İşçi Özlük Dosyasına KVKK Filtresi

02/09/2019 Kapalı Yazar: admin
İşçi Özlük Dosyasına KVKK Filtresi
alanında ulusal, bölgesel ve ulusalüstü nitelikteki yeni düzenlemelerin yürürlüğe girmesi ve bu düzenlemeler kapsamında getirilen yaptırımların oldukça ağır olması sebepleriyle, temel faaliyetleri bakımından kişisel şirketler, uyum sürecini oldukça hızlı tamamlama eğilimindedir. Ne var ki, kişisel verilerin korunmasına ilişkin mevzuata uyum sağlaması gerekenler, yalnızca ana faaliyetleri işleme fiili olan veri sorumluları değildir. Nitekim, idari ve ticari faaliyetleri kapsamında kişisel tüm şirketlerin, ilgili mevzuata uyum sağlaması zorunluluğu mevcuttur.

Bilindiği üzere, işçi özlük dosyası ile ilgili düzenlemeler 4857 sayılı İş Kanunu (“İK”) ile çalışma hayatımıza girmiş ve işverenlerce bu belgeler ile formların düzenlenmesi ve saklanması zorunlu hale getirilmiştir ve İK’nın 104. madde hükmü ile özlük dosyasının düzenlenmemesi halinde, işveren aleyhine idari para cezasının uygulanacağı öngörülmüştür.

Sayılı Kişisel Verilerin Korunması Kanunu (“”) Bakımından Değerlendirme

KVKK uyarınca kişisel veri, kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda, işçinin özlük dosyasında yer alacak , yerleşim yeri, bilgileri, telefon bilgileri gibi veriler kişisel veri ve söz konusu muhafaza işlemi de kişisel veri işleme faaliyeti olarak kabul edilecektir. Bu bağlamda, işçinin kişisel verilerinin işlenmesine ilişkin kuralların ve özellikle “veri minimizasyonu” ve “amaçla sınırlı ve ölçülü veri işleme” ilkelerinin dikkate alınması önem arz etmektedir. (1)  Ayrıca, şeklen bir tanıma tabi olmayan özlük dosyalarının, işçinin işe devam ettiği süre boyunca devamlı olarak güncellenmesi gerekmektedir.
Bununla birlikte, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’na (“İSGK”) göre işverenler, çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimi yükümlülüğüne tabi tutulmakta olup, çalışanların işe girişlerinde, işin devamı süresince, iş değişikliğinde, iş kazaları sonrasında ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın belirlediği periyodlarda sağlık muayenelerinin yapılmasını sağlamak zorundadırlar.

Bu kapsamda işçiye ait sağlık raporlarının da özlük dosyasında bulunması gerekecektir. Bahse konu sağlık raporları, işin devamı süresince yapılan periyodik sağlık muayenelerine ilişkin raporlar ve işçiye ait diğer de KVKK md. 6 kapsamında özel nitelikli kişisel veri olarak değerlendirilecektir.

Bu noktada da özellikle KVKK’nın temel ilkelerinden “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesinin dikkate alınması gerekmekte olup; özel nitelikli kişisel veri ihtiva eden belgelerin, sır saklama yükümlülüğü altında olan işyeri hekimi/hemşiresi tarafından alınması ve muhafaza edilmesi, veri güvenliğinin ve KVKK’da öngörülen hassasiyetin sağlanması bakımından daha isabetli olacaktır.

Özlük Dosyalarının Muhafazası Hususu

Her ne kadar özlük dosyalarının saklanma koşulları ile ilgili çeşitli yönetmeliklerde düzenlemeler mevcut olsa da, KVKK ve İK kapsamında özlük dosyalarının muhafazası hususu ile ilgili net bir hüküm bulunmamaktadır. Uygulamada özlük dosyalarının kilitli dolaplarda saklanması yöntemi kabul görse de Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan “Kişisel Rehberi”nde, kişisel veri güvenliğinin sağlanması için kişisel veri içeren kâğıt ortamındaki evrakların, sunucuların, yedekleme cihazlarının, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi önlemler alınarak muhafaza edilebileceği açıklanmıştır. Dolayısıyla, özlük dosyalarının kilitli dolaplarda muhafaza edilme zorunluluğu bulunmamakta olup, yalnızca ihtiyaç halinde yetkili kişiler tarafından ulaşılabilecek kilitli ortamlarda muhafaza edilmeleri yeterli olacaktır.

Özlük Dosyalarının İmhası

KVKK’nın 7. maddesinde öngörüldüğü üzere, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, ilgili kişisel verilerin, şirket içerisinde oluşturulacak bir imha politikası çerçevesinde ve bu politikadaki esaslara uygun olacak şekilde imha edilmesi germektedir.

Dolayısıyla, veri sorumluları tarafından şirket faaliyetleri çerçevesinde işlenen kişisel veriler ile ilgili olarak bir imha politikası hazırlanmalı ve bu imha politikası içerisinde şirket tarafından belirlenecek periyodik imha sürelerine yer verilmelidir. (2) Ayrıca, imha işlemlerinin kayıt altına alınması ve en az üç (3) yıl saklanması gerekmektedir . Ancak bu kayıt işleminin ne şekilde gerçekleştirileceği ve hangi unsurların kayıt altına alınacağı henüz netlik kazanmamıştır. Bu konuda, ileride herhangi bir ispat sorunu yaşanmaması adına, Kurul tarafından yapılacak açıklamaların beklenmesi isabetli olacaktır.