Konum = kişisel veri
GDPR Madde 4(1) ve KVKK Madde 3, kişisel veriyi 'kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi' olarak tanımlar. Çalışan + konum kombinasyonu doğrudan kimliklenebilir — bu nedenle GPS verisi kişisel veridir. Avrupa Veri Koruma Otoritesi (EDPB) Guidelines 4/2022 'on the calculation of administrative fines' özel olarak işyerinde izlemeyi yüksek risk kategorisinde sınıflandırır.
KVKK 2020/65 sayılı Kurul Kararı
Türkiye Kişisel Verileri Koruma Kurulu 27/08/2020 tarih ve 2020/65 sayılı Karar: işveren tarafından çalışan aracının takibi (a) açık yazılı bilgilendirme, (b) meşru menfaat dengesi testi (LIA), (c) mesai saatleri ile sınırlı, (d) verinin amaca uygun süre saklanması koşulu ile mümkün. Mesai dışı izleme açık rıza gerektirir ve rıza geri çekilebilir — KVKK Madde 5/2 bunu net açıklar.
Meşru menfaat dengesi testi (LIA)
EDPB Guidelines 06/2020 ve Türkiye KVKK 'açık rıza' tebliği: işveren GPS izlemeyi 'meşru menfaat' (KVKK Md.5/2-f) hukuki sebebine dayandırırsa LIA yazılı dokümante etmelidir. LIA üç adımdan oluşur: (1) Amaç testi — meşru mu? (2) Gereklilik testi — daha az müdahaleci yöntem var mı? (3) Denge testi — çalışan temel hak ve özgürlüklerine üstün gelir mi?
Şeffaflık prensibi
GDPR Madde 13-14 ve KVKK Madde 10 aydınlatma yükümlülüğü: çalışana ne tür veri toplanacak, neden, ne kadar saklanır, hangi 3. tarafa aktarılır — yazılı bildirilmelidir. EDPB 'Guidelines on transparency under GDPR' (WP260 rev.01) bu metnin 'kısa, açık, anlaşılır' (concise, transparent, intelligible) olmasını şart koşar. KVKK Veri Sorumlusu Sicili'ne (VERBİS) kayıt da bir uyum unsurudur.
Veri minimizasyonu
GDPR Madde 5(1)(c) ve KVKK Madde 4: 'işlenecek veri, işleme amacıyla bağlantılı, sınırlı ve ölçülü olmalı'. Pratik anlamı: (a) konum sıklığı işe yetecek minimum (örn. dakikalık değil 5 dakikalık), (b) mesai dışında kapatılır, (c) erişim sadece dispatcher + yöneticiye, (d) saklama süresi sözleşmeli/yasal asgariye indirilir (örn. 6 ay).
Madrid Resolution ve uluslararası çerçeve
1991 Madrid Resolution (Avrupa Konseyi 28. Veri Koruma Komiserleri Konferansı) işyerinde elektronik izleme için 'gerekli + orantılı + şeffaf' üçlüsünü dünya genelinde standart kabul ettirdi. ILO Practical Guide 'Workers' privacy' (1997, güncellenmiş 2022) bu çerçeveyi saha çalışanı için detaylandırır.
İşyeri politikası şablonu
Uyumlu mobil saha takibi politikası şu bölümleri içermeli: amaç, hukuki sebep (KVKK Md.5), veri kategorileri, saklama süresi, çalışan hakları (KVKK Md.11), VERBİS bildirimi, şikayet kanalı. EDPB 'Code of Conduct' (Article 40) onaylı sektör politikaları ek koruma sağlar. KontrolJet EkibimJet uyum şablonunu sunar — hukuk birimi onayı şart.
Özet çıkarımlar
- GPS verisi kişisel veridir — KVKK + GDPR ortak yorumu.
- KVKK 2020/65: mesai dışı izleme açık rıza gerektirir.
- Meşru menfaat dengesi testi (LIA) yazılı belgelenmelidir.
- Veri minimizasyonu: gereken minimum sıklık + saklama süresi.
Kaynakça
Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.
- Çalışanların Araç Takip Sistemi ile İzlenmesi — 2020/65 sayılı Karar. Kişisel Verileri Koruma Kurulu (KVKK). https://www.kvkk.gov.tr/Icerik/6760/2020-65 (erişim: 2026-05-13)
- Guidelines 4/2022 on calculation of administrative fines under the GDPR. European Data Protection Board (EDPB). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42022-calculation-administrative-fines_en (erişim: 2026-05-13)
- Guidelines 06/2020 on Legitimate Interests. European Data Protection Board. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/ (erişim: 2026-05-13)
- Regulation (EU) 2016/679 — GDPR. European Commission (Eur-Lex). https://eur-lex.europa.eu/eli/reg/2016/679/oj (erişim: 2026-05-13)
- ILO Code of Practice — Protection of workers' personal data. International Labour Organization. https://www.ilo.org/publications/protection-workers-personal-data (erişim: 2026-05-13)