Elektronik İmza İK ve KVKK: Tam 2026 Rehberi

İnsan kaynakları dijitalleştirilmesi 2020'den beri önemli ölçüde hızlanmıştır: çalışma sözleşmeleri, eklentiler, maaş bordroları, bilişim yönetmelikleri, uzaktan çalışma anlaşmaları — neredeyse tüm bu belgeler artık dijital biçimde iletilmektedir. Ancak dematerialisasyon, yasal yükümlülüklerden kurtulmak anlamına gelmez. Aksine: elektronik imza belge İK KVKK çift düzeyde düzenleyici bir konu oluşturur, çünkü imzanın kanıt değeri hakkındaki eIDAS çerçevesini ve kişisel veri koruması hakkında Avrupa yönetmeliğini birleştirir. Yanlış yönetilirse, bu çift kısıtlama şirketi yasal riskler ve KVKK Kurulu tarafından cezalara maruz bırakır. Bu rehber, 2026'da kesinlikle bilinmesi gereken temel kuralları, en iyi uygulamaları ve dikkat edilmesi gereken noktaları sunmaktadır.

KVKK Neden Elektronik İmza İK'ye Uygulanır?

Elektronik imza mutlaka kişisel veri işler

Sözleşmeyi çevrimiçi imzalamak, KVKK n°2016/679'un 4. maddesinin anlamında kişisel nitelikte verileri toplamayı, iletmeyi ve depolamayı gerektirir: ad, soyadı, profesyonel e-posta adresi, bazen cep telefonu numarası, imza saat bilgisi ve IP adresi. İK bağlamında, bu veriler çalışanı doğrudan tanımladığı ve işverenle sözleşmeli ilişkisi ile ilgili olduğu için özellikle hassastır.

Güvenilir hizmetler sağlayıcısı (GHS) imza çözümü sağlayan, KVKK'nın 28. maddesi anlamında veri işlemci olarak nitelendirilir. İşveren veri sorumlusu kalır. Bu ayrım temeldir: bir ihlal durumunda KVKK Kurulu'nda cevap veren şirkettir, yazılım sağlayıcı değildir.

İK bağlamında kullanılabilir yasal tabanlar

Her dematerialize edilmiş İK belgesi kategorisi için işveren, en uygun işleme yasal tabanını tanımlamalıdır:

• Sözleşmenin icra edilmesi (KVKK mad. 6.1.b): çalışma sözleşmesinin imzalanması, maaş eklentisi, sabit günler sözleşmesi. Sözleşmeli belgeler için en güçlü yasal tabandır.

• Yasal yükümlülük (KVKK mad. 6.1.c): dematerialize maaş bordrosu teslimi (2015 Macron Yasası'ndan beri şartlı olarak izin verilir), personel kayıtları.

• Meşru menfaat (KVKK mad. 6.1.f): bilişim politikası, iç tüzükler, iç politika belgeleri — denge testinden geçme koşulu altında.

Rıza tabanı (KVKK mad. 6.1.a) İK bağlamında kaçınılmalıdır: KVKK Kurulu ve AKVP (Avrupa Veri Koruma Kurulu) işveren ile çalışan arasındaki bağımlılık ilişkisinin rızayı nadiren serbest yaptığını düşünmektedir. Elektronik imzalamayı reddeden bir çalışan mesleki sonuçlardan endişe duyabilir.

İK Veri Sorumlusunun Somut Yükümlülükleri

İşleme Faaliyetleri Kayıdını (İFK) Güncelle

KVKK'nın 30. maddesi 250'den fazla çalışanı istihdam eden her kuruluşu (ve büyük ölçekte hassas verileri işleyen KOBİ'leri) bir işleme faaliyetleri kayıdı tutmaya zorunlu kılar. İK belgeleri için elektronik imza aracının tanıtılması şunlar ile birlikte burada görünmelidir:

• İşlemenin amacı (örn.: İK sözleşmeli belgelerinin dematerialize edilmesi ve arşivlenmesi)

• İşlenen veri kategorileri (kimlik, iletişim verileri, kimlik doğrulama verileri)

• Saklama süresi (çalışma sözleşmesinin saklama süresi: sözleşmenin bitmesinden sonra 5 yıl, İş Kodeksi mad. L. 1234-20'ye göre)

• Veri işlemcinin koordinatları (imza platformu)

