KİŞİSEL VERİLERİN KORUNMASI KANUNU’NA UYUM TALİMATNAMESİ



Kişisel Verilerin Korunması Kanunu kapsamında şirket çalışanlarına ya da 3. kişilere ait kişisel verilerin hukuka uygun bir şekilde işlenmesi ve korunması gerekmektedir. İşbu uyum talimatnamesiyle kişisel verilerin korunmasında dikkat edilmesi gereken hususlar düzenlenmiştir.

 

1.Kimlik Fotokopisi Alınmaması Hakkında

Kişisel Verilerin Korunması Kanunu’na göre ilgili  kişiden sadece yapılacak işlemle ilgili bilgilerin alınması gerekmektedir. Kişisel veriler ancak işlendikleri amaçla bağlantılı ve sınırlı olarak işlenebilir. İş Kanunu’nun 75. maddesine göre çalışanın özlük dosyasının oluşturulması amacıyla çalışana ait kimlik bilgileri alınabilir. Ancak kimlik bilgilerinin alınabilmesi için çalışandan ya da müşteriden kimlik fotokopisinin alınması açıkça kanuna aykırılık teşkil etmektedir.

Kimlik fotokopisi arkasında özel nitelikli kişisel veriler bulunduğundan ve kanunen özel nitelikli kişisel veriler için açık rıza alınması gerektiğinden bu hususa dikkat edilmesi gerekmektedir. Açık rıza, diğer veri işleme şartlarından herhangi birinin mevcut olmaması halinde başvurulabilecek bir şarttır. Bu nedenle açık rıza, son çare olarak kabul edilmelidir.

KVKK ile özel nitelikli kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

2.İşe Alım Sürecindeki İş Başvurusu Hakkında

Çalışan adayının işe alım sürecinde kişisel verilerin korunması bakımından dikkat edilmesi gereken hususlar bulunmaktadır:

  • Firma tarafından belirlenen iş başvuru formlarının tercih edilmesi gerekmektedir. Çalışan adaylarının kendi hazırlamış oldukları özgeçmişleri yerine firma tarafından hazırlanmış özgeçmiş formlarının doldurulması tavsiye edilir. Çalışan adaylarının kendileri tarafından hazırlanmış özgeçmiş dokümanları hassas nitelikte kişisel veriler içerebilmektedir.
  • Firma tarafından belirlenen iş başvuru formlarında sağlık bilgisi, kan grubu bilgisi, adli sicil kaydı bilgisi, dernek, vakıf, sendika üyeliği bilgisinin yer almamasına özen gösterilmelidir. Adli sicil kaydı bilgisi, dernek, vakıf, sendika üyeliği bilgisinin alınması için çalışan adayından açık rıza alınması gerekmektedir. Açık rıza alınmaksızın bu bilgilerin alınması ve saklanması mümkün değildir. İşe alım sürecinde sözlü olarak bu bilgilerin öğrenilmesi fakat elektronik olan veya olmayan herhangi bir ortama kaydedilmemesi tavsiye edilir.
  • Ayrıca işe alım sürecinde askerlik muafiyet durumunun sorulması durumunda, herhangi bir sağlık verisi içerebileceğinden ve özel nitelikli kişisel bir veriye ulaşılabileceğinden askerlik muafiyet nedeninin alınmaması gerekmektedir.

 

3.Kimlik Fotokopisi Alınıyor veya Alınmış ise Eski Kimliklerde Kan grubu ve Din Bilgisi Kısmında Karartma Uygulanması Hakkında

Fiziksel ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep, kullanılarak görünemez hale getirilmesi şeklinde yapılır.

 

4.Personelin Eşinin ve Çocuklarının Kimlik Fotokopisinin Alınmaması Hakkında

Gelir Vergisi Kanunu’nun 75. maddesi uyarınca asgari geçim indirimi alabilmek için çocukların doğum tarihi, isim ve soyadları ile TC kimlik numaraları yeterlidir. Bu nedenle, eş ve çocuğun kimlik fotokopilerini almak, KVKK’nda düzenlenen temel ilkelerden biri olan işlendikleri amaç için ölçülü olma kriterine uygun değildir.

 

5.Personele Ait Sağlık Bilgileri İçeren Evrakların Özlük Dosyası Yerine Personel Kişisel Sağlık Dosyasında Tutulması Hakkında

İş Kanunu’na göre özlük dosyalarının saklanma süresi 10 yıldır. Fakat İş Sağlığı ve Güvenliği Kanunu’na göre personelin sağlık bilgilerinin 15 yıl süreyle saklanması gerekmektedir. Bu nedenle, personelin sağlık bilgilerinin yer aldığı evrakların özlük dosyası yerine iş sağlığı ve güvenliği kapsamında oluşturulan dolaplarda ya da tercihen işyeri hekimi odasında kilitli bir dolapta saklanması gerekmektedir.

