Özellikle 6698 sayılı #KişiselVerilerinKorunmasıKanunu yasalaştıktan sonra belki de kendilerini en çok mutsuz ve kaybolmuş hissedenlerin başında İnsan Kaynakları konusunda hizmet veren şirketler ile İnsan Kaynakları departmanında geçmişten günümüze binlerce İnsan Kaynakları verisi barındıran şirketlerdir. Peki şirketlerin bu kadar endişelenmesi ve karamsarlığa kapılması doğru mu, gelin şimdi bu konuyu masaya yatıralım.
Çalışanların verilerinin güvenliği ile kanunların işverenlere verdiği yetkilerin arasındaki dengeyi bulmak özellikle kamera görüntüleri, internet kullanımları, konum bazlı bilgilendirmeler vs. gibi kimi veriler söz konusu olduğunda daha da zorlaşıyor nitekim İnsan Hakları Sözleşmesi’nden ulusal kanunlara kadar birçok yasa maddesine uyum sağlamanız gerekiyor. Açıkçası bu yasalardan bahsetmek ve özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu (#KVKK) öncesi düzenlemelere bakmak gerekirse karşımıza sırasıyla Avrupa İnsan Hakları Sözleşmesi 8. madde, 1982 Anayasası 20. Madde, Türk Ceza Kanunu 135. madde ve devamı, 4857 sayılı İş Kanunu 75. madde ve Borçlar Kanunu 419. madde çıkıyor. Kişisel Verilerin Korunması Kanunu ise uluslararası ve ulusal yasa metinlerinin açıkta bıraktığı ve ilgili yönetmelikleriyle birlikte tüm sorunları bir harmoni ile çözmeye talip yasa metni olarak masanın üzerinde duruyor.
Kişisel Verilerin Korunması Kanunu ile ilgili güncel tartışmalar –henüz bebek bir kanun olması nedeniyle- daha çok şirketlerin müşterileri üzerinden yapılmaktadır. Halbuki şirket çalışanlarının kişisel verileri bakımından da kanunun sunduğu korumaların farklı olduğu düşünülmemelidir. Kişisel verilerin korunması hakkı her şeyden önce herkes için var olan bir anayasal haktır (1982 Anayasası 20. Madde). 4857 sayılı İş Kanunu’nun 75. maddesinde de belirtildiği üzere işveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür, yani işçinin gizlilik hakkı bulunmaktadır.
Kişisel Verilerin Korunması Kanunu’nın sadece çalışanlarının kişisel verilerini işleyen şirketlere değil aynı zamanda İnsan Kaynakları hizmeti sunan şirketlere de uygulanacağı unutulmamalıdır. Nitekim şirketlerin Kişisel Verilerin Korunması Kanunu’ya uyumluluk süreçlerini tamamlamaları gerektiğini hatırlatarak öncelikle aşağıdaki şu sorularla organizasyonlarını kontrol etmeleri gerekmektedir:
Kişisel Verilerin Korunması Kanunu ve uyulması gereken yükümlülüklerin tam olarak farkında mısınız? Bu yükümlülüklerinizin sadece şirketinizde işlenen üçüncü kişi verilerini değil, aynı zamanda çalışanlarınız açısından da geçerli olduğunu biliyor musunuz?
Yükümlülüklerinizin farkındaysanız Kişisel Verilerin Korunması Kanunu’na ilişkin uyumluluğun eksikliği halinde kanunun 18. maddesinde belirtilen cezalardan haberdar mısınız?
Şirketinizin elinde hali hazırda var olan kişisel veriler bakımından uyumluluğu ne zamana kadar tamamlamış olmayı bekliyorsunuz?
Organizasyonunuzu ne çeşit eğitimlerle, güvenlik önlemleriyle ve çerçeve prosedürlerle koruma altına alıyorsunuz? Kişisel veri koruma ekibiniz var mı?
Şirketinizin işleyişi bakımından kişisel verilere ne kadar bağımlı? Şirketinizin elinde bulundurduğu kişisel verileri ne derecede kontrol altında tutuyor?
Elinizdeki kişisel verileri ne dereceye kadar kontrol ediyorsunuz? Elinizdeki verilerinizin formatı nedir? Verilerinizin depolanması konusundaki önlemleriniz nedir?
Elinizdeki kişisel verilerin hukuka uygunluğu nedir? Rızalar, hukuki istisnalar elinizdeki kişisel veriler bakımından tamlar mı?
Şirketiniz elinizdeki kişisel verileri paylaşıyor mu? İşleyiş için aktarıyor mu? Bu tür işlemler için güvenlik prosedürleriniz yerinde mi?
Şirketiniz içinde verilere kim ulaşabiliyor? Bu konuda bir sınırlandırmayı tam anlamıyla yapabiliyor musunuz?
Kişisel verilerinizi sınıflandırabilecek ve/veya veri çıkışını önleyebilecek teknik yazılımlara sahip misiniz?