• Alınan güvenlik önlemleri

Veri İşlemci ile DPA (Veri İşleme Anlaşması) İmzala

KVKK'nın 28. maddesi uyarınca, kişisel veri işlemek için bir veri işlemciye herhangi bir başvuru, bir veri işleme anlaşması (DPA) ile resmileştirilmelidir. Bu sözleşme şunları belirtmelidir:

• İşlemenin konusu ve süresi

• İşlemenin niteliği ve amacı

• Kişisel veri türleri ve ilgili kişi kategorileri

• Veri sorumlusunun yükümlülükleri ve hakları

• Veri konumu (EEE'de barındırma, EEE dışı transferleri önlemek için önerilir)

• Teknik ve örgütsel güvenlik önlemleri

Ciddi bir elektronik imza sağlayıcısı sistematik olarak uygun bir DPA sunar. Yokluğu, hemen yaptırılabilir bir uyumsuzluk oluşturur.

İlk İmzadan Önce Çalışanları Bilgilendir

KVKK'nın 13. maddesi verileri toplanan kişilerin ön bilgilendirilmesini zorunlu kılar. İK belgeleri için elektronik imzayı konuşlandırmadan önce işveren çalışanları şunlar hakkında bilgilendirmelidir:

• Veri sorumlusunun kimliği

• İşlemenin amacı ve yasal tabanı

• Verilerin saklama süresi

• Hakları (erişim, düzeltme, silme (yasal saklama yükümlülüğü sınırlarında), taşınabilirlik)

• VKY'nin (Veri Koruma Görevlisi) iletişim bilgileri, eğer atanmış ise

Bu bilgi imza sürecinin içinde (imzadan önce bilgi panosu), güncellenmiş iç tüzükte veya konuşlandırma sırasında yayınlanan bir haber yazısında yer alabilir.

İK Belgeleri için Gerekli İmza Seviyesi: BİS, GİS veya NİS?

eIDAS'ın Seviyeleri Hiyerarşisi

eIDAS n°910/2014 yönetmeliği, artan kanıt değeri sunan üç elektronik imza seviyesi tanımlar:

• BİS (Basit Elektronik İmza): düşük kanıt değeri, düşük riskli belgeler için uygun (alındı onayı, iç formlar)

• GİS (Geliştirilmiş Elektronik İmza): imzalayan ile benzersiz şekilde bağlantılı, onun münhasır kontrolü altındaki verilerden oluşturulmuş. Çoğu yaygın İK belgeleri için uygun.

• NİS (Nitelikli Elektronik İmza): en yüksek seviye, eIDAS mad. 25.2'ye göre el imzasına eşdeğerdir. Güçlendirilmiş kimlik doğrulaması gerektirir (yüz yüze veya video kimlik doğrulama).

Hangi belge için hangi seviye?

2026'da Fransız içtihadı ve sektörel tavsiyeler dikkate alınarak önerilen harita:

| İK Belgesi | Önerilen Seviye | Gerekçe | |---|---|---| | Sabit/Süreli Sözleşme | En az GİS, NİS önerilir | Güçlü sözleşmeli değer, işçi hukuku riski | | Sözleşme Eklentisi | En az GİS, NİS önerilir | Ana sözleşme ile aynı mantık | | Deneme Süresi (Yenileme) | GİS | Kısa süre, sınırlı formalite | | Uzaktan Çalışma Yönetmeliği / BYOD | BİS veya GİS | Toplu anlaşma veya iç tüzük | | Sabit Günler Sözleşmesi | NİS şiddetle tavsiye edilir | Talep eden işçi hukuku uygulaması | | Anlaşmalı Fesih | NİS zorunludur | Onaylı Cerfa formu, yüksek risk | | Tüm Hesap Makbuzü | GİS veya NİS | Bağlayıcı değer, İK mad. L. 1234-20 |

Yüksek uyuşmazlık riski taşıyan belgeler için (sabit günler sözleşmesi, anlaşmalı fesih), işçi hukuku mahkemelerinde karşı olabilirliği garantilemek için NİS geçerlidir. Yüksek Mahkeme, çalışanın rızasının kanıtı konusunda kademeli olarak şartlarını sertleştirmiştir.

