İş hayatında kişisel verilerin korunması kültürü | KPMG | TR

İş hayatında kişisel verilerin korunması kültürü oluşmalı

İş hayatında kişisel verilerin korunması kültürü

Kişisel verilerin korunması Türkiye için nispeten yeni bir kavram olduğundan “korunması gereken değerin ne olduğu” ve “korumanın nasıl yapılacağı” konusunda farklı ve bulanık görüşleri doğal karşılamak gerekir. Ancak Kişisel Verilerin Korunması Kanunu’nun getirdiği kuralları ve prensipleri gecikmeden öğrenmeli ve bunu bir kültür olarak çalıştığımız kurumlara ve çalışanlara benimsetmeliyiz.

1000

Hukuk, Şirket Ortağı

KPMG Türkiye

İletişim

İlgili içerik

business meeting

“Serbest muhasebeci ve mali müşavir Mehmet Bey, meslekte 20. yılını doldurmakta ve potansiyel bir işveren ile bölüm müdürü pozisyonu için görüşmeler gerçekleştirmektedir. Bu yeni işin kendi tecrübesine uyması yanında yıllardır beklediği fırsat olduğuna inanan Mehmet Bey oldukça hevesli bir şekilde görüşmelere başlamış ve sırasıyla insan kaynakları, mali işlerden sorumlu genel müdür yardımcısı ve en son da genel müdür ile görüşmüştür. Bu görüşmelerin de olumlu geçmesi üzerine genel müdür işe alım öncesi son prosedür olan referans kontrolü yapılması için İnsan Kaynakları Müdürü’ne talimat vermiştir.

Mehmet Bey’in referanslarını aramak amacıyla özgeçmişini inceleyen İnsan Kaynakları Müdürü, yakın arkadaşı Ayla Hanım’ın Mehmet Bey ile aynı şirkette çalıştığını fark etmiştir. İnsan Kaynakları Müdürü, Ayla Hanım ile görüşmüş ve kendisinin olumlu görüşünü Genel Müdür ile de paylaşmıştır. Ertesi gün Ayla Hanım Mehmet Bey’e endişelenmemesi gerektiğini, her şeyin yolunda olduğunu, kendisiyle ilgili olumlu görüşlerini paylaştığını bildirir. Ancak Mehmet Bey kendisinin iş aradığı söylentilerinin yayılmasından rahatsız olmuş ve kendisi hakkında kişisel bir bilginin paylaşılarak haklarının ihlal edildiğini düşünerek hukuki yollara başvurmaya karar vermiştir.”

Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girdiği 7 Nisan 2016 tarihinden bu yana yaptığımız tüm çalışma ve sunumlarda insan kaynakları yöneticilerine anlattığımız bu vaka, gerçek bir olaydan alıntıdır. Kişisel veriye verilen önemi göstermesi açısından sembolik bir öneme sahiptir.

Kişisel verilerin korunmasına özel düzenlemeler

Kanun 7 Nisan 2016’da yürürlüğe girmiş olsa da kişisel verilerin korunmasına yönelik çeşitli düzenlemeler çok daha öncesinden mevzuatta yer almıştır. Türk Borçlar Kanunu’nun (TBK) 419. Maddesi, iş ilişkisi kapsamında çalışanlara ait kişisel verilerin toplanmasında genel bir çerçeve belirler. Buna göre işçiye ait kişisel veriler “…ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde…” işlenebilir. TBK’nın bu hükmü KVKK’ya göre özel hüküm niteliği taşıdığından iş ilişkileri bakımından KVKK’ya göre öncelikle uygulanır. Bu bağlamda yine 4857 sayılı İş Kanunu’ndaki özlük dosyasında saklanacak belgelere ve çalışma belgesi düzenleme zorunluluğuna ilişkin hükümler KVKK’da çok daha önce yürürlüğe girmiştir.

İnsan kaynakları süreçleri açısından değerlendirmeler

Faaliyet alanı ne olursa olsun, bir şirkette Kanun ile en sıkı ilişkide olanlar -doğası itibariyle- İnsan Kaynakları bölümü ve çalışanlarıdır çünkü kişisel verilere yönelik faaliyetler işveren ve çalışan arasında bir iş ilişkisi kurulmadan önce başlar ve çoğu zaman iş ilişkisi sona erdikten sonra dahi saklama yoluyla devam eder.

