Eski çalışanın giriş kartı iptal edilmezse sorumluluk, kural olarak işverene — yani kartı düzenleyen ve erişimi yönetmekle yükümlü olan tarafa düşer. Kart aktif kaldığı sürece yetkisiz girişin önünde fiziksel bir engel yoktur; bu kartla birileri içeri girip bir hasar, hırsızlık ya da başka bir olay yaşanırsa, "ben bilmiyordum, o ayrılmıştı" savunması hukuki olarak kabul görmez. Sorumluluk zinciri işverenle başlar; koşullara göre yapı yönetimi de paylaşabilir.
Giriş Kartı İptali Neden Bu Kadar Kritik?

Fiziksel erişim kontrolü, bir işyerinin güvenlik mimarisinin en temel katmanıdır. Parola değişikliği, hesap kapatma gibi dijital önlemler nasıl iş çıkışında ilk sırada yer alıyorsa, giriş kartı iptali de aynı öncelikte ele alınmalıdır. Çünkü aktif kalan bir kart, binaya fiziksel girişi mümkün kılar; kamera kayıtları sonradan bu kişiyi tespit etse bile zararın önüne geçilemez.
Bir AVM'de mağaza işleten esnaf ya da bir plazada ofis kiralayan firma düşünün: kasiyerden muhasebeciye, güvenlik görevlisinden temizlik personeline kadar onlarca çalışan aynı kartla ortak alanlara ve iç odalara girebilir. Bu çalışanlardan biri işten ayrıldığında kartı cüzdanında saklıyor olabilir. İptal edilmeden bir sonraki gece binanın ortak deposuna, sunucu odasına ya da kasaya girilirse sorumlu kim olur? Cevap neredeyse her zaman aynıdır: erişimi yönetmekle yükümlü olan taraf, yani işveren.
Bunun yanı sıra kart iptali sağlanmadan eski çalışanın o kart üzerinden hangi alanlara ne zaman girdiğini kanıtlamak da güçleşir. Erişim log kayıtları var olsa bile iptal edilmemiş kartın yasal sahibi hâlâ eski çalışandır; bu durum iş hukuku, ceza hukuku ve tazminat davalarında işverene ciddi bir dezavantaj yaratır.
Sigorta şirketleri de bu konuda giderek daha titiz davranmaktadır. Özellikle ticari mülkiyet ve sorumluluk poliçelerinde "erişim kontrolü prosedürleri" bir şart olarak yer almaya başlamıştır. Çalışan ayrılığında kart iptali yapılmadığı kanıtlandığında sigorta tazminatı reddedilebilir ya da önemli ölçüde kesilebilir.
Hukuki Çerçeve: Kimin Sorumluluğu Nereye Kadar Uzanır?

Türk hukuku açısından konuya bakıldığında birden fazla yasal dayanak devreye girer. İş Kanunu çerçevesinde işveren, işyerindeki düzen ve güvenliği sağlamak zorundadır; bu yükümlülük, çalışan ayrıldıktan sonra da ortamı güvende tutmayı kapsar. Türk Borçlar Kanunu'nun ilgili hükümleri uyarınca işveren, üçüncü şahıslara verilen zararlardan sorumlu olabilir; özellikle zararın önlenebilecek bir ihmalden kaynaklandığı durumlarda bu sorumluluk daha da belirginleşir.
Kişisel Verilerin Korunması Kanunu (KVKK) da bu tabloya eklenmelidir. Erişim kontrol sistemleri genellikle biyometrik veri (parmak izi, yüz tanıma) ya da en azından kimlik eşleştirmesi içerir. İptal edilmemiş bir kart, ayrılan çalışanın verilerinin hâlâ işleniyor olması anlamına gelebilir; bu durum KVKK'nın "veri minimizasyonu" ve "amaçla sınırlılık" ilkeleriyle çelişir ve Kişisel Verileri Koruma Kurulu'nun denetim kapsamına girebilir.
