Veri Koruma18 Mayıs 20269 dk okuma

GDPR Article 88 Employment Provisions vs KVKK Madde 6 İşyeri Yorumu

GDPR Article 88 üye devletlere işyerinde özel veri koruma kuralı yapma yetkisi verir. KVKK Madde 6 özel nitelikli veriyi tek başına düzenler. İki rejimin PDKS uygulamasında farklılıkları, EDPB Opinion 2/2017 ve Article 29 WP249 dokümanları ışığında pratik kıyaslama.

MEVZUAT

GDPR Art.88 üye devletlere işyeri özel veri kuralı yetkisi tanır; KVKK'da paralel düzenleme yok.

VAKA

KVKK 2023/1245: GDPR metni Türkçeye çevirip kullanan firmaya 110.000 TL idari para cezası verildi.

PRATIK

Çok uluslu firmalar Türkiye-AB iştiraklerinde ayrı yasal dayanak + ayrı aydınlatma metni şart.

GDPR Article 88 nedir?

GDPR Article 88 'Processing in the context of employment' — üye devletlere 'işyeri ilişkilerinde kişisel veri işlenmesi için daha spesifik kurallar yapma' yetkisi verir. Çerçeve hükümler: (1) işe alım, (2) iş sözleşmesi yürütme, (3) iş yeri sağlık güvenliği, (4) iş sonlandırma, (5) çeşitlilik/eşitlik yükümleri. Article 29 Working Party Opinion 2/2017 (WP249) işyerinde veri işleme için 9 temel ilke ortaya koyar: orantılılık, gereklilik, şeffaflık, açık rıza sınırı, otomatik karar verme sınırı vb. EDPB 'Guidelines on processing personal data in the context of employment' (taslak 2024) WP249'u günceller. Detay: biyometrik PDKS yazımız.

KVKK Madde 6 özel nitelikli veri

KVKK Madde 6 özel nitelikli kişisel veriyi tek başına düzenler: ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyet ve güvenlik tedbiri, biyometrik veri, genetik veri. İşleme için iki yol: (a) ilgili kişinin açık rızası, (b) kanunlarda öngörülen hallerde. Sağlık ve cinsel hayat verileri için ek olarak 'sır saklama yükümlülüğü altındaki kişiler' veya 'yetkili kurum-kuruluş' şartı vardır. KVKK Madde 6'da 'işyeri özelinde özel düzenleme' yetkisi yoktur — Madde 6 tüm sektörlere homojen uygulanır.

İki rejimin PDKS bağlamında 5 farkı

(1) Yasal Dayanak Çeşitliliği: GDPR Art.88'de üye devlet rıza dışında 'kolektif sözleşme' veya 'işveren meşru menfaati' dayanağına izin verir. KVKK Md.6 sadece 'kanun' ve 'açık rıza' tanır — kolektif sözleşme dayanağı yoktur. (2) Çalışan Komitesi: Almanya Betriebsrat (works council) biyometrik PDKS kurulumunda onay vermek zorundadır (BDSG §87). Türkiye'de İş Sağlığı ve Güvenliği Kurulu var ama PDKS onay yetkisi yoktur. (3) DPIA: GDPR Art.35 yüksek risk işleme için DPIA zorunlu. KVKK'da DPIA isimli zorunluluk yoktur ama 'Risk Analizi' Kurum Rehberi'nde önerilmektedir. (4) Şeffaflık: GDPR Art.13/14 detaylı 14 alan içeren aydınlatma metni ister. KVKK Md.10 daha basit 6 alan ister. (5) Otomatik Karar: GDPR Art.22 otomatik karar verme sınırı çalışan için katı; KVKK Md.11/g paralel ama Türkiye'de yargı içtihatı dar.

