6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. İşverenler, çalışanlarının kişisel verilerini işleyen veri sorumlusu sıfatıyla önemli yükümlülükler altındadır. Bu rehberde KVKK kapsamında işveren yükümlülüklerini detaylı olarak inceliyoruz.
Veri Sorumlusu Olarak İşveren
İşverenler, çalışanlarının kimlik bilgileri, iletişim bilgileri, özlük dosyası bilgileri, sağlık verileri, performans değerlendirmeleri ve maaş bilgileri gibi çok sayıda kişisel veriyi işlemektedir. KVKK kapsamında işverenler veri sorumlusu olarak kabul edilmekte ve kanunun öngördüğü tüm yükümlülüklere uymak zorundadır. Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yaptırma zorunluluğu da bu yükümlülükler arasındadır.
Aydınlatma Yükümlülüğü
İşverenler, çalışanlarının kişisel verilerini işlemeden önce aydınlatma yükümlülüğünü yerine getirmek zorundadır. Aydınlatma metninde veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları belirtilmelidir. Aydınlatma metni, iş sözleşmesinden ayrı bir belge olarak düzenlenmelidir.
Açık Rıza ve Hukuki Sebepler
İşverenlerin çalışan verilerini işleyebilmesi için kanunda sayılan hukuki sebeplerden birinin bulunması gerekmektedir. İş sözleşmesinin kurulması ve ifası, kanuni yükümlülüklerin yerine getirilmesi ve meşru menfaat gibi hukuki sebepler açık rıza aranmaksızın veri işlemeye olanak tanımaktadır. Ancak bu hukuki sebeplerin kapsamı dışında kalan veri işleme faaliyetleri için çalışandan açık rıza alınması zorunludur.
Veri Güvenliği Önlemleri
İşverenler, çalışan verilerinin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Şifreleme, erişim kontrolü, güvenlik duvarı, antivirüs yazılımları ve düzenli yedekleme gibi teknik tedbirler alınmalıdır. İdari tedbirler kapsamında ise veri işleme envanteri hazırlanması, çalışan eğitimleri verilmesi, gizlilik sözleşmeleri imzalatılması ve veri ihlali müdahale planı oluşturulması gerekmektedir.
Çalışan Kameralarla İzleme
İşyerinde kamera ile izleme yapılması, çalışanların kişisel verilerinin işlenmesi anlamına gelmektedir. Kamera kaydının hukuka uygun olabilmesi için meşru bir amacın bulunması, orantılılık ilkesine uyulması ve çalışanların bilgilendirilmesi gerekmektedir. Soyunma odaları, tuvaletler ve dinlenme alanları gibi özel alanlarda kamera kullanımı kesinlikle yasaktır.
Yaptırımlar
KVKK'ya aykırı davranan işverenlere idari para cezaları uygulanmaktadır. Aydınlatma yükümlülüğünü yerine getirmeme halinde 50.000 TL ile 1.000.000 TL arasında, veri güvenliği yükümlülüklerini yerine getirmeme halinde ise 75.000 TL ile 2.000.000 TL arasında idari para cezası uygulanabilmektedir. İşverenlerin KVKK uyum süreçlerini tamamlaması hem hukuki riskleri azaltmak hem de çalışan güvenini sağlamak açısından büyük önem taşımaktadır.