İK Profesyonellerinin Bilmesi Gereken Bir Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Merhaba,

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ilgili bir yazı kaleme almak istiyorum. Söz konusu kanun Türk vatandaşlarının kişisel verilerini güvence altına alınması için çıkarılmıştır. Konu İnsan Kaynakları süreçleriyle direkt olarak ilgilidir. Bu sebeple biz İK Profesyonellerinin 4857 Sayılı iş Kanunu ve 6331 İş Sağlığı ve İş Güvenliği kanunu kadar iyi bilmemiz gereken bir kanun ve konudur.

Bilgi toplumunda değerli olan şey; bilgidir. Verileri yan yana getirip aralarındaki mantıklı bağlantıyı bulabilirseniz ortaya çıkan bilgiyi iyi/kötü yönde kullanabilirsiniz. Facebook’un en son Amerika Birleşik Devletleri seçimlerinde yaptığı manipülasyonlar bu önermenin en basit örneğidir.  Kişisel verileri koruma kanunu ise bireylerin verilerinin korunması, özel yaşamın gizliliği sebepleriyle çıkarılmıştır.

İlk olarak işin hukuki boyutuna gireceğiz. Daha sonra İnsan Kaynakların süreçlerini nasıl etkilediğini ardından bu kanun ile neler yapmamız ya da yapmamamız gerektiğini değineceğim.

Hukuki Boyut;

Kavramın hukuki dayanağı ilk olarak anayasamızda bulunmaktadır. Türkiye Cumhuriyeti Anayasası’nın 20. Maddesinde “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.

Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” yazmaktadır.

5237 Sayılı Türk Ceza kanunun 135. Maddesi; Hukuka aykırı olarak kişisel verileri kaydeden kimseye “bir yıldan” üç yıla kadar hapis cezası verilir.

Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.” yazmaktadır.

5237 Sayılı Türk Ceza kanunun 134 – 140. Maddelerinde;

“Özel hayatın gizliliğini ihlal

Madde 134- (1) Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır.(1)

(Değişik: 2/7/2012-6352/81 md.) Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.

Kişisel verilerin kaydedilmesi

Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. (3)

Verileri hukuka aykırı olarak verme veya ele geçirme

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.(4)

Nitelikli haller

Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;

a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme

Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

_________________

(1) 2/7/2012 tarihli ve 6352 sayılı Kanunun 81 inci maddesiyle, bu maddenin birinci fıkrasında yer alan “altı aydan iki yıla kadar hapis veya adlî para” ibaresi “bir yıldan üç yıla kadar hapis” ve “cezanın alt sınırı bir yıldan az olamaz” ibaresi ise “verilecek ceza bir kat artırılır” şeklinde değiştirilmiştir.

(2) 21/2/2014 tarihli ve 6526 sayılı kanunun 3 üncü maddesiyle bu fıkrada yer alan “altı aydan” ibaresi “bir yıldan” şeklinde değiştirilmiştir.

(3) 24/3/2016 tarihli ve 6698 sayılı Kanunun 30 uncu maddesiyle, bu fıkrada yer alan “Kişilerin” ibaresi “Kişisel verinin, kişilerin” şeklinde; “bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibaresi “olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır” şeklinde değiştirilmiştir.

(4) 21/2/2014 tarihli ve 6526 sayılı kanunun 4 üncü maddesiyle bu fıkrada yer alan “bir yıldan” ibaresi “iki yıldan” şeklinde değiştirilmiştir.

(5) 21/2/2014 tarihli ve 6526 sayılı kanunun 5 inci maddesiyle bu fıkrada yer alan “altı aydan bir yıla kadar hapis” ibaresi “bir yıldan iki yıla kadar hapis” şeklinde değiştirilmiştir.

ŞİKÂYET

Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.

TÜZEL KİŞİLER HAKKINDA GÜVENLİK TEDBİRİ UYGULANMASI

Madde 140 – (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.” yazmaktadır.

Bir diğer adıyla İnsan Kaynakları Çalışanları olarak; adaylarımızın, çalışanlarımızın, eski çalışanlarımızın kişisel verilerini kanuna aykırı bir şekilde kullanırsak (sosyal medya paylaşımları raporlar, bilgi gizliliğine uymama vb.) hapis cezası ile yargılanabiliriz.