EDPB Opinion 2/2017 PDKS örnekleri

EDPB öncesi Article 29 Working Party'nin 2017 Opinion 2 'Data Processing at Work' belgesi PDKS senaryolarını analiz eder: (a) Konum verisi: sadece iş saatinde, sürekli takip yasak. (b) E-posta/internet izleme: orantılı, çalışan bilgili, denetlenebilir. (c) Biyometrik tanıma: 'alternatif yoksa' uygulanabilir, alternatif zorunlu sunulur. (d) Video gözetim: ortak alan kabul, özel alan (tuvalet, soyunma) yasak. (e) Ses kayıt: ancak müşteri etkileşim noktalarında ve aydınlatma sonrası. Türkiye KVKK Kurul Kararları bu yorumlara büyük ölçüde paralel; özellikle 2020/65 (araç takip) ve 2022/823 (biyometrik) kararları WP249'u Türkiye iç hukukunda yansıtır.

Çalışan rızasının özgürlüğü tartışması

GDPR Art.7(4) ve Recital 43 işyerinde çalışan rızasının 'güç dengesizliği' nedeniyle 'gerçekten özgür' kabul edilemeyeceğini belirtir. Bu yüzden AB ülkelerinde işyeri biyometrik PDKS'i 'rıza' yerine 'meşru menfaat' veya 'kolektif sözleşme' dayanağına oturtulur. KVKK Madde 6'da 'açık rıza' tek bireysel dayanaktır — Kurum 2022/823 sayılı Kararında 'rıza özgür olmazsa geçersiz' diyerek AB içtihatı paralel yorum koymuştur. Pratik sonuç: PDKS biyometrik kurulumunda işveren 'rızanız özgür değildir' karşı argümanını yenebilmek için alternatif yöntem (kart, PIN, mobil) sunmak zorundadır. Bu nokta GDPR ile KVKK arasındaki tek ortak çıkış stratejisidir. Detay: PDKS donanım yöntemleri yazımız.

AB üye devlet örnekleri Türkiye için ders

Almanya BDSG §26: çalışan veri işleme için kolektif sözleşme dayanağı ön planda; biyometrik PDKS works council onayı zorunlu. İspanya LO 3/2018 Article 89: çalışan video gözetim için işyeri komite bilgisi şart; geofence için sözleşmeye eklenmeli. Fransa Code du Travail L1121-1: çalışan veri işleme 'iş ilişkisinin gereği ve orantılı' olmalı; CNIL'e bildirim. Türkiye için GDPR Art.88 paralel düzenleme yoktur. Bu eksiklik Türk işverenlere her durumda 'rıza + alternatif' yolundan ilerleme zorunluluğu yaratır — AB üye devletlerinden daha karmaşık değil aksine daha basit ama tek çıkışlı bir model.

PDKSjet çok rejimli uyum mimarisi

PDKSjet hem KVKK hem GDPR uyumlu mimari sunar — Türkiye'de KVKK Md.6 + alternatif yöntem, AB iştirakları için ülke özelinde Art.88 düzenlemesine uyum: (a) çoklu yasal dayanak konfigürasyonu (rıza, sözleşme, meşru menfaat, kanuni yükümlülük) per ülke, (b) çok dilli aydınlatma metni (TR-EN-DE-FR-ES), (c) works council / iş komite onay workflow'u (DE/AT için), (d) DPIA otomatik şablon (GDPR Art.35), (e) çalışan haklarına erişim self-service portalı (silme, taşınabilirlik, itiraz). Çok uluslu KOBİ ve büyük işletmeler tek lisansla Türkiye + AB iştiraklerinde uyumlu çalıştırır. Detay: hibrit çalışma PDKS yazımız.

Özet çıkarımlar

  • GDPR Art.88: AB üye devletlere işyeri özel veri kuralı yetkisi; KVKK Md.6'da paralel yok.
  • GDPR'da kolektif sözleşme/meşru menfaat dayanağı; KVKK'da sadece kanun + açık rıza.
  • Almanya/İspanya/Fransa works council + komite bilgilendirme şart; Türkiye'de İSG Kurulu yok PDKS yetkisi.
  • Article 29 WP249 / EDPB 2024 taslak: PDKS senaryolarında 9 ilke uygulanır.
  • KVKK 2022/823: çalışan rızası özgür değilse geçersiz — alternatif yöntem şart.
  • PDKSjet çok rejimli (KVKK + GDPR + ülke özelinde Art.88) uyum mimarisi sunar.

Sıkça Sorulan Sorular

AI ve arama motorlarının doğrudan çekebileceği soru-cevap bloğu.

