Sadece adını bildiğimiz birisinin, nelerden hoşlandığını bilmek ve onu daha yakından tanımak için sosyal medyayı kullanıyoruz. Hatta bu işin ismi bile var, “stalk”.

Her şeyimizi sosyal medya hesaplarımızdan teşhir ettiğimiz bu dönemde, Kişisel Verilerin Korunması işverenler için çok hassas bir konu. Peki işverenler kişisel verileri korumak için nasıl davranmalı, nelere dikkat etmeli ve bu verileri ne zaman, nasıl imha etmeli?

4857 sayılı iş kanunu yürürlüğe girdiğinde, İş Kanunu uygulamaları ile ilgilenen kişiler olarak  işverenin, çalışanın kişisel verilerini gizli tutması gerektiği kavramı ile karşılaşmıştık. Muhtemelen Avrupa Birliği yasalarından alıntı yapılmış bir madde idi. Ayrıca yine aynı kanun ile işverenin çalışanın özlük bilgileri kayıtlarını tutmakla zorunlu kılındı. 2003 yılı Haziran ayında bunlar olurken, bundan 15
yıl sonra başımıza geleceklerin farkında değildik tabii ki.

O yıldan bugüne internet, mobil araçlar, fotoğraf, video ve VR teknolojileri ile farklılaşan iletişim
araçları, çok büyük miktarlarda veri üretimine yol açtı ve her geçen gün artan oranlarda veri birikiyor.  Artan veri dağlarının sonu ise, hayatımıza giren kişisel verileri koruma  kanunu ile sona eriyor. Konunun uzmanı olalım olmayalım, hatta işveren olalım olmayalım, kişisel verileri koruma kanunu bizlerin ilgi alanı olmak zorunda. Şirketler bulundukları faaliyet konusu ile ilgili olarak dokundukları kişisel verileri doğru saklamak, üçüncü kişilerin yanlış kullanımını önleyecek
tedbirleri almak ve yasal gereklilik sürelerinde de imha etmek ile mükellefler. Gününüzde sadece bir
yılda belki de tüm tarihsel zamanlarda toplanan verilerden fazla veri birikiyor, veri kullanımı her  geçen gün üstel olarak büyümeye devam ediyor. Bu durum tüm dünyada gelişmiş ülkelerden başlayarak daha önce var olan kanuni korumaların dışında yeni düzenlemeleri zorunlu kıldı. Elbette her konuda olduğu gibi kişisel veriler konusunda da ülke olarak kantarın topuzunu kaçırarak, on kişi çalıştıran esnafla binlerce kişiyi istihdam eden kuruluşları aynı kefeye koyduk. Kişisel verilerin korunmasının ihlalinde küçük, orta ya da büyük şirketlerin tümü aynı kanuni yaptırımlarla karşı karşıya kalıyor.

Zuckerberg olayı…
Konu sıradan vatandaşların da gündeminde. Facebook CEO’su Mark Zuckerberg’in kişisel veri sızıntısı ile ilgili Amerika senatosunda ifadesini birçoğumuz canlı olarak izledik. Şimdilerde kendisi Avrupa’da özür ziyaretlerini sürdürmekle meşgul. Bankalardan başlayarak, çağrı merkezleri,
hizmet kuruluşları, insan kaynakları şirketleri gibi kişisel verilere dokunan tüm kuruluş ve organizasyonlar, Türkiye’de Ekim 2016 tarihinde yürürlüğe giren yeni yasal düzenlemelerle tabana yayılmaya başlayan bu kanuna uyum için hummalı bir çalışma içindeler. Ben de şahsen kanuna uyum sürecinde daha iyi ve daha hızlı hizmet vermenin yanında veri güvenliğini her zaman düşünmek zorunda kalan şirketlerden biri olarak, şimdi veri güvenliğini nasıl doğru yaptıklarını ispatlamak üzere daha çok enerji harcamaya başladım ki bu veri güvenliği üzerine düşünmekten daha yorucu bir durum oluşturdu.

