İşverenin Çalışan Verilerini İşlemesinde Dikkat Etmesi Gerekenler

1. Giriş

1.1. İşverenler İçin Dijital Çağda Veri Sorumluluğu

Dijital çağın getirdiği yenilikler, işverenlerin çalışan verilerini işlemesi için geniş bir alan sağlamaktadır.
Ancak bu durum, işverenlere veri sorumluluğu konusunda önemli yükümlülükler de getirmektedir. Kişisel
verilerin korunması konusu, günümüz iş dünyasının en önemli unsurlarından biri haline gelmiştir.

1.2. Çalışan Verilerinin Önemi ve Hukuki Boyutu

Çalışan verileri, işyeri içinde verimliliği artırmak ve iş süreçlerini optimize etmek için gereklidir. Ancak bu
verilerin doğru ve hukuka uygun bir şekilde işlenmesi, KVKK uyumluluğunu sağlamak açısından kritik önem taşır.
İşverenlerin, veri sorumluluğuyla birlikte çalışan mahremiyetini de gözetmesi gerekmektedir.

2. İşverenin Hukuki Sorumluluğu ve Mevzuat Kapsamı

2.1. Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi sürecinde denetim ve düzenleme
yapan bir mevzuattır. KVKK, işverenlere veri sorumlusu olarak birtakım yükümlülükler getirir ve çalışanların
kişisel verilerinin korunmasını amaçlar.

2.2. İşverenler İçin KVKK Kapsamında Yükümlülükler

İşverenler, KVKK kapsamında kişisel verilerin işlenmesinde hukuka uygunluk, güvenlik önlemlerini alma ve
çalışanların bilgilendirilmesi gibi sorumluluklara sahiptir. Bu yükümlülükler kapsamındaki ihmal ise veri
ihlali sonuçları doğurabilir ve ciddi yaptırımlara tabi olabilir.

3. Çalışan Verilerini İşlemenin Temel İlkeleri

3.1. Hukuka ve Dürüstlük Kurallarına Uygunluk

Veri işleme faaliyetleri, her durumda hukuka ve dürüstlük kurallarına uygun şekilde gerçekleştirilmelidir. Bu
yaklaşım, işverenin veri sorumluluğunu yerine getirmekte ne kadar dikkatli davrandığını gösterir.

3.2. Açık Rıza Alınması ve Gerekli Durumlar

Çalışan verilerinin işlenebilmesi için açık rıza alınması genellikle zorunludur. İşverenler, kişisel verileri, çalışanların özgür iradesiyle verdikleri bir açık rıza olmaksızın işleyemez. Bununla birlikte, bazı durumlarda bu işlemin
hukuka uygunluk, sözleşmenin ifası veya kanuni yükümlülüklerin yerine getirilmesi gibi yasal gerekçeleri de
olabilir.

3.3. Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

Herhangi bir çalışanın kişisel verisi işlenirken bu işlemin belirli, açık ve meşru bir amaca uygun olması
gerekmektedir. Amacın dışındaki her türlü veri işleme, hukuka aykırı olur ve veri ihlali olarak
değerlendirilir.

4. Özel Nitelikli Kişisel Verilerin Korunması

4.1. Hangi Veriler Özel Niteliklidir?

Özel nitelikli kişisel veriler, KVKK uyarınca daha hassas işlenen ve korunması gereken veriler arasında yer alır.
Bu veriler; sağlık bilgileri, biyometrik ve genetik bilgiler, din, mezhep, ırk gibi verilerdir.

4.2. Özel Nitelikli Verilerin İşlenme Şartları

Özel nitelikli kişisel veriler, ancak kanunda belirtilen şartlar altında veya çalışanların açık rızası doğrultusunda işlenebilir. İşverenler, bu tür verileri işlemek için özel koruma önlemleri almalıdır.

