri için veri saklama süresi, türe bağlı olarak 1 yıl (işe alım reddi) ile 30+ yıl (emeklilik kayıtları) arasında değişir
Çalışan Verilerinin İşlenmesine İlişkin Yasal Dayanaklar
GDPR Yasal Dayanağı (Madde 6)
| Yasal Dayanak | Ne Zaman Kullanılmalı | Örnekler |
|---|---|---|
| Sözleşmenin ifası (Mad. 6(1)(b)) | İş sözleşmesinin yerine getirilmesi için gerekli | Maaş işleme, çalışma programı, sosyal yardım yönetimi |
| Yasal yükümlülük (Mad. 6(1)(c)) | Yasa gereği zorunludur | Vergi raporlaması, sosyal güvenlik katkıları, işyeri güvenliği kayıtları |
| Meşru menfaat (Mad. 6(1)(f)) | İş ihtiyaçları çalışan haklarıyla dengeleniyor | BT güvenliği izleme, dolandırıcılığı önleme, organizasyonel planlama |
| Rıza (Mad. 6(1)(a)) | Gerçekten isteğe bağlı aktiviteler | Çalışan rehberi fotoğrafı, sosyal etkinlikler, zorunlu olmayan anketler |
| Hayati menfaatler (Mad. 6(1)(d)) | Hayatı tehdit eden durumlar | Acil tıbbi bilgiler |
Önemli: Çalışan verileri için onay son çare olmalıdır. İşveren-çalışan güç dengesizliği, rızanın GDPR'nin gerektirdiği şekilde "özgürce verilemeyeceği" anlamına gelir. Mümkün olduğunda sözleşme performansını veya yasal yükümlülüğü kullanın.
Özel Kategoriler (Madde 9)
Sağlık verileri, biyometrik veriler, sendika üyeliği ve diğer özel kategoriler ek bir yasal dayanak gerektirir:
| Özel Kategori Verileri | Yasal Dayanak | Ortak İK Senaryosu |
|---|---|---|
| Sağlık verileri | İş hukuku yükümlülüğü veya açık rıza | Hastalık izni, engellilere yönelik konaklama, iş sağlığı |
| Biyometrik veriler | Açık rıza veya önemli kamu yararı | Parmak izi erişimi, yüz tanıma katılımı |
| Sendika üyeliği | İş hukuku, açık rıza | Sendika aidatlarının kesilmesi, toplu sözleşme |
| Sabıka kayıtları | Yasal zorunluluk | Geçmiş kontrolleri (yasal olarak izin verildiğinde) |
| Dini inanç | Açık rıza | Diyet gereksinimleri, dini bayramlar |
Yaşam Döngüsü Boyunca Çalışan Verileri
İşe Alım
| Toplanan Veriler | Saklama | Notlar |
|---|---|---|
| CV / özgeçmiş | Reddedildikten 6-12 ay sonra | Daha kısa saklama daha güvenlidir |
| Mülakat notları | Reddedildikten 6-12 ay sonra | Yalnızca işle ilgili notları saklayın |
| Referans kontrolü sonuçları | Karardan 6 ay sonra | Derhal sil |
| Değerlendirme / test sonuçları | Reddedildikten 6-12 ay sonra | Adayları önceden bilgilendirin |
| Geçmiş kontrolü | Karardan 6 ay sonra ya da hiç | Kesin amaç sınırlaması |
Adaylar bilgilendirilmelidir: Veri toplamadan önce, hangi verilerin toplandığını, neden toplandığını, ne kadar süre saklandığını ve haklarını kapsayan bir gizlilik bildirimi sağlayın. Reddedilen adayların verileri, adayın yetenek havuzunda tutulmasına izin vermediği sürece 6-12 ay içerisinde silinmelidir.
