KVKK ile saha takibi nasıl yapılır? Veri minimizasyonu rehberi

Paradoks gibi görünen ihtiyaç

İSG yöneticileriyle yaptığımız onlarca görüşmede sık duyduğumuz cümle şu: "Çalışanın canı tehlikedeyken konum bilelim, mesai dışında bilmeyelim. Bu mümkün mü?"

Cevap: evet, eğer mimariyi başından doğru kurarsanız.

Bu yazıda KVKK uyumu ile saha takibi arasındaki dengeyi nasıl kuracağımızı, hangi yasal dayanaklara güvenebileceğimizi ve pratik mimari kararlarını ele alacağız.

KVKK'nın temel prensipleri

Konum verisi gibi kişisel verilerin işlenmesinde KVKK Madde 4'te düzenlenen genel ilkeleri uygulamak zorundayız:

1. Hukuka ve dürüstlük kuralına uygun işleme: Yasal bir dayanak ve şeffaflık şart.
2. Doğru ve gerektiğinde güncel olma: Hatalı veri ile karar alınmaz.
3. Belirli, açık ve meşru amaçlarla işleme: "İSG amaçlı" demek yetmez; spesifik olarak "yalnız çalışan acil durum tespit ve müdahale" denmesi gerekir.
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri minimizasyonu prensibi. Sadece gerekli veri, sadece gerekli kadar süre.
5. Süresinde imha: Saklama süresi sonunda otomatik silme.

Yasal dayanaklar (Madde 5)

KVKK Madde 5, kişisel verilerin işlenebilmesi için 6 ayrı yasal sebep tanımlar. Saha takibi için hangileri uygundur?

Madde 5/2-c: Sözleşmenin kurulması veya ifası

Çalışan iş sözleşmesi imzalarken iş güvenliği önlemleri de sözleşmenin doğal bir parçasıdır. Yalnız çalışan güvenliği amaçlı konum verisi işleme, sözleşmenin ifasıyla doğrudan ilgilidir. En sağlam dayanak budur.

Madde 5/2-ç: Hukuki yükümlülük

6331 sayılı İş Sağlığı ve Güvenliği Kanunu, işverenin çalışanın güvenliğini sağlama yükümlülüğünü düzenler. Yalnız çalışanın güvenliği için makul teknik önlemleri almakla yükümlü olmak, KVKK 5/2-ç bağlamında veri işlemenin hukuki dayanağıdır.

Madde 5/2-f: Meşru menfaat

İşverenin çalışan güvenliğine yönelik meşru menfaati, çalışanın temel hak ve özgürlüklerine zarar vermediği sürece geçerlidir. Bu denge testini geçmenin yolu: veri minimizasyonu + amaç sınırlaması.

Madde 5/1: Açık rıza

Açık rıza tek başına dayanak olarak tehlikeli. Çünkü iş ilişkisinde "rıza" tartışmalıdır — çalışan iş kaybı endişesiyle "rıza" gösterebilir, bu hukuken zayıf bir rızadır. KVK Kurulu bu konuda 2018'den beri net: "iş ilişkisinde özgür iradeyle rıza şüphelidir; başka yasal dayanak aranmalı". Açık rıza ancak ek/optional veriler (ör. mesai dışı sağlık takibi) için anlamlıdır.

Yurt dışına aktarım (Madde 9)

Saha takibi sistemleri genellikle bulut altyapısı kullanır. Eğer bu bulut Türkiye dışında (AWS Frankfurt, Google Belçika, Azure Hollanda) ise, KVKK Madde 9 kapsamında yurt dışı aktarım söz konusudur.

Bunun için iki seçenek vardır:

• Yeterli koruma sağlayan ülke: KVK Kurulu'nun ilan ettiği listede olan ülkeler. Türkiye adaptation gereklidir.
• Standart Sözleşme Şartları (SCC): AB GDPR'ın da kabul ettiği sözleşme şablonu. Veri aktarımının yapıldığı yabancı şirketle imzalanır.

Pratik öneri: tedarikçinizin SCC imzalı veri işleme sözleşmesi (DPA) sunabilmesini şart koşun. Yoksa AB sınırları içinde kalan bir bulut tercih edin.

3 prensip: tasarım kararları

1. Veri Minimizasyonu

Veri minimizasyonu, "en az gerekli veri" prensibidir. Saha takibi için pratik uygulaması:

Senaryo	Toplanmalı mı?	Hassasiyet
Mesai içi normal çalışma	Evet	Coarse (~250m)
Alarm anı (acil durum)	Evet	Fine (~5m)
Mola	Evet	Coarse
Mesai dışı (öğle / akşam)	Hayır	Toplanmaz
Hafta sonu / izin günü	Hayır	Toplanmaz
Görev dışı kişisel ziyaret	Hayır	Toplanmaz

Bu seviyelendirme, "KVKK uyumlu saha takibi" demenin teknik karşılığıdır. Mimaride zaman ve mekan kategorilerinin otomatik tespiti ve buna göre veri toplama kararı verilmesi gerekir.