İşverenin durumu…
Kişisel verilere dokunan kuruluşlarda hâl böyle iken, işverenlerin çalışanların verilerini koruma  karşısındaki durumu nasıl olacak? İşverenler olarak çalışanlara ilişkin oldukça fazla veri tutuyoruz. İşe alım aşamasında tarafımıza gönderilen özgeçmişleri saklıyoruz. Bu özgeçmişler için yaptığımız değerlendirmeler, belki de testler kişiye ilişkin çok özel bilgileri barındırıyor.
Kişinin işe girişinden, çalışan sıfatını kazanmasından itibaren ise özlük bilgilerini içeren çeşitli dosyalar tutuyoruz. Çalışanın sağlık sorunlarına ilişkin belgeler, doktor raporlarını tuttuğumuz dosyalarımız var. Çalışanın yıllık izinleri bilgilerimiz mevcut. Çalışanla işverenin yaşadığı sorunlar, belki uyarı mektupları mevcut. Çalışanın performansına ilişkin bilgiler ve çalışanın yıllar içinde aldığı ücretler…
Tüm bunlar işverenin çalışana karşı sorumluluklarını yerine getirmek, aynı zamanda şirketin devamını ve performansını yüksek tutmak için gerekli belgeler.

Kendisi hangi sektörde olursa olsun, işverenlerin çalışanların kişisel verilerini korumak, bir yandan
ihtiyacı olan bu bilgileri tutarken bir yandan bilgilerin güvenliği sağlamak zorunluluğu var. İşveren olarak sadece çalışanların değil kişisel veri barındıran aşağıdaki ilgili kişileri bu düzenleme içinde gözetmeliyiz:

  • İş başvurusunda bulunanlar
  • Mevcut çalışanlar
  • Eski çalışanlarımız
  • Stajyerler
  • Danışmanlar

Dikkat etmemiz gereken veriler neler?

  • Sözleşmeler
  • Giriş çıkış bilgileri puantaj kayıtları
  • Ücret, yan haklar ve bordro bilgileri
  • İzin bilgileri
  • Sağlık bilgileri

Yasaya göre çalışanlar veri sahibi olarak, işverenler ise veri işleyen kontrol eden olarak belirlenmiş durumda. Bu durumda işverenler olarak dikkat etmemiz gereken kurallar kabaca şöyle;

  • Kişisel veriler yürürlükteki mevzuata uygun olarak tutulmalı
  • Yalnızca iş gerekliliği için makul veriler tutulmalı, işimizin devamı yada sürekliliğini sağlamaktan uzak kişisel verileri bulundurmamak gerekiyor
  • Kişilik haklarını koruyacak şekilde depolanmalı
  • Çalışana ilişkin veriler sadece kanuni süreler içinde tutulmalı, bu sürelerin bitişi sonunda imha edilmeli ve neyin imha edildiğinin çetelesi tutulmalı
  • Çalışana ilişkin verilerin kanunen güvenli olarak belirtimiş ülkeler dışında bir başka ülkeye transfer edilmemeli
  • Çalışanların kişisel verilerinin korunması için yeterli tedbirler alınmalı bu tedbirler gözlemlebilir olmalı
  • Bu konuda alınan tedbirler sıklıkla kontrol edilmeli ve güncellenmeli

Çalışanların kendi verilerini ulu orta paylaştığı bir dönemdeyiz. Çalışanlarımızın anlık olarak nerede olduğu, kiminle olduğu, ne yediği içtiği, ne konuştuğu, ne düşündüğü sosyal medyada… Bu konu onların kendi tasarruflarında olan bir konu, ancak işverenler olarak bizler çalışanlarımıza ilişkin verilerin polisi olarak verileri doğru kanuna uygun tutmak, korumak, gerektiği zaman ise imha
etmek durumundayız.

Bu yazı, Dünya Gazetesi’nde 22 Haziran 2018 tarihinde yayımlanmıştır.

Ayşe Nazmiye UÇA
Datassist Bordro Servisi
CEO