Teknoloji çağının zirvelerinde yaşadığımız şu günlerde bilgi paylaşımının hızı git gide artmakta olup, bu nedenle paylaşımın konusu olabilen kişisel alanların korunması hakkının daha da anlam ve önem kazandığını görmekteyiz. Bu noktada uluslararası ve yabancı hukuka baktığımızda, veri güvenliğine ilişkin hassasiyetlere yönelik tedbirler alınmakta olduğunu ve bu konuya verilen önemin de günden güne arttığını görüyoruz.

Ülkemizde kişisel verilerin korunmasına yönelik kurallar ve yaptırımlar Türk Medeni Kanunu ve Türk Ceza Kanunu’nda “kişilik hakkı” ile “özel hayatın gizliliği” üst başlıkları ile genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. 2010 yılında, Anayasanın 20. maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde Resmî Gazetede yayımlanarak yürürlüğe girmiş bulunmaktadır.

Bu yazımızda Kişisel Verilerin Korunması Kanunu ile hayatımıza giren “kişisel verilerin güvenliği” kavramının İş Hukukuna yansımalarını inceleyerek işverenlerin ihtiyaç duyacağı uygulamalara ilişkin bilgilendirmeler ile konunun işverenler açısından önemine dikkat çekmeyi amaçlıyoruz.

Kişisel veri, Kanunun 3. Maddesine göre gerçek kişiye ait, kişiyi belirli veya belirlenebilir kılan her türlü bilgiyi ifade etmektedir. 

6698 sayılı Kanunda kişisel verilerin işlenmesi belirli şartlara bağlanmıştır.

“Kişisel verilerin işlenmesi” kavramı ise Kanunun 3. Maddesinde “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınırlandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi”  olarak tanımlanmaktadır.

Kişisel verilerin işlenebilmesi için öncelikli şart kişinin açık rızasıdır.

Ancak Kanunun 5. maddesinde açık rızanın aranmadığı şartlar sayılmıştır. Bunların varlığı halinde açık rızanın alınmasına gerek bulunmamaktadır. Bu şartlar; 

1. Kanunlarda açıkça öngörülmesi. 

2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 

4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

5.  İlgili kişinin kendisi tarafından alenileştirilmiş olması.

6.  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu şartlar kanunda sayma şeklinde sınırlanmış olduğundan bu şartlar dışında ilgili kişinin açık rızası olmadan kişisel verilerin işlenmesi mümkün değildir.

Aşağıdaki tabloda kişisel verilerin açık rıza dışında kalan işlenme şartlarına ilişkin örnekler yer almaktadır: 

(İşverenlikle ilişkili konular koyu renk ile gösterilmiştir.)

İşleme Şartları

Kapsam

Örnek

Kanun Hükmü gereği işleme

 Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb.

 Çalışana ait özlük bilgilerinin kanun gereği tutulması

Sözleşmenin İfası nedeniyle işleme

 İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb

 Teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi.

  Fiili İmkânsızlık nedeniyle rıza alamama

 Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi.

 Bilinci kapalı, kazaya (iş kazası) uğramış  kişinin kişisel sağlık bilgisi.

 Kaçırılan, ya da kayıp kişinin konum bilgisi.

Veri Sorumlusunun Hukuki Sorumluluğu gereği paylaşım sebebiyle rıza almama

 Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı   Regülâsyonlarla Uyum.

 Bankacılık, enerji, sermaye piyasaları, iş  veya sosyal güvenlik denetimleri gibi alanlara özel denetimlerde bilgi paylaşımı yapılması.

 Aleniyet Kazandırma sebebiyle rıza gerekmemesi

 İlgili kişinin kendisine ait bilgileri kamunun bilgisine sunması.

 Evini satmak isteyen kişinin, satış ilanında iletişim bilgisine yer vermesi, çalışanın facebook sayfasında telefon, ailevi hal  veya sağlık bilgisini paylaşması

 Hakkın Tesisi, Korunması, Kullanılması amacıyla rıza almama

 Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler. 

 İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.

 Meşru Menfaat 

 İlgili kişinin temel haklarına zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenmesi 

 Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi.

Kaynak: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf

Peki işverenleri çalışanların kişisel verilerinin işlenmesine karşılık ne gibi sorumluluklar beklemektedir? 

İşveren olarak işe alımdan iş ilişkisini sona ermesine kadar çalışanları hakkında kişisel veriler elde etmektedirler. Bunun en önemlisi de özlük dosyası içeriğini oluşturmaktadır.  İş Kanunu’nda işverenlere işçinin özlük dosyasının tutulması zorunluluğu getirilmiş bulunmaktadır. Dolayısıyla bu durum işleme/tutma bakımından kanuna bağlı bir hak kullanımıdır.

İş Kanununun özlük dosyasını düzenlediği 75. maddesinde “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” denilmektedir.

Buna göre işçinin özlük dosyasında toplanan kişisel verilerin “işlenmesi” “kanunlarda açıkça öngörülmesi” şartına bağlı olarak gerçekleştirilmektedir. Özlük dosyası içeriği,  çalışana ait kimlik bilgisi ve aile bilgilerini gösterir nüfus bilgileri, ikametgah bilgileri, adli sicil kaydı, eğitim durumuna ilişkin belgeler, sağlık durumuna ilişkin işçinin sunduğu kayıtlar, fotoğrafı, imzası ve benzer evrak ve bilgilerden oluşmaktadır.