AB ülkeleri ile ticari ilişkileriniz mevcutsa aynı zamanda GVKT (Genel Veri Koruma Tüzüğü) için de hazır mısınız?
İnsan Kaynakları Verileri
Artık biliyoruz ki en basit anlamıyla kişisel veri, bir kişiyi belirleyen veya belirlenebilir kılan veridir. Kişisel verilerin İnsan Kaynaklarını ilgilendiren kısmında ise İnsan Kaynaklarının elde ettiği özlük bilgileri, fotoğraflar, kamera kayıtları, ses kayıtları yani kısaca istihdam öncesinde ve sonrasında toplanmış olan bütün veriler ve referanslardır.
Bu veriler, işyerinin kanunlar tarafından toplamasının zorunlu olduğu verilerin yanı sıra işin görülmesi için ve işin görülmesi sırasında elde edilmiş olan veriler de olabilirler. Örneğin çalışma kayıtlarına ilişkin detaylar, ödeme ve vergi bilgileri, performans raporları, eğitim bilgileri, sağlık verileri, işe devam bilgileri, deneyim bilgileri ve kimlik verileri, cezai mahkûmiyetine ilişkin verileri gibi çok çeşitli veriler bu kapsamdadır.
Kişisel İnsan Kaynakları Verilerinin İşlenmesi ve Usulleri
Kişisel verilerin işlenmesi veriler üzerindeki neredeyse bütün işlemleri kapsamaktadır. Kişisel verilerin işlenmesi süreci üç aşama ve arasındaki bütün işlemler olarak düşünülebilir; verilerin elde edilmesi, saklanması ve yok edilmesi. Kişisel verilerin işlenmesi için Kişisel Verilerin Korunması Kanunu’nun ana şartı bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan açık rızadır.
Özellikle Avrupa Birliği uygulamalarında çalışanın iradesinin kesin ve açık olarak hiçbir şüpheye yer vermeksizin beyan edilmesi gerekliliği kabul edilmektedir, bu tutumu en iyi şekilde ortaya koyan 29. Madde Çalışma Grubu’nun (Article 29 Working Party) 15/2011 sayılı Görüşü işçinin işe alınması şartı olarak rıza vermesi gerektiği hallerde “işçi rıza vermeyebilir fakat bunun sonucu iş fırsatını kaybedebilir, böyle bir durumda rıza özgürce verilmiş olamaz ve bu sebeple hukuka uygun değildir” diye belirtmiştir. Yine aynı şekilde rızaya ilişkin olarak dikkat edilmesi gereken durumlardan bir diğeri de bir işyerinde çalışanların istihdam sonrasında rızasını sunması bakımından her zaman “özgür irade” sunabilmesinin mümkün olmamasıdır. Yargıtay’ın çeşitli kararlarında işçi için önemli bir kararın verilmesi sırasında işçinin iradesinin işveren sebebiyle sakat olup olmadığının tespit edilmesine gerek duyması bu yüzdendir. (9. HD., E. 2014/28143 K. 2016/3042 T. 17.2.2016, 7. HD., E. 2016/11585 K. 2016/16558 T. 13.10.2016) Dolayısıyla kişisel verilerinin işlenmesi bakımından işverenin işçi üzerinde kurduğu hâkimiyetle işçinin kendisini zorunda hissederek vereceği rıza hukuken sakat olacaktır.
Kişisel Verilerin Korunması Kanunu’nun 5. maddesinin 2. fıkrasında sayılan istisnaların varlığı halinde açık rıza aranmaksızın kişisel veriler işlenebilir fakat hangi verinin istisna kapsamında olduğunun tespiti her zaman mümkün değildir.
Örneğin, İş Kanunu 75. madde uyarınca işveren çalıştırdığı her işçi için bir özlük dosyası düzenlemek zorundadır. Burada kanunun açıkça öngördüğü bir istisna bulunmaktadır ve açık rıza gerekmez diye düşünülebilir fakat özel nitelikli kişisel verilerden sağlık verileri bakımından kanuni istisnaların geçerli olmadığını, açık rızanın aranmasının bir zorunluluk olduğunu unutmamak gerekir. Ayrıca kanun maddeleri eğer bir değerlendirmenin gerektiği şekilde kişisel ve/veya özel nitelikli verilerin işlenmesini öngörüyorsa, bu halde değerlendirmede kesinlikle bireylerin çıkarları gözetilmelidir. Mesela 6098 sayılı Borçlar Kanunu’nun 419. maddesi de işverenin, işçiye ait kişisel verilerini ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir diye belirterek işverenin kişisel verileri işlemesinin sınırlarını ucu açık bir şekilde belirtmiştir. Açıkçası Kişisel Verilerin Korunması Kanunu, Yönetmelikler, Kişisel Verileri Koruma Kurulu Kararları, Tavsiyeler sayesinde bunun gibi soyut kavramları somut olaylarda cevaplayabilmek daha kolay olacaktır.
