2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu, çalışanların pek çok bilgisini elinde tutan şirketleri ve insan kaynakları departmanlarını da çok yakından ilgilendiriliyor. Kanun personel takip sistemlerinden, işe alım süreçlerine pek çok prosedürü yeniden gözden geçirmeyi gerektiriyor. Avukatlar, şirketlere şeffaf olmaları, veri güvenliğini sağlama ve çalışanı bilgilendirme konusunda uyarıyor.

6698 Sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun’un cezai yaptırım içeren hükümleri ise 6 aylık süre ek süre verilerek 7 Ekim 2016’dan itibaren hüküm ifade etmeye başladı. Bunun yanında Kanun, ikincil mevzuatların yayınlanması ve Kişisel Verileri Koruma Kurumu’nun kurulması ile hayatımıza tam anlamı ile 2018 yılının ikinci yarısından itibaren girmeye başladı. Kanun’un temel amacı kişisel verilerin özel hayatın gizliliği başta olmak üzere temel hak ve özgürlükleri koruyacak şekilde işlenmesini sağlayacak hukuki düzenlemelerin yapılmasıdır. Kişisel verileri tamamen veya kısmen otomatik olarak işleyen tüm gerçek ve tüzel kişiler Kanun kapsamında değerlendirilmektedir. Bu nedenle kamu kurumları dahil olmak üzere kişisel veri işleyen tüm kişi ve kurumların kanunda öngörülen yükümlülükleri yerine getirmesi gerekiyor. Kanunun en çok etkilediği alanlardan biri de insan kaynakları. Pek çok çalışanın verisini elde tutan şirketler, yükümlülüklerinin çok da farkında değiller. Halen KVKK ile ilgili atılması gereken pek çok adım var. Çalışanların iş ilişkisi kapsamında pek çok kişisel verisi, süreç içerisinde işlendiğinden kişisel veriler önemli bir konu başlığı haline geliyor. Şirketler özelinde veri ile en fazla temas halinde olan birim insan kaynakları. Kavlak Avukatlık Bürosu Kurucu Ortağı Av. Fırat Barış Kavlak ve Av. Deniz Mina Küpana, “Bu kapsamda İK, hem işçinin işe alım sürecinde hem de iş ilişkisi süresince pek çok kişisel veri elde ediyor. Burada önemli olan iş ilişkisi kapsamındaki menfaat sınırları dahilinde hareket etmek. Şirketlerin işe alım sürecinde dikkat etmesi gereken hususlara örnek olarak iş başvuru formalarındaki bilgilerin minimize edilmesi, mülakatlarda sorulan soruların işçinin mesleki bilgisini ölçmek ve meslek yaşantısı hakkında bilgi edinmek ile sınırlı tutulması sayılabilir. Buna ilaveten, şirketler özlük dosyası kapsamında, işçinin birçok kişisel verisini alıyor. Bu kapsamda işçilere aydınlatma yapılması gerekmekte olup gerektiği noktalarda da KVKK uyarınca açık rızalarının alınması gerekmektedir” diyor.

İŞ GÖRÜŞMELERİNDE BU SORULARI SORMAYIN

Peki bu durumda iş görüşmelerinde neler sorulamaz? Bu sorunun cevabını İlhanlı/Baser Hukuk Bürosu Kurucu Ortağı Emir Ali Başer veriyor: “Kanun’a uyum sürecinde işin gerektirdiği kadar kişisel verinin çalışandan veya çalışan adayından talep edilmesi önemli bir husustur. Bu bakış açısı sonunda IK Departmanlarının işe alım prosedürleri kapsamında
çalışandan istenilen dokümanlarda veya özgeçmiş formlarında revizelere gittikleri ve süreci daha sadeleştirdikleri görülmektedir. Bu çerçevede aday çalışana teklif edilen iş tanımı için adayın uygun niteliklere sahip olup olmadığı hususunda şirkete bilgi sağlayacak soruların sorularak kişisel veri içeren bilgilerin alınması hukuka uygundur. Adayın boyu, kilosu, nereli olduğu, kaç kardeşinin olduğu, anne ve babasının meslekleri, dini inancı, mezhebi, siyasi düşüncesi gibi soruların sorularak bu bilgilerin alınması iş görüşmesinin amacına hizmet etmediği ve Kanun genel ilkelerinden olan meşru menfaatler için veri işleme prensibine aykırılık sebebiyle kanuna uygun bir ver işleme sayılamaz. Bunun yanında adayın geçmişte yaşadığı sağlık sorunlarına veya ilişkin bilgi almanın da işin niteliğini etkileyen bir durum olmaması halinde hukuka aykırı elde edilmiş bir kişisel veri olarak kabul edilmesi gerekmektedir.”