 

6.Şirket İçerisinde Yürütülen İş ve İşlemlerde Personelin Kişisel Telefonunu Kullanmaması Hakkında

Firma müşterilerinin ve personellerinin kişisel verilerini içeren işlemler ve faaliyetlerde, kurum içerisinde kuruma ait bilgisayar ve telefonların kullanılması gerekmektedir. Şahsi telefonların veya bilgisayarların kullanılması veri ihlaline yol açabileceği gibi ilgili kişiye ait kişisel verilerin de kurum dışına çıkmasına sebep olacaktır. Veri sorumlusunun herhangi bir cezai yaptırımla karşılaşmaması için bu hususa dikkat edilmesi gerekmektedir.

 

7.Whatsapp Yerine Kurum İçi Mailin Tercih Edilmesi Hakkında

Kurum için yürütülen iş ve işlemlerde bilgi akışının sağlanması bakımından whatsapp uygulaması yerine kurum içi mailin tercih edilmesi, veri ihlallerinin önüne geçilmesi ve herhangi bir cezai yaptırımla karşılaşılmaması açısından önem arz etmektedir.

 

8.İşe Giriş-Çıkış Takiplerinin Sağlanması Adına Parmak İzi ya da Yüz Tanıma gibi Biyometrik Veri Depolayan PDKS Yazılımlarının Tercih Edilmemesi Hakkında

İşe giriş-çıkış takiplerinin sağlanması adına parmak izi, yüz tanıma vb. biyometrik veri depolayan PDKS yazılımlarının tercih edilmesi durumunda hassas nitelikli kişisel veriler işlenmiş olacaktır. Kanunda belirtildiği üzere hassas niteliklerin kişisel verilerin işlenmesi için açık rıza şartının yerine getirilmesi gerekmektedir. İlgili kişiden açık rıza alınması, rıza konusu kişisel verinin işlenmesi için tek başına yeterli sayılmamaktadır. İşlenmesi konusunda açık rıza alınan kişisel verinin; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Kişisel Verileri Koruma Kurulu’nun biyometrik verilerin alınmasında hassas davrandığı ve ölçülülük ilkesinin önemini belirttiği kararları bulunmaktadır. Dolayısyla biyometrik verininin işlenmesinin ölçülülük açısından yeterli bulunmaması ihtimaline karşın işe giriş-çıkış takiplerinde PDKS yazılımlarının kurulmaması tavsiye edilmektedir.

Özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
  1. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  2. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  4. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının          kayıt altına alınması,
  5. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak         yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  6. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekir.
  7. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
  8. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  9. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi

 

9. İş Akdinin Sona Ermesi Durumunda Kuruma Ait ve Kurum Tarafından Verilen Bilgisayar ve Telefonların Teslim Alınması Hakkında

Kişisel verilerin korunması, olası veri ihlallerinin engellenmesi ve veri sorumlusunun herhangi bir yaptırımla karşılaşmaması için iş akdi sona eren personellerden kuruma ait telefon ya da bilgisayarların teslim alınması gerekmektedir. Ayrıca iş sözleşmesi sona eren personellerin kuruma ait yazılımlara erişim yetkilerinin de ortadan kaldırılması gerekmektedir.

 

10. Personel Özlük Dosyalarında Tutulan Adli Sicil Kayıtlarının İş Akdinin Sona Ermesi Durumunda Derhal İmha Edilmesi Hakkında

Çalışanlardan alınan adli sicil kayıtları özel nitelikli kişisel verileri içerdiğinden ve adli sicil kayıtlarının iş akdi sona eren personeller bakımından özlük dosyasında saklanması gerektiğine ilişkin ilgili mevzuatta herhangi bir düzenleme yer almadığından (eski hükümlülerin çalıştırılması ve yetkilendirilmiş yükümlü sertifikası  durumları hariç) söz konusu personeller bakımından özlük dosyaları iş akdinin sona ermesi tarihinden itibaren 10 yıl süreyle saklansa da adli sicil kayıtlarının iş akdinin sona ermesiyle birlikte derhal özlük dosyalarından imha edilmesi gerekmektedir.

 

ÖZGÜN BOYA Her Hakkı Saklıdır. | DESIGNED BY MaviPiksel