4.3. Sağlık Bilgisi, Disiplin Cezası ve Sabıka Kaydı Uygulamaları

Çalışanların sağlık bilgileri, disiplin cezaları ve sabıka kayıtları, ancak özel izin veya yasal zorunluluk
durumlarında işlenebilir. Sağlık bilgilerinin işlenmesi genellikle iş sağlığı ve güvenliği amacıyla yapılır.

5. Veri Güvenliği ve Saklama Politikaları

5.1. Fiziksel ve Dijital Veri Koruma Önlemleri

İşverenler, fiziksel ve dijital ortamda çalışan verilerinin güvenliğini sağlamak için gerekli önlemleri almak
zorundadır. Bu önlemler, yalnızca authorized personelin erişimini sağlamak ve veri sızıntısını engellemek için geliştirilmelidir.

5.2. Verilerin Saklanma Süresi ve İmha Süreçleri

Çalışan verileri, yalnızca gerekli olduğu süre boyunca saklanmalıdır. Bu sürenin sona ermesi halinde, verilerin
imhası veya anonim hale getirilmesi işverenin sorumluluğundadır.

5.3. VERBİS’e Kayıt Zorunluluğu ve Süreçleri

İşverenlerin, veri işleme süreçlerini VERBİS sistemi üzerinden kaydetmeleri gerekmektedir. Bu kayıt, veri işleme
faaliyetlerinin şeffaflığı ve denetlenebilirliği açısından büyük önem taşır.

6. Çalışan Mahremiyetinin Korunması ve Bilgilendirme Yükümlülüğü

6.1. Gizlilik Politikası Hazırlama ve Çalışanlara Bildirme

İşverenlerin hazırladığı gizlilik politikası, çalışanlara açık bir şekilde iletilmeli ve anlaşılır olmalıdır. Bu
politika, işyerinde veri güvenliğinin nasıl sağlandığını detaylandırmalıdır.

6.2. Kamera İzleme, E-Posta ve İnternet Takibi Konusunda Yasal Sınırlar

İşverenlerin, çalışanlarını izleme ve takibi, yalnızca yasal çerçevede ve belirli amaçlar doğrultusunda yapılmalıdır. Gizlilik ihlalleri hem hukuki hem de etik problemler yaratabilir.

6.3. İşverenin Şeffaflık İlkesi Doğrultusunda Yapması Gerekenler

İşverenler, veri işleme faaliyetlerini şeffaf bir şekilde yürütmelidir. Çalışanlar, hangi verilerinin işlendiği ve
bu verilerin nasıl kullanıldığı konusunda bilgilendirilmelidir.

7. Veri Paylaşımı ve Yurt Dışına Aktarım Durumları

7.1. Üçüncü Taraflarla Veri Paylaşımı

Çalışan verilerinin üçüncü taraflarla paylaşılması, ancak çalışanların onayı ya da yasal zorunlulukla gerçekleşebilir. Aksi takdirde, veri sorumluluğu ihlali olarak değerlendirilebilir.

7.2. Yurt Dışına Veri Aktarımında Yasal Gereklilikler

Kişisel veriler yurt dışına aktarılırken, ülkedeki veri koruma düzenlemeleri dikkate alınmalı ve çalışanların açık rızası veya kanuni bir zorunluluk bulunmalıdır.

7.3. Uluslararası İşyerlerinde Uyulması Gereken Regülasyonlar

Uluslararası faaliyet gösteren işyerleri, ülkelerin farklı veri koruma yasalarını dikkate alarak veri işleme
süreçlerini uyumlu hale getirmelidir.

8. Veri İhlali Durumunda İzlenmesi Gereken Adımlar

8.1. İhlalin Belirlenmesi ve Bildirilmesi

Veri ihlali durumunda, işverenin durumu hızlı bir şekilde belirleyip ilgili kurumlara ve çalışanlara bildirim yapması gerekmektedir.

