Kişisel Verilerin Korunmasında İnsan Kaynakları’nın (İK) Rolü

14/01/2020 Kapalı Yazar: admin
Kişisel Verilerin Korunmasında İnsan Kaynakları’nın (İK) Rolü

şu an gündemde olan bir konu. Kişisel veri nedir?

Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veriye kişisel veri diyoruz. Mesela, , isim, CV, numarası, adres, , , ses ve benzeri her türlü veri kişisel veri kabul ediliyor. Örneğin, CV içerisindeki fotoğraf, isim, kimlik numarası, adres, öğrenim bilgileri, referanslar gibi her türlü detay kişisel veridir. Özellikle altını çizeyim, şirket, vakıf, dernek gibi tüzel kişilerin verileri kişisel veri değil, gerçek kişilerin verilerini “kişisel veri” olarak kabul ediyoruz.

Kişisel veri güvenliğine hukukun önem vermesinin sebebi de şu: “kişisel verilerin izinsiz öğrenilmesi ve kullanılması halinde büyük mağduriyetler ortaya çıkıyor”. Yasal düzenlemeler de bu verilerin temini, muhafazası, paylaşılması ve imhası için önemli kriterler ortaya koyuyor.

Özel nitelikli kişisel veri deyimi ne anlama geliyor, bunu insan kaynakları (IK) kapsamında anlatır mısınız?

Özel nitelikli kişisel veriler de kişisel veri ama bunları özel nitelikli yapan “öğrenilmesi halinde ayrımcılığa uğrama tehlikesi”. Sağlık ve cinsel hayata ilişkin kişisel veriler özel nitelikli kişisel veriler. Düşünsenize HIV pozitif bireysiniz ve başkaları izniniz olmadan bu sağlık verinizi öğreniyor veya insan kaynakları sağlık raporunuzu istiyor ve raporda genetik bir rahatsızlığınız var ya da ayrımcılığa uğrama tehlikeniz çok yüksek. Çünkü bu detayları sunduğunuzda işe kabul edilmeme ihtimali olduğu gibi kabul edilmeniz halinde bu verilerin güvenli tutulmadığı varsayımında işyerinde izole edilebilirsiniz.

İnsan kaynakları departmanı açısından kişisel veri koruması hakkında ne düşünüyorsunuz?Çalışanların özlük dosyalarında saklanan bilgi ve belgeler kişisel veri koruması altında mı?

Bir işe girdiğinizde sizden istenen temel bilgi ve belgeler var. Bunların toplanması ve özlük dosyasında saklanması gerekiyor. Bunu da genelde şirketlerin insan kaynakları departmanı yapıyor. Bu nokta insan kaynakları uzmanlarının kişisel verinin ne olduğunu bilmesi gerekiyor. Esasında özlük dosyasında toplanan çalışana ait tüm belgelerde çalışanın kişisel verileri var.

Peki, işyeri insan kaynakları departmanı kanuna uygun hareket etmek adına ne yapmalı?

Bu noktada insan kaynakları uzmanları (eğer şirkette insan kaynakları departmanı yoksa sorumlu kişi veya işverenler) çalışanlardan kişisel veri içerir bilgi ve belge isterken öncelikle çalışanları “bu verilerin ne için istendiği, ne amaçla kullanılacağı, nasıl ve ne kadar saklanacağı ve sonrasında imha süreci konusunda” aydınlatmaları gerekiyor.

Bilgi verilen ve aydınlatılan çalışan bu işleme açık bir şekilde rıza göstermesi gerekiyor. Tabi bu sözlü aydınlatma ve rızayı ispatlamak zor olduğu için yazılı bir şekilde yapılması gerekiyor.

İlaveten, işyerinde veri envanterinin oluşturulması da oldukça önemli. Böylece çalışanlar da dahil olmak üzere işyerinde tutulan tüm kişisel verilerin nasıl, ne şekilde ve ne kadar muhafaza edildiği tutanak altına alınabilir. kaydında da envanter kaydı tutulması oldukça önemli.

İşyerlerinin kişisel veri koruması için gerekli yükümlülükleri yerine getirmemesi halinde ne gibi sonuçlar ortaya çıkabilir?

Cezai boyutundan bakacak olursak: Türk Ceza Kanununda kişisel verilerin kaydedilmesi, hukuka aykırı verilmesi veya ele geçirilmesi, yok edilmemesi gibi suçlar var. Bu suçların işlenmesi halinde hapis ve adli para cezaları gündeme gelebilmekte.

Hukuki boyuttan bakacak olursak: Kişisel veri ihlali halinde, verileri hukuka aykırı işleme tabi tutulan kişinin kişilik haklarına saldırılmış oluyor. Bu durumda maddi-manevi tazminat talebine konu olabiliyor.

İdari boyuttan bakacak olursak: Kişisel veri koruması hükümlerine uyulmaması halinde sayılı Kanun uyarınca öngörülen idari yaptırımlar, para cezaları var.

Yani, çalışanın işyerini Kurum’a şikâyet etmesi, savcılığa şikâyet etmesi ve/veya maddi-manevi zararının tazmini yoluna gitmesi mümkün olup, dilediği yola başvurabilir, hepsine birlikte de başvurabilir. Bu noktada işyerlerinin mevzuatı iyi bilmesi ve insan kaynaklarının usulüne uygun hareket etmesi önem taşıyor.

Bunun yanında VERBİS kaydının yapılmaması halinde de ayrıca idari cezalar var.

VERBİS’i kısaca anlatır mısınız? Hangi işyerleri VERBİS’e kayıt olmak zorunda?

VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’nin kısaltmasıdır. , kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir.

Veri sorumluları, VERBİS sicil sistemine elektronik ortamdan kaydoluyor ve işlemekte oldukları kişisel verilerle ilgili beyan ve taahhütlerde bulunuyorlar.

Kimler ne zamana kadar kaydolmak zorunda bunları da söyleyelim:

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları 30.06.2020 tarihine,
  • Yurt dışında yerleşik gerçek ve tüzel kişi sorumluları 30.06.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumluları 30.09.2020 tarihine,
  • Kamu kurum ve kuruluşu veri sorumluları 31.12.2020 tarihine,

kadar kaydolmak zorunda.

VERBİS’e kaydolma yükümlülüğü olan işyerlerinin kaydolmaması halinde ne gibi idari cezalar gündeme geliyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18/1/ç maddesi uyarınca 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanıyor.