Çalışan Performansı ve Personel Verilerinde AI Kullanımı Yasal mı? (Dosya Verme, Analiz, Kayıt, Profil ve KVKK Riskleri – 2026)
İK ekiplerinde artık şu uygulamalar çok yaygın: çalışan performans raporlarının AI ile analiz edilmesi,
CV + performans + geri bildirim dosyalarının AI aracına yüklenmesi, “bu çalışan riskli mi?” gibi çıktılar alınması ve
bazı araçların verileri kendi sistemlerinde saklaması.
KVKK açısından asıl risk bu pratiklerde başlar.
KVKK’nın sorusu: “Bu veri nereye gitti, kim erişti, ne kadar kaldı, ne amaçla kullanıldı?”
1️⃣ Personel Dosyası Nedir? (KVKK Açısından)
“Personel dosyası” tipik olarak şu içerikleri barındırır:
- Kimlik bilgileri, iletişim bilgileri
- CV, eğitim/sertifika kayıtları
- Performans değerlendirme formları
- Yönetici yorumları ve geri bildirim notları
- Disiplin süreçleri, tutanaklar
- Devamsızlık, hedef, prim/bonus bilgileri
Bunların tamamı kişisel veri niteliğindedir.
Performans, disiplin ve davranış temelli kayıtlar ise çoğu senaryoda yüksek riskli veri seti olarak değerlendirilir
(kişinin iş hayatını ve ekonomik geleceğini doğrudan etkileyebilir).
2️⃣ Risk Haritası: “Dosya Verme – Analiz – Kayıt – Profil – Karar” Zinciri
AI kullanımında risk genellikle şu zincirde büyür:
- Dosyayı AI’ya verme (PDF/Excel/Word yükleme, metin kopyalama)
- Analiz/yorum (özet, yorum, risk tespiti, potansiyel değerlendirme)
- Kaydetme/saklama (araç veriyi tutuyor mu?)
- Profil/puan (skor, segment, “riskli”, “yüksek potansiyel” etiketi)
- Karara etki (terfi/prim/işten çıkarma süreçlerinde kullanma)
uyum yükü ve ispat gereksinimi katlanarak artar.
3️⃣ SENARYO 1 — “Personel Performans Dosyasını AI Aracına Yükledik”
Örnek: İK uzmanı bir çalışanın performans formunu, yönetici yorumlarını ve hedef tablolarını tek PDF yaptı.
AI aracına yükleyip şu soruyu sordu:
“Bu çalışanın performans seviyesi ve terfi potansiyeli nedir?”
| Kriter | Değerlendirme |
|---|---|
| Kişisel veri var mı? | ✅ |
| Analiz / yorum var mı? | ✅ |
| Profil oluşturma / sınıflandırma var mı? | ✅ |
| Kişi aleyhine sonuç doğabilir mi? | ✅ |
Bu senaryo yüksek riskli bir veri işleme faaliyetidir. Çünkü “performans” verisi üzerinden AI’nın
yorum üretmesi ve bunun karar süreçlerine etki etmesi kuvvetle muhtemeldir.
- Veri minimizasyonu yapılmadan “tam dosya” yüklenmesi
- Çıktının terfi/prim/işten çıkarma kararlarına etkisi
- Aracın yurt dışı altyapısı veya belirsiz saklama politikası
4️⃣ SENARYO 2 — “AI Aracı Verileri Kendi Sisteminde Kaydediyor”
Örnek: AI aracının kullanım şartlarında “girilen veriler hizmet geliştirme amacıyla saklanabilir” benzeri bir ifade var.
İK, personel performans verisini yüklüyor ve araç bu verileri kendi ortamında tutabiliyor.
Bu durum artık sadece “analiz” değil; saklama ve potansiyel olarak yeniden kullanım riskini doğurur.
KVKK açısından kritik soru: saklama süresi, erişim yetkileri ve kullanım amaçları kontrol edilebilir mi?
Kontrol dışı saklama, amaçla sınırlılık ve veri güvenliği yönünden ciddi risk üretir.
5️⃣ SENARYO 3 — “AI Performans Skoru Üretiyor ve Karar Sürecine Giriyor”
Örnek çıktı: “Bu çalışan düşük performanslı, risklidir, motivasyonu zayıf.”
Bu çıktı terfi/prim değerlendirmesinde veya işten çıkarma sürecinde kullanılıyor.
Bu tablo, pratikte profil oluşturma + otomatik değerlendirme niteliği taşır.
Çıktı “öneri” olmaktan çıkıp “karar” haline gelirse risk maksimuma çıkar.