TAKİP SİSTEMLERİNE DİKKAT

Türkiye’de on ve üzeri çalışanı bulunan şirketlerin yüzde 80-90 gibi büyük bir çoğunluğunda personel takip sistemleri kullanılıyor. Av. Fırat Barış Kavlak ve Av. Deniz Mina Küpana, çalışanların kişisel verileri elde edilmeden çalışanların takibinin yapılması mümkün ise bu sistemlere başvurulmaması daha sağlıklı olacağını söylüyorlar: “Ancak, bu sistemlerin kullanılması şirketler için takibin yapılabilmesi adına zorunlu ise (ki şirket burada menfaatler dengesini ciddi bir şekilde irdelemelidir. Alınan hassas bilgi karşısında bu takip sistemi için gerçekten gerekli mi diye) söz konusu veriler KVKK kapsamında özel nitelikli veri olarak sayıldığından açık ve net bir şekilde çalışandan açık rızasının alınması gerekiyor. Çalışanlara tahsis
edilen bilgisayarlar konusunda ise çalışanlara bilgisayarların takip amaçlı izlendiğine dair aydınlatma/ bilgilendirme yapılması gerekiyor. Ayrıca şirketlerin çalışanlara tahsis edilen elektronik cihazların KVKK kapsamında kullanımına ilişkin bir prosedür hazırlaması da çalışanların bilgilendirilmesi adına sağlıklı olacaktır.” Göz retina taraması ve parmak izi gibi taramalar ise özel nitelikli veri olarak kabul edilen biyometrik veri statüsünde yer alıyor. Av. Emir Ali Başer, “Bu kapsamda Kişisel Verileri Koruma Kurulu 25/03/2019 Tarihli ve 2019/81 Sayılı Kararı ile işyerlerine çalışan veya müşteri sıfatıyla giriş yapan kişilerin giriş çıkışlarının tespitinde biyometrik verilerinin kullanılması konusuna açıklık getirdi. Karar neticesinde çalışanlara biyometrik verileri üzerinden giriş-çıkış tespitinin yapılmasının zorunluluk haline getirilerek uygulanamayacağı belirtildi. Kurul’un bu net görüşü çerçevesinde idari para cezalarına maruz kalmamak adına işyerlerine giriş-çıkışı biyometrik veri üzerinden yapan şirketlerin zaman kaybetmeden kartlı geçiş gibi farklı geçiş sistemlerine dönerek alternatifli bir giriş-çıkış sistemini çalışanlarına sunmaları gerekiyor. Biyometrik veri üzerinden yapılan giriş-çıkış tespit sistemini bir alternatif olarak tutmak isteyen şirketlerin ise çalışanlardan biyometrik verilerinin işlenmesi için açık rıza almaları hukuken zorunlu tutulması yanında ek olarak şirket tarafından çalışanların biyometrik verilerinin güvenli tutulacağına dair bir güvenlik taahhütnamesinin de çalışanlara verilmesi gerekiyor. Bunun yanında özel nitelikli veri olması sebebiyle toplanan biyometrik verilerin bilgi teknolojileri açısından son derece ağır ve maliyetli koşullar altında muhafaza edilmesi gerektiğini de hatırlatalım” diyor.

Cezası 1 milyona kadar çıkıyor
KVKK kapsamında yerine getirilmeyen her bir yükümlülük için ayrı idari para cezaları öngörülüyor. Buna göre, aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar; Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ye kadar; VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanabiliyor.

VERBİS için son tarih 31 Aralık
Kişisel Verilerin Koruma Kurulu’nun son 2 yıl içerisinde yürütmüş olduğu etkin çalışmalar sayesinde kamuoyunda KVKK konusunda dikkate değer bir bilinçlenme oldu. Şirketler için ise halen bir takım temel konularda tereddütler mevcut. Emir Ali Başer, en sık yapılan yanlışları şöyle sıralıyor: En sık karşılaştığımız yanlışlar arasında, kendini Kanun’dan muaf sayan bir yaklaşımın şirketlerde hakim olduğunu görüyoruz. Özellikle VERBIS Sistemine kayıt olmakla yükümlü olmayan Şirketlerin bu istisna üzerinden tüm kanun yükümlülüklerinden muaf olduklarını kabul eden bir yaklaşımları var. Bu noktada altını çizmek gerekir ki çalışan sayısı 50’nin üzerinde olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan kurum ve kişilerin 31.12.2019 tarihine kadar kayıt olmaları gereken Veri Sorumluları Sicili (VERBİS), uyum çalışmasının tamamlanması sonucunda elde edilen bilgilerin bir kısmının Kişisel Verilerin Korunması Kurumunca yönetilen platformda ilan edilmesinden ibaret bir işlemdir. Diğer bir ifade ile Şirketler için VERBIS sistemine kayıt olmak KVKK uyum programının başarı ile tamamlanmasından sonra yapılacak son işlem olmalıdır. Bunun yanında Şirket’in kişisel veri bulundurmadığı veya işlemediği yönündeki düşüncesi de bazı sektörlerde faaliyet gösteren şirketlerde gördüğümüz bir yaklaşım. Ancak faaliyet alanı ile ilgisiz olarak, çalışan istihdam eden her şirketin önemli miktarda kişisel veriyi işlediğinin kabul edilmesi gerekiyor. Bu nedenle faaliyet alanından ve büyüklüğünden bağımsız olarak tüm şirketlerin KVKK uyum sürecinden geçmesinin ileride yaşanacak sorunların önüne geçmek için zorunlu olduğu unutulmamalıdır. Çoğunlukla karşılaştığımız bir diğer yanlış da kanunun kişisel verinin işlenmesi kapsamında gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü getirdiği “veri sorumlusu” ifadesinin kimi ifade ettiğinde ortaya çıkmaktadır. Kanun kapsamında veri sorumlusu kişisel verilerin işlenme amaçlarını, nasıl elde edileceğini belirleyen ve bu kişisel verilerin nasıl bir veri kayıt sistemiyle muhafaza edileceğine karar veren gerçek veya tüzel kişi olarak tanımlanmıştır. Belirtmiş olduğumuz üzere kanun ortaya koyduğu yükümlülüklerin büyük bir kısmını veri sorumlusundan beklediği için kanuna uyum sürecinin başlangıcında kimin veri sorumlusu olduğunu ayırt etmek son derece önemli.

Burcu ÖZÇELİK SÖZER, Hürriyet İK, 8 Aralık 2019