Peki neden İK Çalışanları yargılanıyor?

Hemen yanıtını kanun ile vermek isterim;

FeaturedImage-0283

6698 sayılı Kişisel Verilerin Korunması Kanununu kısaca özetlemem gerekirse

·        Kurumlar müşterilerinin, iştiraklerinin, adayların, çalışanlarının ve iletişime geçtiği 3. Kişilerin bilgilerini güvenliğinden sorumludur.

·        Kurumlar, sektörlerinin ve konusuna göre görüşmelerde iletişime geçtiği kişilerden konu dışında bilgi talep edemez,

·        Kurumun iletişime geçtiği kişilerin verdiği bilgileri -departman farkı olmaksızın- işleyen, güncelleyen, raporlayan kişilere Veri Sorumlusu denir.

·        Kurumlarla iletişime geçen kişiler bilgilerinin nerede kullanıldığını bunun sonucunda kişisel bilgilerinin ne olduğunu sorabilirler,

·        Kurumlar bu sorulara yanıt vermek zorundadır,

·        Kişisel verilerini aldığımız kişilerin rızalarını almak şartı getirilmiştir,

·        Kişisel veriler açıkça kişinin rızası olmadan yurtdışına aktarılamaz, (hatta bu maddede kişinin rızası dahi olsa farklı hükümlere uyularak yurt dışına aktarılabiliyor)

·        Veri sorumlusunun aydınlatma yükümlülüğü bulunmaktadır. Veri sorumlusu alacağı bilgileri nerede, nasıl kullanacağını, hukuki altyapısını, karşı tarafın haklarını 811. Madde) verileri alacağı kişiye bildirmekle yükümlüdür, (İlgili kişinin hakları MADDE 11 (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,)

·        Kurumlar veri sorumlularını Veri Sorumlusu Siciline kaydettirmelidir,

·        Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri SorumlularıSiciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. (3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. b) Kişisel verilerin hangi amaçla işleneceği. 12307 c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. e) Kişisel veri güvenliğine ilişkin alınan tedbirler. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. (4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. (5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

·        Bu kanuna uymayanlar idari para cezası ile hapis cezası ile yargılanır.

(Kanuna Ulaşmak için tıklayınız)

Para Cezaları;

·        Çalışanı/adayı bilgilendirmeyenler 5.000-100.000TL

·        Veri güvenliği sağlamayanlar 15.000-1.000.000.TL

·        Kurul Kararlarına uymayanlar 25.000-1.000.000.TL

·        Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler 20.000 TL –  1.000.000 TL arasında,

Evet durumun hukuki boyutunun “özeti”i yukarıda yazdığım şekildedir. Peki bu kanun bir İnsan Kaynaklarını nasıl etkileyecek? Biz İK’cıları ilgilendirmiyor diye düşünebilirsiniz ancak kanun direkt bizi etkilemektedir.

Adaylar iş başvurusunda bulunduğunda Türkiye Cumhuriyeti Kimlik Numarasından, Askerlik durumuna, Eğitim bilgilerinden çalışmak istediği pozisyona kadar birçok bilgi alıyoruz. Almalıyız da. Bu bilgileri alırken kanun bizden karşı tarafın rızasını almamızı bekliyor. Diğer adıyla; tüm iş başvuru formlarımızın revize edilmesi çalışanların bilgi güvenliği haklarını bildiren ve bilgilerinin kullanabileceğimizin muvafakatnamemelerinin alınması gerekmektir.

Sizlere bir temel bir hukuk ve kamu yönetimi ilkesinden bahsetmek istiyorum. Anayasa temel olarak ne yapılması gerektiğini, kanunlar ne yapılması gerektiğini ve yapılmadığında ne olacağını, yönetmelikler ise nasıl yapılması gerektiğini belirtir. Şu anda Anayasal ve kanun yönünden Bilgi güvenliği konusu tamamlandı ancak konuyla ilgili herhangi bir yönetmelik yayınlandığını görmedim. Bu sebeple aşağıda okuyacağınız konular neler yapılması gerektiğinin genel olarak ele alacaktır. Hatırlarsanız 6331 Sayılı iş sağlığı ve güvenliği kanunu yayınlandığında bir karışıklık olmuştu. Sanırım bu kanunda da tam olarak uygulanana kadar karışıklık olacaktır. Bu noktada kurumlar olarak herhangi bir cezai müeyyidede kalmamak için iyi niyetimizi ortaya koymamız gerekmektedir. Bu iyi niyeti ortaya koyarken aşağıdaki enstrümanları kullanabiliriz.