çalışan itiraz edince hangi mekanizma çalışıyor, insan incelemesi var mı?”
6️⃣ SENARYO 4 — “Anonimleştirdik” Sanılan Dosya (Dolaylı Tanımlanabilirlik Riski)
Örnek: İK isimleri sildi; ancak dosyada pozisyon, departman, kıdem, performans notları ve belirli olay anlatımları var.
Küçük bir ekipte bu bilgilerle kişi dolaylı olarak belirlenebilir.
Özellikle küçük ekiplerde “anonimleştirme” çoğu zaman başarısız olur.
7️⃣ SENARYO 5 — “AI Sadece Öneri Veriyor, Karar İnsan” (Daha Savunulabilir Model)
Örnek: AI “Bu çalışan için eğitim önerisi: X” diyor.
Nihai değerlendirme yönetici/İK kurulunda; AI skoru tek başına kullanılmıyor; çalışan süreç hakkında bilgilendiriliyor.
Bu yapı, human-in-the-loop yaklaşımı sayesinde daha savunulabilir hale gelir.
Ancak yine de minimizasyon, güvenlik, saklama ve aktarım boyutu yönetilmelidir.
8️⃣ Açık Rıza Ne Zaman Gerekir? (Personel Verisi Özelinde Kritik)
Personel–işveren ilişkisinde “özgür irade” tartışması nedeniyle açık rıza her zaman sağlam bir zemin olmayabilir.
Buna rağmen aşağıdaki hallerde açık rıza ihtiyacı doğabilir ve en azından çok güçlü bir hukuki analiz gerekir:
- Performans verisi AI analizine sistematik olarak sokuluyorsa
- AI yorum/profil/risk çıkarımı yapıyorsa
- AI aracı verileri saklıyorsa
- Yurt dışına aktarım ihtimali varsa
- “İş sözleşmesinde yazıyor” → tek başına yeterli sayılmaz
- “İşveren yetkisi var” → sınırsız veri işleme yetkisi vermez
9️⃣ Yurt Dışına Veri Aktarımı (En Tehlikeli Nokta)
Birçok AI aracı bulut tabanlı çalışır ve altyapısı yurt dışında konumlanabilir.
Personel dosyasını AI aracına yüklemek, fiilen yurt dışına veri aktarımı riskini doğurabilir.
- Veri hangi ülkeye/ülkelere gidiyor?
- Alt işleyen zinciri var mı?
- Saklama süresi nedir?
- Erişim yetkileri ve log kayıtları nasıl tutuluyor?
🔟 Kurul’un Yaklaşımı (2026 Perspektifi)
Denetim perspektifinde öne çıkan ilkeler:
- Çalışan–işveren ilişkisi eşit değildir (rıza serbestisi her zaman tartışmalı)
- Sürekli izleme ve skorlamaya temkinli yaklaşılır
- AI “kara kutu” olamaz; süreç denetlenebilir olmalıdır
- Veri sorumlusu (işveren) sorumluluğu devredemez
1️⃣1️⃣ İK İçin Net Kırmızı Çizgiler
- ❌ Personel dosyasını kontrolsüz AI aracına yüklemek
- ❌ AI’nın verileri saklamasına/yeniden kullanmasına izin vermek (sözleşmesiz, kontrolsüz)
- ❌ Otomatik skorları tek başına “karar” olarak kullanmak
- ❌ Çalışanı bilgilendirmemek (şeffaflık yok)
- ❌ Yurt dışı aktarımı görmezden gelmek
1️⃣2️⃣ Daha Güvenli Model Nasıl Kurulur? (Operasyonel Özet)
- Minimizasyon: Tam dosya yerine amaç için gerekli alanlar.
- Maskeleme: Doğrudan/dolaylı tanımlayıcıları temizleme.
- Saklama kontrolü: AI aracının veriyi saklamaması veya sıkı sözleşmesel sınırlar.
- İnsan onayı: AI yalnızca önerir; karar insanda.
- Şeffaflık: Çalışana aydınlatma + süreç anlatımı.
- Aktarım denetimi: Bulut/yurt dışı riskleri için teknik-sözleşmesel kontroller.
- Loglama: Kim, hangi veriyi, hangi amaçla, ne zaman işledi? (denetim için ispat)
🧠 Uzman Sonuç (Net)
AI, çalışan performansını destekleyebilir; ama çalışanın kaderi AI’ya bırakılamaz.
Personel dosyasını AI’ya vermek bazı sınırlı kurgularda mümkün olsa da, çoğu pratikte yüksek risklidir
ve yanlış kurguda doğrudan KVKK ihlali doğurabilir.
