Kişisel Verilerin Korunmasında İnsan Kaynakları Departmanının Rolü ve KVKK Kurul Kararları

İnsan Kaynakları Departmanı

İnsan kaynakları, muhasebe, hukuk, bilgi işlem gibi birimler verinin en çok bulunduğu ve işlendiği birimlerdir. Tüm departmanların kendi işleyiş/faaliyet süreçlerine göre KVK Kanunu’ndaki rolü ve sorumlulukları bulunmaktadır. Farkı süreçlere ve disipline sahip olan departmanlarda KVKK ile ortak bir paydada buluşabilmişlerdir. Bu birimlerden birisi olan “İnsan Kaynakları” departmanının KVK Kanun’undaki önemini ve yerini açıklamalarla değinelim.

Özetle insan kaynakları biriminin bazı görevlerini kısaca sıralayabiliriz.

*Kurumun insan kaynakları politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak.

*ihtiyaçlarını tespit etmek, insan kaynaklarının etkin ve verimli şekilde kullanılmasını sağlamak.

*Kurum personelinin nitelikleri ve yeterliklerinin belirlenmesi ve geliştirilmesine yönelik politikaları oluşturmak, bu amaçla ilgili birim, kurum ve kuruluşlarla iş birliği yapmak.

*Kurumun hizmet içi eğitim planını hazırlamak ve eğitim programları düzenlemek.

*Genel evrak işlemlerini yürütmek.

İşe alım süreçlerinde aktif rol alan insan kaynakları departmanı ve personel birimi; çalışanların, çalışan adaylarının, stajyerlerin bir nevi tüm bilgilerine hakim olan sırdaşları ve iş yerlerindeki kişisel sorunlarını çözümlemede destek aldıkları birimdir. Özlük dosyalarının oluşturulması faaliyeti de yine insan kaynakları departmanının faaliyetleri arasındadır. Özlük tanımı itibariyle; İş verenin, işe yeni başlayan her personelden çalışacağı birime göre belgeleri düzenlediği be topladığı dosyadır. Çalışan ile ilgili özel bilgilerin mevcut olduğu dosyaya personel özlük dosyası adı verilir. 4857 sayılı İş Kanunu’nun m.75 gereğince özlük dosyası bulundurmak zorunludur. Ayrıca, İş Kanunu gereğince güvenli bir ortamda saklamaları ve gerektiğinde ilgili kurumlara yasal çerçeve açıklamakla yükümlüdürler. Özlük dosyasında, işe giriş sürecinden, işe devam ettiği süre zarfından, işten ayrıldıktan sonrasına kadar tüm periyotlara özel belgeler talep edilmekte ve düzenlenmektedir. Anlaşıldığı üzere, özlük yapısı ve gereksinimleri neticesiyle kişisel verinin en çok barındığı alandır.

Özlük içerisinde kişisel veri ve özel nitelikli veriler mevcuttur. Fakat bu belgeler ve düzenlenen evrakların hepsi, 6698 sayılı Kişisel Verilerin Korunması Kanuna uygun olarak işlenmelidir. Kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler Kanunun 4. maddesinde düzenlenmiştir. Kişisel veri işleme faaliyetlerinde her zaman bu ilkelerin gözetilmesi gerekmektedir. Bununla birlikte, Kanunun 5. maddesi ile kişisel verilerin işlenme şartları düzenlenmektedir. Bu düzenleme gereğince, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Maddenin 2. fıkrası gereğince ilgili kişinin açık rızası olmaksızın kişisel verileri işleyeceği durumlar mevcuttur. Özlük dosyasının oluşturulması, “5/2-a Kanunlarda açıkça ön görülmesi.” maddesi gereğince işlenebilmektedir.

Buradaki önemli kriter, kişisel verilerin genel ilkelere ve kişisel veri işleme şartlarına uygun olarak işlenmesidir. İnsan kaynakları bu esaslara dayanarak verilerini işlemelidir. Bu verilerin güvenliği ve korunması için tekbirler almalıdır. Bu bağlamda diğer birimlerden destek almalıdır. İnsan kaynakları bu süreçlerde kolaylık ve otokontrolün sağlanması için farkındalık eğitimleri ve çalışmaları düzenlemelidir. Ayrıca çalışanlar kadar kendisi de bilakis bu konuda ayrıca özel bir eğitim almalıdır. Alışagelmiş bir düzende veri minimizasyonuna dikkat etmeden gereksiz tüm bilgilerin toplandığı havuzlar oluşturulmaktadır. “Bir gün işe yarar” diye tüm bilgilerin talep edilmesi ve toplanması ölçülülük ilkesine de aykırı bir durumdur. Önemli olan bağlı bulunan süreç çerçevesinde ihtiyaç doğrultusunda verilerin işlenmesidir.