Saklama, Arşivleme ve İnsanların Hakları: Kaçınılması Gereken Tuzaklar

İmzalı İK Belgeleri için Yasal Saklama Süreleri

İmzalı elektronik İK belgeleri, zorunlu yasal surelere tabidir. Bu süreler KVKK'nın silme hakkını (mad. 17.3.b) geçersiz kılar:

• Çalışma Sözleşmesi: sözleşmenin bitmesinden sonra 5 yıl (işçi hukuku reşit olmayan işler süresi, İş Kodeksi mad. L. 1471-1)

• Maaş Bordrosu: 5 yıl (maaş reşitlik süresi), ancak emeklilik haklarının tasfiyesine kadar saklamak önerilir

• İşçi Kazası ile İlgili Belgeler: 30 yıl (uzun uyuşmazlık riski)

• Mesleki Eğitim (planlar, sertifikalar): 3 yıl

• Personel Kayıtları: çalışanın işyerini terkeden tarihinden sonra 5 yıl

Kanıt değeri taşıyan elektronik arşivleme NF Z 42-013 normuna uymalı ve ideal olarak ETSI EN 319 162 standardına uymalıdır (elektronik imzaların uzun dönem arşivlenmesi). Basit sunucuda depolama yeterli değildir: belgelerin bütünlüğü, okunabilirliği ve nitelikli zaman damgası saklama süresi boyunca garanti edilmelidir.

Çalışanların Haklarını Kanıt Değerini Riske Atmadan Yönetme

Bir çalışan, kendisiyle ilgili imza verilerinin kopyasını almak için erişim hakkını meşru olarak kullanabilir (KVKK mad. 15). Ayrıca yanlış verileri düzeltme talebinde bulunabilir.

Buna karşılık, silme hakkı (KVKK mad. 17), yasal saklama yükümlülüklerine tabi İK belgeleri üzerinde kullanılamaz. İşveren, ilgili yasal tabanı belirterek bu reddi açıkça belirtmelidir. Hak taleplerinin uyuşmazlık kayıdında bu değişimleri belgelemek KVKK Kurulu tarafından önerilen iyi bir uygulamadır.

Taşınabilirlik (KVKK mad. 20), rıza veya sözleşme icra edilmesi tabanında sağlanan veriler için geçerlidir. Pratik olarak, bir çalışan imza verilerini yapılandırılmış biçimde talep edebilir — imza çözümü seçerken öngörülmesi gereken yükümlülük.

Teknik ve Örgütsel Güvenlik: Vazgeçilmez Önlemler

İmza Platformunun Teknik Gereksinimleri

KVKK'nın 32. maddesi uyarınca, güvenlik önlemleri riske uygun olmalıdır. Elektronik imza İK çözümü için bu şunları içerir:

• Aktarım sırasında veri şifrelemesi (TLS 1.3 minimum) ve istirahat halindeyken (AES-256)

• Çok faktörlü kimlik doğrulama (MFA) platforma erişim için

• Denetim günlükleri (loglar) zaman damgalı ve sahteye uğramaz, belge üzerindeki her eylemi izler

• EEE'de (veya EEE'de) barındırma, yeterli garantisiz EEE dışı transferleri önlemek için (uygunluk kararı veya standart sözleşme hükümleri)

• Yıllık sızma testleri ve prestatör'ün ISO 27001 sertifikasyonu

• Süreklilik planı, hizmetin kullanılabilirliğini ve bir olay durumunda arşivleri kurtarmayı garantiler

Etki Analizi (ETKA): Ne Zaman Zorunludur?

KVKK'nın 35. maddesi, işlem yüksek risk oluşturmaya eğilimli olduğunda Veri Koruma Etki Analizi (VKEA) gerektirir. KVKK Kurulu VKEA gerektirecek işlem türleri listesi yayınladı: büyük ölçekte mesleki yaşamla ilgili veri işlemesi bu listede belirtilmiştir.

Pratik olarak, tüm çalışanları etkileyen İK elektronik imza çözümü konuşlandırıldığında bir VKEA önerilir (ya da büyük şirketler için zorunludur). Riskler (gizlilik kaybı, kimlik hırsızlığı, belge değiştirilmesi) tanımlamalı, ciddiyet ve olasılık değerlendirilmeli ve azaltma önlemleri önerilmelidir. Bu analiz belgelenmiş olmalı ve işlemde değişme olursa gözden geçirilmelidir.

