kişisel verilerin korunmasının aşil tendonu: özlük dosyaları

09 Şubat 2021

Kişisel Verilerin Korunmasının Aşil Tendonu: Özlük Dosyaları

Özlük dosyası tutulması, İş Kanunu'nda düzenlenen bir yükümlülük olup, yükümlülüğün ihlali halinde idari para cezası uygulanması öngörülmüştür. Ancak, özlük dosyalarının içeriği İş Kanunu ve sair mevzuatta sıralı bir şekilde ve sınırlı sayıda belirtilmemiştir. Bu nedenle süregelen insan kaynakları uygulamalarında özlük dosyasının içeriği oldukça geniş tutulmaktadır. Uygulamadan gelen bu alışkanlık, Kişisel Verileri Koruma Kanunu (“KVK”) ışığında çeşitli sakınca ve riskler barındırmaktadır.  

 

 

Verilerin İşlenmesinde Çalışan Rızası

KVK kapsamında çalışanlara ilişkin bazı kişisel veriler “bir sözleşmenin kurulması ve sürdürülmesi” veya “veri sorumlusunun meşru menfaatleri çerçevesinde işlenmesi” kapsamında ilgili kişilerin rızası aranmaksızın işlenebilir. Birçok iş yeri, haklı olarak sağlamcı bir yaklaşımla işlenen her türlü kişisel veri için çalışanların açık rızasını almaktadır.


Ancak, açık rıza alınmış olsa bile veri minimizasyonu ilkesi gereği, kişisel veriler ölçülü ve amaçları ile bağdaşacak şekilde işlenmelidir. Gerek yasanın ortaya koyduğu veri işleme sebeplerini gerekse aydınlatma metinlerinde belirtilen amaçları aşan kişisel veri barındıran belge ve bilgiler, KVK bağlamında risk teşkil etmektedir. Unutulmamalıdır ki veri sorumluları, işledikleri her kişisel verinin işleme amacıyla ölçülü şekilde işlendiğini kanıtlamak zorundadır.

 

Korunmanın Yolu: Az ve Güncel Veri

İlgili işyerinin faaliyetleri açısından veya yasal bir zorunluluk olmayan hiçbir verinin tutulmaması, riski azaltmanın en doğru yoludur. Ayrıca, KVK’da işlenen kişisel verilerin güncel tutulması gerektiği düzenlenmiştir. İşlenen çalışan verilerinin güncelliğinin sağlanması genellikle insan kaynakları sorumlularından beklenmektedir. Bu sebeple çalışan verilerinin hangi sıklıklarla güncelleneceğine ilişkin yöntemlerin belirlenmesi gerekmektedir.

 

Riskin Azaltılmasında Kilit Nokta: İmha

Özlük dosyasındaki bazı veriler, çalışanla ilgili herhangi bir uyuşmazlık halinde delil niteliğinde olacağından, mevzuata göre iş ilişkisi süresince saklanmalıdır. İş ilişkisi sonlandıktan sonra ise vergi mevzuatına yönelik veriler 5 yıl, sigortalılık ilişkisine yönelik veriler 10 yıl, iş sağlığı ve güvenliğine ilişkin veriler ise 15 yıl boyunca saklanmalıdır. Bunlar haricindeki veriler bakımından dönemsel imha süreçlerinin uygulanması değerlendirilmelidir. 


İş ilişkisi kurulduktan sonra elde edilen veriler bakımından gösterilen özen işe alım süreçlerinde de gösterilmelidir. İşe alım süreçlerinde taraflar arasında henüz bir iş ilişkisi olmadığından kişisel veriler yalnızca adayların açık rızaları kapsamında işlenmektedir. Bu bakımdan özgeçmiş ve mülakat formlarında beyan edilen kişisel verilerin imha sürelerinin oldukça kısa tutulması gerekir. Sonraki işe alım süreçleri bakımından bir veri tabanı oluşturulacaksa mutlaka adayın bu konuda aydınlatılması ve rızasının alınması gerekir.

 

İnsan Kaynakları Profesyonellerinin Sorumluluğu

KVK kapsamında verilerin kanuna aykırı bir şekilde işlenmesi halinde uygulanacak yaptırımlar için muhatap, veri sorumlusu olarak belirlenmiştir. Ancak görevi gereği kişisel veri işleyen insan kaynakları profesyonelleri gibi çalışanların, verileri hukuka aykırı olarak işlemeleri halinde işverene idari para cezası uygulanacaktır. Bu halde işverenin, yasal sorumluluklarına aykırı olarak verileri hukuka aykırı ve kusurlu olarak işleyen çalışanlardan cezayı rücu etmesi mümkündür. Ayrıca, Türk Ceza Kanunu’nda kişisel verilerin hukuka aykırı bir şekilde elde edilmesi, kaydedilmesi ve paylaşılması hallerinde 8 yıla varan hapis cezaları öngörülmüştür.

 

Sonuç

Kişisel veri işleme ilkelerine ve politikalarına sahip olmak gerek insan kaynakları profesyonelleri gerekse işveren bakımından insan kaynakları iş ve işlemleri için oldukça önemlidir. Özlük dosyalarının kapsamının daraltılması, ölçülü şekilde kişisel veri toplanması, işlenen verilere ilişkin aydınlatma yapılması, gerekli hallerde açık rızaların alınması ve verilerin periyodik imhalarına ilişkin politikalar belirlenmesiyle hem hukuki hem de cezai sorumluluğun azaltılması mümkündür. 

E-Bülten'e Hemen Kayıt Olun

E-bülten gönderimlerimize üye olmak için aşağıdaki formu doldurabilirsiniz.