İşe alım süreçlerinde imzalatılan evrakların arasına sıkıştırılmış bir sayfalık metinlerle geçiştirilen bir konu var: çalışanın kişisel verilerinin işlenmesi. Oysa son bir yılda Kişisel Verileri Koruma Kurulu'nun işverenlere kestiği idari para cezalarının önemli bir kısmı, tam olarak bu "bir sayfalık" ihmalden kaynaklanıyor. Geçtiğimiz aylarda ofisimize başvuran orta ölçekli bir şirket, eski bir çalışanının şikayeti üzerine 250 bin TL'nin üzerinde ceza ile karşılaştı — sebep, özlük dosyasında bulunan Çalışan KVKK Aydınlatma ve Rıza Sözleşmesi'nin hem içerik hem de yöntem bakımından mevzuata uygun düzenlenmemiş olmasıydı.
Bu yazıda, bir işveren veya insan kaynakları sorumlusu olarak 2026 itibariyle yürürlükte olan düzenlemelere uygun, hukuken savunulabilir bir aydınlatma ve rıza metnini nasıl hazırlayacağınızı pratik bir çerçevede ele alacağım. Yaptığımız işin hem iş hukuku hem de veri koruma hukukunun kesişiminde durduğunu unutmamak gerek — yani tek bir koldan bakmak yetmiyor.
Çalışan KVKK Aydınlatma ve Rıza Sözleşmesi Nedir, Neden Ayrı Belgelerdir?
Piyasada sıkça karşılaştığım bir yanılgıyla başlayayım: "Aydınlatma" ve "Açık Rıza" aynı şey değildir; aynı belgede olabilir ama aynı imza ile geçiştirilmeleri ciddi bir risk doğurur. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 10. maddesi aydınlatma yükümlülüğünü, 5. maddesi ise veri işleme şartlarını ayrı ayrı düzenliyor. Aydınlatma, veri sorumlusunun tek taraflı bir bilgilendirme yükümlülüğü. Açık rıza ise veri sahibinin özgür iradesiyle verdiği, spesifik ve bilgilendirilmiş bir onay.
Çalışan KVKK Aydınlatma ve Rıza Sözleşmesi Şablonunu Hemen Oluşturun
Profesyonel şablon, tüm zorunlu maddelerle birlikte 5 dakikada hazır.
Sözleşmeyi OluşturPeki neden bir arada düşünüyoruz? Çünkü pratikte çalışan, işe başlarken her iki belgeyi de imzalıyor; ama içerikleri farklı amaçlara hizmet ediyor. Aydınlatma metni her durumda zorunluyken, açık rıza yalnızca Kanun'un 5/2 ve 6/3 maddelerindeki istisna hallerine girmeyen veri işleme faaliyetleri için gerekiyor. Yani iş sözleşmesinin kurulması için zorunlu olan TC kimlik numarası, IBAN, adres gibi veriler için açık rıza almaya gerek yok — zaten sözleşmenin ifası kapsamında işleniyor.
Hangi Veriler Hangi Hukuki Sebeple İşlenir?
Bu ayrımı yapmadan hazırlanan bir metin, ya gereksiz yere çalışandan rıza alır ve rıza geri çekildiğinde işvereni zor durumda bırakır, ya da rıza alınması gereken yerlerde eksik kalır. Aşağıdaki tablo, en sık karşılaştığımız veri kategorilerini ve uygun hukuki sebebi özetliyor:
| Veri Kategorisi | Örnek Veriler | Uygun Hukuki Sebep | Açık Rıza Gerekli mi? |
|---|---|---|---|
| Kimlik ve İletişim | Ad-soyad, TCKN, adres, telefon | Sözleşmenin ifası (m.5/2-c) | Hayır |
| Özlük | SGK kaydı, bordro, izin bilgisi | Kanuni yükümlülük (m.5/2-ç) | Hayır |
| Sağlık (işe giriş raporu) | İşe uygunluk raporu | 6331 sk. md.15 / KVKK m.6/3 | Hayır (kanuni görev) |
| Kamera kayıtları | İşyeri güvenlik görüntüleri | Meşru menfaat (m.5/2-f) | Hayır (bilgilendirme şart) |
| Biyometrik veri | Parmak izi, yüz tanıma PDKS | Özel nitelikli veri | Evet (açık rıza zorunlu) |
| Fotoğraf (web sitesi, tanıtım) | Kurumsal portre, ekip görseli | Açık rıza | Evet |
| Yurtdışına aktarım (bulut) | O365, Google Workspace verileri | 2024 yönetmelik/taahhütname | Duruma göre |
Kurul'un 2023/1838 sayılı kararında parmak izi ile mesai takibi yapan bir şirkete kesilen 300 bin TL'lik ceza, biyometrik veriler için açık rıza almanın ve alternatif yöntem sunmanın ne kadar kritik olduğunu gösterdi. 2025 yılında Ankara Bölge Adliye Mahkemesi de benzer bir uyuşmazlıkta, çalışanın "iş bulma zorunluluğu altında" verdiği rızayı "özgür irade" sayılamayacağını belirterek işveren aleyhine hüküm kurdu.