8.2. Çalışanların Bilgilendirilmesi

Veri ihlalinden etkilenen çalışanlar hızlı ve etkili bir şekilde bilgilendirilmelidir. Bu durum, çalışanların alınacak önlemler konusunda bilgilenmesine ve hazırlıklı olmasına yardımcı olur.

8.3. Kurul’a Bildirim Yükümlülüğü ve Süreç Yönetimi

İşverenler, veri ihlali durumunda Kişisel Verileri Koruma Kurumu’na (Kurul) gerekli bildirimleri yapmak ve
ihlalin etkilerini yönetmekle yükümlüdür.

9. Sonuç ve Öneriler

9.1. İşverenler İçin Uyum Yol Haritası

İşverenler, kişisel verilerin korunması konusunda etkili bir uyum yol haritası oluşturmalı ve bu doğrultuda
süregelen eğitim ve denetim çalışmaları yapmalıdır.

9.2. Sürekli Eğitim ve Farkındalık Çalışmalarının Önemi

Veri koruma ile ilgili farkındalık ve bilgi düzeyinin artırılması için sürekli eğitim düzenlemeleri yapmak önemlidir. Böylece işverenler ve çalışanlar bu süreçler konusunda bilinçlenir.

9.3. Hukuki Danışmanlık ile Risklerin Azaltılması

İşverenler, veri işleme süreçlerindeki riskleri azaltmak adına hukuki danışmanlık almalı; bu sayede olası
ihlaller ve yasal yükümlülükler hakkında önceden önlem alabilirler.

SSS

1. İşverenlerin çalışan verilerini işlemesi için hangi mevzuata uyması gerekir?

İşverenler, Türkiye’de çalışan verilerini işlerken 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun
hareket etmelidir.

2. Çalışanlardan açık rıza alınmadan hangi hallerde veri işlenebilir?

Kanunda belirtilen sözleşmenin ifası, hukuki yükümlülüklerin yerine getirilmesi gibi durumlarda açık rıza
olmaksızın veri işlenebilir.

3. Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ve biyometrik ve genetik verilerdir.

4. Çalışan verilerinin saklanma süresi nedir?

Çalışan verileri, ancak amaçları için gerekli olan süre boyunca saklanabilir. Bu sürenin sona ermesiyle
birlikte verilerin imha edilmesi gerekir.

5. Çalışan verilerinin yurtdışına aktarılması için hangi şartlar gereklidir?

Çalışan verilerinin yurtdışına aktarımı, çalışanın açık rızası ya da yasal zorunluluklar çerçevesinde
gerçekleştirilebilir.

6. Veri ihlali durumunda işverenin yapması gereken ilk adımlar nelerdir?

Veri ihlali durumunda, işverenler ilk olarak ihlalin tespitini yapmalı, ardından bu durumu ilgili kurumlara ve affected employees’e bildirmelidir.

7. VERBİS sistemine kayıt zorunluluğu nedir?

VERBİS, veri sorumlularının kişisel veri işleme envanterlerini kaydettiği bir sistemdir ve bazı işverenler için
bu sisteme kayıt olmak zorunludur.

8. Gizlilik politikası neden önemlidir?

Gizlilik politikası, iş yerinde kişisel verilerin nasıl toplandığı, kullanıldığı ve korunduğu hakkında bilgi
verir. Çalışanların bilgilenmesi ve veri güvenliğinin sağlanması açısından önemlidir.

9. Kamera izleme ve e-posta takibi hangi şartlar altında yapılabilir?

Kamera izleme ve e-posta takibi, işverenin meşru menfaatleri doğrultusunda ve çalışanların bilgisi dahilinde
yapılmalıdır.

10. Çalışan mahremiyeti nasıl korunur?

Çalışan mahremiyeti, işverenlerin veri işleme süreçlerini şeffaf ve hukuka uygun şekilde yürütmesi ve çalışanları bu konularda bilgilendirmesi ile korunur.