Ceza hukuku boyutunda ise şu senaryo düşünülebilir: eski çalışan aktif kartıyla işyerine girip mal çalıyor. Hırsızlık suçu açısından birincil fail eski çalışandır; ancak güvenlik açığını yaratan işveren "ihmali suç ortaklığı" tartışmasından uzak duramayabilir. Pratikte savcılık, işvereni suç ortağı olarak yargılamasa da tazminat davasında ihmal iddiası güçlü bir zemin bulur.
Kira sözleşmesi üzerinden bakıldığında ise AVM yönetimi veya plaza işletmecisi kiracıya "binayı güvenli kullanma" yükümlülüğü yüklemiş olabilir. Eski çalışanın aktif kartıyla yaşanacak bir güvenlik ihlali bu yükümlülüğün ihlali sayılabilir ve kiraya verene karşı tazminat talebi doğurabilir.
İşveren ile Yapı Yönetimi Arasında Sorumluluk Nasıl Bölünür?

Bu soru, pratikte en çok kafa karıştıran kısımdır. AVM veya plaza gibi çok kiracılı yapılarda erişim kontrol sistemi genellikle ikiye ayrılır: binanın ortak alanlarına giriş (bina yönetimi tarafından kontrol edilir) ve kiracının kendi ofis ya da mağazasına giriş (kiracı tarafından kontrol edilir). Her iki katmanda da kart iptali ayrı ayrı yapılmalıdır.
Bina yönetiminin verdiği ortak alan kartı söz konusuysa iptal sorumluluğu yönetimde değil yine işverendedir; çünkü o kartı talep eden, kullanan ve çalışanına teslim eden işverendir. Bina yönetiminin bu süreçten haberi yoksa —ve kira sözleşmesinde "ayrılan çalışanları bildirme" yükümlülüğü varsa— ihbar yapılmaması ek bir ihlal oluşturur. Bu durumda iki taraf da farklı gerekçelerle sorumlu tutulabilir: işveren bildirmediği için, yönetim sistemi denetlemediği için.
Kira sözleşmeleri bu noktada belirleyici olur. Pek çok profesyonel AVM ve plaza yönetimi artık kiracılardan çalışan değişikliklerini belirli süre içinde (çoğunlukla 5-10 iş günü) bildirmesini şart koşmaktadır. Bu bildirimi yapmayan kiracı, sözleşmesel bir yükümlülüğü ihlal etmiş sayılır ve ekstra hukuki riski üstlenmiş olur.
Yapı yönetiminin kendi sistemini düzenli denetlemesi de önemlidir. Sistem üzerinde artık çalışmayan kişilere ait aktif kayıtlar varsa ve yönetim bunu tespit etmemişse, yönetimin de ihmalinden söz edilebilir. Bu nedenle profesyonel bina yönetimi hem kiracı firmalardan düzenli çalışan listesi talep eder hem de kendi erişim loglarını periyodik olarak inceler.
Çalışan Ayrılık Sürecinde Giriş Kartı İptali İçin Adım Adım Süreç

Sağlıklı bir ayrılık süreci, hukuki riski minimize etmek için sistematik olmalıdır. "Zaten ayrıldı, kartı iade etti" düşüncesi yeterli değildir; belgelenmemiş her adım ileride sorun yaratabilir. Aşağıdaki süreç, hem AVM mağazası işleten esnaf hem de plaza ofisi kiralayan firma yetkilisi için geçerlidir.
İlk adım, ayrılık kararı kesinleştiği anda —hatta öncesinde— erişim yetkisinin askıya alınmasıdır. İhraç durumunda bu işlem son iş günü değil, karar anında yapılmalıdır. İstifa durumunda ise bildirim süresi boyunca yetki kısıtlanabilir ya da izleme altına alınabilir. Çalışanın fiziksel olarak ayrıldığı gün kart iptali nihai hale getirilmelidir.
İkinci adım fiziksel kartın geri alınmasıdır. Bu adım kritiktir çünkü sadece sistemde "iptal" işlemi yapmak yetmeyebilir; kartın fiziksel olarak elde bulundurulması onun kopyalanıp kopyalanmadığı konusundaki belirsizliği giderir. Kart teslim alındığında bir tutanak düzenlenmeli, tarih ve saat not edilmeli, her iki taraf da imzalamalıdır.
