Kişisel Verilerin Korunması Kanunu Kapsamında Merak Edilenler

Kişisel Verilerin Korunması Kanunu Kapsamında Merak Edilenler

Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihli Resmi Gazete’de paylaşılarak yürürlüğe girdi. Kanun kapsamında, vatandaşların ırkı, etnik kökeni, siyasi görüşü, inancı, dini, mezhebi ya da diğer özellikleri, kılık ve kıyafeti, dernekte bulunması, sağlığı, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik bilgisinin ilgilinin açık rızası bulunmaksızın işlenmesine yasak geldi.

Mesela retina, parmak izi gibi sistemlerle giriş-çıkış kontrolü yapan işverenlerin, bu kapsamda Kanunun açık hükmü çerçevesinde personelin onayını alması şart. Marmara Üniversitesi Hukuk Fakültesi’nden Prof. Dr. Erdem Özdemir, Kanuna ilişkin merak edilen sorulara cevap verdi.

Bu kanuna ilişkin genel yasal kısım nedir?

Bu kanun, bilhassa iş çerçevesinde önemli sonuçlara neden olacak. İşe başlama kısmından iş sözleşmesinin ifası ve bitme dönemine dek Kanunu göz önünde bulundurmak gerekecek.

2012 senesi Temmuz ayında yürürlüğe giren 6098 sayılı Borçlar Kanununa göre, iş ilişkilerinde ilk defa kişisel verilerin korunması uygulaması geldi. Bu kapsamda, iş ilişkilerinde Borçlar Kanunu’nun 419. maddesinin ve 6698 sayılı Kanunun ana referans kanunlar bulunacak diyebiliriz.

Kişisel verilerin işlenmesinde temel ilkeler neler?

Tüm kişisel verilerin işlenmesinde ilk olarak ana ilkelere uygun adım atmak zorunludur. Bunlar hukuka ve dürüstlük şartlarına uygunluk, doğruluk ve güncel olmak, açık ve meşru hedefler adına işlenmek, işlendikleri amaçla ilişkili, kısıtlı ve ölçülü olmak, ilgili mevzuatta öne sürülen ya da işlendikleri amaç açısından gerekli olan dönem kadar korunmak.

İşyerinde video uygulamalarının üzerinden gidersek bu ilkeler doğrultusunda incelenebilir: İlk olarak bu uygulama hukuka ve dürüstlük kurallarıyla uygunluk göstermelidir. Bu kapsamda gizli kamera ile görüntü kaydedilemez. Belirli, açık ve meşru hedef adına işlenme şartında ise kamera uygulaması yapılacak ise bu meşru olmalı.

İşe giriş aşamalarında nasıl olacak? İlk olarak iş başvuru formlarının dizaynının incelenmesi lazım. Bilhassa Kanunda hassas bilgiler çerçevesinde bulunan dernek ve sendika üyeliği, cinsel hayat, ceza mahkumiyeti, sağlık durumu gibi konuların işlenmesinde oldukça dikkat etmek gerekiyor. Başvuranın yazılı bir şekilde ifade ettiği referansların aranması ve bu kişilerden bilgi alınabilir. Buna karşılık, adayın açık bir şekilde söylemediği referansların aranarak adaya ilişkin bilgi almak Batı Avrupa hukuklarında hukuka uygun bir davranış değildir. Batı Avrupa modelini ve bilhassa AB direktifini temel aldığımız göz önünde bulundurursak bizim hukukumuz açısından da aynı şeyi kabul etmek gerekir düşüncesindeyiz. Kişisel verilerin işlenmesinde çalışanın onayı mutlaka gerekli mi? Kişisel verilerin işlenmesi kapsamında kural olarak bağlantılı kişinin açık ve bilgilendirmenin olduğu rızası yer almalı. Fakat bunun istisnaları da bulunuyor. Genel nitelikteki kişisel verilerin işlenmesinde rızası bulunmasa bile kimi koşullar bulunuyorsa bunların işlenmesini kanun kabul ediyor. Fakat, hassas (özel nitelikli) veriler açısından  verileri işlerken oldukça dikkatli davranmak gerekiyor. Özel nitelikli kişisel verilerin, kişinin açık rızası bulunmaksızın işlenmesi yasaktır. Batı Avrupa'da ilgilinin rızasının dahi bu verilerin işlenmesinde yeterli olup olmayacağı tartışma konusu. Bu tartışmanın merkezinde sağlık verileri yer alıyor. Kişinin özel hastalıkları mesleki olarak sır tutma sorumluluğu altında olan işyeri hekimleri tarafından bilinmeli. Bu çerçevede hekim, yalnızca personelin işyerinde çalışıp çalışamayacağı ya da hangi şartlarda çalışabileceğine ilişkin bilgilendirme yapmalı. Kişisel bilgiler yurt dışına gönderilir mi? Kanun kapsamında kişisel veriler, ilgilinin açık rızası bulunmadan yurt dışına gönderilemez. Fakat Kanun’da genel anlamda kişisel verilerin gönderilmesi olan istisna hükümleri geçerli oluyor. Bunun yanında, yurt dışı devirler açısından kimi ek koşullar da bulunuyor. Kişisel verinin gönderileceği ülkede gerekli korumanın yer alması, yeterli korumanın bulunmaması halinde Türkiye’deki ve diğer ülkedeki veri görevlilerinin yeterli bir korumayı yazılı bir şekilde taahhüt etmeleri ve kurulun izin vermesi şartıyla ilgilinin açık rızası bulunmaksızın yurt dışına gönderilebilecek. İK uygulaması kapsamında çok uluslu firmaların sistemlerinin incelenmesi gerekecek. Yine bulut sistemi (cloud system) kullanan, yani İK bilgilerini buluta taşıyan firmalar da bu kapsamda prosedürlerini incelemek durumunda.