Çalışanların her kişisel verisi işlenebilir mi?
Kişisel verilerin korunması, günlük hayatımızda sıkça karşılaştığımız bir konu. Telefon bantlarının vazgeçilmezi, banka işlemlerinin olmazsa olmazı, aboneliklerde ilk atılan imzalar ve birçok firmanın satış işlemleri sırasında onayımıza sundukları dokümanlar hep kişisel verilerimizin işlenmesi ile ilgili. Çoğu zaman bize zaman kaybettiren bir formalite muamelesine tabi tutuluyoruz. Ama konu o kadar da basit değil. Kişisel verilerin işlenmesine getirilen kurallar ve kişinin onayının aranması söz konusu verilerin niteliğinden kaynaklanıyor. Nitekim bu imzalar ve onaylar, bireyin özel hayatının gizliliği ile temel hak ve özgürlüklerini korumayı hedefliyor. Bu kapsamda; verileri işleyenlerin yükümlülük sınırları da çiziliyor.
1-Çalışma hayatında kişisel verilerin korunması sorumluluğu kimlerdedir ve sorumluluğun kapsamı nedir?
Öncelikle kişisel verilerin tamamının veya bir kısmının otomatik olarak işlenmesine veya otomatik olmayan bir yolla veri sistemine alınmasına bakılmaksızın; kişisel verileri işleyen gerçek ve tüzel kişiler sorumlu kabul edilecektir. Bu noktada hangi verilerin kişisel veri kabul edileceği önem arz etmektedir. Böylece sorumluluk doğuran veriler belirlenebilecektir. Kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilgi, kişisel veri kapsamına girecektir. Dolayısıyla bu tür verilerin işlenmesi de işleyen için sorumluluk doğuracaktır.
Veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu bulunmaktadır. Verilerin hangi amaçla işleneceği, veri kategorileri, verilerin aktarılabileceği alıcıların bulunup bulunmadığı, verilerin güvenliğine ilişkin bilgiler vb. sicile işlenmesi gerekecektir.
Sorumluluk oluşmaması için çalışana ait akla gelen her verinin işlenmemesi yerinde olacaktır. Özlük dosyaları oluşturulurken yasal sınırların gözetilmesi yerinde olacaktır. Keza işlenilen her bir verinin sorumluluk doğurabileceği, şikâyetlere konu olabileceği unutulmamalıdır. Bu kapsamda; hukuka aykırı veri işlemeleri ve erişim sağlanması, verilerin saklanamaması, güvenlik düzeyi kuramama, gerekli denetimleri yapmama, çalışanın kişisel verilerinin başkalarına açıklama hususları sorumluluk doğuracaktır.
2-Kişisel veriler işlenirken izlenecek esaslar nelerdir?
İşlenecek kişisel veriler ile bu verilerin işlenme amacı arasındaki nedenselliğin ortalama bir muhakemeye göre ortaya konabilmesi gerekmektedir. Diğer bir deyişle, verilerin işlenme amacı ile işlenen veriler arasında makuliyet olmalıdır. Amaç; net, hukuki ve meşru olmalı, belirsizlik taşımamalıdır. Öte yandan amaç ile işlenen veri arasında sınırlılık ve ölçülü olma ilkesinin aşılmaması gereklidir. Örneğin çalışanın özel nitelikli verilerinin işlenmek istenmesi ile yapılan iş arasında denge olması gerekmektedir. Aksi takdirde yapılan işlem, Kişisel Verilerin Korunması Kanununa aykırı olarak değerlendirilebilecektir. Bunların yanı sıra işlenen veriler, amaç için gerekli olan süre kadar saklanacaktır.
3-Kişisel verinin işlenme şartı nedir? Açık rıza nasıl tanımlanır ve sağlanır?
Çalışanın açık rızası olmadan kişisel veriler işlenemez. Bunun dışında açık rıza bulunmadan veri işlemek için; Kanunlarda açıkça yer alması, sözleşme yapılması veya ifasıyla ilgili olması, hukuki sorumluluğun yerine getirebilmesi gibi kanunda açıkça sayılan şartların bulunması gerekmektedir.
