Son yýllarýn en önemli konularýndan birisi olmasýna raðmen kamuoyunda yeterince dikkat edilmeyen konulardan birisi de kiþisel verilerin korunmasýyla ilgilidir. 6698 Sayýlý Kiþisel Verilerin Korunmasý Kanunu uyarýnca kiþisel veriler hukuka aykýrý olarak iþlenemez. Kiþisel verilere hukuka aykýrý olarak eriþilmesini önlemek ve gerekli önlemleri almak veri sorumlularýnýn, yani çalýþma hayatý açýsýndan iþverenlerin en önemli görevidir. Bu anlamda iþyerinde gerekli idari ve teknik tedbirlerin alýnmasý gerekir.
Ýþ hayatý açýsýndan kiþisel veriler denildiðinde temel olarak özlük dosyasý akla gelmektedir. Çalýþanlara ait özel bilgiler birtakým kanuni yükümlülükler gereðince özlük dosyasýnda saklanmaktadýr. Ýþverenler bu bilgileri genellikle kanuni yükümlülüklerini yerine getirmek için istemektedirler. Örneðin Sosyal Güvenlik Kurumu’na sigortalýlýk bildirimi için çalýþanýn T.C Kimlik numarasýnýn bilinmesi gerekmektedir. Bu bilgilerin sadece kanuni yükümlülüklerin yerine getirilmesi amacýyla kullanýlmasý baþkaca hiçbir amaçla kullanýlmamasý gerekir.
Her ne kadar özlük dosyasýnda saklanan bilgiler, müþteri bilgileri ve diðer iþyeri özel bilgileri genel kural olarak korunsa da çalýþanlarýn da bu bilince sahip olmasý gerekir. Öyle ki bazý durumlarda “iyi niyetle” yapýlan bir davranýþ kiþisel verileri açýsýndan sorun yaratabilir. Uygulamada örnekleri olduðu üzere, doðum günü kutlamasý veya evlilik yýldönümü kutlamasý için özlük dosyasýndan alýnan ve veri sahibinin aleni bir þekilde paylaþmadýðý önemli tarihlerin açýk rýza alýnmadan paylaþýlmamasý gerekir. Masum bir davranýþ, veri sahibi açýsýndan sorun olabilir ve istenmeyen sonuçlar doðabilir.
Bu nedenle iþverenlerin iþyerinde kiþisel verilerin ne þekilde korunacaðýna dair iyi bir politika hazýrlanmasý ve riskli durumlar karþýsýndan alýnacak tedbirleri belirlememesi gerekir. Bu tedbirler bazý durumlarda “gizlilik sözleþmesi” gibi idari tedbirler olabilir; bazý durumlarda ise bilgi güvenliði sistemi gibi teknik tedbirler olabilir.
Ancak bunlar da yeterli deðildir. Çalýþanlar, kiþisel verileri ne þekilde koruyacaklarýna dair bilgilendirilmeli ve bilinç kazanmalýdýrlar. Güvenlik açýðý halinde nasýl önlem alýnmalý, hangi birime bildirim yapýlmalý gibi konular hakkýnda mutlaka bilgi sahibi olmalýdýrlar.
Siber saldýrýlar gibi dýþ güvenlik açýklarý haricinde dalgýnlýk, dikkatsiz sonucu da kiþisel veriler tehlikeye düþebilir. Örneðin, dalgýnlýkla yanlýþlýkla üçüncü kiþiye atýlan mailler, veri sahibi açýsýndan paylaþýlmamasý gereken bilgileri içerebilir. Her ne kadar her durumda sorun yaratmayacak bir husus gibi gözükse de bu tür konularda çalýþanlarýn dikkatli olmalarýný belirtmek önemlidir.
Bu konuda belki de alýnabilecek en önemli tedbir, çalýþanlarýn kiþisel verilerin korunmasý hakkýndaki görevlerini ve sorumluluklarýný belirlemektir. Bu konuda iþ sözleþmesinde veya eki niteliðindeki belgelerle caydýrýcý ve cezai maddeler içeren düzenlemeler hazýrlanmalýdýr. Özlük dosyasýnýn ve elektronik ortamda tutulan belgelerin de güvenli þekilde muhafaza edildiðine yönelik rutin denetimler gerçekleþtirilmelidir.
6698 sayýlý Kanun uyarýnca da konunun niteliðine göre aþaðýdaki para cezalarý uygulanmaktadýr;
- Kiþisel verilerin elde edilmesi sýrasýnda veri sorumlusu veya yetkilendirdiði kiþi, ilgili kiþilere bilgi vermekle yükümlüdür. Buna aykýrýlýk halinde 5.000 TL’den 100.000 TL’ye kadar,
- Veri güvenliðine iliþkin yükümlülükleri yerine getirmeyenler hakkýnda 15.000 TL’den 1.000.000 TL’ye kadar,
- Verileri Koruma Kurulu tarafýndan verilen kararlarý yerine getirmeyenler hakkýnda 25.000 TL’den 1.000.000 TL’ye kadar,
- Veri Sorumlularý Siciline kayýt ve bildirim yükümlülüðüne aykýrý hareket edenler hakkýnda 20.000 TL’den 1.000.000 TL’ye kadar, idari para cezasý verilmektedir.
Kiþisel verilere iliþkin suçlar bakýmýndan Türk Ceza Kanunu’nun ilgili hükümleri de uygulanmaktadýr. Kiþisel verileri silmeyen veya anonim hâle getirmeyenler hakkýnda ise verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yýldan iki yýla kadar hapis cezasý verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldýrýlmasý veya yok edilmesi gereken veri olmasý hâlinde verilecek ceza bir kat artýrýlýr.