Üçüncü adım, ayrılığın yapı yönetimine bildirilmesidir. Bu yazılı yapılmalıdır — e-posta veya yönetim portalı üzerinden. "Falanca çalışan [tarih] itibarıyla şirketimizden ayrılmıştır, bina kartı [iade/sistematik iptal] edilmiştir" şeklinde kısa ama net bir bildirim yeterlidir. Bu bildirim dosyalanmalı ve saklı tutulmalıdır.
Dördüncü adım erişim log kayıtlarının kontrol edilmesidir. Ayrılık sonrası birkaç gün boyunca eski çalışanın sistemde tanımlı kimliğiyle herhangi bir giriş denemesi olup olmadığı takip edilmelidir. Modern erişim kontrol sistemleri bu sorgulamayı kolayca yapar; sonuçlar ekran görüntüsü ya da log dosyası olarak saklanmalıdır.
Belgeleme: Sorumluluktan Kurtulmanın Tek Yolu

Hukuki koruma açısından yapılan işlemler kadar bu işlemlerin belgelenmiş olması da kritiktir. Bir davada "kartı iptal ettik" demek yeterli değildir; bunu ispat etmek gerekir. İspat yükü, hukuki süreçte çoğunlukla iddia eden tarafa düşse de güvenlik ihlali yaşandığında "ihmal etmedinizi" kanıtlamak işverene düşer.
Tutulması gereken belgeler şunlardır: çalışan ayrılık tutanağı (tarih/imza/kart teslim bilgisi dahil), sistemdeki iptal kaydının ekran görüntüsü veya sistem logu, yönetim bildirimi yazışmaları, ve ayrılık sonrası erişim log özeti. Bu belgeler iş sözleşmesi dosyasına eklenmeli ve en az beş yıl saklanmalıdır; KVKK'nın saklama sürelerine de dikkat edilmelidir.
Bazı firmalar bu süreci dijital imzalı "çalışan ayrılık formu" ile yönetmektedir. Bu formda IT hesapları, e-posta, VPN, fiziksel kart ve bina bildirimi tek tek liste halinde yer alır; her kalem "tamamlandı" olarak işaretlendikçe sorumlu kişi adı ve tarih kaydedilir. Bu yaklaşım hem iç denetim için hem de olası hukuki süreçler için güçlü bir belge niteliği taşır.
Hatırlatma: yazılı belgeleme fiziksel dosyalama kadar dijital arşivlemeyi de kapsamalıdır. Bulut tabanlı sistemlerde log kayıtları otomatik saklanabilirken yerel sistemlerde bu kayıtların düzenli yedeklenmesi ihmal edilmemelidir. Bir olay anında "kayıtlar silindi" ya da "sisteme bakım yapıldı" gerekçesi, güvenilir bir savunma zemini oluşturmaz.
Özel Durumlar: İhraç, Hukuki İhtilaf ve Güvenilirlik Sorunu

Her çalışan ayrılığı aynı koşullarda gerçekleşmez. Özellikle ihraç, güven ihlali ya da hukuki ihtilaf içeren durumlarda giriş kartı iptali çok daha hassas bir meseleye dönüşür. İhraç kararı verildiğinde —özellikle nedeni usulsüzlük, veri hırsızlığı ya da işverene zarar verme iddiaları içeriyorsa— kartın iptalini "ayrılık günü"ne bırakmak kabul edilemez bir risk taşır.
Bu tür durumlarda standart uygulama, karar anında erişimin dondurulması ve çalışanın binadan güvenlik eşliğinde ayrılmasıdır. Fiziksel kart, çalışanın elindeyken sistematik olarak devre dışı bırakılır; bu sayede kart iade edilmeden önce bile erişim sağlanamaz. Karta el koyma fiziksel olarak mümkün olmasa bile sistem tarafında iptal işlemi anında yapılabilir.
