İK Profesyonellerinin Bilmesi Gereken Bir Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Merhaba,

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ilgili bir yazı kaleme almak istiyorum. Söz konusu kanun Türk vatandaşlarının kişisel verilerini güvence altına alınması için çıkarılmıştır. Konu İnsan Kaynakları süreçleriyle direkt olarak ilgilidir. Bu sebeple biz İK Profesyonellerinin 4857 Sayılı iş Kanunu ve 6331 İş Sağlığı ve İş Güvenliği kanunu kadar iyi bilmemiz gereken bir kanun ve konudur.

Bilgi toplumunda değerli olan şey; bilgidir. Verileri yan yana getirip aralarındaki mantıklı bağlantıyı bulabilirseniz ortaya çıkan bilgiyi iyi/kötü yönde kullanabilirsiniz. Facebook’un en son Amerika Birleşik Devletleri seçimlerinde yaptığı manipülasyonlar bu önermenin en basit örneğidir. Kişisel verileri koruma kanunu ise bireylerin verilerinin korunması, özel yaşamın gizliliği sebepleriyle çıkarılmıştır.

İlk olarak işin hukuki boyutuna gireceğiz. Daha sonra İnsan Kaynakların süreçlerini nasıl etkilediğini ardından bu kanun ile neler yapmamız ya da yapmamamız gerektiğini değineceğim.

Hukuki Boyut;

Kavramın hukuki dayanağı ilk olarak anayasamızda bulunmaktadır. Türkiye Cumhuriyeti Anayasası’nın 20. Maddesinde “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.

Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” yazmaktadır.

5237 Sayılı Türk Ceza kanunun 135. Maddesi; Hukuka aykırı olarak kişisel verileri kaydeden kimseye “bir yıldan” üç yıla kadar hapis cezası verilir.

Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.” yazmaktadır.

5237 Sayılı Türk Ceza kanunun 134 – 140. Maddelerinde;

“Özel hayatın gizliliğini ihlal

Madde 134- (1) Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.(1)

(Değişik: 2/7/2012-6352/81 md.) Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

Kişisel verilerin kaydedilmesi

Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. (3)

Verileri hukuka aykırı olarak verme veya ele geçirme

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.(4)

Nitelikli haller

Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme

Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

_________________

(1) 2/7/2012 tarihli ve 6352 sayılı Kanunun 81 inci maddesiyle, bu maddenin birinci fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” ve “cezanın alt sınırı bir yıldan az olamaz” ibaresi ise “verilecek ceza bir kat artırılır” şeklinde değiştirilmiştir.

(2) 21/2/2014 tarihli ve 6526 sayılı kanunun 3 üncü maddesiyle bu fıkrada yer alan “altı aydan” ibaresi “bir yıldan” şeklinde değiştirilmiştir.

(3) 24/3/2016 tarihli ve 6698 sayılı Kanunun 30 uncu maddesiyle, bu fıkrada yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.

(4) 21/2/2014 tarihli ve 6526 sayılı kanunun 4 üncü maddesiyle bu fıkrada yer alan “bir yıldan” ibaresi “iki yıldan” şeklinde değiştirilmiştir.

(5) 21/2/2014 tarihli ve 6526 sayılı kanunun 5 inci maddesiyle bu fıkrada yer alan “altı aydan bir yıla kadar hapis” ibaresi “bir yıldan iki yıla kadar hapis” şeklinde değiştirilmiştir.

ŞİKÂYET

Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.

TÜZEL KİŞİLER HAKKINDA GÜVENLİK TEDBİRİ UYGULANMASI

Madde 140 – (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.” yazmaktadır.

Bir diğer adıyla İnsan Kaynakları Çalışanları olarak; adaylarımızın, çalışanlarımızın, eski çalışanlarımızın kişisel verilerini kanuna aykırı bir şekilde kullanırsak (sosyal medya paylaşımları raporlar, bilgi gizliliğine uymama vb.) hapis cezası ile yargılanabiliriz.

Peki neden İK Çalışanları yargılanıyor?

Hemen yanıtını kanun ile vermek isterim;

6698 sayılı Kişisel Verilerin Korunması Kanununu kısaca özetlemem gerekirse

· Kurumlar müşterilerinin, iştiraklerinin, adayların, çalışanlarının ve iletişime geçtiği 3. Kişilerin bilgilerini güvenliğinden sorumludur.

