İşverenler kişisel verilerin polisi mi?
Sadece adını bildiğimiz birini daha yakından tanımak için sosyal medyayı kullanıyoruz. Hatta bu işin ismi bile var, “stalk.” Hemen her şeyimizi sosyal medya hesaplarımızda yayınladığımız bu dönemde, Kişisel Verilerin Korunması işverenler için çok hassas bir konu.
AYŞE NAZMİYE UÇA
4857 sayılı iş kanunu yürürlüğe girdiğinde, İş Kanunu uygulamaları ile ilgilenen kişiler olarak işverenin, çalışanın kişisel verilerini gizli tutması gerektiği kavramı ile karşılaşmıştık. Muhtemelen Avrupa Birliği yasalarından alıntı yapılmış bir madde idi. Ayrıca yine aynı kanun ile işveren, çalışanın özlük bilgileri kayıtlarını tutmakla zorunlu kılındı. 2003 yılı Haziran ayında bunlar olurken, bundan 15 yıl sonra başımıza geleceklerin farkında değildik tabii ki.
O yıldan bugüne internet, mobil araçlar, fotoğraf, video ve VR teknolojileri ile farklılaşan iletişim araçları, çok büyük miktarlarda veri üretimine yol açtı ve her geçen gün artan oranlarda veri birikiyor. Artan veri dağlarının sonu ise, hayatımıza giren kişisel verileri koruma kanunu ile sona eriyor. Konunun uzmanı olalım olmayalım, hatta işveren olalım olmayalım, kişisel verileri koruma kanunu bizlerin ilgi alanı olmak zorunda. Şirketler bulundukları faaliyet konusu ile ilgili olarak dokundukları kişisel verileri doğru saklamak, üçüncü kişilerin yanlış kullanımını önleyecek tedbirleri almak ve yasal gereklilik sürelerinde de imha etmek ile mükellefl er. Günümüzde sadece bir yılda belki de tüm tarihsel zamanlarda toplanan verilerden fazla veri birikiyor, veri kullanımı her geçen gün üstel olarak büyümeye devam ediyor. Bu durum tüm dünyada gelişmiş ülkelerden başlayarak daha önce var olan kanuni korumaların dışında yeni düzenlemeleri zorunlu kıldı. Elbette her konuda olduğu gibi kişisel veriler konusunda da ülke olarak kantarın topuzunu kaçırarak, on kişi çalıştıran esnafl a binlerce kişiyi istihdam eden kuruluşları aynı kefeye koyduk. Kişisel verilerin korunmasının ihlalinde küçük, orta ya da büyük şirketlerin tümü aynı kanuni yaptırımlarla karşı karşıya kalıyor.
Zuckerberg olayı...
Konu sıradan vatandaşların da gündeminde. Facebook CEO’su Mark Zuckerberg’in kişisel veri sızıntısı ile ilgili Amerika senatosunda ifadesini birçoğumuz canlı olarak izledik. Şimdilerde kendisi Avrupa’da özür ziyaretlerini sürdürmekle meşgul.
Bankalardan başlayarak, çağrı merkezleri, hizmet kuruluşları, insan kaynakları şirketleri gibi kişisel verilere dokunan tüm kuruluş ve organizasyonlar, Türkiye’de Ekim 2016 tarihinde yürülüğe giren yeni yasal düzenlemelerle tabana yayılmaya başlayan bu kanuna uyum için hummalı bir çalışma içindeler. Ben de şahsen kanuna uyum sürecinde daha iyi ve daha hızlı hizmet vermenin yanında veri güvenliğini her zaman düşünmek zorunda kalan şirketlerden biri olarak, şimdi veri güvenliğini nasıl doğru yaptıklarını ispatlamak üzere daha çok enerji harcamaya başladım ki bu veri güvenliği üzerine düşünmekten daha yorucu bir durum oluşturdu.
İşverenin durumu...
Kişisel verilere dokunan kuruluşlarda hâl böyle iken, işverenlerin çalışanların verilerini koruma karşısındaki durumu nasıl olacak?
İşverenler olarak çalışanlara ilişkin oldukça fazla veri tutuyoruz. İşe alım aşamasında tarafımıza gönderilen özgeçmişleri saklıyoruz. Bu özgeçmişler için yaptığımız değerlendirmeler, belki de testler kişiye ilişkin çok özel bilgileri barındırıyor. Kişinin işe girişinden, çalışan sıfatını kazanmasından itibaren ise özlük bilgilerini içeren çeşitli dosyalar tutuyoruz. Çalışanın sağlık sorunlarına ilişkin belgeler, doktor raporlarını tuttuğumuz dosyalarımız var. Çalışanın yıllık izinleri bilgilerimiz mevcut. Çalışanla işverenin yaşadığı sorunlar, belki uyarı mektupları mevcut. Çalışanın performansına ilişkin bilgiler ve çalışanın yıllar içinde aldığı ücretler... Tüm bunlar işverenin çalışana karşı sorumluluklarını yerine getirmek, aynı zamanda şirketin devamını ve performansını yüksek tutmak için gerekli belgeler.
Kendisi hangi sektörde olursa olsun, işverenlerin çalışanların kişisel verilerini korumak, bir yandan ihtiyacı olan bu bilgileri tutarken bir yandan bilgilerin güvenliği sağlamak zorunluluğu var. İşveren olarak sadece çalışanların değil kişisel veri barındıran aşağıdaki ilgili kişileri bu düzenleme içinde gözetmeliyiz:
- İş başvurusunda bulunanlar
- Mevcut çalışanlar
- Eski çalışanlarımız
- Stajyerler
- Danışmanlar
Peki dikkat etmemiz gereken veriler neler?
- Sözleşmeler
- Giriş çıkış bilgileri puantaj kayıtları
- Ücret, yan haklar ve bordro bilgileri
- İzin bilgileri
- Sağlık bilgileri
Çalışanların kendi verilerini ulu orta paylaştığı bir dönemdeyiz. Çalışanlarımızın anlık olarak nerede olduğu, kiminle olduğu, ne yediği içtiği, ne konuştuğu, ne düşündüğü sosyal medyada… Bu konu onların kendi tasarrufl arında olan bir konu, ancak işverenler olarak bizler çalışanlarımıza ilişkin verilerin polisi olarak verileri doğru kanuna uygun tutmak, korumak, gerektiği zaman ise imha etmek durumundayız.
Nelere dikkat etmeli?
Yasaya göre çalışanlar veri sahibi olarak, işverenler ise veri işleyenkontrol eden olarak belirlenmiş durumda. Bu durumda işverenler olarak dikkat etmemiz gereken kurallar kabaca şöyle:
- Kişisel veriler yürürlükteki mevzuata uygun olarak tutulmalı.
- Yalnızca iş gerekliliği için makul veriler tutulmalı, işimizin devamı ya da sürekliliğini sağlamaktan uzak kişisel verileri bulundurmamak gerekiyor.
- Kişilik haklarını koruyacak şekilde depolanmalı.
- Çalışana ilişkin veriler sadece kanuni süreler içinde tutulmalı, bu sürelerin bitişi sonunda
imha edilmeli ve neyin imha edildiğinin çetelesi tutulmalı.
- Çalışana ilişkin veriler kanunen güvenli olarak belirtimiş ülkeler dışında bir başka ülkeye transfer edilmemeli.
- Çalışanların kişisel verilerinin korunması için yeterli tedbirler alınmalı, bu tedbirler gözlemlenebilir olmalı.
- Bu konuda alınan tedbirler sıklıkla kontrol edilmeli ve güncellenmeli.