Kişisel verileriniz güvenli ellerde mi?

Kişisel veri, kişinin belirli veya belirlenebilir olmasını sağlayacak her türlü bilgi olarak tanımlanabilir. Günümüz bilgi toplumunda tüm bu verilerin bilişim sistemleri üzerinden otomatik yollarla işlenip kullanılması özel hayatın gizliliği ve kişilerin temel hak ve özgürlükleri açısından sorunlar yaratıyor. Veri güvenliği konusunda çeşitli yerel ve uluslararası bir dizi önlem mevcut.

Kişisel verilerin korunmasıyla ilgili esasları içeren 1995/46/EC sayılı Avrupa Komisyonu Direktifi'ni imzalayan fakat uygulamamış olan Türkiye, Avrupa Birliği’nde vizesiz dolaşım ve mülteci sorunu pazarlıkları ile eş zamanlı olarak 'Kişisel Verilerin Korunması Kanunu’nu yasalaştırdı. Her ne kadar vize ve mülteci konusundaki pazarlıklar sonlanmış olsa da "6698 sayılı Kişisel Verilerin Korunması Kanunu"- nun tüm maddeleri 7 Nisan 2016 tarihi itibariyle 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kişisel verilerin korunması, bankacılık, reklam, iletişim gibi bir çok sektörü ilgilendiren geniş bir konu. Şirketler, işverenler ve dolayısıyla İK departmanları açısından geçmiş uygulamaları değiştirecek bir gelişme olacak.

VERİ TOPLAYAN ŞİRKETLER ETKİLENECEK

Öncelikle normal faaliyetlerinin bir sonucu olarak kişisel veri toplayan, işleyen, aktaran tüm kurum ve özel şirketler “Veri Sorumlusu” olarak tanımlanıyor.

Kanun, Veri Sorumluları (veri işleyen şirketler) için aşağıdaki genel prensipler çerçevesini çiziyor:

• Kişisel veriler hukuka ve dürüstlük kuralına uygun olarak işlenmeli

• İşleme doğru ve gerekli ise güncel olmalı

• Kişisel veriler ancak açık ve meşru amaçlar için işlenmeli

• Kişisel veriler hangi amaçla işleniyorsa ancak bu amaçla bağlantılı olarak işlenmeli, işleme sınırlı ve ölçülü olmalı

• Kişisel veriler ancak işlendikleri amaç için gerekli olan süre kadar veya ilgili mevzuatta özel bir süre öngörülmüş ise o kadar muhafaza edilmeli. Kural olarak “kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek” fakat aşağıdaki durumlarda verileri işlemek de mümkün oluyor:

• Kanunlarda açıkça öngörülmesi

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin tarafl arına ait kişisel verilerin işlenmesinin gerekli olması

• İlgili kişinin kendisi tarafından alenileştirilmiş olması.

ŞİRKETLER NASIL ETKİLENECEK?

Bu açıdan bakıldığında, işletmelerde İş Kanunu 75. Maddesi gereği tutulan özlük dosyalarında yer alan kişisel verilerin toplanması ve işlenmesi “kanunlarda açıkça öngörülen” istisnası kapsamında kaldığından bu tür bilgiler için açık rıza alınmasının gerekmeyeceği değerlendirilebilir. Yine aynı şekilde SGK, vergi daireleri ve benzeri kurumlarla ilgili işlenmesi gereken bilgiler de “yasa gereği” addedilmek durumundadır. Öte yandan işçi ve işveren arasında akdedilen iş sözleşmelerini de açık rıza alınması konusunda istisna oluşturan, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin tarafl arına ait kişisel verilerin işlenmesinin gerekli olması” istisnasına dahil olarak yorumlayabiliriz.

Her ne kadar yukarıda belirtilen amaçlarla işlenen veriler için açık rıza aranmayacaksa da verilerin işlenmesine ilişkin yukarıda belirtilen genel prensipler her halükarda gözetilmek zorundadır. Diğer bir deyişle, hangi amaçla işleniyorsa ancak bu amaçla bağlantılı olarak işlenmeli ve ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidirler. Örneğin, iş sözleşmesi sona eren personelle ilgili bazı verilerin diğer yasalar açıdan tutulması zorunluluğu yoksa (SGK vb.) silinmesi, yok edilmesi veya anonimleştirilmesi gerekebilecektir.

İNSAN KAYNAKLARINI NASIL ETKİLEYECEK?

Kanuna göre veri sorumlusu işverenler, ilgili kişi/veri sahibi ise çalışan olacaktır. İnsan kaynakları tarafından tutulan, işlenen ve değerlendirilen veriler bu kanun kapsamında kişisel veridir. Dolayısla İK sorumluluları; şirket adına verilerin güvenliği, gerektiğinde silinmesi ve transferi konusundaki önlemleri almak durumundadır. Aksi halde çalışanlar tarafından şikayet halinde idari para cezaları söz konusu olacaktır. Bariz biçimde görünen bu değişiklikler ileride farklı yorumlarla davalara yol açabilecektir. Örneğin çalışan; işlenen datalarla oluşmuş bir performans değerlemesi ve bu nedenle alamadığı bir ücret farkı için itiraz edebilecektir. Ya da kişilik testlerinin değerleme biçimini sorgulayabilecektir.