· Kurumlar, sektörlerinin ve konusuna göre görüşmelerde iletişime geçtiği kişilerden konu dışında bilgi talep edemez,

· Kurumun iletişime geçtiği kişilerin verdiği bilgileri -departman farkı olmaksızın- işleyen, güncelleyen, raporlayan kişilere Veri Sorumlusu denir.

· Kurumlarla iletişime geçen kişiler bilgilerinin nerede kullanıldığını bunun sonucunda kişisel bilgilerinin ne olduğunu sorabilirler,

· Kurumlar bu sorulara yanıt vermek zorundadır,

· Kişisel verilerini aldığımız kişilerin rızalarını almak şartı getirilmiştir,

· Kişisel veriler açıkça kişinin rızası olmadan yurtdışına aktarılamaz, (hatta bu maddede kişinin rızası dahi olsa farklı hükümlere uyularak yurt dışına aktarılabiliyor)

· Veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır. Veri sorumlusu alacağı bilgileri nerede, nasıl kullanacağını, hukuki altyapısını, karşı tarafın haklarını 811. Madde) verileri alacağı kişiye bildirmekle yükümlüdür, (İlgili kişinin hakları MADDE 11 (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,)

· Kurumlar veri sorumlularını Veri Sorumlusu Siciline kaydettirmelidir,

· Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri SorumlularıSiciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. (3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. b) Kişisel verilerin hangi amaçla işleneceği. 12307 c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. e) Kişisel veri güvenliğine ilişkin alınan tedbirler. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. (4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. (5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

· Bu kanuna uymayanlar idari para cezası ile hapis cezası ile yargılanır.

(Kanuna Ulaşmak için tıklayınız)

Para Cezaları;

· Çalışanı/adayı bilgilendirmeyenler 5.000-100.000TL

· Veri güvenliği sağlamayanlar 15.000-1.000.000.TL

· Kurul Kararlarına uymayanlar 25.000-1.000.000.TL

· Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler 20.000 TL – 1.000.000 TL arasında,

Evet durumun hukuki boyutunun “özeti”i yukarıda yazdığım şekildedir. Peki bu kanun bir İnsan Kaynaklarını nasıl etkileyecek? Biz İK’cıları ilgilendirmiyor diye düşünebilirsiniz ancak kanun direkt bizi etkilemektedir.

Adaylar iş başvurusunda bulunduğunda Türkiye Cumhuriyeti Kimlik Numarasından, Askerlik durumuna, Eğitim bilgilerinden çalışmak istediği pozisyona kadar birçok bilgi alıyoruz. Almalıyız da. Bu bilgileri alırken kanun bizden karşı tarafın rızasını almamızı bekliyor. Diğer adıyla; tüm iş başvuru formlarımızın revize edilmesi çalışanların bilgi güvenliği haklarını bildiren ve bilgilerinin kullanabileceğimizin muvafakatnamemelerinin alınması gerekmektir.

Sizlere bir temel bir hukuk ve kamu yönetimi ilkesinden bahsetmek istiyorum. Anayasa temel olarak ne yapılması gerektiğini, kanunlar ne yapılması gerektiğini ve yapılmadığında ne olacağını, yönetmelikler ise nasıl yapılması gerektiğini belirtir. Şu anda Anayasal ve kanun yönünden Bilgi güvenliği konusu tamamlandı ancak konuyla ilgili herhangi bir yönetmelik yayınlandığını görmedim. Bu sebeple aşağıda okuyacağınız konular neler yapılması gerektiğinin genel olarak ele alacaktır. Hatırlarsanız 6331 Sayılı iş sağlığı ve güvenliği kanunu yayınlandığında bir karışıklık olmuştu. Sanırım bu kanunda da tam olarak uygulanana kadar karışıklık olacaktır. Bu noktada kurumlar olarak herhangi bir cezai müeyyidede kalmamak için iyi niyetimizi ortaya koymamız gerekmektedir. Bu iyi niyeti ortaya koyarken aşağıdaki enstrümanları kullanabiliriz.