Çalışan KVKK Aydınlatma ve Rıza Sözleşmesinde Bulunması Zorunlu Unsurlar
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5. maddesi, metinde hangi bilgilerin bulunması gerektiğini açıkça sayıyor. Uygulamada gördüğüm eksiklikler hep aynı kalemlerde toplanıyor — özellikle "veri işleme amacı" kısmının "personel özlük işlemleri için" gibi muğlak ifadelerle geçiştirilmesi Kurul tarafından yeterli görülmüyor.
İyi hazırlanmış bir metinde mutlaka bulunması gerekenler:
- Veri sorumlusunun kimliği (şirket unvanı, MERSİS, adres, varsa temsilci)
- İşlenen kişisel veri kategorilerinin ayrı ayrı sayılması
- Her bir veri kategorisi için spesifik işleme amacı
- Toplama yöntemi (başvuru formu, özgeçmiş, referans görüşmesi, kamera vb.)
- Hukuki sebep (5. veya 6. maddedeki hangi bentse o)
- Aktarım yapılan üçüncü kişiler (muhasebe firması, SGK, banka, özel sağlık sigortası)
- Yurtdışı aktarımı varsa ülke ve koruma mekanizması
- Saklama süresi (her veri kategorisi için makul süre)
- KVKK 11. madde kapsamında veri sahibinin hakları
- Başvuru usulü ve iletişim kanalı
Açık Rıza Beyanında Dikkat Edilmesi Gerekenler
Açık rıza, Kurul'un deyimiyle "battaniye rıza" olamaz. Yani "tüm kişisel verilerimin işlenmesine muvafakat ediyorum" gibi genel bir ifade geçersizdir. Her bir işleme faaliyeti için ayrı kutucuk, ayrı onay gerekir:
- İşyeri fotoğraf/video çekimlerinin kurumsal iletişim mecralarında kullanılması
- Biyometrik veri ile personel devam kontrol sistemi kullanımı
- Özel sağlık sigortası kapsamında sağlık verilerinin sigorta şirketiyle paylaşılması
- Performans değerlendirme sonuçlarının grup şirketleriyle paylaşılması
- Yurtdışı merkezli bulut hizmet sağlayıcılarına veri aktarımı
Her biri için çalışanın ayrı ayrı "evet/hayır" işaretleyebileceği bir form kullanmak, hem Kurul denetimlerinde hem olası bir dava sürecinde elinizi son derece güçlendiriyor. Hazırladığınız taslağı yüklediğinizde maddeleri otomatik olarak analiz eden sözleşme analiz aracımız, bu "battaniye rıza" riskini tespit edecek şekilde kalibre edildi.
2026 Yılında Güncel Tutulması Gereken Hükümler
2024 yılında 7499 sayılı Kanun ile 6698 sayılı KVKK'nın yurt dışına veri aktarımına ilişkin 9. maddesinde köklü bir değişiklik yapıldı. Önceki dönemde neredeyse her yurt dışı aktarım için açık rıza alma eğilimi vardı; artık "yeterlilik kararı bulunan ülkeler", "uygun güvenceler" (standart sözleşme, bağlayıcı şirket kuralları) ve "arızi haller" şeklinde kademeli bir sistem var. Microsoft 365, Google Workspace, Slack gibi araçları kullanan her şirketin 2026'da aydınlatma metnini bu yeni rejime göre güncellemesi şart.
2026 itibariyle uyum için kontrol etmeniz gereken kalemler:
- Yurtdışı aktarım maddesi: 9. maddenin yeni haline göre düzenlenmiş olmalı
- Saklama süreleri: Kişisel Verileri Saklama ve İmha Politikanızla uyumlu olmalı
- Çerez ve dijital takip: Uzaktan çalışma nedeniyle çalışan dizüstünde kurulu izleme yazılımları açıkça belirtilmeli
- Veri ihlal bildirimi: 72 saat içinde Kurul'a bildirim yükümlülüğüne atıf yapılmalı
- Çalışan eğitim kayıtları: KVKK eğitimi aldığına dair imzalı tutanak özlük dosyasında olmalı
Yargıtay 9. Hukuk Dairesi'nin 2025/4112 E. sayılı kararında, işverence çalışanın kurumsal e-postalarının içeriğinin denetlenmesi konusu incelendi. Daire, açık ve önceden yapılmış bir aydınlatma bulunmadığı için elde edilen delillerin hukuka aykırı delil sayılacağına hükmetti. Bu karar, özellikle disiplin süreçleri için aydınlatma metninde "kurumsal iletişim araçlarının denetimi" başlığının mutlaka yer alması gerektiğini bir kez daha gösterdi.
