Uzaktan ve Sahada Çalışma ve KVKK GDPR Uyum denetimi

Uzaktan ve sahada çalışma artık sadece işin nerede görüldüğü meselesi değil; verinin nerede tutulduğu, kim tarafından erişildiği ve hangi hukuki zeminde aktarıldığı meselesi. KVKK’nın 2 Ocak 2025 tarihli yurt dışına aktarım rehberi ile yurt dışına aktarım sayfası birlikte okunduğunda, verinin yurt dışındaki alıcıya iletilmesi veya erişilebilir hâle getirilmesinin aktarım sayılabildiği; yurt dışındaki bir bulutta depolamanın da belirli şartlarda bu kapsama girebildiği açıkça görülüyor.

Bu nedenle mesajlaşma, CRM, saha servis, ticketing, rota-planlama veya İK uygulamalarına artık sadece “verimli mi?” diye bakmak yetmiyor. Aynı soruya şu ek geliyor: “Bu araçta hangi kişisel veriler işleniyor, kim erişiyor, veri yurt dışına açılıyor mu, uygun güvence ne, standart sözleşme doğru mu?” Nitekim 5 Şubat 2025 tarihli KVKK duyurusu, standart sözleşmelerde imza yetkisi, taraf bilgileri ve beş iş günü içinde bildirim gibi kritik hata alanlarını ayrıca sıralıyor.

İş hukuku boyutu da aynı derecede önemli. Uzaktan Çalışma Yönetmeliği, yazılı sözleşmede işin yeri ve süresi, ekipman, iletişim yöntemi ve veri korunmasına ilişkin çerçevenin kurulmasını; işverenin de gerekli veri koruma tedbirlerini, ekipman güvenliğini ve İSG eğitimini sağlamasını öngörüyor. Başka bir ifadeyle mesele sadece BT’nin değil; İK, hukuk, veri güvenliği ve teknoloji ekiplerinin ortak tasarım alanı.

Üstelik risk artık soyut değil. KVKK’nın 2024 faaliyet bilgi notu, 281 veri ihlali bildirimi, 552 milyon 668 bin TL idari para cezası ve 1.345 standart sözleşme bildirimini raporluyor. Karşılaştırmalı olarak Microsoft Digital Defense Report 2025 ile IBM X-Force 2025 da geçerli hesapların kötüye kullanımı ile dış uzaktan erişim yüzeylerinin hâlâ temel saldırı giriş noktaları arasında yer aldığını gösteriyor. Bugün asıl soru, şirketin uzaktan ve saha çalışma modelini yalnızca işletip işletmediği değil; onu gerçekten güvenli şekilde ve belgelendirerek yönetip yönetmediğidir.

Dört ayaklı yönetişim ve uyum haritası

• İK + hukuk — Risk: Uzaktan/saha rollerine ilişkin ek protokoller güncel değilse; çalışma zamanı, iletişim penceresi, ekipman teslimi, masraf kalemleri ve fazla çalışma konusu sonradan ispat ve sorumluluk problemine dönüşür.

Aksiyon: Uzaktan/saha görevleri için iş sözleşmesi eklerini, ekipman zimmetlerini, iletişim saatlerini ve işyeri dışı çalışma kurallarını yazılı ve çalışan bazında güncelleyin.

• Hukuk + teknoloji — Risk: HRIS, CRM, servis yönetimi, rota-planlama ve dosya paylaşım araçlarında veri akışı haritası yoksa, şirket fark etmeden yurt dışına erişilebilir veri işliyor olabilir.

Aksiyon: Veri kategorisi, alıcı, ülke, alt işleyen, erişim yolu ve saklama süresi bazında veri akış envanteri çıkarın; uygun güvenceyi seçin; standart sözleşme imza ve bildirim sürecini kurumsal workflow haline getirin.

• Veri güvenliği + teknoloji — Risk: Uzaktan erişim, haricî tedarikçi erişimi, MFA eksikleri, paylaşılan yönetici hesapları ve zayıf loglama; uzak iş gücü büyüdükçe temel saldırı yüzeyi hâline gelir.

Aksiyon: MFA, koşullu erişim, MDM, ayrıcalıklı erişim gözden geçirmesi, imkânsız seyahat ve anomali uyarıları, kimlik-kullanıcı eşleştirmesi ve periyodik yetki recertification süreçlerini standartlaştırın.

• Hukuk + veri güvenliği + İK — Risk: Konum takibi, araç içi kamera, ekran izleme cihaz veya mobil uygulama log’larında gereklilik ve ölçülülük testi yapılmadığında verimlilik aracı kolayca çalışan gözetimi problemine döner.

Aksiyon: Her gözetim aracında amaç, daha az müdahaleci alternatif, saklama süresi, aydınlatma metni, erişim yetkisi ve kayıt altına alınmış meşru menfaat/denge testi oluşturun.

• Dört ayağın ortak yönetişimi — Risk: Uyum dağınık yönetildiğinde olay anında neyin iş hukuku, neyin veri aktarımı, neyin erişim ihlali olduğu geç fark edilir; kanıt ve karar izi oluşmaz.

Aksiyon: İK, hukuk, veri güvenliği ve teknoloji temsilcilerinden oluşan bir komitenin; yeni araç seçimi, tedarikçi değişikliği, saha uygulaması, veri ihlali ve çalışan şikâyetini tek risk panosunda izlemesini sağlayın.