İlk Katılım
| Toplanan Veriler | Amaç | Yasal Dayanak |
|---|---|---|
| Tam ad, adres, DOB | İş sözleşmesi | Sözleşme |
| Vergi Numarası / SSN | Vergi raporlama | Yasal zorunluluk |
| Banka ayrıntıları | Maaş ödemesi | Sözleşme |
| Acil durumda iletişime geçilecek kişiler | İşyeri güvenliği | Meşru menfaat |
| Fotoğraf (isteğe bağlı) | Çalışan rehberi | Onay |
| Ekipman seri numaraları | Varlık takibi | Meşru menfaat |
| Çalışmaya uygunluk belgeleri | Göçmenlik uyumluluğu | Yasal zorunluluk |
Çalışma Sırasında
| İşleme Etkinliği | Yasal Dayanak | Şeffaflık Gereklidir |
|---|---|---|
| Bordro işleme | Sözleşme | Standart |
| Performans incelemeleri | Meşru menfaat | Yüksek (kriterler hakkında bilgi verin) |
| BT sistem izleme | Meşru menfaat | Yüksek (izleme politikası gerekli) |
| E-posta izleme | Meşru menfaat (sınırlı) | Çok yüksek (özel politika gerekli) |
| CCTV | Meşru menfaat | Yüksek (tabela + politika) |
| GPS izleme | Meşru menfaat (eğer orantılı ise) | Çok yüksek |
| Zaman ve katılım | Sözleşme + yasal yükümlülük | Standart |
| Eğitim kayıtları | Sözleşme + meşru menfaat | Standart |
| Disiplin kayıtları | Meşru menfaat + yasal yükümlülük | Yüksek |
Ayrılma
| Eylem | Zaman Çizelgesi | Notlar |
|---|---|---|
| Tüm sistem erişimini iptal edin | Ayrılış günü | BT kontrol listesi |
| Şirket ekipmanının iadesi | Ayrılış günü | Varlık kurtarma |
| İstihdam kayıtlarını arşivleyin | Ayrılış günü | Kısıtlı erişime geç |
| Gerekli olmayan verileri silin | 30 gün | Fotoğraflar, kişisel dosyalar, beslenme tercihleri |
| Yasal olarak gerekli verileri saklayın | Saklama planına göre | Vergi kayıtları, emeklilik, iş sözleşmeleri |
| Referans isteklerine yanıt verin | Devam ediyor (sınırlı veri) | Çalışma tarihleri, bulunulan pozisyon |
Çalışan İzleme
Orantılılık Çerçevesi
Herhangi bir çalışan izlemesi orantılılık testini geçmelidir:
- Meşru amaç: Özel amaç nedir? (Güvenlik, verimlilik, yasal uyumluluk)
- Gereklilik: İzleme amaca ulaşmanın en az müdahaleci yolu mudur?
- Orantılılık: İşletmenin gizlilik etkisinden daha ağır basması gerekiyor mu?
- Şeffaflık: Çalışanlar neyin izlendiği konusunda açıkça bilgilendiriliyor mu?
Yargı Alanına Göre İzleme Karşılaştırması
| İzleme Türü | AB (GDPR) | ABD | İngiltere | Fransa (CNIL) | Almanya |
|---|---|---|---|---|---|
| E-posta içeriği izleme | Kısıtlanmış (yalnızca orantılı) | Genel olarak izin verilir (bildirim ile) | Kısıtlı | Çok kısıtlı (özel e-postalar korumalı) | Çok kısıtlı (iş konseyinin onayı) |
| Web tarama izleme | Bildirilerek ve amaç doğrultusunda izin verilmiştir | İzin verildi (bildirim ile) | Bildirim ile izin verilir | Yalnızca profesyonel kullanım için izin verilir | Kısıtlı |
| İşyerinde CCTV | İzin veriliyor (özel alanlarda değil) | İzin veriliyor (eyalet yasaları değişiklik gösteriyor) | ICO rehberliği geçerlidir | Mola odalarında değil | Çalışma konseyinin onayı gerekiyor |
| GPS araç takibi | Yalnızca çalışma saatlerinde izin verilir | Genel olarak izin veriliyor | Çalışma saatlerinde izin verilir | Yalnızca çalışma saatleri, çalışanlar bilgilendirildi | Çok kısıtlı |
| Tuş vuruşu günlüğü | Genellikle orantısız | İzin verildi (bildirim ile) | Genellikle orantısız | Orantısız | Orantısız |
| Ekran kaydı | Kısıtlı (zaman sınırlı, amaca özel) | İzin verildi (bildirim ile) | Kısıtlı | Çok kısıtlı | Çok kısıtlı |
Sınır Ötesi Çalışan Veri Transferleri
Yaygın Senaryolar
| Senaryo | Transfer Mekanizması Gerekli |
|---|---|
| ABD genel merkezinin AB yan kuruluşu (maaş bordrosu) | Standart Sözleşme Maddeleri (SCC'ler) + Transfer Etki Değerlendirmesi |
| AB'li ana şirketin Birleşik Krallık'taki yan kuruluşu | Birleşik Krallık yeterlilik kararı (karşılıklı) |
| AB'den Hindistan'a (BT desteği) | SCC'ler + tamamlayıcı önlemler |
| Çok ülkeli İK sistemi (Odoo, Workday) | Veri işlemcili SCC'ler + DPA |
Uygulama
Merkezi bir İK sistemi kullanan küresel şirketler için:
- Veri akışlarını haritalandırın: Hangi çalışan verilerinin hangi ülkeler arasında taşındığını belgeleyin
- Uygunluğu değerlendirin: Alıcı ülkenin AB yeterlilik kararı olup olmadığını kontrol edin
- SCC'leri uygulayın: Veriyi dışa aktaran ve içe aktaran taraf arasında Standart Sözleşme Maddelerini imzalayın
- Transfer Etki Değerlendirmesi: Alıcı ülkenin yasalarının SCC korumalarını zayıflatıp zayıflatmadığını değerlendirin
- Ek önlemler: Gerektiğinde şifreleme, takma ad kullanma veya erişim kısıtlamaları ekleyin
Ayrıntılı aktarım mekanizması rehberliği için sınır ötesi veri aktarımı kılavuzumuza bakın.