Hukuki ihtilaf devam eden çalışanlar için ek bir katman daha gerekebilir. İş mahkemesinde dava açmış ya da şikâyette bulunmuş bir eski çalışanın kartı aktifse bu durum ciddi bir güvenlik açığı yaratır; üstelik "misilleme" algısı yaratmamak için erişimi kesmekte geç davranılmış olabilir. Bu kıskaçtan çıkmanın yolu nettir: erişim iptali güvenlik politikasının gereği olarak yapılır, davadan bağımsız ve tüm çalışanlara eşit uygulanan bir prosedür olduğu belgelenir.
Güvenlik personeli ya da erişim kontrol sistemini yöneten çalışanın kendisi ayrıldığında tablo daha da karmaşıklaşır. Bu kişiler sistemin nasıl çalıştığını, zayıf noktalarını ve nasıl bypass edileceğini biliyor olabilir. Böyle bir ayrılık söz konusu olduğunda sadece kart iptali değil, şifreler, sistem yöneticisi yetkileri ve fiziksel anahtar/kilit değişikliği de gündeme gelebilir.
AVM Mağazaları ve Plaza Ofisleri İçin Özel Notlar

AVM'de mağaza işleten kiracılar için durum biraz daha katmanlıdır. AVM yönetimi genellikle çalışan kartlarını kendi sistemi üzerinden yönetir ve kiracılardan bağımsız bir erişim veritabanı tutar. Bazı AVM'lerde kart yalnızca kiracı tarafından iptal edilebilirken bazılarında iptal yetkisi AVM güvenlik birimine aittir ve kiracının talebi üzerine işlem yapılır. Bu farkı bilmemek, "iptal ettim" sanırken aslında hiçbir şey yapılmamış olması anlamına gelebilir.
Birinci öneri: kiracı olduğunuz yapının erişim kontrol prosedürünü kiracı sözleşmesi imzalanmadan önce net olarak öğrenin. Çalışan ekleme ve çıkarma nasıl yapılıyor? Kim yetkili? Bildirim süresi var mı? Bu soruların cevapları sözleşmede yer almıyorsa yönetimden yazılı açıklama isteyin.
Plaza ofisleri için durum farklı ama benzer riskleri barındırır. Plazalarda kart sistemi çoğunlukla kat kapısı, asansör yetkilendirmesi ve ortak alanları kapsar. Kiracı kendi iç alanı için ayrı bir erişim sistemi kurmuş olabilir. Eski çalışanın elinde hem plaza kartı hem de iç alan kartı varsa her ikisi ayrı ayrı iptal edilmelidir; biri unutulsa yeterli koruma sağlanamaz.
Ortak alanlarla ilgili bir başka risk daha vardır: kargı rafları, ortak mutfak, arşiv odası, otopark gibi alanlar bazen tek bir kartla erişilebilirdir. Mağazada kasaya ya da depoya giriş sağlanamasa bile bu ortak alanlara giriş ciddi sorunlara yol açabilir. Bu nedenle erişim iptali "sadece mağaza/ofis kapısı" olarak değil, kartın yetkili olduğu tüm alanlar kapsamında değerlendirilmelidir.
Site Yönetimi Platformuyla Erişim ve Süreç Takibi

Bir yapının yönetimi ne kadar şeffaf ve sistematikse, kiracı firmalar da süreçlerini o ölçüde sorunsuz yürütebilir. Site Yönetimi platformu, çok kiracılı yapılarda yönetim-kiracı iletişimini ve operasyonel takibi tek bir noktada toplar; bu da giriş kartı iptali gibi kritik süreçlerde önemli bir kolaylık sağlar.
Platform üzerinden kiracı firma yetkilileri arıza ve bakım taleplerini tarih damgalı olarak açabilir; yönetimle yapılan tüm yazışmalar kayıt altına alınır. Çalışan bildirimi söz konusu olduğunda bu sistematik iletişim kanalı, "bildirdim ama kayda geçmedi" ya da "e-postam ulaşmadı" gibi itiraz durumlarını ortadan kaldırır. Her talep ve bildirim, gönderen-alıcı bilgisi ve zaman damgasıyla arşivlenir.