İşyeri Büyüklüğüne Göre Yaklaşım Farkları
Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yükümlülüğü bakımından çalışan sayısı ve ciro eşikleri önemli. Ancak küçük işletme olmak, aydınlatma yükümlülüğünden kurtulmak anlamına gelmiyor — sadece sicil kaydı zorunluluğunu ortadan kaldırıyor. Küçük işletme sahiplerine düşen hata tam burada: "Biz VERBİS'e kayıtlı değiliz" diyerek aydınlatma metnini de es geçiyorlar.
Sıkça Yapılan Hatalar ve Pratik İpuçları
Yıllardır incelediğim yüzlerce özlük dosyasından süzerek size şu listeyi hazırladım. Hazırlayacağınız metinde bu tuzaklara dikkat edin:
- Matbu iş sözleşmesinin içine sıkıştırma: Aydınlatma metni ayrı bir belge olmalı, iş sözleşmesinin bir maddesi gibi gizlenmemeli.
- Okunaksız küçük punto: Kurul, 10 puntonun altındaki metinleri "anlaşılır şekilde bilgilendirme" kriterine aykırı buluyor.
- Tek imzayla her şey: Aydınlatma için "okudum" ibaresi, açık rıza için ayrı bir işaretleme ve imza alınmalı.
- Özel nitelikli veriyi unutmak: Sağlık raporu, sabıka kaydı, sendika üyeliği gibi veriler için ayrı rıza şart.
- Adres olarak yalnızca e-posta: Başvuru usulü için yazılı/noter/KEP kanallarının da açıkça belirtilmesi gerekiyor.
- Güncelleme tarihi koymamak: Metnin en altında "son güncelleme tarihi" olmazsa eski versiyon Kurul denetiminde delil olarak gösterilemiyor.
- Stajyer ve alt işveren çalışanını atlamak: Bu kişiler için de ayrı metin hazırlanmalı.
Süreci sıfırdan yönetmek yerine, hukuki alt yapısı mevzuata göre hazırlanmış bir taslak üzerinden ilerlemek zamanınızı ciddi şekilde kısaltır. Bu noktada Sözleşme Cepte platformunda hazır bulunan Çalışan KVKK Aydınlatma ve Rıza Sözleşmesi şablonunu şirket bilgilerinizle özelleştirip dakikalar içinde kullanıma hazır hale getirebilirsiniz. Paketler ve kullanım sınırları için fiyatlandırma sayfamızı inceleyebilirsiniz.
Saklama Süreleri ve Yasal Sınırlar
Aydınlatma metnine yazacağınız saklama sürelerinin bir kaynağı olmalı. "Gerekli süre boyunca" gibi bir ifade, Kurul denetiminde eksik bulunuyor. Aşağıda 2026 itibariyle geçerli temel süreleri bir arada bulabilirsiniz:
| Veri/Belge Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Özlük dosyası genel içerik | İş ilişkisi sonrası 10 yıl | 6098 sk. m.146 (zamanaşımı) |
| Bordro, SGK bildirgesi | 10 yıl | 5510 sk. m.86 |
| İşe giriş sağlık raporu | İş ilişkisi sonrası 15 yıl | 6331 sk. m.15 / yönetmelik |
| Kamera kayıtları | Azami 30-60 gün (makul) | Meşru menfaat dengesi |
| İşe alım sürecinde reddedilen CV | Azami 1 yıl (rızayla 2 yıl) | Kurul rehber ilke kararları |
| Kurumsal e-posta içeriği | İş ilişkisi sonrası 3 yıl (öneri) | İş Kanunu m.32 zamanaşımı |
| Disiplin soruşturma evrakı | İş ilişkisi sonrası 10 yıl | Genel zamanaşımı |
Detaylı mevzuat metinlerine mevzuat.gov.tr üzerinden, Kurul karar özetlerine ise Kişisel Verileri Koruma Kurumu'nun resmi sitesinden (kvkk.gov.tr) ulaşabilirsiniz. VERBİS kayıt süreci için de yine aynı platform üzerinden ilerliyorsunuz.
Sıkça Sorulan Sorular
Çalışan aydınlatma metnini imzalamayı reddedebilir mi?
Aydınlatma tek taraflı bir bilgilendirme olduğu için, imza reddi metnin geçerliliğini etkilemez; önemli olan çalışana tebliğ edildiğinin kanıtlanmasıdır. "Tebellüğ ettim, bir nüshasını aldım" şeklinde bir tutanak yeterli olur. Ancak açık rıza bambaşka bir konudur; çalışan rızayı vermek veya vermemek konusunda tamamen özgürdür ve vermemesi bir işlem sebebi yapılamaz.