İK Veri Saklama Planı
| Veri Türü | Saklama Süresi | Yasal Dayanak |
|---|---|---|
| İş sözleşmesi | Süre + 6 yıl (zamanaşımı) | Yasal zorunluluk |
| Maaş bordrosu kayıtları | İstihdam sonrası 7-10 yıl (ülkeye göre değişir) | Vergi hukuku |
| Vergi formları (W-2, P60) | 7 yıl (ABD), 6 yıl (İngiltere) | Vergi hukuku |
| Emeklilik kayıtları | Nihai emeklilik ödemesinden sonraki 6 yıla kadar | Yasal zorunluluk |
| Performans incelemeleri | Çalışma süresi + 2 yıl | Meşru menfaat |
| Disiplin kayıtları | Süre + 1-3 yıl (değişir) | Meşru menfaat |
| Hastalık izni kayıtları | Süre + 3 yıl | Yasal zorunluluk |
| Eğitim kayıtları | Süre + 2-3 yıl | Meşru menfaat |
| İşe alım verileri (reddedildi) | 6-12 ay | Rıza veya meşru menfaat |
| CCTV görüntüleri | 30 gün (çoğu yargı bölgesinde maksimum 90) | Meşru menfaat |
| Günlüklere erişim | 1-3 yıl | Güvenlik + meşru menfaat |
| Çalışma konseyi tutanakları | 10 yıl | Yasal zorunluluk |
Sıkça Sorulan Sorular
Çalışan verilerinin işlenmesinde rızayı temel olarak kullanabilir miyiz?
Yalnızca çalışanın, reddetmenin herhangi bir olumsuz sonucu olmaksızın gerçek bir özgür seçime sahip olduğu gerçekten isteğe bağlı faaliyetler için. Örnekler: isteğe bağlı şirket bülteni aboneliği, şirket web sitesinde bir çalışanın fotoğrafının kullanılması, zorunlu olmayan çalışan anketlerine katılım. Bordro, performans yönetimi veya iş ilişkisi için gerekli olan herhangi bir veri işleme için bunun yerine sözleşme performansını veya yasal yükümlülüğü kullanın.
Çalışanların e-postalarını izleyebilir miyiz?
Çoğu AB yargı bölgesinde, aşağıdaki durumlarda iş e-posta hesaplarını sınırlı bir ölçüde izleyebilirsiniz: (1) çalışanların izleme konusunda açıkça bilgilendirilmesi, (2) izlemenin meşru bir amaç ile orantılı olması, (3) iş e-postasının kişisel kullanımının yasaklanması (tüm e-posta işi haline gelir) veya kişisel e-postaların izleme kapsamı dışında tutulması, (4) izlemenin sebepsiz bireyleri hedeflemek yerine sistematik olması. Fransa ve Almanya en kısıtlayıcı olanlardır.
Odoo HR'da çalışan verilerini nasıl ele alıyoruz?
Odoo İK modülleri kapsamlı çalışan verilerini toplar. Şunları uygulayın: (1) İK verilerini yetkili personelle sınırlayan erişim grupları, (2) hassas alanlar (maaş, SSN) için alan düzeyinde erişim kontrolü, (3) eski çalışan verileri için otomatik arşivleme kuralları, (4) çalışanların veri sahibi istekleri için veri dışa aktarma işlevi, (5) hassas alan değişikliklerine ilişkin denetim günlüğü. ECOSIRE, yerleşik gizlilik kontrolleriyle birlikte Odoo HR uygulamasını sağlar.
