Eski Çalışan Verilerinin Silinmemesi

Eski Çalışan Verilerinin Silinmemesi

Şirketlerin eski çalışan verilerini gereğinden uzun süre saklaması, hem KVKK uyumluluğu hem de veri güvenliği açısından ciddi riskler oluşturur. Eski Çalışan Verilerinin Silinmemesi durumu; idari para cezaları, veri ihlalleri, hukuki uyuşmazlıklar ve kurumsal itibar kaybı gibi sonuçlara yol açabilir. Bu nedenle işletmelerin çalışan verilerini belirlenen saklama süreleri sonunda silmesi, yok etmesi veya anonim hale getirmesi gerekir.

Data center with 202604142201 2KVKK Kapsamında Eski Çalışan Verilerinin Yönetimi

6698 Sayılı Kişisel Verilerin Korunması Kanunu, çalışanlara ait kişisel verilerin yalnızca belirli amaçlarla ve gerekli süre boyunca işlenmesine izin verir. İş sözleşmesi sona erdiğinde şirketlerin veri saklama süreçlerini yeniden değerlendirmesi gerekir. Çünkü işleme amacı ortadan kalktığında veriyi sistemde tutmaya devam etmek hukuka aykırı hale gelir.

Birçok şirket, eski çalışanların özlük dosyalarını, e-posta hesaplarını veya erişim kayıtlarını yıllarca sistemde bırakır. Ancak KVKK açık şekilde “işleme amacı sona erdiğinde imha” yükümlülüğünü düzenler. Bu noktada şirketlerin veri envanteri oluşturması ve saklama-imha politikalarını aktif şekilde uygulaması gerekir.

Çalışan verileri yalnızca insan kaynakları departmanını ilgilendirmez. Muhasebe, bilgi işlem, güvenlik, hukuk ve operasyon ekipleri de farklı veri kategorileri üzerinde işlem yapar. Bu nedenle süreç bütüncül şekilde yönetilmelidir.

Çalışan Verileri Neden Risk Oluşturur?

Eski çalışan verileri çoğu zaman şirket sistemlerinde görünmez bir yük haline gelir. Kullanılmayan hesaplar, pasif erişim yetkileri ve arşivlenmiş belgeler siber saldırılar için ciddi açıklar oluşturur. Özellikle eski e-posta hesaplarının kapatılmaması kurumsal güvenliği doğrudan tehdit eder.

Şirketler genellikle şu verileri uzun süre saklar:

  • Kimlik bilgileri
  • SGK ve bordro kayıtları
  • Performans değerlendirmeleri
  • Kamera kayıtları
  • E-posta yazışmaları
  • IP ve log kayıtları
  • Sağlık raporları
  • Disiplin süreçlerine ait belgeler
  • İzin kayıtları
  • Eğitim belgeleri

Bu verilerin önemli bir kısmı özel nitelikli kişisel veri kapsamına girer. Özellikle sağlık verileri ve disiplin kayıtları ekstra koruma gerektirir.

Veri ihlallerinin önemli bölümü unutulmuş hesaplardan kaynaklanır. Uluslararası siber güvenlik raporlarına göre şirketlerdeki eski kullanıcı hesaplarının yaklaşık %20’si aktif kalmaya devam ediyor. Bu durum saldırganların sistemlere yetkisiz erişim sağlamasını kolaylaştırıyor.

Holographic display shows 202603291043Veri Saklama Süreleri Nasıl Belirlenir?

Her veri sonsuza kadar saklanamaz. Şirketlerin saklama süresini belirlerken mevzuata, işleme amacına ve hukuki yükümlülüklere göre hareket etmesi gerekir.