1- İş Alım Süreçleri

a-) İş Başvuru Formu: İşe alım süreçlerinde üzerine değinilmesi gereken ilk konu iş başvuru formudur.. İş başvuru formlarında dikkat edilmesi gereken ilk nokta “iş başvuru formunda adaya bilgi güvenliği yasası ile ilgili bilgi verdiğimizi ve iş görüşmesi sırasında, iş görüşmesinden sonra adayın bilgilerini işe alım süreçleri ile ilgili kullanılacağını bildirmemiz ve adayın rızasını almamız gerekmektedir.” Ayrı bir formda yapabiliriz, iş başvuru formunda bir iki cümle ile özetleyip, altına imza da alabiliriz

İş başvuru formunda fazla bilgiler Bazı kurumlar genel bir iş başvuru formu doldurtabiliyor bazı kurumlar detaylı olarak iş başvuru formu doldurtabiliyor. Bu noktada dikkat edilmesi gereken nokta adaylardan aldığımız bilgileri sadece işe alım süreçleriyle veya kurum olarak açıklayabileceğimiz süreçlerin olması.

Örneğin iş teklifi yapılmayan adayın Türkiye Cumhuriyeti Kimlik Numarası alınabilir mi? henüz adayımıza iş girişi yapmadık, adayımızın kimlik numarası gibi bir bilgiye neden ihtiyacımız olacağını düşünebilirsiniz. Fakat bazı kurumlar daha önce kurumda çalışmış herhangi bir nedenden ayrılmış daha sonra tekrar çalışmak isteyen adayları çalıştırmak istemeyebiliyor. Bu tür kurumların yapıları büyükse bir adayın daha önce çalışıp çalışmadığını ERP sistemi üzerinden kontrol ediyor. İsim ve soyisim benzerliği sebebiyle bazen bir adayın adını soyadını sorgularken aynı isimden birden fazla kayıt gelmektedir. Bu kayıtların kontrolünü yapabilmeniz için adaya özel bazı spesifik bilgileri bilmeniz gerekiyor. Bu sebepten böyle bir açıklama ile adaydan bu bilginin alınabileceğini düşünüyorum. Hatta bazı kurumlar isim soyisim yerine Türkiye Cumhuriyeti Kimlik Numarası ile ERP sistemi üzerinde araştırma yapmaktadır.

b-) Referanslar: Adaydan bilgileri aldık ancak referanslar konusunda da bir taahhütname alınması gerekmektedir. Çünkü referanslar adayın değil 3. Kişilerin özel bilgileridir.

c-) Mülakat: Mülakatlarda da adaya sadece kurum/pozisyon/Yönetici/çalışma arkadaşları ile uyumunu/uyumsuzluğunu ortaya çıkarabilecek sorular yöneltmeliyiz. Yalnız adayın bu uyumunu ortaya çıkaracak konular çok genel. Sadece bu konuya ilişkin daha önce bir yazı yazmıştım. Daha fazla bilgi edinmek isterseniz ilgili yazıma burayı tıklayarak ulaşabilirsiniz. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında adaya kanun dışı soru sorarsanız yanıtları kayıt almadığınızda herhangi bir problem oluşturmamaktadır. Sohbet havasında geçen bir görüşme.

d-) Video ve Ses Kaydı: SKYPE, FaceTime veya kariyer portallarının uygulamalarıyla video mülakat yapıyoruz. Bazı durumlarda İk’cı bu görüşmeleri daha sonra incelemek veya yöneticisine iletmek için kayıt altına alabiliyor.

Yüz yüze görüşmelerde toplantı odalarında kamera ve ses kaydı alınmaktadır. İlk olarak şunu belirtmek isterim. Bir adayın video ve ses kaydını alırken etik olarak, hukuki olarak mutlaka kendisine bilgi verilmesi ve rızasının alınması gerekmektedir. Bu noktada ispat sebebiyle bilgi ve rızanın yazılı verilmesinde/alınmasında kurum açısından fayda bulunmaktadır.