Duyuru ve güvenlik bildirimleri de platform üzerinden izlenebilir. Yönetim, bina genelinde bir güvenlik güncellemesi yaptığında ya da erişim sisteminde değişikliğe gittiklerinde bu bilgi ilgili kiracılara dijital olarak iletilir. Kiracının "haberim yoktu" demesinin önüne geçilir; benzer şekilde yönetimin "kiracı bildirmedi" demesinin de önüne geçilmiş olur.
Ortak gider dökümü, bakım planları ve güvenlik rapor paylaşımı gibi modüller de dolaylı olarak bu tabloya katkıda bulunur. Şeffaf yönetim anlayışı, kiracı firmalarla güven ilişkisi kurar; bu güven de sorunları mahkeme salonuna taşımadan çözme kapasitesini artırır. Erişim yönetimi gibi hassas konularda "kâğıt üzerinde doğru" olmak kadar "süreçte şeffaf" olmak da kritiktir.
Sık Yapılan Hatalar ve Bunlardan Nasıl Kaçınılır?

Pratikte en çok karşılaşılan hata, iptal işleminin sadece "kart iade alındığında" yapıldığını varsaymaktır. Oysa iade alınan kart ile sistemdeki yetki kaydı farklı şeylerdir. Kart fiziksel olarak teslim alınmış olsa bile sistem tarafında iptal yapılmadıysa kopya kart üzerinden erişim mümkün olabilir. Bu nedenle fiziksel iade ve sistem iptali birbirinden bağımsız iki adım olarak ele alınmalıdır.
İkinci yaygın hata, işlemin "insan kaynakları sorumluluğu" olarak bırakılmasıdır. Küçük işletmelerde İK birimi ayrı bir birim olmadığı için bu görev sahipsiz kalır. Kimliği net olan tek bir kişinin —yönetici, şef ya da işletme sahibi— bu süreci yönetmesi ve süreci belgelemesi gerekir. Çalışanın "zaten gitti" deyip geçilmesi, sonradan ciddi pişmanlık yaratabilir.
Üçüncü hata, sadece mağaza/ofis kapısına odaklanırken yardımcı erişim noktalarının unutulmasıdır. Depo, otopark katı, personel girişi, servis asansörü gibi alanlar ayrı kart profilleriyle erişilebiliyorsa her biri ayrıca kontrol edilmelidir. Birleşik sistemlerde tek bir iptal tüm yetkileri kaldırabilirken eski veya hibrit sistemlerde her nokta ayrı işlem gerektirebilir.
Dördüncü hata, yönetim bildirimine gereken önemi vermemektir. Kiracı-yönetim ilişkisinde bildirim yükümlülüklerini sözleşmeden okumak, ayrılık süreçlerinde yapılacak ilk işlerden biri olmalıdır. Bildirim süresini aşmak veya hiç yapmamak, yönetimle ilişkiyi gereksiz yere gerer ve hukuki riski artırır.
Örnek bildirim metni (yöneticiye e-posta veya portal mesajı):
"Sayın Yönetim, [Çalışan Adı Soyadı], [Pozisyon], [Tarih] itibarıyla şirketimizden ayrılmıştır. Söz konusu çalışana ait bina giriş kartı [sisteme işlenmiş/fiziksel olarak iade alınmıştır/her ikisi de yapılmıştır]. Kart sistemindeki yetkinin de iptal edilmesini saygıyla rica ederiz. [Firma Adı] — [Yetkili Adı] — [Tarih]"
Bu tür bir yazılı bildirim, ileride sorumluluk tartışmasında "biz üstümüze düşeni yaptık" savunmasını güçlendirir. Kısa olması önemli değil, yazılı ve tarihli olması önemlidir.
Sık Sorulan Sorular
Eski çalışan kartını iade etmeden işten ayrıldıysa ne yapmalıyım?