Aşağıdaki tablo çalışan verileri için yaygın saklama sürelerini özetler:

Veri Türü Önerilen Saklama Süresi Dayanak / Açıklama
Özlük Dosyaları 10 yıl SGK, TTK, iş uyuşmazlıkları
Sistem Erişim Yetkileri İşten ayrılışta derhal kaldırma Bilgi güvenliği yükümlülüğü
Kamera Kayıtları Genellikle 30–90 gün Amaçla sınırlılık ilkesi
Log Kayıtları Genellikle 1–2 yıl Bilgi güvenliği ve denetim
İş Başvuruları 6 ay – 1 yıl Aday havuzu / açık rıza
Kurumsal E-posta Verileri Politika ve hukuki ihtiyaç süresince Delil ve iş sürekliliği
Sağlık Belgeleri En az 15 yıl (duruma göre daha uzun) İSG mevzuatı

Şirketler bu süreleri belirlerken yalnızca KVKK’ya değil; İş Kanunu, Türk Ticaret Kanunu, Vergi Usul Kanunu ve SGK mevzuatına da dikkat etmelidir.

Eski Çalışan Verilerinin Silinmemesi Hangi Sorunlara Yol Açar?

Eski Çalışan Verilerinin Silinmemesi yalnızca teknik bir eksiklik değildir. Bu durum doğrudan hukuki ve finansal sonuçlar doğurur.

KVKK İhlalleri ve İdari Para Cezaları

Kişisel Verileri Koruma Kurumu, gereksiz veri saklayan şirketlere ciddi yaptırımlar uygulayabilir. Özellikle veri minimizasyonu ilkesine aykırı davranan şirketler inceleme altına alınır.

Şirket şu durumlarda risk altına girer:

  • Saklama süresi dolmasına rağmen veriyi tutmaya devam etmek
  • Çalışan hesabını pasif bırakmak
  • Silme taleplerini yanıtsız bırakmak
  • Veri imha kayıtlarını tutmamak
  • Gereksiz yedekleme yapmak

KVKK kapsamında veri güvenliğine ilişkin yükümlülüklerin ihlali milyonlarca liralık cezalara neden olabilir.

Siber Güvenlik Riskleri

Pasif kullanıcı hesapları hackerlar için kolay hedef oluşturur. Özellikle eski çalışanlara ait VPN erişimleri veya e-posta hesapları saldırganların sisteme giriş noktası olabilir.

Siber saldırılarda sık görülen riskler şunlardır:

  • Yetkisiz erişim
  • Veri sızıntısı
  • Fidye yazılımı saldırıları
  • İç tehditler
  • Kurumsal bilgi hırsızlığı

Birçok veri ihlalinde saldırganların eski kullanıcı hesaplarını kullandığı görülür.

Kurumsal İtibar Kaybı

Çalışan verilerinin sızdırılması yalnızca hukuki sorun yaratmaz. Aynı zamanda marka güvenilirliğini de ciddi şekilde zedeler.

Özellikle insan kaynakları verilerinin internete düşmesi şu sonuçlara yol açabilir:

  • Çalışan güveninin azalması
  • İşveren markasının zarar görmesi
  • Medyada olumsuz haberler
  • Müşteri kaybı
  • Ticari ortaklıkların zayıflaması

Modern şirketler için veri güvenliği artık yalnızca IT konusu değildir. Kurumsal itibarı doğrudan etkileyen stratejik bir konudur.

Şirketler Veri İmha Sürecini Nasıl Yönetmeli?

Veri imha süreci plansız şekilde yürütülemez. Şirketlerin yazılı politika oluşturması gerekir. Ayrıca bu süreç düzenli denetlenmelidir.

Etkili bir veri imha süreci şu aşamalardan oluşur:

  • Veri envanteri oluşturma
  • Saklama sürelerini belirleme
  • Yetki matrisini güncelleme
  • Periyodik imha planı hazırlama
  • İmha kayıtlarını tutma
  • Teknik ve idari tedbir alma
  • Personel farkındalık eğitimi verme

Şirketler özellikle bilgi işlem departmanıyla insan kaynakları ekipleri arasında koordinasyon sağlamalıdır.

Elektronik Ortamlardaki Verilerin Silinmesi

Dijital sistemlerde veri silmek yalnızca “delete” tuşuna basmak değildir. Çünkü birçok veri yedek sistemlerde varlığını sürdürür.

