6698 Sayılı Kanun (Kişisel Verilerin Korunması Kanunu)

07 Nisan 2016 tarihinde yayınlanan ve en yeni kanunlarımızdan biri olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu aynı daha önce blogumda yer verdiğim 6701 Sayılı İnsan Hakları ve Eşitlik Kanunu gibi AB normları için gün yüzüne çıkmış görünüyor. Her ne sebeple çıkmış olursa olsun bir boşluğu dolduran bu kanunu hem bir İK’cı hem de bir Blogger gözünden inceleyeceğim.

Bu Kanunun amacı, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir” . Peki, bu noktada kişisel veri kavramını açıklamak gerekiyor. Nedir kişisel veri? Kanun diyor ki “Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin  HER TÜRLÜ BİLGİ ” kişisel veridir. Bir İK’cı olarak tanımı okuduğumda ilk gözümün önüne özlük dosyaları geliyor. Bu konuyu detaylandıracağım yazının ilerleyen bölümlerinde. Anlaşıldığı üzere bir şahsa ait her şey kişisel veri kapsamında değerlerlendirilebilir. O halde İnsan Kaynakları çalışanları olarak hangi durumlarda kişisel verileri işleyebileceğimize bakalım:

Kişinin açık rızası varsa:

Bizzat kişi bu verileri kullanabilirsin derse,  Kanunda açıkça öngörülmüşse:  Devamlı departmanlarımıza gönderilen TÜİK anketleri,  Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması:  Bu madde tam İK çalışanları için konmuş. Yukarıda belirttiğim özlük dosyaları bu maddeden (Madde 5/c) hareketle işlenebilir oluyor. Kaldı ki bu konuya 2003 tarihli 4857 sayılı İş Kanunu’nun 75. Maddesinde de yer verilmişti.

Yalnız olayın kişisel verilerin işlenme şartlarından olan ve biraz evvel belirttiğim 3 maddenin birine ya da bir kaçına uyuyor olması bu verilerin tamamını isteğimize göre işleyebileceğimiz anlamına gelmiyor. Bu nedenle kişisel verilerin işlenmesinin ilkelerini anlatan Madde 4 var:        Hukuka ve dürüstlük kurallarına uygun olmalı, Belirli/açık ve meşru amaçlar için işlenmeli,  İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı.

Şirketinize yapılan bir başvuruyu komik ya da ilginç bulup sosyal medyadan yayınlamak, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmaması nedeniyle yasak. Bir örnek daha vereyim, başvuru veri tabanından telefon numaralarını ya da mail adreslerini alarak 3. Kişilere satmak da aynı ölçüde yasak. Eminim şuanda sizin de aklınıza yaşamış olduğunuz birçok örnek gelmiştir. Şuanda benim aklıma dışarıdan bordro hizmeti alan şirketler geliyor. Çalışanlardan “bordrolarımızı x kurumunda yaptırmamıza izin veriyor musunuz?” diye belge mi alınacak?

Veri tabanları demişken hemen Madde 9’a bakmamız gerekir.

Kişisel verilerin yurt dışına aktarılması konusunda kanun “ Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz ” ve kişiden izin alınsa bile aktarılacağı yabancı ülkenin güvenilir olup olmadığına Kurul (Kişisel Verileri Koruma Kurulu) karar verir diyor. Şimdi olay daha da ilginç bir hal aldı. Hepimizin malumu olduğu üzere kendi içinde sunucusu (server) olan yüzdesel olarak çok az kurum var. Server kiralama durumlarında da sunucuların yurtdışında olduğunu düşünürsek modern tabirle “ konu kilit ”. Kanunun geri kalan kısmında cezalar ve ağırlıklı olarak da Kişisel Verileri Koruma Kurulu işleyişi, görev ve sorumlulukları yer almakta.

Sonuç olarak; 6698 Sayılı Kanun’dan hareketle İnsan Kaynakları çalışanlarının ve hukukçuların bu yasadan hareketle bazı düzenlemeleri yapması gerekmekte. Grup şirket/holding, devir/teslim süreçlerinde veri transferleri sıklıkla yaşanıyor. Bu noktada sorun çıkmaması adına çalışanlardan muvafakat alınması önem kazanmakta.  Benim görüşüm elbette her ne nedenle olursa olsun ilkelerde yazdığı üzere kişisel verileri kar amacı güderek ya da gütmeksizin amacı dışında kullanılmaması yönünde.