1- İş Alım Süreçleri

a-) İş Başvuru Formu: İşe alım süreçlerinde üzerine değinilmesi gereken ilk konu iş başvuru formudur.. İş başvuru formlarında dikkat edilmesi gereken ilk nokta “iş başvuru formunda adaya bilgi güvenliği yasası ile ilgili bilgi verdiğimizi ve iş görüşmesi sırasında, iş görüşmesinden sonra adayın bilgilerini işe alım süreçleri ile ilgili kullanılacağını bildirmemiz ve adayın rızasını almamız gerekmektedir.” Ayrı bir formda yapabiliriz, iş başvuru formunda bir iki cümle ile özetleyip, altına imza da alabiliriz

İş başvuru formunda fazla bilgiler Bazı kurumlar genel bir iş başvuru formu doldurtabiliyor bazı kurumlar detaylı olarak iş başvuru formu doldurtabiliyor. Bu noktada dikkat edilmesi gereken nokta adaylardan aldığımız bilgileri sadece işe alım süreçleriyle veya kurum olarak açıklayabileceğimiz süreçlerin olması.

Örneğin iş teklifi yapılmayan adayın Türkiye Cumhuriyeti Kimlik Numarası alınabilir mi? henüz adayımıza iş girişi yapmadık, adayımızın kimlik numarası gibi bir bilgiye neden ihtiyacımız olacağını düşünebilirsiniz. Fakat bazı kurumlar daha önce kurumda çalışmış herhangi bir nedenden ayrılmış daha sonra tekrar çalışmak isteyen adayları çalıştırmak istemeyebiliyor. Bu tür kurumların yapıları büyükse bir adayın daha önce çalışıp çalışmadığını ERP sistemi üzerinden kontrol ediyor. İsim ve soyisim benzerliği sebebiyle bazen bir adayın adını soyadını sorgularken aynı isimden birden fazla kayıt gelmektedir. Bu kayıtların kontrolünü yapabilmeniz için adaya özel bazı spesifik bilgileri bilmeniz gerekiyor. Bu sebepten böyle bir açıklama ile adaydan bu bilginin alınabileceğini düşünüyorum. Hatta bazı kurumlar isim soyisim yerine Türkiye Cumhuriyeti Kimlik Numarası ile ERP sistemi üzerinde araştırma yapmaktadır.

b-) Referanslar: Adaydan bilgileri aldık ancak referanslar konusunda da bir taahhütname alınması gerekmektedir. Çünkü referanslar adayın değil 3. Kişilerin özel bilgileridir.

c-) Mülakat: Mülakatlarda da adaya sadece kurum/pozisyon/Yönetici/çalışma arkadaşları ile uyumunu/uyumsuzluğunu ortaya çıkarabilecek sorular yöneltmeliyiz. Yalnız adayın bu uyumunu ortaya çıkaracak konular çok genel. Sadece bu konuya ilişkin daha önce bir yazı yazmıştım. Daha fazla bilgi edinmek isterseniz ilgili yazıma burayı tıklayarak ulaşabilirsiniz. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında adaya kanun dışı soru sorarsanız yanıtları kayıt almadığınızda herhangi bir problem oluşturmamaktadır. Sohbet havasında geçen bir görüşme.

d-) Video ve Ses Kaydı: SKYPE, FaceTime veya kariyer portallarının uygulamalarıyla video mülakat yapıyoruz. Bazı durumlarda İk’cı bu görüşmeleri daha sonra incelemek veya yöneticisine iletmek için kayıt altına alabiliyor.

Yüz yüze görüşmelerde toplantı odalarında kamera ve ses kaydı alınmaktadır. İlk olarak şunu belirtmek isterim. Bir adayın video ve ses kaydını alırken etik olarak, hukuki olarak mutlaka kendisine bilgi verilmesi ve rızasının alınması gerekmektedir. Bu noktada ispat sebebiyle bilgi ve rızanın yazılı verilmesinde/alınmasında kurum açısından fayda bulunmaktadır.

2- Özlük Süreçleri

İş alım sürecini tamamladık. Bir adayımıza iş teklifi yaptığımızı düşünelim. Adayımız kabul etti. Hazırlaması gereken evrakları hazırladı ve bize getirdi. Bu noktada aday, iş girişi yapıldıktan sonra bizim çalışanımız olmuştur. Mülakatlar sırasında adaydan aldığımız bilgileri işe alım süreçlerinde kullanabileceğimizi belirtmiştik.