Bir çalışan silme hakkını kullanırsa ne olur?
Silme hakkı (GDPR Madde 17), yasal saklama yükümlülüklerini geçersiz kılmaz. Kanunen verileri (vergi kayıtları, emeklilik kayıtları) saklamanız gerekiyorsa silmeyi reddedebilirsiniz. Saklama için yasal veya meşru bir dayanak bulunmayan verileri (eski çalışanların saklama süresinin ötesindeki eski performans değerlendirmeleri, reddedilen adaylar için işe alım verileri, eski çalışanların intranetteki fotoğrafları) silmelisiniz.
Sırada Ne Var?
Çalışan verilerinin gizliliği, yönetişim programınızın bir bileşenidir. Otomatik uygulama için veri saklama politikaları, yönetim yapısı için GDPR DPO uygulaması ve uluslararası iş gücü verileri için sınır ötesi veri aktarımları ile birleştirin.
İK veri gizliliği danışmanlığı ve gizlilik kontrolleriyle Odoo HR uygulaması için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlanmıştır - işletmelerin çalışan verilerini saygı ve uyumlulukla korumasına yardımcı olur.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
ERPNext İK ve 2026'da Bordro: Kurulum, Maaş Yapıları ve Çok Ülkeli Uyumluluk
2026 için adım adım ERPNext HR ve bordro kurulumu: HRMS uygulamasının kurulumu, maaş yapıları, bordro girişi işlemleri, gelir vergisi dilimleri, çok ülkeli uyumluluk.
Odoo 19 HR: Beceri Matrisi, Kariyer Planları, Performans Döngüleri
Odoo 19 İK yükseltmesi: yerel beceriler matrisi, kariyer yolu planlaması, performans inceleme döngüleri, 9 kutulu tablo, yedekleme planlaması, HRIS entegrasyonu.
Bordro İşleme: Kurulum, Uyumluluk ve Otomasyon
Çalışan sınıflandırması, federal ve eyalet stopajı, bordro vergileri, hacizler, otomasyon platformları ve yıl sonu W-2 uyumluluğunu kapsayan eksiksiz bordro işleme kılavuzu.
Compliance & Regulation serisinden daha fazlası
BMF Programmablaufplan Lohnsteuer 2026: Almanya'nın Resmi Ücret-Vergi Hesaplamasının Uygulanması (XML, API, Odoo)
BMF Programmablaufplan Lohnsteuer 2026 için geliştirici kılavuzu: PAP nedir, XML sözde kod formatı, resmi test hizmeti ve Odoo maaş bordrosuna eşleme.
Giyim ve Moda Markaları için ERP: Beden-Renk Matrisi, Sezon Planlaması ve Uyumluluk (2026 Kılavuzu)
Moda ve giyim markaları 2026'da ERP'yi nasıl seçiyor: beden-renk matrisi çeşitleri, sezon planlaması, GoBD ve DATEV uyumluluğu, tedarikçi karşılaştırması ve maliyetler.
ERPNext İK ve 2026'da Bordro: Kurulum, Maaş Yapıları ve Çok Ülkeli Uyumluluk
2026 için adım adım ERPNext HR ve bordro kurulumu: HRMS uygulamasının kurulumu, maaş yapıları, bordro girişi işlemleri, gelir vergisi dilimleri, çok ülkeli uyumluluk.
2026'da GoHighLevel A2P 10DLC Uyumluluğu: Kayıt, Ücretler ve Engellenen SMS'leri Düzeltme
2026 için GoHighLevel A2P 10DLC kılavuzunu tamamlayın: marka ve kampanya kayıt adımları, operatör ücretleri, yaygın ret nedenleri ve filtrelenmiş SMS'lerin nasıl düzeltileceği.
ERP Sistemleri için GxP Doğrulaması: 2026 Doğrulama RFP'nizin Gerektirmesi Gerekenler (CSV, IQ/OQ/PQ, Denetim Yolları)
Bir GxP ERP doğrulama RFP'sinin 2026'da gerektirmesi gerekenler: CSV ve CSA kapsamı, 21 CFR Bölüm 11, AB Annex 11, IQ/OQ/PQ çıktıları, denetim izleri ve GAMP 5 riski.
OpenClaw Güvenlik Modeli, Veri Yerleşimi, SOC 2 ve ISO 27001
OpenClaw güvenlik mimarisi: kiracı izolasyonu, şifreleme, gizli yönetim, denetim günlükleri, veri yerleşimi, SOC 2, ISO 27001, GDPR, HIPAA uygunluğu.