2. Amaç Sınırlaması

Veri sadece İSG amacıyla işlenir. Aynı veriden:

• Çalışan performans değerlendirmesi yapılamaz
• Çalışana yönelik pazarlama kampanyası yapılamaz
• Pazarlama analytics'inde kullanılamaz
• İK politikası kararlarında dolaylı bile olsa kullanılamaz

Bu sınırlama hem Veri Sorumlusu sözleşmesinde, hem teknik mimaride uygulanmalıdır. Veri tabanında "İSG verisi" ayrı şemada izole edilmeli, sadece İSG ekibinin yetkilendirildiği bir RBAC (Role-Based Access Control) olmalıdır.

3. Tamper-Proof Audit

KVKK Madde 12, veri sorumlusuna "veri güvenliğini sağlama" yükümlülüğü yükler. Bu sadece veriyi şifrelemek değil, kimin ne zaman erişti, ne zaman değişti gibi denetim kayıtlarını da kapsar.

Kayıtlar ayrıca tamper-proof olmalıdır — yani geriye dönük silinemez, değiştirilemez. Modern yaklaşım: hash chain audit log.

Hash chain nasıl çalışır?

Her log kaydı, bir önceki kaydın hash'iyle birlikte hesaplanır. Kayıt zinciri şöyle bir mantıkla ilerler:

kayıt₁ = hash(veri₁)
kayıt₂ = hash(kayıt₁ + veri₂)
kayıt₃ = hash(kayıt₂ + veri₃)
...
kayıtₙ = hash(kayıtₙ₋₁ + veriₙ)

Eğer biri orta bir kaydı değiştirmeye kalkarsa, o noktadan sonraki tüm kayıtların hash'i değişir, zincir kırılır. Saldırı tespit edilebilir.

Pulse platformumuzda denetim kayıtları bu yöntemle tutulur. Yargısal denetim, iç soruşturma veya KVK Kurulu denetimi durumunda kayıtların orijinalliği matematiksel olarak doğrulanır.

Aydınlatma yükümlülüğü (Madde 10)

Veri toplamadan önce çalışanı bilgilendirmek zorundasınız. Aydınlatma metninde şunlar olmalı:

• Veri sorumlusunun kim olduğu (işveren)
• Hangi verilerin toplandığı (ad, konum, hareket)
• İşleme amacı (yalnız çalışan güvenliği)
• Hukuki sebep (madde 5/2-c, ç, f)
• Saklama süresi (örn. 2 yıl, ardından otomatik silme)
• Kimlere aktarıldığı (bulut tedarikçisi, alarm merkezi operatörü)
• Veri sahibinin Madde 11 hakları (düzeltme, silme, öğrenme)
• Başvuru yöntemi (KVKK e-posta, posta adresi)

Aydınlatma metni çalışanın anlayabileceği sade Türkçe olmalı, ihtiyaç duyacağı tüm bilgileri tek sayfada sunmalıdır. Pratik örneği için KVKK Aydınlatma Metnimiz incelenebilir.

İşveren için pratik checklist

Saha takibi sistemi kurarken KVKK uyumu için adım adım yol haritası:

1. Veri envanteri: Hangi veriler toplanacak? Konum, ad, telefon, sağlık? Liste çıkar.
2. Hukuki sebep matrisi: Her veri kategorisi için Madde 5'in hangi alt bendi geçerli? Tablo hazırla.
3. Aydınlatma metni: Yukarıdaki başlıklarla çalışana özel metin hazırla, imza al.
4. Veri Sorumlusu sicili (VERBİS): KVK Kurulu sicile faaliyet bilgilerini gir.
5. İmha politikası: Saklama sürelerini yazılı politika olarak hazırla; otomatik imha mekanizmasını tedarikçinden teyit et.
6. Tedarikçi sözleşmesi (DPA): Bulut sağlayıcıyla yazılı veri işleme anlaşması; yurt dışı aktarım için SCC eki.
7. Çalışan eğitimi: Yalnızca İSG ekibine veri erişimi tanı; eğitime tabi tut.
8. Düzenli denetim: Yılda en az 1 kez erişim kayıtlarını incele, anomali var mı bak.

VolTure Tech'in yaklaşımı

Pulse platformumuzda KVKK uyumunu tasarım kararı olarak ele aldık:

• Veri minimizasyonu: Mesai içi konum coarse (250m), alarm anı fine (5m), mesai dışı toplanmaz.
• Multi-tenant izolasyon: Her kurumun verisi PostgreSQL Row-Level Security ile fiziksel olarak ayrılmıştır.
• Hash chain audit: Tüm erişimler tamper-proof kayıt altında.
• Amaç sınırlı kullanım: Toplanan veri yalnızca İSG modülünde işlenir; veritabanı şeması diğer modüllerden izoledir.
• Saklama otomasyonu: İSG verileri 2 yıl sonra otomatik silinir; sözleşmeli veriler TTK 10 yıl.
• AB sınırı içinde bulut: AWS Frankfurt bölgesi; SCC ile yurt dışı aktarım çerçevesi.

Sonuç

KVKK ile saha takibi paradoks değildir. Doğru mimari ile çalışanların güvenliğini koruyup gizliliğini de koruyabilirsiniz. Anahtar, KVKK uyumunu sonradan eklenen bir gereklilik olarak değil, tasarımın temel prensibi olarak kabul etmektir.

Saha takibi çözümünüz için KVKK uyumlu bir mimari arıyorsanız, Pulse platformumuzu inceleyebilir veya demo talebi oluşturabilirsiniz.