Mülakat süreci sona erdi ancak kişiden hem daha fazla bilgi aldık; demografik bilgiler, eğitim/sertifika bilgileri, sağlık bilgileri, ehliyet bilgileri vb. hem de çalışanımızın bu bilgilerini ilerleyen süreçlerde de gerek anonim gerekse de anonim olmayan şekilde kullanacağız. Bu sebeple sözleşme imzalanması aşamasında çalışanımızdan bilgileri nerede kullanabileceğinizi, uluslararası bir şirket isek; adayın bilgilerini yurt dışına çıkarabileceğimizi bu konuda rızasının olduğuna dair bir belge alması gerekmektedir.

3- Performans, Eğitim ve Diğer İK Süreçleri

Çalışanımıza doldurttuğumuz tüm İK formlarında (Performans formu, eğitim formu vb.) kişisel bilgilerini neden aldığımızı, bu bilgilerle neler yapacağımızı ve konuyla ilgili kendilerinin rızası dahilinde yapıldığını belirten bir cümle eklenmeli ve imzalatılmalıdır.

4- Bilgi vermek

Aday, çalışan vb. gerçek kişiler bizlere kişisel verilerini kullanıp kullanamadığı sorabilir. Bu sorularına en ok 30 gün içerisinde yanıt vermekle mükellefiz. Araştırma yaparken Borusan Holding’in kullanmış olduğu format hoşuma gitti. Örnek olması için aşağıda linkini iletiyorum. (*)

5- Bilgilerin Güvenliğini Sağlamak

Aday veya çalışandan bilgilerini aldığımıza dair rızasını almamız yeterli olmuyor. Kurum olarak aday/çalışanlarımızın bilgilerini korumakla yükümlüyüz. Bu sebeple uygun İnsan kaynakları ve Bilgi güvenliği sistemi kurulmalı ve her proses risk analizi yapılarak tekrar gözden geçirilmelidir.

Daha öncede belirttiğim gibi yeni bir kanun ve henüz yönetmelik, genelge vb. alt dokümanda yayınlandığı için bazı noktalar net değil. Bu konunun zamanla netlik kazanacağını düşünüyorum.

Bu noktada çok fazla imza ve belge aldığımızı düşünebilirsiniz. Hemen belirteyim; Haklısınız. Sözleşme imzalıyoruz. AGİ formu dolduruyoruz, AGİ taahhütnamesi, Görev tanımı, disiplin yönetmeliği, çalışan yönetmeliği vb. bir sürü evrak imzalatırız. Bu süreçlerden emin olumben daha çok şikayetçiyim ancak; çalışan ile disiplinsel, hukuki bir sürece girdikten sonra ispat yükümlülüğü şirkete aittir. Bu noktada bazı kişiler tahmin edemeyeceğiniz bir şekilde kurumun açıklarını arıyor. En küçük açığı bulduklarında da sizi zor duruma düşürebiliyor. İK Profesyonelleri olarak bizim görevimiz kurumu korumak ve sürdürülebilirliğini sağlamaktır. Bir kişiye işe girişte bir evrağı imzalatamazsanız daha sonra imzalatmanız çok zor olur. Çünkü avantaj sizden kendisine geçmiştir.

Tüm bu nedenlerden ötürü korumamız gereken kurumlarımızı değişen şartlara göre entegre etmeliyiz.

Emre İnanç Karakaş İnsan Kaynakları Profesyoneli (* http://www.borusan.com.tr/Assets/Media/PDF/KVK_Topluluk_Politikasi_BFTR.pdf)

Yazının orijinalini linkten okuyabilirsiniz.

İK Profesyonellerinin Bilmesi Gereken Bir Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Related Posts

Salgın döneminde işten çıkarılanlar ne yapmalı?

İş Hukukunda Kötü Niyet Tazminatı Nedir?

Mobingde farkındalık yüksek ama önlem yeterli değil

Kişisel Verilerin Korunması Kanunu, İnsan Yönetimi uygulamalarını nasıl etkileyecek?