Açık rıza, çalışanın işlenecek veriye ilişkin olarak bilgilendirilmesi ve akabinde özgür iradesiyle açıklanan rızayı/onayı ifade eder. Çalışanların kişisel veri kapsamında bir bilgisinin işlenmesi sırasında bildik matbu formların imzalatılması açık rızayı sağlar mı? Elbette çalışanın imzası yok kabul edilemez ancak işçinin işini kaybetmemek için ya da çalışma barışını bozmama gayesi ile attığı bir imza olarak da sonradan değerlendirilebilecektir. Bu nedenle formlarda rıza/ onay dışında kabul etmiyorum seçeneği ile beraber çalışana ikinci bir tercih (ya da çoklu tercih) verilmesi formda çalışanın özgür iradesini açıkça ortaya koyacaktır.
4-Çalışanlar kişisel verilerinin, rızaları dışında işlenip işlenmediğini nasıl kontrol edecekler?
Çalışanın, veri sorumlusuna (işverene) başvurarak; kendisiyle ilgili veri işlenip işlenmediğini bilme, amacın uygun kullanılıp kullanılmadığını öğrenme, kişisel verilerin aktarıldığı üçüncü kişi bulunup bulunmadığını sorma, eksik veya yanlış verilerin düzeltilmesi, verilerin işlenme sebebi ortadan kalkmışsa silinmelerini, veri analizlerine itiraz etme, kanuna aykırı işlenme ile oluşacak zararını isteme hakkı bulunmaktadır.
Bu talebin en geç otuz gün içinde veri sorumlusu tarafından yanıtlanması gerekmektedir. Başvurunun kabul edilmemesi, eksik yanıt verilmesi veya 30 gün içinde yanıt verilmemesi durumunda çalışan Kişisel Verileri Koruma Kurulu’na şikâyetini taşıyabilecektir. Bu başvuru için de 30 günlük süre bulunmaktadır. Veri sorumlusuna başvuru tarihinden itibaren 60 gün içinde kurula başvuru gerekmektedir. Veri sorumlusuna başvurmadan; kurula şikâyet olanaklı değildir.
Şikâyet sonrası veri sorumlusu, kurulca istenecek bilgi ve belgeleri 15 gün içinde ibraz zorunluluğundadır. Akabinde kurulca inceleme yapılacaktır. İhlal kararı verilirse, veri sorumlusuna yapılacak tebliği takip eden 30 gün içinde ihlalin ortadan kaldırılması gerekecektir. Şayet kurula şikâyet tarihinden sonraki 60 günde yanıt alınamamış ise çalışanın şikâyeti ret edilmiştir.
5-Kişisel verilere ilişkin suçlarda pabuç pahalı
Hukuka aykırı olarak kişisel verilerin kaydedilmesi 1 yıldan 3 yıla kadar hapis cezası, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçirilmesinde 2 yıldan 4 yıla kadar hapis cezası, sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilebilmektedir.
Aydınlatma yükümlülüğünü yerine getirmeyenler, veri güvenliğine ilişkin yükümlülükler sağlamayanlar, Kurul tarafından verilen kararları yerine getirmeyenler ile veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında da idari para cezaları uygulanacaktır.
BİR SORU BİR YANIT
6 Şubat depreminde annemi ve babamı kaybettim. Babam işçi olarak bir atölyede çalışıyordu. Ama son 2 aydır işsizdi. Babamdan dolayı bana yetim aylığı bağlanmadı. Babamın toplam günü yetmedi. Şimdi öğrendiğime göre cenaze yardımı da alabiliyormuşum. Cenaze yardımı ödendiğini hatırlamıyorum. Cenaze parası alma süresi geçti mi?
Başınız sağ olsun. Ölüm tarihinde sigortalı olma şartı bulunmuyor. Sadece 360 prim günü bulunması yeterli olacaktır. Diğer taraftan cenaze ödeneğini almanız için süre de geçmiş değil. Çocuğu olarak alabilirsiniz. Cenaze ödeneği miktarı 2.054,00 TL. Dilekçe ile sosyal güvenlik merkezine başvurmanız yeterli olacaktır.
Sorularınız için e-posta adresi: hkaganoyken@gmail.com