Öncelikle erişim kontrol sisteminden kartı derhal iptal edin; bu işlem kartın fiziksel olarak nerede olduğundan bağımsız olarak anında yapılabilir. Ardından AVM ya da plaza yönetimini yazılı olarak bilgilendirin ve kartın kayıp/iade edilmemiş olduğunu bildirin. Kartın geri alınamaması durumunda bir tutanak düzenleyerek bunu dosyalayın. Eski çalışanın kart iadesi konusundaki yükümlülüğü iş sözleşmesinde belirtilmişse, bu konuyu avukatınıza danışarak değerlendirmeniz önerilir.
Giriş kartı iptali için ne kadar sürem var?
Kesin bir yasal süre öngörülmemiş olmakla birlikte, güvenlik riski açısından değerlendirme yapıldığında en doğru yaklaşım, ayrılık kararı kesinleştiği gün iptal işlemini yapmaktır. Özellikle ihraç ya da güven ihlali içeren durumlarda bu süre "aynı gün, mümkünse aynı saat" olmalıdır. Kira sözleşmenizde bina yönetimine bildiri için belirli bir süre tanınmışsa o süreye de uyulmalıdır; genellikle 5-10 iş günü aralığında değişir.
Yönetim kartı iptal etmezse ne olur?
Eğer siz yazılı olarak bildirimde bulunduysanız ve yönetim kendi sistemindeki kaydı iptal etmediyse, o tarihten itibaren oluşacak güvenlik ihlallerinde asli sorumluluk yönetim tarafına kayar. Bu nedenle bildiriminizi e-posta veya resmi kanal üzerinden yapın ve bir kopyasını saklayın. Yönetimin makul süre içinde işlem yapmaması durumunda hatırlatma yazısı gönderin; her iki yazışmayı da muhafaza edin. Hukuki ihtilaf çıkması halinde bu belgeler belirleyici olur.
Eski çalışan aktif kartıyla içeri girip bir şey çalarsa hapse girer mi?
Evet; kartla yetkisiz giriş yaparak hırsızlık gerçekleştiren eski çalışan, birden fazla suç kapsamında yargılanabilir. Koşullara göre hırsızlık yanı sıra bilişim suçları veya konut dokunulmazlığının ihlali hükümleri de gündeme gelebilir. Ancak bu işveren açısından da sorumluluğu ortadan kaldırmaz; zararın tazmininde "ihmalin payı" değerlendirilir. Fiziksel zararın ötesinde sigorta şirketiyle sorunlar da yaşanabilir.
Kart erişim logları ne kadar süre saklanmalı?
Yasal bir asgari süre doğrudan erişim logları için belirtilmemiş olmakla birlikte, genel hukuki önerilere göre çalışan verilerini en az beş yıl saklamak makul bir yaklaşımdır. KVKK çerçevesinde ise kişisel veri içeren loglar için amaçla orantılı saklama süresi belirlenmelidir; iş ilişkisi sona erdikten sonra artık gerekli olmayan veriler imha edilmelidir. Pratik önerimiz: erişim loglarını iş ilişkisinin sona ermesinden itibaren en az üç yıl saklayın, olası dava zamanaşımı sürelerini de göz önünde bulundurun.
Plaza veya AVM yönetimi kart sistemini kendisi yönetiyorsa ben ne yapmalıyım?
Yönetim sistemi merkezileşmişse sizin yükümlülüğünüz "derhal yazılı bildirim" yapmaktır; ardından yönetimin işlemi gerçekleştirdiğini teyit etmeniz gerekir. Teyiti e-posta yoluyla alın ya da sistemde işlem yapıldığını gösteren bir onay belgesi isteyin. Yalnızca bildirmek yeterli değildir; bildirimin sonucunu takip etmek de sizin sorumluluğunuzdadır. Güvenlik ihlali yaşandığında "bildirdim" savunması yalnızca takip ettiğinizi kanıtlarsanız güçlüdür. Buna ek olarak, havuzda kaza gibi güvenlik kaynaklı başka sorumluluklara dair bilgi için ortak alanlarda sorumluluk yazımızı da inceleyebilirsiniz.