Bunun dışında işçinin performans kayıtlarını oluşturan belgeler, elektronik posta ve telefon kayıtları, güvenlik gerekçesi ile alınan parmak izi veya retina taraması ile elde edilen kayıtlar ile işyerinde kamera kayıtları ile elde edilen görüntüler ise özlük dosyasının dışında  elde edilen kişisel ve biometrik veriler olup, işverenin kanunla kendisine yüklenen özlük dosyası tutma, iş ve işçi güvenliğini sağlamak  yükümlülüğü, işçiyi koruma gözetme borcu dışında kalan bu tür veri işleme eylemlerinde işçiyi aydınlatma yükümlülüğünü yerine getirerek ayrıca açık rızasını alması gerektiğini düşünüyoruz.

Kanunda kişisel veri tanımının dışında özellikli olarak “özel (hassas) nitelikli kişisel veriler” den de  bahsedilmektedir. Bu özel nitelikli kişisel veriler Kanunun 6. maddesinde tek tek sayılmıştır. Bu hassas veriler daha fazla korunması gereken nisbeten küçük bir gruptur.

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

İşverenlerce, çoğunlukla işe giriş sırasında işçiden Kanunda özel nitelikli kişisel veriler olarak tanımlanan bu verilerden bazıları işlenmekte/tutulmaktadır.

Özel nitelikli kişisel verilerin de ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde (iş hukuku bakımından özlük dosyasında mutlaka bulunması gereken veriler anlamında-örneğin sendika üyeliği bilinmeden sendika aidatını kesmek mümkün değildir, çalışanın adli sicilini bilmek ve işlemek işverenin hakkıdır..gibi) ilgili kişinin açık rızası aranmaksızın işlenebilir.

Önemle belirtmek gerekir ki çalışanınıza ait özel nitelikli verilerin saklanma süresi kadar saklanması ve bu süre sonunda hemen silinmesi/yok edilmesi veya anonimleştirilmesi gerekmektedir; saklama süresinde ise mümkün olduğunca bu verilere erişimin sadece yetkili kişilerce yapılmasının sağlanması gerekmektedir.

İşverenin işçilerin kişisel verilerinin tutulması bakımından veri sorumlusu olarak Kişisel Verilerin Korunması Kurumu nezdinde kurulan veri kayıt siciline kayıt olmaları gerekmektedir. Kayıt işlemi ilgili kurum web sitesi üzerinden online olarak yapılabilmektedir. 

İşveren Kanun’a göre bir veri sorumlusudur. Veri sorumlusu Kanunun 3. Maddesinde tanımlanmıştır. Buna göre gerçek kişiye ait kişisel verileri alan ve işleyen veya işlenmesi vasıtalarını belirleyen ve yönetilmesinden sorumlu gerçek veya tüzel kişileri ifade etmektedir. Dolayısıyla İşverenler çalışanları bakımından onların kişisel verilerinin korunması bakımından veri sorumlusu olmaktadırlar.

Veri sorumlusunun kanun kapsamında belli başlı bazı yükümlülükleri bulunmaktadır. Bunlar;

1. Aydınlatma Yükümlülüğü

Veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye (veri sahibine) sağlamakla yükümlüdür: 

• Veri sorumlusunun ve varsa temsilcisinin kimliği, 

• Kişisel verilerin hangi amaçla işleneceği, 

• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 

• Kişisel veri toplamanın yöntemi ve hukuki sebebi, 

• 11. Madde uyarınca ilgili kişinin hakları hakkında, 

bilgilendirme yapma yükümlülüğü altındadır. 

2. Veri Güvenliğini sağlama yükümlülüğü

Veri güvenliği, Kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemeye ve bunların hukuka uygun olarak muhafazasını sağlamaya yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasıdır. 

Veri sorumlusu veri güvenliği gereğince; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile yükümlüdür.

3. İlgili kişiler tarafından yapılan başvuruların cevaplanması ve kurul kararlarının yerine getirilmesi yükümlülüğü

4. Veri Sorumluları siciline kayıt olma yükümlülüğü,

5. Bildirim yükümlülüğü, 

Veri sorumlusu işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve ilgili Kurula bildirmektir.

Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Ancak veri sorumlusu bakımından sicile kayıt zorunluluğunun aynı zamanda bazı istisnaları da bulunmaktadır. 

Bu istisnaların dışında kalan ve kayıt olma yükümlülüğü altında bulunan veri sorumluları bakımından sicile kayıt zamanları belirlenmiştir.

Buna göre;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü 01.10.2018 tarihinden 30.09.2020 tarihine kadardır. 

Yurtdışında yerleşik gerçek veya tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.10.2018 den 30.09.2020 tarihine kadardır. 

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü 01.01.2019 dan 31.12.2020 tarihine kadardır. 

Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihini 01.04.2019 olup, 31.03.2021 tarihine kadardır. 

Yukarıda işverenlere kısaca yol göstermek üzere hazırladığımız bu yazımızın dışında detaylı bilgiye www.kvkkasistan.com'a tıklayarak uygulama adımları, açıklamalar, muvafakatname örnekleri ve ilgili mevzuat bilgileri ile bu uygulamayı KVKK Uygulama Rehberi ile doğru bir şekilde yönetebilirsiniz.

Ayrıca KVKK Uyumlu İş sözleşmeleri ve KVKK Uygulama örnekleri için tıklayınız.

Yararlı olması dileğimizle.


 Yorumlar (0)

 Yorum Yapın