KİŞİSEL VERİLERİN KORUNMASI VE İŞVEREN
7 Nisan 2016 tarihinde Kişisel Verilerin Korunması Kanunu’nun resmi gazetede yayımlanarak yürürlüğe girmesi ile kişisel verilerin işlenmesinin disiplin altına alınması amaçlanmıştır.
25 Temmuz 2023 tarihinden itibaren uygulanmak üzere, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den yüksek olan gerçek ve tüzel kişi veri sorumluları VERBİS’e kayıtla yükümlü hale gelmiştir.
İşveren için VERBİS’e kayıt son derece önemlidir. Onlarca çalışanın verilerine ulaşan işveren, bunları devletin geliştirdiği mekanizmaya uygun olarak işlemelidir. İşveren bakımından kişisel veri işleme sürecini işe alım, iş sözleşmesi devamı ve iş sözleşmesi sona ermesi olarak 3 kategoride inceleyebiliriz.
Akla gelebilecek en basit örnek ile işe alım sürecinde işverenler, başvuran adaylardan özgeçmiş istemektedir. Bu özgeçmiş ile kişinin adı, soyadı, telefon numarası, adresi, medeni hali, sağlık durumu gibi verileri öğrenilmektedir. İşverenin sorumluluğu da bu noktada başlıyor. Sorumluluktan kurtulma ve kişiyi bilgilendirme amaçlı hazırlanan aydınlatma metinlerinin profesyonelce hazırlanmış olması gerekmektedir. İşe alım sürecinde elde edilen kişisel bilgilere yönelik önerilen, kanunun öngördüğü özel haller dışında ve işin işleyişi için gerekli olmayan kişisel bilgilerin talep edilmemesidir. Örneğin bir eczanede çalışacak personelin ev adresinin bilinmesine gerek yoktur. Hazırlanan aydınlatma metnine ‘ x, y, z bilgileriniz özel nitelikli veridir. Bu bilgileri vermekten kaçınmalısınız.’ gibi maddelerle sorumluluğunuzu en aza indirgeyebilirsiniz. Nüfus cüzdanının talep edildiği durumlar sıklıkla karşımıza çıkmaktadır. ‘İlgili yerleri karartmak sizin sorumluluğunuzdadır.’ gibi ibarelerle yine sorumluluklarınızı azaltabilirsiniz. Matbu hazırlanan aydınlatma metinleri yerine işe ve işleyişe ilişkin, işyerine özel hazırlanmış aydınlatma metinleri daha sağlıklı olacaktır.
Aydınlatma metinlerinde veri sorumlusunun kimliği, verilerin işlenme amacı, verilerin kime ve ne amaçla aktarılacağı, veri toplamanın hukuki sebebi ve yöntemi, ilgili kişinin kanunun 11. Maddesinde belirtilen hakları yer alması gerekmektedir. Kişisel verilerin işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Bu aydınlatma, verilerin işlenmesinden önce yapılmalıdır ve okunaklı, anlaşılır olmalıdır. Aydınlatmanın yapılması için ilgili kişi rızası şart değildir.
İşe girerken, hastane kayıt sırasında, kargo ile ürün alımlarında ve daha birçok yerde kişisel verilerimizi paylaşıyoruz. Bu veriler çeşitli şekilde işleniyor. Kişisel verinin hukuka uygun olarak işlenmesi ve korunması gerekmektedir. Bu verilerin güvenliğinin sağlanması, ele geçirilmesinin önlenmesi, amacı dışında kullanılmaması veri sorumlusunun sorumluluğundadır. Kurul tarafından verilen bir karar ile örneklendirelim.
“Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması” hakkında Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı ile veri güvenliğine ilişkin yükümlülüklere aykırı davranıldığı ve Kurula ihlal bildiriminde bulunulmadığı gerekçesiyle yükümlülüklerini yerine getirmeyen veri sorumlusuna 75.000 TL idari para cezası verilmiştir.
Karardan da anlaşılacağı üzere ihlallere karşı ciddi yaptırımlarla karşı karşıya kalınmaktadır. Bu nedenle Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatlar uyarınca son derece dikkatli hareket edilmelidir. Kişisel Verileri Koruma Kurumu, verilerin nasıl korunacağı ile ilgili tavsiyelerde bulunmuştur. Mobil cihazları şifreleme, şifrenin kimin değiştirebileceğine ilişkin politika belirleme, yazılım güncelleme, her veri için farklı parola oluşturma bunlardan birkaçıdır. Çalışanlar sadece işlerini yapabilmek için ihtiyaç duyduğu veriye erişebilmelidir. Verilerin kaybolma, yok olma, silinme ihtimaline karşı yedekleme işlemi yapılmalıdır.
0 YORUM