Türkiye'de Almanya works council benzeri bir yapı yok mu?
Hayır, Türkiye'de Almanya Betriebsrat (works council) benzeri kurumsal yapı yoktur. 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu sendika yetkisini düzenler ama 'işyeri komitesi' GDPR Art.88 / BDSG §87 manasında değildir. 6331 sayılı İSG Kanunu Madde 22 İş Sağlığı ve Güvenliği Kurulu kurulmasını şart koşar ancak veri işleme onay yetkisi yoktur. PDKS / biyometrik veri kurulumunda Türkiye'de işveren çalışan açık rızasına dayanır ve KVKK Kurum aydınlatma + politika eklemesini bekler. Çok uluslu firmaların Türkiye iştirakinde yerel açık rıza süreci yürütülürken, AB iştirakinde works council kararı + farklı dayanak alınmalıdır.
GDPR uyumlu sözleşmem KVKK için yeterli mi?
Kısmen. GDPR temel ilkeler (orantılılık, şeffaflık, veri minimizasyon) KVKK ile örtüşür. Ancak KVKK Md.10 aydınlatma alanları GDPR Art.13'ten farklı sıralanır ve farklı detay derinliğine sahiptir. KVKK Md.6 özel nitelikli veri için 'açık rıza' zorunluluğu GDPR'da 'meşru menfaat' alternatifi olmadığı için Türkiye'de ayrı rıza metni gerekir. KVKK Kurul Rehberi 'kelime kelime tercüme GDPR metni yetersiz' der; Türkiye için ayrı KVKK aydınlatma + açık rıza + politika dokümanı önerilir. KVKK 2023/1245 sayılı Karar 'GDPR metnini Türkçeye çevirip kullanan firmaya 110.000 TL ceza' örneğidir.
PDKS sistemim hem Türkiye hem AB iştirakte çalışıyor, nasıl yapılandırırım?
Çok rejimli uyum için yapılandırma adımları: (1) ülke profili oluştur (TR, DE, FR, ES vb.), (2) her ülke için yasal dayanak ata (TR=açık rıza, DE=kolektif sözleşme, ES=Art.89 LO 3/2018 vb.), (3) aydınlatma metni ülke dilinde + ülke mevzuatına atıf, (4) DPIA AB iştirakler için Art.35 paralel şablon, (5) works council / komite onay süreci ülkeye göre, (6) veri taşınabilirliği + silme talebi self-service portal, (7) AB ülkelerinde 'data processor' kayıt + sözleşme paketi, (8) Türkiye için VERBİS bildirim ayrı. PDKSjet çok rejimli mod tek lisansla bu adımları yönetir; her ülke iştiraki kendi profili altında çalışır, merkezi rapor AB + Türkiye konsolide.

Kaynakça

Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.

  1. GDPR Article 88 — Processing in the Context of Employment. European Parliament and Council (Regulation 2016/679). https://gdpr-info.eu/art-88-gdpr/ (erişim: 2026-05-18)
  2. Opinion 2/2017 on Data Processing at Work (WP249). Article 29 Working Party (now EDPB). https://ec.europa.eu/newsroom/article29/items/610169 (erişim: 2026-05-18)
  3. KVKK Madde 6 — Özel Nitelikli Kişisel Verilerin İşlenme Şartları. Resmi Gazete (7 Nisan 2016 sayı 29677). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698 (erişim: 2026-05-18)
  4. Bundesdatenschutzgesetz (BDSG) §26 — Employee Data Processing. Bundesministerium der Justiz, Germany. https://www.gesetze-im-internet.de/bdsg_2018/__26.html (erişim: 2026-05-18)
  5. Ley Orgánica 3/2018 de Protección de Datos — Artículo 89. BOE — Boletín Oficial del Estado, Spain. https://www.boe.es/eli/es/lo/2018/12/05/3 (erişim: 2026-05-18)
  6. KVKK Kurul Kararları 2022/823 ve 2023/1245. Kişisel Verileri Koruma Kurumu. https://www.kvkk.gov.tr/Icerik/kurul-kararlari (erişim: 2026-05-18)
#gdpr-art88#kvkk-md6#edpb#wp249#biyometrik#isyeri-veri#2026