Uzaktan çalışma modeli artık birçok sektör için geçici bir çözüm olmaktan çıktı; kalıcı iş yapış modeline dönüştü. Özellikle sağlık danışmanlığı, hukuk hizmetleri, muhasebe, yazılım, çağrı merkezi operasyonları ve veri işleyen kurumsal şirketlerde uzaktan çalışan personel sayısı hızla artıyor.

Ancak uzaktan çalışma beraberinde çok kritik bir soruyu getiriyor:

Evden çalışan personelin kişisel verilere erişimini nasıl kontrol edeceksiniz?
Şirket verilerinin hukuka uygun işlendiğini nasıl denetleyeceksiniz?
Çalışanı denetlerken çalışan mahremiyetini nasıl koruyacaksınız?

İşte burada 6698 sayılı Kişisel Verilerin Korunması Kanunu devreye giriyor.

Kısa cevap şu:
Evet, uzaktan çalışanları KVKK’ya uygun şekilde denetlemek mümkündür.
Ancak bunun için hukuki, teknik ve operasyonel çerçevenin doğru kurulması gerekir.

---

Uzaktan Çalışma KVKK Açısından Neden Risklidir?

Ofis ortamında veriler belirli güvenlik katmanlarıyla korunabilir:

• Kurumsal ağ
• Güvenlik duvarı
• Fiziksel erişim kontrolü
• Kamera sistemleri
• IT denetimi

Ancak çalışan evden bağlandığında kontrol alanı ciddi ölçüde azalır.

Riskler artar:

• Ortak Wi-Fi kullanımı
• Kişisel bilgisayardan erişim
• Yetkisiz ekran görünürlüğü
• Ekran görüntüsü alınması
• USB ile veri kopyalama
• Bulut sistemlere kontrolsüz erişim
• Aile bireylerinin cihazı kullanması

Bu durum veri güvenliğini zayıflatabilir.

---

Çalışanları İzlemek ile KVKK’ya Uygun Denetlemek Aynı Şey Değildir

Burada önemli ayrım şudur:

Amaç çalışanı gizlice izlemek değildir.
Amaç kişisel verilerin güvenliğini sağlamaktır.

KVKK’ya uygun denetim:

• Şeffaf olmalı
• Önceden bilgilendirme yapılmalı
• Ölçülü olmalı
• Amaca uygun olmalı
• Gereksiz veri toplamamalı

Yani 24 saat kamera açtırmak veya çalışan bilgisayarını habersiz takip etmek hukuki risk oluşturabilir.

---

Uzaktan Çalışanlar Nasıl KVKK’ya Uygun Denetlenir?

Erişim Yetkilendirme Sistemi Kurulmalı

Herkes her veriye ulaşmamalıdır.

Örnek:

• Sekreter yalnızca randevu ekranına erişmeli
• Muhasebe yalnızca ödeme kayıtlarını görmeli
• Klinik asistanı yalnızca ilgili hasta verisine erişebilmeli

Bu sistem “asgari yetki prensibi” ile kurulur.

---

VPN ve Güvenli Bağlantı Kullanılmalı

Kurumsal sistemlere doğrudan açık internet üzerinden erişim risklidir.

Bu nedenle:

• VPN bağlantısı
• Şifreli veri akışı
• Çok faktörlü kimlik doğrulama

kullanılmalıdır.

---

Log Kayıtları Tutulmalı

Kim, ne zaman, hangi veriye erişti?

Bu kayıtlar tutulmalıdır.

Bu sayede:

• Şüpheli hareketler tespit edilir
• İhlal durumunda delil oluşur
• İç denetim yapılabilir

---

Kurumsal Cihaz Politikası Oluşturulmalı

Çalışan mümkünse kişisel cihaz değil, kurumsal cihaz kullanmalıdır.

Kurumsal cihazlarda:

• Disk şifreleme
• Antivirüs
• Erişim politikaları
• USB engeli
• Uzak silme özelliği

olmalıdır.