Yukarıda açıklanan nedenlerle, özellikle işlenmiş olan verinin hukukiliği bir istisnaya dayanmaması riskiyle karşı karşıya olabilir, bu sebeple açık rızanın aranması İnsan Kaynakları için kullanılan kişisel verileri bakımından gereklidir. Nitekim, Kişisel Verilerin Korunması Kanunu’nun 4. maddesinin 2. fıkrasında belirtilen işleme ilkelerinin sağlanması gerektiği belirtilerek, İnsan Kaynakları verilerinin işlenmesi için aşağıdaki ilkelerin de sağlanması gerekmektedir:
Adil ve Hukuka Uygun: Çalışanların bağımsız hakları korunmalıdır, yapılacak olan işleme fiilleri adil ve hukuk kurallarına uygun olmalıdır.
Belirli amaçlarla sınırlanmış: İnsan Kaynakları departmanlarınca kullanılan kişisel veriler sadece ilk toplanma amaçları için işlenmelidirler, müteakip işleme fiilleri ancak ilk amacın kapsamı kadar yapılabilmektedir. Bu kapsam sadece ilgili işçi ile yapılan sözleşmeyle, ilgili işçinin açık rızasıyla ya da Kanunlarda açıkça öngörülen sebeplerle genişletilebilir.
Şeffaflık: İşçiler ve işçi adayları verilerinin nasıl kullanıldığı konusunda bilgilendirilmiş olmalılardır. Bu, verinin ilk alındığı andan itibaren doğrudan ve ilgili kişiden yapılmalıdır. İlgili kişiye veri sorumlusunun kimliği, ilgili verisinin işlenme amacı ve üçüncü kişilere aktarılması konularında Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca aydınlatma yükümlülüğü yerine getirilerek bilgilendirme yapılmalıdır.
Veri Ekonomisi: İnsan Kaynakları departmanı ilgili kişinin kişisel verilerini almadan önce gerekliliğine ve yapılacak işlemenin yeterli olup olmayacağına dikkat etmelidir. Eğer istenilen amaçlara uygunsa ve yapılacak olan işlem için yeterliyse anonim ve istatistiksel veri tercih edilmelidir. İnsan Kaynakları departmanları kanunların öngördüğü yükümlülükler hariç olarak gelecekte doğabilecek gereklilikleri için ilgili kişilerin kişisel verilerini toplamamalıdır.
Gerçeklerin Kesinliği ve Verinin Güncelliği: İnsan Kaynakları departmanları kişisel verilerin ilk elde edilmeleri sırasında doğruyu yansıtır olduklarına dikkat etmeli ve zamanla güncellemelidirler. Kesin olmayan veya tam olmayan kişisel verilerin silinmesi, düzeltilmesi veya güncellenmesi gerekir.
Özel Koruma Gerektiren Kişisel İnsan Kaynakları Verilerine Özen Gösterilmelidir: Özel nitelikli kişisel verilerin ne olduğuna Kişisel Verilerin Korunması Kanunu’ndan doğrudan bakabilirsiniz. Bu veriler, Kanun’da belirtildiği üzere Kişisel Verilerin Korunması Kurulu tarafından belirlenecek olan “yeterli önlemlerin varlığı” halinde işlenebilirler. Kişisel İnsan Kaynakları Verileri içerisinde özel nitelikli kişisel veriler kategorisine sağlık, din, kılık ve kıyafet, ceza mahkûmiyeti ve hatta biyometrik verileri gibi çeşitli veriler bulunmaktadır. Bu veriler işçinin ilk görüşmesinden işe başlaması ve sonrasının dahil olduğu ve hatta emekliliğine kadar olan bir zaman sürecinde elde edilebilirler. Kanuni yükümlülüklerin tam olarak yerine getirilmesi amacıyla bu tür verilerin işlenmesinde hukuka uyulmalı, erişim sınırlanmalı, depolanmasında ve benzeri işlemelerinde idari ve teknik önlemler alınmalıdır. 10 uyarınca aydınlatma yükümlülüğü yerine getirilmelidir.
Gerektiği Kadar Prensibi: Bir şirketin devamlı devinimi ve gelişmesi sonucunda elde edilen veriler yukarıda sayılan ilkelere uymakla beraber aynı zamanda her zaman hangi veriye ihtiyaç duyulmadığı değerlendirmesine tabi tutulmalıdır. Her yeni veri bakımından gerek kanuni dayanaklar gerekse elde bulunan hukuka uygunluk halleri değerlendirilmelidir, bu da kapsamlı Kişisel Verilerin Korunması Kanunu bilgisi ile İnsan Kaynakları departmanlarının kişisel verilerin gerektiği kadarının işlenmesi yoluyla mümkün olacaktır.
İşverenin yukarıdaki ilkelere uyması ve ayrıca Kişisel Verilerin Korunması Kanunu’nda belirlenmiş olan diğer ilkelere uyması zorunluluğu bulunmaktadır. Her ne kadar rıza, kanuni istisna veya hukuka uygunluk nedenleri bulunsa da işverenin kişisel verilerin işlenmesi bakımından yükümlülüğünün bulunduğu unutulmamalıdır.