İşverenler Dikkat! Kişisel Verileri Korumayana Ceza Var!

Resul KURT

Son yılların en önemli konularından birisi olmasına rağmen kamuoyunda yeterince dikkat edilmeyen konulardan birisi de kişisel verilerin korunmasıyla ilgilidir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veriler hukuka aykırı olarak işlenemez. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve gerekli önlemleri almak veri sorumlularının, yani çalışma hayatı açısından işverenlerin en önemli görevidir. Bu anlamda işyerinde gerekli idari ve teknik tedbirlerin alınması gerekir.

İş hayatı açısından kişisel veriler denildiğinde temel olarak özlük dosyası akla gelmektedir. Çalışanlara ait özel bilgiler birtakım kanuni yükümlülükler gereğince özlük dosyasında saklanmaktadır. İşverenler bu bilgileri genellikle kanuni yükümlülüklerini yerine getirmek için istemektedirler. Örneğin Sosyal Güvenlik Kurumu’na sigortalılık bildirimi için çalışanın T.C Kimlik numarasının bilinmesi gerekmektedir. Bu bilgilerin sadece kanuni yükümlülüklerin yerine getirilmesi amacıyla kullanılması başkaca hiçbir amaçla kullanılmaması gerekir.

 

İşverenler Ne Yapacak?

Her ne kadar özlük dosyasında saklanan bilgiler, müşteri bilgileri ve diğer işyeri özel bilgileri genel kural olarak korunsa da çalışanların da bu bilince sahip olması gerekir. Öyle ki bazı durumlarda “iyi niyetle” yapılan bir davranış kişisel verileri açısından sorun yaratabilir. Uygulamada örnekleri olduğu üzere, doğum günü kutlaması veya evlilik yıldönümü kutlaması için özlük dosyasından alınan ve veri sahibinin aleni bir şekilde paylaşmadığı önemli tarihlerin açık rıza alınmadan paylaşılmaması gerekir. Masum bir davranış, veri sahibi açısından sorun olabilir ve istenmeyen sonuçlar doğabilir.

Bu nedenle işverenlerin işyerinde kişisel verilerin ne şekilde korunacağına dair iyi bir politika hazırlanması ve riskli durumlar karşısından alınacak tedbirleri belirlememesi gerekir. Bu tedbirler bazı durumlarda “gizlilik sözleşmesi” gibi idari tedbirler olabilir; bazı durumlarda ise bilgi güvenliği sistemi gibi teknik tedbirler olabilir.

Ancak bunlar da yeterli değildir. Çalışanlar, kişisel verileri ne şekilde koruyacaklarına dair bilgilendirilmeli ve bilinç kazanmalıdırlar. Güvenlik açığı halinde nasıl önlem alınmalı, hangi birime bildirim yapılmalı gibi konular hakkında mutlaka bilgi sahibi olmalıdırlar.

Siber saldırılar gibi dış güvenlik açıkları haricinde dalgınlık, dikkatsiz sonucu da kişisel veriler tehlikeye düşebilir. Örneğin, dalgınlıkla yanlışlıkla üçüncü kişiye atılan mailler, veri sahibi açısından paylaşılmaması gereken bilgileri içerebilir. Her ne kadar her durumda sorun yaratmayacak bir husus gibi gözükse de bu tür konularda çalışanların dikkatli olmalarını belirtmek önemlidir.

Bu konuda belki de alınabilecek en önemli tedbir, çalışanların kişisel verilerin korunması hakkındaki görevlerini ve sorumluluklarını belirlemektir. Bu konuda iş sözleşmesinde veya eki niteliğindeki belgelerle caydırıcı ve cezai maddeler içeren düzenlemeler hazırlanmalıdır. Özlük dosyasının ve elektronik ortamda tutulan belgelerin de güvenli şekilde muhafaza edildiğine yönelik rutin denetimler gerçekleştirilmelidir.

 

Cezası Ne Olacak?

6698 sayılı Kanun uyarınca da konunun niteliğine göre aşağıdaki para cezaları uygulanmaktadır;

- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere bilgi vermekle yükümlüdür. Buna aykırılık halinde 5.000 TL’den 100.000 TL’ye kadar,

- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar,

- Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ye kadar,

- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar, idari para cezası verilmektedir.

Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun ilgili hükümleri de uygulanmaktadır. Kişisel verileri silmeyen veya anonim hâle getirmeyenler hakkında ise verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

İlk yorum yazan siz olun
OKUYUCULARIMIZIN DİKKATİNE !... Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.