---

Gizlilik Taahhütnamesi İmzalanmalı

Uzaktan çalışan personel:

• veriyi paylaşmama,
• üçüncü kişilere göstermeme,
• ekranı koruma,
• güvenli saklama

konularında yazılı yükümlülük altına alınmalıdır.

---

Düzenli KVKK Eğitimi Verilmeli

En büyük açık çoğu zaman insan faktörüdür.

Çalışanlara öğretilmelidir:

• Ekran kilitleme alışkanlığı
• Güçlü parola kullanımı
• Phishing saldırıları
• Veri paylaşım sınırları
• Güvenli dosya aktarımı

---

Sağlık Kuruluşlarında Risk Daha Büyük

Kliniklerde uzaktan çalışanlar:

• çağrı merkezi personeli
• online danışmanlık ekipleri
• muhasebe personeli
• CRM yöneticileri
• dijital pazarlama ekipleri

olabilir.

Bu kişiler hasta bilgilerine erişiyorsa risk büyür.

Çünkü işlenen veri çoğu zaman özel nitelikli kişisel veridir.

Bu durumda güvenlik standardı yükselmelidir.

---

İşveren Çalışanı Ne Kadar İzleyebilir?

Bu çok kritik bir konudur.

İşveren:

• sistem erişim loglarını,
• işlem kayıtlarını,
• güvenlik alarm hareketlerini

takip edebilir.

Ancak:

• özel mesajları okumak,
• mikrofon dinlemek,
• habersiz ekran kaydı almak,
• sürekli webcam izlemek

hukuki sorun yaratabilir.

Denetim ölçülü olmalıdır.

---

En Sık Yapılan Hatalar

Şirketlerin yaptığı hatalar:

• Kişisel cihaz kullanımına izin vermek
• Ortak bilgisayardan giriş yaptırmak
• USB kopyalamaya izin vermek
• Log tutmamak
• Yetki sınırı koymamak
• Çalışanı bilgilendirmeden takip etmek

Bu hatalar ciddi veri ihlallerine neden olabilir.

---

Profesyonel KVKK Danışmanlığı Neden Önemli?

Uzaktan çalışma politikası:

• IT altyapısı,
• insan kaynakları,
• hukuki süreçler,
• veri güvenliği

birlikte planlanarak kurulmalıdır.

Profesyonel danışmanlık ile:

• risk analizi yapılır
• politika oluşturulur
• çalışan sözleşmeleri hazırlanır
• teknik denetim altyapısı kurulur
• KVKK uyumu sağlanır

---

Sıkça Sorulan Sorular

Çalışanın bilgisayar hareketleri izlenebilir mi?

Belirli sınırlar içinde, önceden bilgilendirme yapılarak güvenlik amacıyla takip mümkündür.

İşveren ekran görüntüsü alabilir mi?

Amaç, kapsam ve bilgilendirme unsurlarına göre değerlendirilir. Sürekli ve habersiz kayıt hukuki risk oluşturabilir.

Ev interneti kullanmak riskli mi?

Güvenlik önlemi alınmazsa evet.

Kişisel laptop üzerinden hasta verisine erişmek uygun mu?

Yüksek risklidir. Kurumsal cihaz tercih edilmelidir.

Uzaktan çalışan sekreter hasta bilgisi görebilir mi?

Görev tanımı kapsamında gerekiyorsa sınırlı erişim verilebilir.

---

Sonuç

Uzaktan çalışmak KVKK açısından yasak değildir.
Kontrolsüz uzaktan çalışma ise ciddi risk oluşturur.

Doğru altyapı kurulduğunda:

• çalışan verimli olur,
• veri güvenliği korunur,
• şirket hukuki risklerden uzaklaşır.

Önemli olan çalışanı izlemek değil, veri işleme sürecini güvenli hale getirmektir.