Elektronik İmza İK ve KVKK'ya Uygulanabilir Hukuki Çerçeve

Temel Avrupa Metinleri

eIDAS n°910/2014 Yönetmeliği (ve uygulanması devam eden eIDAS 2.0 revizyon): bu metin üç elektronik imza seviyesini (BİS, GİS, NİS) ve tüm Üye Devletlerdeki yasal değerini tanımlar. Mad. 25, NİS'in el imzasına eşdeğer yasal etkiye sahip olduğunu belirtir. Mad. 26 geliştirilmiş imzanın teknik gereksinimlerini saymaktadır. Nitelikli güvenilir hizmetler sağlayıcıları ulusal güven listelerine kaydedilir (Fransa'da listenin yönetimi ANSSI tarafından yapılır).

KVKK n°2016/679: 25 Mayıs 2018'den beri uygulanmakta olan bu yönetmelik, AB'de tüm kişisel veri işlemesini yönetir. Maddeler 5 (ilkeler), 6 (yasal tabanlar), 13-14 (bilgilendir), 28 (veri işlemci), 30 (kayıt), 32 (güvenlik), 35 (VKEA) ve 37-39 (VKY) elektronik imza İK için doğrudan ilgilidir.

Uygulanabilir Fransız Hukuku

Medeni Kanun, Maddeler 1366-1367: mad. 1366, elektronik metin ile kağıt metin arasında işlevsel eşdeğerlik ilkesini ortaya koymaktadır. Mad. 1367, elektronik metindeki kimlik doğrulama modunu kanıt olarak tanır, şarta bağlı olarak güvenilir bir kimlik doğrulama sistemi garantisinin imzalanacak işlemle bağlantı sağlaması. Güvenilirlik NİS için varsayılır, ancak GİS için kanıtlanabilir.

İş Kodeksi: mad. L. 1221-1 işçi sözleşmesi için özel bir form dayatmaz (istisnalar: süreli sözleşme mad. L. 1242-12, çıraklık sözleşmesi, vb.). 2015 Macron Yasası (n°2015-990) elektronik maaş bordrosunun yolunu açtı. Mad. L. 3243-2 hükümlerini düzenler.

Bilişim ve Özgürlükler Yasası Değiştirilen (6 Ocak 1978 n°78-17 Yasası): KVKK'nın Fransız uyarlanması, KVKK Kurulu'na araştırma ve ceza yetkilerini verir. Cezalar en ciddi ihlaller için 20 milyon € veya yıllık küresel ciroanın %4'üne kadar ulaşabilir.

Referans Teknik Standartları

• ETSI EN 319 132: XAdES, XML belgelerine uygulanabilir elektronik imza biçimi

• ETSI EN 319 122: CMS belgelerine imza için CAdES biçim

• ETSI EN 319 162: elektronik imzaların uzun dönem arşivlenmesi (ASiC)

• NF Z 42-013 (AFNOR): kanıt değeri taşıyan elektronik arşivleme sisteminin işlevsel şartnameleri

• ISO/IEC 27001: bilişim güvenliği yönetimi, prestatörlerden beklenen sertifikal standartı

KVKK Uyumsuzluğu Durumunda Hukuki Risikler

Risiklerin kümülasyonu önemlidir: yetersiz imza seviyesi ile imzalanan işçi sözleşmesi işçi mahkemesinde tartışılabilir, işvereni yeniden nitelendir veya geçersizliğe açabilir. KVKK tarafında, veri işlemci ile DPA'nın yokluğu, çalışanları bilgilendirme eksikliği veya yeterli garantisiz EEE dışında barındırma, KVKK Kurulu'ndan bir uyarı veya hatta idari ceza ile sonuçlanabilir.

Senaryo: KVKK Uyumlu Elektronik İmza İK Kullanım Durumları

Senaryo 1: 600 Çalışanı Olan Bir Orta İnşaat Şirketi Çalışma Sözleşmelerini Dijitalleştiriyor

Fransa'da dört alanda yayılan bir orta ölçekli sanayi şirketi yıllık yaklaşık 180 sabit/süreli işçi alıştıktan sonra, yazdırılan, her iki nüsha ile imzalanan, taranmış ve arşivlenen aynı sayıda dosya ürettiydi. Teklif ve sözleşme imzalama arasındaki süreler ortalama 8 iş gününe ulaştı.

