Yapay Zeka Araçları ve Çalışan Verileri: KVKK Yükümlülükleri

Türkiye'de faaliyet gösteren işletmeler — Antalya'daki yabancı sermayeli şirketler dahil — giderek artan ölçüde yapay zekâ araçlarına başvuruyor. Verimlilik izleme yazılımları, yapay zekâ destekli yazışma asistanları, otomatik planlama sistemleri ve performans analiz platformları artık pek çok işyerinin rutinine girdi. Ne var ki bu araçlar çalışanlara ait verileri işlemeye başlar başlamaz 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) devreye girer. Yükümlülüklerin karşılanmaması, Kurul cezalarına, çalışan şikâyetlerine ve ciddi itibar kayıplarına yol açabilir. KVKK'nın genel çerçevesi hakkında ayrıntılı bilgi için KVKK uyumu ve veri koruma yükümlülükleri başlıklı yazımıza bakabilirsiniz.

Yapay Zeka Araçları Hangi Çalışan Verilerini İşler?

Çoğu işverenin tahmin ettiğinden çok daha geniş bir veri havuzu söz konusu. Günümüzde yaygın kullanılan yapay zekâ araçları; ad ve iletişim bilgileri, e-posta yazışma verisi (kimin kiminle ne zaman iletişim kurduğu), cihaz kullanım kayıtları, verimlilik puanları, uzaktan çalışanların konum verileri ve bazı durumlarda biyometrik veriler — yüz tanımalı mesai sistemleri, ses transkripsiyon araçları veya giyilebilir cihaz verileri — işleyebilir.

Biyometrik veriler KVKK açısından özel bir kategori oluşturur. Kanunun 6. maddesi uyarınca biyometrik ve genetik veriler özel nitelikli kişisel veri sayılır ve işlenmesi kural olarak yasaktır. Bu yasağın kalkması için açık rızanın ya da kanunda öngörülen dar istisnalardan birinin varlığı gerekir; bunun yanı sıra Kişisel Verileri Koruma Kurulu'nun belirlediği yeterli güvenlik önlemlerinin de alınması zorunludur. Yüz tanıma tabanlı karteks sistemi veya yapay zekâlı ses analizi uygulamak isteyen işverenlerin bu gereklilikleri önceden karşılaması gerekir.

KVKK'da Doğru Hukuki Dayanak Nedir?

KVKK'nın 5. maddesi, herhangi bir kişisel verinin işlenebilmesi için geçerli bir hukuki dayanağın varlığını şart koşar. Açık rıza teorik olarak bir seçenek olmakla birlikte iş ilişkisinin yapısı gereği hukuki güvenilirliği sınırlıdır: Çalışan, işverenin isteğini özgür iradesiyle reddedemeyebileceğinden alınan rıza gerçek anlamda "özgür" kabul edilmeyebilir.

İşyerinde yapay zekâ uygulamaları için daha sağlam hukuki dayanaklar şunlardır:

• Sözleşmenin ifası (m. 5/2/c): İş sözleşmesinin kurulması veya yürütülmesi için doğrudan gerekli veriler — bordro işlemleri bu kapsamın tipik örneğidir.
• Hukuki yükümlülük (m. 5/2/ç): İş mevzuatı, iş sağlığı ve güvenliği mevzuatı ya da vergi mevzuatının zorunlu kıldığı veri işleme faaliyetleri.
• Meşru menfaat (m. 5/2/f): İşverenin operasyonel meşru menfaati; ancak bu dayanağın geçerli olabilmesi için veri işlemenin çalışanın temel hak ve özgürlüklerine zarar vermemesi ve orantılılık testinin yapılarak belgelenmesi gerekir. Verimlilik izleme uygulamalarında en sık başvurulan dayanak budur.

Pratik sonuç: Rutin yapay zekâ izleme uygulamalarında yalnızca çalışan rızasına dayanan bir strateji KVKK açısından risklidir. Kurumsal bir hukuki dayanak belirleyin ve gerekçesini belgeleyin.

Sistemi Devreye Almadan Önce Aydınlatma Yükümlülüğü

Çalışan verilerini işleyecek herhangi bir yapay zekâ aracı devreye alınmadan önce KVKK'nın 10. maddesi uyarınca veri sorumlusu olarak çalışanları bilgilendirmeniz zorunludur. Bu bilgilendirme; veri sorumlusunun kimliğini, verilerin hangi amaçla işleneceğini, kimlere aktarılabileceğini, hangi yöntemle ve hangi hukuki dayanağa göre toplandığını, ayrıca 11. maddedeki çalışan haklarını kapsamalıdır.

