İş ilişkisi kapsamında çalışanlara ait kişisel verilerin işlenmesi, işverenler açısından kaçınılmaz bir gerekliliktir. Ancak bu süreç, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında ciddi yükümlülükler ve sorumluluklar doğurmaktadır.
Son yıllarda artan denetimler ve idari para cezaları, işverenlerin çalışan verilerini işlerken hukuka uygun hareket etmesini zorunlu hale getirmiştir.
1. Çalışan Verisi Nedir?
Çalışanlara ait;
• Kimlik bilgileri
• İletişim bilgileri
• SGK ve özlük dosyası kayıtları
• Performans değerlendirmeleri
• Kamera kayıtları
• E-posta ve IT log kayıtları
KVKK kapsamında kişisel veri olarak kabul edilmektedir.
Bunun yanında sağlık bilgileri, biyometrik veriler gibi veriler ise özel nitelikli kişisel veri kapsamındadır ve daha sıkı koruma altındadır.
2. Açık Rıza Her Zaman Gerekli mi?
Uygulamada en sık yapılan hatalardan biri, her veri işleme faaliyeti için çalışanlardan açık rıza alınması gerektiği düşüncesidir.
Oysa KVKK’ya göre;
• İş sözleşmesinin kurulması ve ifası için gerekli veriler
• Yasal yükümlülüklerin yerine getirilmesi (SGK, vergi vb.)
• İşverenin meşru menfaati
kapsamında yapılan veri işleme faaliyetleri için açık rıza şart değildir.
Ancak bu durum, işverenin sınırsız veri işleyebileceği anlamına gelmez.
3. Aydınlatma Yükümlülüğü
İşverenler, çalışanlarına;
• hangi verilerin işlendiğini
• hangi amaçla işlendiğini
• kimlere aktarılabileceğini
• ne kadar süre saklanacağını
açık ve anlaşılır şekilde bildirmek zorundadır.
Bu yükümlülük genellikle:
Çalışan KVKK Aydınlatma Metni
ile yerine getirilir.
4. İşverenin Sınırları: Ölçülülük ve Amaçla Bağlılık
KVKK’nın temel ilkelerine göre veri işleme faaliyetleri:
• Belirli, açık ve meşru amaçlarla yapılmalı
• İşlendikleri amaçla bağlantılı olmalı
• Ölçülü olmalı
Örneğin:
• Tüm çalışanların sürekli kamera ile izlenmesi
• E-postaların sınırsız şekilde denetlenmesi
hukuka aykırı sonuçlar doğurabilir.
5. Çalışan Verilerinin Saklanması ve İmhası
İşverenler, çalışan verilerini gerektiği süre kadar saklamak zorundadır.
İş ilişkisi sona erdikten sonra:
• hukuki yükümlülükler dışında
• gereksiz veri saklanması
KVKK ihlali oluşturur.
Bu nedenle:
Veri Saklama ve İmha Politikası oluşturulması kritik önem taşır.
6. Sık Yapılan Hatalar
Uygulamada işverenlerin en sık yaptığı hatalar:
• Her işlem için gereksiz açık rıza almak
• Aydınlatma metni sunmamak
• Kamera ve e-posta denetiminde sınırı aşmak
• Çalışan verilerini süresiz saklamak
• KVKK dokümantasyonunu oluşturmamak
7. Güncel Riskler ve Denetimler
Son dönemde özellikle:
• çalışan e-postalarının izlenmesi
• işyeri kamera kayıtları
• uzaktan çalışma verilerinin takibi
gibi alanlarda denetimler artmıştır.
Bu kapsamda, işverenlerin veri işleme süreçlerini güncel mevzuata uygun şekilde yapılandırmaları gerekmektedir.
Sonuç
Çalışanların kişisel verilerinin işlenmesi, işverenler açısından hem operasyonel bir gereklilik hem de hukuki risk barındıran bir süreçtir.
KVKK’ya uygun bir veri işleme politikası oluşturulması, yalnızca idari yaptırımların önüne geçmekle kalmayacak, aynı zamanda şirketlerin kurumsal güvenilirliğini de artıracaktır.