Şirketlerin aşağıdaki alanları kontrol etmesi gerekir:

  • Sunucular
  • Bulut sistemleri
  • E-posta arşivleri
  • CRM sistemleri
  • ERP yazılımları
  • Mobil cihazlar
  • Harici diskler
  • Yedekleme sistemleri

Özellikle Office365, Google Workspace ve bulut tabanlı platformlarda kullanıcı hesaplarının tamamen kapatılması önem taşır.

Bazı şirketler yalnızca kullanıcı erişimini kaldırır ancak veriyi sistemde tutmaya devam eder. Bu yaklaşım KVKK açısından yeterli kabul edilmez.

Fiziksel Evrakların Güvenli Şekilde İmhası

Kâğıt ortamındaki çalışan verileri de ciddi risk taşır. Özellikle eski özlük dosyalarının kontrolsüz arşivlerde tutulması veri ihlallerine neden olabilir.

Fiziksel evrakların imhasında şu yöntemler kullanılır:

  • Evrak öğütme makineleri
  • Yakma işlemi
  • Parçalama
  • Karartma
  • Fiziksel yok etme

Şirketler imha işlemini tutanak altına almalıdır. Ayrıca kimlerin sürece dahil olduğunu kayıt altına almak gerekir.

Anonimleştirme Ne Zaman Tercih Edilir?

Bazı durumlarda şirketler veriyi tamamen silmek yerine anonim hale getirir. Özellikle istatistiksel analizlerde bu yöntem avantaj sağlar.

Anonimleştirme sayesinde:

  • Kimlik bilgileri kaldırılır
  • Veri analiz için kullanılabilir kalır
  • Kişiyle ilişki kesilir
  • Hukuki risk azaltılır

Şirketler şu yöntemleri kullanabilir:

  • Veri maskeleme
  • Bölgesel gizleme
  • Gürültü ekleme
  • K-anonimlik
  • Veri değiş-tokuşu

Ancak anonimleştirilen verinin tekrar kişiyle ilişkilendirilememesi gerekir. Bu nokta kritik önem taşır.

İnsan Kaynakları Departmanının Sorumlulukları

İnsan kaynakları birimi veri saklama süreçlerinin merkezinde yer alır. Ancak birçok şirkette İK ekipleri veri güvenliği konusunda yeterli teknik bilgiye sahip değildir.

İK departmanının temel sorumlulukları şunlardır:

  • Saklama sürelerini takip etmek
  • İşten ayrılan çalışan kayıtlarını kontrol etmek
  • Veri silme taleplerini yönetmek
  • Güncel envanter oluşturmak
  • Açık rıza süreçlerini yönetmek
  • Departman koordinasyonunu sağlamak

İnsan kaynakları ekiplerinin düzenli KVKK eğitimi alması büyük önem taşır.

Uzman İpucu

İşten ayrılan çalışanların erişim yetkilerini aynı gün kapatın.

Birçok veri ihlali, ayrılan personelin sistem erişiminin devam etmesinden kaynaklanır. E-posta, VPN, ERP, CRM ve şirket içi yazılımlardaki kullanıcı hesaplarını otomatik süreçlerle kapatmak ciddi riskleri azaltır.

Ayrıca kullanıcı hesabı kapatıldıktan sonra şu kontrolleri yapın:

  • Yetki devri tamamlandı mı?
  • Yedek erişimler kaldırıldı mı?
  • Mobil cihaz erişimi iptal edildi mi?
  • Bulut oturumları sonlandırıldı mı?
  • Harici paylaşım bağlantıları kapatıldı mı?

Dikkat Edilmesi Gerekenler

Yedeklenen veriler de KVKK kapsamındadır.

Birçok şirket aktif sistemlerden veriyi silse bile yedeklerde aynı veriyi saklamaya devam eder. Bu durum hukuki risk yaratır.