2- Özlük Süreçleri

İş alım sürecini tamamladık. Bir adayımıza iş teklifi yaptığımızı düşünelim. Adayımız kabul etti. Hazırlaması gereken evrakları hazırladı ve bize getirdi. Bu noktada aday, iş girişi yapıldıktan sonra bizim çalışanımız olmuştur. Mülakatlar sırasında adaydan aldığımız bilgileri işe alım süreçlerinde kullanabileceğimizi belirtmiştik.

Mülakat süreci sona erdi ancak kişiden hem daha fazla bilgi aldık; demografik bilgiler, eğitim/sertifika bilgileri, sağlık bilgileri, ehliyet bilgileri vb. hem de çalışanımızın bu bilgilerini ilerleyen süreçlerde de gerek anonim gerekse de anonim olmayan şekilde kullanacağız. Bu sebeple sözleşme imzalanması aşamasında çalışanımızdan bilgileri nerede kullanabileceğinizi, uluslararası bir şirket isek; adayın bilgilerini yurt dışına çıkarabileceğimizi bu konuda rızasının olduğuna dair bir belge alması gerekmektedir.

3- Performans, Eğitim ve Diğer İK Süreçleri

Çalışanımıza doldurttuğumuz tüm İK formlarında (Performans formu, eğitim formu vb.) kişisel bilgilerini neden aldığımızı, bu bilgilerle neler yapacağımızı ve konuyla ilgili kendilerinin rızası dahilinde yapıldığını belirten bir cümle eklenmeli ve imzalatılmalıdır.

4- Bilgi vermek

Aday, çalışan vb. gerçek kişiler bizlere kişisel verilerini kullanıp kullanamadığı sorabilir. Bu sorularına en ok 30 gün içerisinde yanıt vermekle mükellefiz. Araştırma yaparken Borusan Holding’in kullanmış olduğu format hoşuma gitti. Örnek olması için aşağıda linkini iletiyorum. (*)

5- Bilgilerin Güvenliğini Sağlamak

Aday veya çalışandan bilgilerini aldığımıza dair rızasını almamız yeterli olmuyor. Kurum olarak aday/çalışanlarımızın bilgilerini korumakla yükümlüyüz. Bu sebeple uygun İnsan kaynakları ve Bilgi güvenliği sistemi kurulmalı ve her proses risk analizi yapılarak tekrar gözden geçirilmelidir.

Daha öncede belirttiğim gibi yeni bir kanun ve henüz yönetmelik, genelge vb. alt dokümanda yayınlandığı için bazı noktalar net değil. Bu konunun zamanla netlik kazanacağını düşünüyorum.

Bu noktada çok fazla imza ve belge aldığımızı düşünebilirsiniz. Hemen belirteyim; Haklısınız. Sözleşme imzalıyoruz. AGİ formu dolduruyoruz, AGİ taahhütnamesi, Görev tanımı, disiplin yönetmeliği, çalışan yönetmeliği vb. bir sürü evrak imzalatırız. Bu süreçlerden emin olumben daha çok şikayetçiyim ancak; çalışan ile disiplinsel, hukuki bir sürece girdikten sonra ispat yükümlülüğü şirkete aittir. Bu noktada bazı kişiler tahmin edemeyeceğiniz bir şekilde kurumun açıklarını arıyor. En küçük açığı bulduklarında da sizi zor duruma düşürebiliyor. İK Profesyonelleri olarak bizim görevimiz kurumu korumak ve sürdürülebilirliğini sağlamaktır. Bir kişiye işe girişte bir evrağı imzalatamazsanız daha sonra imzalatmanız çok zor olur. Çünkü avantaj sizden kendisine geçmiştir.

Tüm bu nedenlerden ötürü korumamız gereken kurumlarımızı değişen şartlara göre entegre etmeliyiz.

Emre İnanç Karakaş İnsan Kaynakları Profesyoneli (* http://www.borusan.com.tr/Assets/Media/PDF/KVK_Topluluk_Politikasi_BFTR.pdf)

 Yazının orijinalini linkten okuyabilirsiniz.

Bir cevap yazın

*