Sistem, SIRH'e entegre geliştirilmiş (GİS) elektronik imza çözümü (prestatörle KVKK uygun DPA imzalanmış ve belgelenmiş VKEA ile) konuşlandırıldıktan sonra, şirket bu süreyi 24 saatten kısa süreye düşürdü. Eksik dosya oranı %34'ten (ANDRH 2024 sektör karşılaştırması) düştü. Veri barındırması EEE dışında transferi riskini ortadan kaldırarak Fransa'da tutulması sözleşmeli kriter olarak seçildi. Çalışanlar imza süreci tarafından bilgi bandında bilgilendirildi, KVKK mad. 13 uygunluğu sağladı.

Senaryo 2: Perakende Ağ, Sabit Günler Sözleşmesi için NİS İmzayı Konuşlandırıyor

Yüz noktaya dağılmış ve sabit günler için 100 yöneticiye sahip dağıtım ağı, jurisprudentlik riskini tanımlayan kimlik tarafından tanımlanan bir risikle karşı karşıyaydı: birkaç sabit günler sözleşmesi sadece kötü kaliteli kağıt kopyası ile kanıtlanabilirdi. Yüksek Mahkeme bu sözleşme türü hakkında kanıt şartlarını sertleştirdiğinden, uyuşmazlık riski birkaç yüz bin € olarak tahmin ediliyordu.

Ağ tüm yeni sözleşmeler için nitelikli (NİS) imza çözümünü konuşlandırdı ve önceden yerleşik yöneticilere mevcut sözleşmelerini yeniden imzalamayı teklif etti. Kimlik doğrulaması video tanımlaması kullanıldı. İşleme Faaliyetleri Kayıdı güncellendi ve harici VKY rotanın KVKK uygunluğunu doğruladı. 6 ayda, sabit günler sözleşmelerinin tamamı güvence altına alındı. Yaklaşım maliyeti (saha prestatörlerine bağlı olarak NİS imzası başına ~15-25 €) kapsanan uyuşmazlık riskinden çok daha az olarak değerlendirildi.

Senaryo 3: Yerel Yönetim Eklentileri ve Uzaktan Çalışma Yönetmeliklerini Dematerialize Ediyor

Yaklaşık 1.200 sabit personeli olan yerel yönetim, 2021 ulusal çerçeve sonrasında kamu yönetimine uzaktan çalışma yönetmeliğinin dematerialize edilmesini istedi. İşlem hacmi yıllık ~400 belgeydi, belirli kısıtlamalı: personel, KVKK kapsamında özel olarak işlenen kamu kişileridir.

Yönetim GİS (geliştirilmiş) imza seçimini yaptı, barındırma ANSSI tarafından SecNumCloud olarak nitelenen bir prestatörle. VKEA, konuşlandırmadan önce yönetimin VKY'ye sunuldu. Personel intranet'te yayınlanan bir haber yazısı ve dijital rotada bilgilendir panosu aracılığıyla bilgilendirildi. İK servisi eklenti idarî yönetiminde ayda ~3 ETP-gün (yıllık ~35.000 € doğrudan maliyetler tasarrufu, yerel yönetimlerin dijital dönüşüm gözlemcisiyle uyumludur (2025)).

Sonuç

İK Belgeleri için Elektronik İmzanın KVKK Uyumluluğu bir seçenek değildir: hem işlemlerinizin yasal değerini hem de çalışanlarınızın haklarının korunmasını şartlandırır. 2026'da işlem kayıt defterini henüz güncellememiş, prestatörle DPA imzalamamış ve her belge türüne imza seviyesini uyarlamayan şirketler ikili risk — işçi hukuku ve idari — ile karşı karşıya, mali sonuçları önemli olabilir.

İyi haber: iyi seçilen ve yapılandırılan bir çözüm, İK ekiplerinin veya çalışanların sürtünmesi olmadan operasyonel akışkanlığı, eIDAS uygunluğunu ve KVKK saygısını uzlaştırmaya imkan tanır.

Certyneo sizi bu yolculukta destekler: eIDAS uyumlu platform, mevcut DPA, Avrupa barındırması ve İK için düşünülen imza rotası. İK'ye özel çözümümüzü keşfedin veya tamamen dijitalleşmeye giden ROI'nizi birkaç tıkla hesaplayın.