Şu alanlar sık unutulur:

  • Bulut yedekleri
  • Mail archive sistemleri
  • NAS cihazları
  • Felaket kurtarma merkezleri
  • Test ortamları

Veri imha politikası tüm dijital altyapıyı kapsamalıdır.

Sık Yapılan Hatalar

E-posta Hesaplarını Süresiz Açık Tutmak

Birçok şirket eski çalışanın e-posta hesabını aylarca kapatmaz. Bu durum hem güvenlik açığı oluşturur hem de gereksiz veri saklamaya neden olur.

Tüm Verileri Süresiz Arşivlemek

“Lazım olur” düşüncesiyle veri saklamak KVKK’ya aykırıdır. Şirketler yalnızca gerekli verileri saklamalıdır.

İmha Kayıtlarını Tutmamak

Silme işlemi yapıldığında bunun kayıt altına alınması gerekir. Denetimlerde şirketlerden imha kanıtı talep edilebilir.

Departmanlar Arasında Koordinasyon Kurmamak

İK, IT ve hukuk departmanlarının birlikte çalışmaması veri yönetimini zayıflatır.

Açık Rıza ile Yasal Yükümlülüğü Karıştırmak

Bazı veriler açık rıza olmadan da saklanabilir. Ancak yasal zorunluluk ortadan kalktığında verinin tutulması hukuka aykırı hale gelir.

Veri Güvenliği İçin Teknik Tedbirler

Modern şirketler yalnızca politika hazırlayarak güvenlik sağlayamaz. Teknik önlemler de aktif şekilde uygulanmalıdır.

Önerilen güvenlik önlemleri şunlardır:

  • Çok faktörlü kimlik doğrulama
  • Şifreleme sistemleri
  • Erişim loglarının takibi
  • Yetki matrisi yönetimi
  • Veri sınıflandırması
  • Otomatik silme politikaları
  • SIEM sistemleri
  • DLP çözümleri

Özellikle büyük ölçekli şirketlerde otomatik imha sistemleri ciddi avantaj sağlar.

Periyodik İmha Süreci Neden Önemlidir?

KVKK Yönetmeliği periyodik imha kavramını açık şekilde düzenler. Şirketler belirli aralıklarla veri kontrolü yapmalıdır.

Bu süreç sayesinde:

  • Gereksiz veriler temizlenir
  • Riskler azaltılır
  • Sistem performansı artar
  • Hukuki uyum sağlanır
  • Siber güvenlik güçlenir

Periyodik imha süreçleri genellikle 6 aylık veya yıllık planlarla yürütülür.

Eski Çalışan Verilerinin Silinmemesi, günümüz şirketleri için önemli bir uyum ve güvenlik problemidir. Gereğinden uzun süre saklanan çalışan verileri; KVKK ihlalleri, veri sızıntıları, siber saldırılar ve itibar kayıpları gibi ciddi sonuçlar doğurabilir.

Şirketlerin yalnızca veri toplama süreçlerine değil, veri silme ve imha süreçlerine de aynı hassasiyetle yaklaşması gerekir. Etkili bir veri saklama ve imha politikası oluşturan işletmeler hem hukuki riskleri azaltır hem de kurumsal güvenliğini güçlendirir.

Sürdürülebilir veri yönetimi için düzenli denetim, teknik güvenlik önlemleri ve departmanlar arası koordinasyon kritik önem taşır.

Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin

Sık Sorulan Sorular

Saklama süresi veri türüne ve ilgili mevzuata göre değişir. İnsan kaynakları süreçlerinde birçok belge için 10 yıllık saklama süresi uygulanır.

Evet. Şirket güvenliği açısından erişim yetkileri mümkün olan en kısa sürede kaldırılmalıdır. Bazı durumlarda kısa süreli yönlendirme uygulanabilir.

Her zaman değil. Şirketler bazı verileri anonim hale getirerek istatistiksel amaçlarla kullanmaya devam edebilir.

KVKK kapsamında veri sorumluları başvuruları en geç 30 gün içinde sonuçlandırmalıdır.

admin

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir