Yeni Yasa ile Birlikte Çalışanların Kişisel Verilerinin Korunmasında İnsan Kaynaklarının Sorumluluğu

2016 yılı Nisan ayı başlarında, web üzerinde paylaşılan 50 milyon Türk Vatandaşının kimlik ve adres bilgileri, bir kez daha kişisel verilerin nasıl korunması gerektiğini akla getirdi. Tesadüfen tam da bu tarihlerde konuyla alakalı bir kanun yayımlandı. Bu kanun, Avrupa Birliği Konseyi ve Avrupa Parlamentosu’nun Kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımına dair bireylerin korunması hakkındaki 95/46/EC sayı ve 24 Ekim 1995 tarihli direktifi doğrultusunda hazırlanan, 07 Nisan 2016 tarihli Resmî Gazete'de 6698 sayı ile yayımlanan Kişisel Verilerin Korunması Kanunu'dur.

Peki bu kanundan önce kişisel verilerimiz korunmuyor muydu? Ya da bu hassas verilerin kaydedilmesi, paylaşılması ile ilgili bir yasa var mıydı? Hukuk sistemimizde kişisel verilerin korunması ile ilgili münferit bir yasa bulunmadığından, çeşitli kanunlarda yapılan düzenlemelerle kişisel verilerin kullanımı ve korunması şekillendirilmeye çalışılmıştır.

26 Eylül 2001 tarihli Türk Ceza Kanunu’nun alttaki maddeleri buna örnektir.

• Madde 135. -
  1. Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.
  2. Kişilerin siyasi, felsefi veya dinî görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.
• Madde 136. -
  1. Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.
• Madde 139. -
  1. Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.

Ayrıca, Türkiye Cumhuriyeti Anayasa'sında Madde 20'de (Ek Fıkra: 7.5.2010 5982/2) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisi ile ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esaslar ve usuller kanunla düzenlenir, ifadesine yer verilmiştir.

Görüldüğü gibi kişisel veriler çeşitli kanunların içinde maddeler hâlinde düzenlenerek, teknolojik gelişmelere ve internet kullanımına uygun çözümler üretilmeye çalışılmıştır.

Kişisel verilerin korunması kanunu ile birlikte tüzel kişiliğin çalışanları ile arasındaki veri alışverişini tekrar gözden geçirmesi ve gerekirse düzenlemesi gerekecektir. Burada şirketlerin İnsan Kaynakları ve Bilgi Teknolojileri bölümlerine önemli görevler düşmektedir. Dikkat edilmesi gereken önemli bir husus da yasaya aykırı kabahatlerde 1.000.000 TRY’ye varan cezalar öngörülmüş olmasıdır.

Tüzel kişilikler, çalışanlarının kişisel verilerine özlük işlemleri, iletişim, ücret bordrosunun yapılması ve benzeri amaçlar için ihtiyaç duymaktadır. Yasada (Madde 4) bahsedildiği üzere işlenecek olan kişisel veri;

• Hukuka ve dürüstlük kurallarına uygun olmalı,
• Doğru ve gerektiğinde güncel olmalı,
• Belirli, açık ve meşru amaçlar için işlenmiş olmalı,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Ayrıca kanun; veri sorumlusu, veri işleyen ve veri kayıt sistemi kavramlarını da gündeme getirmiştir.

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini belirtmektedir.

Madde 4'te bahsedildiği gibi verilerin doğru ve gerektiğinde güncel olması gereklidir. Bu durum hem işveren hem de eğer çalışan bilgileri üçüncü parti bir firma ile paylaşılıyorsa (örneğin; bordro outsource tedarikçisi, insan kaynakları danışmanı, mali müşavir gibi…) bu tedarikçi için önem arz etmektedir. Diğer taraftan, kayıtların tutulduğu İnsan Kaynakları Yönetim Sistemi’nin (HRMS) yani kanundaki adı ile veri kayıt sistemlerinin belirli kriterlere göre yapılandırılması gerekmektedir. Kanun yeni olduğu ve AB direktifinden direkt alıntılar taşıdığı için; tanımlar, kavramlar ve sorumlular ile ilgili yeni yönetmeliklere göre işlerlik kazanacak hükümleri vardır.

Maddelerin bir kısmı hemen, diğerleri ise altı ay sonra yürürlüğe girecektir. İnsan Kaynakları departmanlarının yürürlüğe giren maddeler ile ilgili tedbirler alması ve yazılım alt yapıları ile mevcut çalışan sözleşmelerini gözden geçirmesinde fayda bulunmaktadır. Bordro outsource ya da başka amaçlar ile personel verileri tedarikçiler ile paylaşılıyorsa personelin rızasının alınması gerekebilir. Bu konuda firmaların; danışmanları, BT ekibi ve İnsan Kaynakları koordineli olarak çalışması faydalı olacaktır. Yasanın geçici birinci maddesine göre, kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayım tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, Kanuna uygun kabul edilir.

Kaynaklar:

• 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu
• T.C. Anayasası
• 24 Mart 2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu
• Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regards to the processing of personal data and on the free movement of such data