Mevcut çalışanlara yeniden aydınlatma yapmam gerekir mi?
Metinde esaslı değişiklik yaptıysanız (yeni bir veri kategorisi eklediniz, yurtdışı aktarım başladı, yeni bir bulut hizmetine geçtiniz) evet, yeniden aydınlatma yapmanız gerekir. 2024 sonrası 9. madde değişikliği pek çok şirketi bu güncellemeyi yapmak zorunda bıraktı. Mevcut personele imzalı yeni versiyonu tebliğ etmek en güvenli yoldur.
Uzaktan çalışan personel için ayrı bir metin gerekli mi?
Ayrı bir metin şart değil ama aydınlatma metninde uzaktan çalışmaya özgü veri işleme faaliyetlerinin (ekran izleme yazılımı, klavye aktivitesi takibi, VPN kayıtları, ev adresinin ISG kayıtlarında tutulması) ayrıca belirtilmesi gerekir. Bu bilgilendirme olmadan yapılan izleme, Yargıtay'ın 2025 tarihli kararlarında hukuka aykırı delil sayılmıştır.
Stajyer ve alt işveren çalışanı için metin hazırlamak zorunlu mu?
Evet. Staj sözleşmesi iş sözleşmesinden farklı bir ilişki olsa da veri işleme faaliyeti aynı nitelikte olduğu için ayrı bir aydınlatma metni hazırlanmalıdır. Alt işveren çalışanlarında ise hem asıl işverenin hem alt işverenin ortak/paralel aydınlatma yükümlülüğü bulunur; Kurul denetimlerinde her iki şirketin de metni göstermesi istenir.
Açık rıza her zaman geri çekilebilir mi, geri çekilirse ne olur?
KVKK kapsamında açık rıza her zaman geri çekilebilir ve bu hak çalışana açıkça bildirilmelidir. Rıza geri çekildiğinde, o rızaya dayanılarak işlenen verilerin işlenmesi durdurulur ve silme/imha süreci başlar. Ancak başka bir hukuki sebebe dayanan işleme faaliyetleri (örneğin kanuni yükümlülük kapsamında tutulan bordro) devam eder. Bu ayrımı baştan yapmak, rıza geri çekildiğinde paniğe düşmeyi önler.
Aydınlatma metnini e-posta ile göndermek geçerli sayılır mı?
Geçerlidir, ancak ispat yükü açısından riskli olabilir. KEP (Kayıtlı Elektronik Posta) üzerinden gönderim veya çalışanın dijital imzalı onayı en güvenli yöntemdir. Standart kurumsal e-postada "okundu" bilgisi delil değeri bakımından tartışmalıdır; çalışan "ben görmedim" derse ispatı zorlaşır.
Kurul'dan ceza almamak için en kritik nokta nedir?
Tecrübeme göre cezaların çoğu metnin içeriğinden değil, metnin fiilen uygulanmamasından kaynaklanıyor. Metninizde "verileri X firmasıyla paylaşıyoruz" yazıyorsa, o firma ile aranızda veri işleyen sözleşmesi olmalı; "saklama süresi 10 yıl" diyorsanız, 11. yılda silme kayıtlarınız bulunmalı. Yani belge ile uygulama birbirini tutmalı. Güncel hazırlık ve değişiklikler için blog yazılarımızı takip etmenizi öneririm.
Hazırlayacağınız metni bir kez oluşturup rafa kaldırmayın; her yeni İK yazılımı, her yeni bulut hizmeti, her yeni pozisyon aydınlatma metninizi etkileyebilecek bir değişikliktir. Yılda en az bir kez — tercihen yılbaşında — yasal danışmanınızla birlikte metni gözden geçirmek, hem ileride çıkabilecek uyuşmazlıklarda size alan açar hem de Kurul denetimlerinde hazırlıklı yakalanmanızı sağlar. Konuyla ilgili özel sorularınızı iletişim sayfamız üzerinden bize iletebilirsiniz.
Alakalı Araçlar
Bu konu hakkında diğer platformlarımızdan da faydalanın.
Kıdem Tazminatı Hesaplama
İş Kanunu md. 14 gereği, kıdem tavanını dikkate alarak kıdem tazminatını hesaplar. Yasal Dayanak: 4857 sayılı İş Kanunu m.32 ve devamı ücret hükümleri, 5510 sayılı SGK Kanunu.
Fazla Mesaim Ödenmiyor
Haftalık 45 saati aşan çalışmalar için %50 zamlı fazla mesai ücreti.
Genel Taahhütname
taahhut
Daha Fazla Rehber
Tüm Sözleşme Şablonları
200+ profesyonel sözleşme şablonu