Buna göre işyeri aydınlatma metninizi ilgili yapay zekâ aracına özgü biçimde güncellemeniz gerekir; standart genel ifadeler madde 10'u karşılamaz. Aydınlatma metni ile açık rıza belgesi arasındaki farkı netleştirmek için KVKK'da aydınlatma yükümlülüğü ile açık rıza ayrımı başlıklı yazımıza başvurabilirsiniz. Araç, çalışan verilerini Türkiye dışına aktarıyorsa bu aktarım da ayrı bir hukuki temele dayandırılmalı ve yurt dışına veri aktarımı kuralları çerçevesinde değerlendirilmelidir.

Çalışanların Vazgeçemeyeceği Haklar

KVKK'nın 11. maddesi, her veri sahibine — çalışanlar dahil — iş sözleşmesiyle ortadan kaldırılamayacak haklar tanır. Bu haklar; verilerin işlenip işlenmediğini öğrenme, işleniyorsa bilgi talep etme, hatalı verilerin düzeltilmesini isteme ve hukuki dayanağın ortadan kalktığı durumlarda silinme hakkını kapsar.

Yapay zekâ ortamında özellikle öne çıkan bir hak şudur: münhasıran otomatik sistemler vasıtasıyla analiz edilen verilere dayalı kararlara itiraz hakkı (m. 11/g). Performans değerlendirmesi, disiplin işlemi ya da iş akdinin feshi önerisi yalnızca bir algoritmanın çıktısına dayanıyor ve insan müdahalesi olmaksızın hayata geçiriliyorsa etkilenen çalışan bu hakkını kullanabilir. Böyle bir durumda işveren hem KVKK hem de iş hukuku açısından sorumlulukla karşı karşıya kalabilir. Bu durum, insan kaynakları süreçlerinde yapay zekânın kullanılamayacağı anlamına gelmiyor; önemli kararların hayata geçirilmeden önce mutlaka insan onayından geçmesi gerektiği anlamına geliyor.

Sıkça Sorulan Sorular

S: Çalışanların açık rızasını alarak yapay zekâ izlemeyi hukuki güvence altına alabilir miyiz?

Yalnızca açık rızaya dayanmak risklidir. İş ilişkisindeki güç dengesizliği nedeniyle çalışandan alınan rıza KVKK kapsamında gerçek anlamda özgür irade sayılmayabilir. Meşru menfaat veya hukuki yükümlülük gibi nesnel dayanaklar genellikle daha sağlam bir zemin oluşturur.

S: Çalışan yazışmalarını işleyen ABD merkezli bir yapay zekâ servisi kullanıyoruz. KVKK uygulanır mı?

Evet. Verileri işlenen çalışanların Türkiye'de bulunması hâlinde KVKK uygulanır; aracın sağlayıcısının nerede olduğu fark etmez. Bunun yanı sıra yurt dışına veri aktarımı için de ayrıca uyum gereklidir.

S: Yapay zekânın ürettiği performans puanına çalışan itiraz edebilir mi?

KVKK m. 11/g uyarınca evet: Puan münhasıran otomatik sistemler tarafından oluşturulduysa ve ikramiye kısıtlaması veya disiplin kararı gibi somut bir sonuca yol açıyorsa, karar hayata geçirilmeden önce insan denetimi zorunludur.

S: Yüz tanımalı mesai takip sistemi kurmak için ne yapmalıyız?

Yüz tanıma, KVKK m. 6 kapsamında biyometrik veri işleme sayılır. Açık rıza ya da kanundaki dar istisnaların varlığı, Kurul'un öngördüğü güvenlik tedbirleri ve m. 10 kapsamında aydınlatma zorunludur.

Mona Hukuk Nasıl Yardımcı Olabilir

Mona Hukuk, Antalya merkezli faaliyetiyle işyerinde yapay zekâ araçlarının kullanımına ilişkin KVKK uyumu, aydınlatma metni hazırlanması, hukuki dayanak tespiti ve Kurul süreçlerinin yönetimi konularında işveren ve çalışanlara danışmanlık vermektedir.

Antalya'da bir danışmanlık için info@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.