İnsan Kaynakları çalışanları Kanun’un temel süreçlere etkisini iyi değerlendirmeli, gerekli önlemleri almalı ve politikaları hazırlamalıdır. İnsan Kaynakları süreçleri esas itibariyle 3 başlık altında incelenebilir: İşe alım, iş ilişkisinin devamı, iş ilişkisinin sona ermesi. Her bir süreçte dikkat edilmesi gereken hususları ise aşağıda ayrı ayrı değerlendirdik:

İşe alım esnasında dikkat edilmesi gerekenler

  • Mülakatlar ve formlarda alınan kişisel veriler ve özel nitelikli kişisel verilerin tasnifi yapılarak, Kanun’un aradığı niteliklere uygun şekilde saklanmalı (Örneğin sağlık kontrolünün sonuçlarının paylaşılmasındaki sınırlamalar).
  • Adaylardan talep edilen veriler adayda aranan kriterleri değerlendirmeye yönelik ve ölçülü olmalı.
  • Aday ile yapılan görüşme esnasında elde edilen kişisel bilgilerin nasıl kullanılacağı, saklanacağı ve imha edileceğine dair Kanun’un aradığı niteliklere uygun şekilde Aydınlatma Yükümlülüğü yerine getirilmeli.
  • Referans doğrulama işlemi için adayın açık rızası alınmalı.
  • Özel istihdam bürosu ile çalışılması halinde kişisel verilerinin paylaşımı konusunda adayın rızasının alındığı teyit edilmeli, sözleşmelerde gerekli düzenlemeler yapılmalı, sorumluluklar belirlenmeli.
  • Adayların kişisel verilerinin saklama süreleri belirlenmeli ve Aydınlatma Yükümlülüğü kapsamında adaya bildirilmeli.

İş ilişkisinin devamında önem arz eden noktalar

  • Özel nitelikli kişisel veri kapsamında bulunan sağlık verilerinin mahremiyeti ve saklanması
  • Çalışana ait kişisel verilerin korunmasına yönelik politikaların kabulü (Örneğin Bilgi Güvenliği Taahhütnamesi ve İşyeri Gizlilik Politikası/Gizlilik Sözleşmesi)
  • Üçüncü kişilerden alınan sözleşmelerde sorumlulukların düzenlenmesi
  • Takip ve kapalı devre kayıt sistemlerinin kullanılması halinde açık rıza/bilgilendirme yapılması
  • Mahremiyet Etki Değerleme (Privacy Impact Assesment) çalışması yapılarak, -gerekmesi halinde- işveren uygulamalarının mevzuata uygun hale getirilmesi

İş ilişkisinin sona ermesi

  • SGK İşlemleri Yönetmeliği madde 107/I uyarınca, ilgili takvim yılını müteakip 10 yıllık saklama süresi beklenmelidir. Ancak burada dikkat edilmesi gereken 10 yıllık saklama süresinin yönetmelik kapsamını aşan kişisel veriler için geçerli olmadığıdır.
  • İş Kanunu Madde 28 uyarınca çalışma belgesi kişisel verilerin –saklanması gereken yasal süreler dolduktan ve her halde saklanması için mevcut sebeplerin ortadan kalkması halinde - yok edilmesi.

Kişisel verileri ilgili kanunda belirlenen saklama süresi dolduktan sonra imha etmeyenler Kanun kapsamında para cezası ve Türk Ceza Kanunu kapsamında iki yıla kadar hapis ile cezalandırılabilir.

İK’da KVKK’ya uyum nasıl sağlanabilir?

Yazımın başında paylaştığım olaydan da anlaşılacağı üzere iyi niyet ile yapılan bir takım davranışlar bile bazen mevzuata aykırı olabiliyor. Bu durum şirketler bakımından mali sonuçların yanı sıra itibar kaybına da neden olabiliyor.

Kişisel verilerin korunması konusunda uzun geçmişe sahip Avrupa Birliği ülkelerindeki uygulamalar daha çok değişen süreçlerin değerlendirilmesi şeklindedir. Ancak ülkemizde birçok kurumsal yapıda dahi halihazırda yerleşmiş bir kültürün mevcut olmaması tüm süreçlerin incelenmesi gereğini de beraberinde getirmektedir.

KPMG Gündem 29

KPMG Gündem 29. sayısında iş dünyasındaki profesyonellere zengin ve renkli bir içerik sunuyor.

 
Daha fazlasını oku

Bize ulaşın

 

Teklif talebi

 

Gönder