İnsan kaynakları özel nitelikli verilerinde talep edildiği bir departmandır. Adli sicil kaydı, sağlık raporu vb. özel nitelikli verileri talep etmektedir. Bu veriler işleme amacına ve hukuki sebebi çerçevesince talep edilmeli ve işlenmelidir. Verilerin yine kanunda belirtilen süreler boyunca saklanması doğru olacaktır. Örneğin, giriş/çıkış kontrolü için yüz tarama, parmak izi gibi biyometrik kişisel verinin kullanılması ölçülülük ilkesine aykırıdır. Çünkü personel devam sistemini kart veya bileklik gibi araçlarla da kontrol edilebilmektedir veya özlükte belirtilen referans numaraları dışında (eski iş yeri gibi) yerlerin aranması uygun değildir.

İnsan kaynaklarının sorumlulukları neticesi itibari ile Kişisel Verileri Koruma Kanunu iyi anlaması ve yönetmesi önemlidir. Oluşturdukları politikalar, sorumlu oldukları yasal mevzuatlar ve çalışan özlük bilgileri ile bu süreci anlama ve yürütmeleri önemlidir. Bununla birlikte şirket bünyesindeki tüm birimlere farkındalık çalışmaları düzenlemek zorundadır. İnsan kaynakları şirketin odak noktalarından biridir. Bu sebeple faaliyet süreçlerinde, hukuk, iç denetim ve bilgi işlem departmanlarından destek alarak ilerlemeleri sağlıklı olacaktır.

Örnek KVKK Kurul Kararları

İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

“a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;

Bu durumun; 6698 sayılı KVK Kanununun m.12’ye aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun m.18 uyarınca idari para cezası uygulanmıştır.

b) Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı KVK Kanununun m.8göre hükümlerinin esas alınması gerektiği dikkate alındığında,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun m. 12’ye aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun m.18 uyarınca idari para cezası uygulanmıştır.”

03.08.2018 tarihinde yayınlanan karar özetinde insan kaynaklarının çalışanlar başta olmak üzere çalışan adaylarına yönelik tüm ilgili kişilerin kişisel verilerini koruma ve gereken özeni göstererek veri güvenliğini sağlaması gerekmektedir. Geleneksek yöntemler ve eski alışkanlıklar gözden geçirilerek kanuna uygun hale getirilmelidir. Personellere her ne kadar farkındalık eğitimleri ve çalışmalarını düzenlemek insan kaynaklarının görevi olsa da en başta bu alanla ilgilenen tüm yöneticilerin eğitimleri almaları gerekmektedir.

“Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı” hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti

“....Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Kararı ile

İlgili kişi ve veri sorumlusu (eski işveren) arasında üçüncü kişilere veri aktarımından kaynaklanan şikâyetin temelini, ilgili kişinin eski işyerinde çalıştığı son iş pozisyonunu yeni işyerine yönetici pozisyonu olan “Etik Direktörü” olarak belirtmek suretiyle yanlış beyanda bulunması, ayrıca eski işyerine işten ayrılma sebebini yurtdışına taşınması olarak ifade etmesinin oluşturduğu,

İlgili kişinin eski işyerinde çalıştığı tarihler ve iş pozisyonları ile işten ayrılma sebebine ilişkin olarak, veri sorumlusu ile yeni işvereninin İnsan Kaynakları Departmanları arasında e-posta yazışmaları yoluyla sınırlı bir veri aktarımının yapıldığının anlaşıldığı,

ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına dayandığı kanaatine varıldığı,

Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli, açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından iddia edildiği üzere “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve meşru amaçlar için işlenme ilkesi” ne aykırılık teşkil etmediğinin değerlendirildiği,

Ayrıca 4857 sayılı İş Kanununun 25/II-a maddesi gereğince “işçinin iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işvereni yanıltması”nın haklı nedenle derhal fesih sebebi olarak hüküm altına alındığı, yine aynı Kanunun 426. maddesinde “İşveren, işçinin isteği üzerine her zaman, işin türünü ve süresini içeren bir hizmet belgesi vermekle yükümlüdür. İşçinin açıkça istemde bulunması hâlinde, hizmet belgesinde onun iş görmedeki becerisi ile tutum ve davranışları da belirtilir. Hizmet belgesinin zamanında verilmemesinden veya belgede doğru olmayan bilgiler bulunmasından zarar gören işçi veya işçiyi işe alan yeni işveren, eski işverenden tazminat isteyebilir.” hükümlerinin yer aldığı,

İlgili kişinin “kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşarak Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı” yönündeki iddiası dikkate alındığında; e-posta yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle veri sorumlusunun Kanunun 12 inci maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerini ihlal etmediği değerlendirmelerinden hareketle;   

Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri aktarımının Kanunun “Kişisel verilerin işlenme şartları” 5.md. ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” kişisel veri işleme şartına dayandığı, bu kapsamda Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesi kapsamında söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına,

Bununla birlikte Kanunun “İlgili kişinin hakları” başlıklı 11 inci maddesi uyarınca, ilgili kişinin kişisel verilerinin rızası dışında üçüncü kişilere aktarımına ilişkin talebinin veri sorumlusu tarafından yeterli düzeyde karşılanamadığı, bu çerçevede ilgili kişinin talebi doğrultusunda “belirli tarihler arasında veri sorumlusu İnsan Kaynakları Departmanı çalışanları tarafından kanunlarda açıkça öngörülmesi ve Kanun kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumları haricinde, ilgili kişiye ait kişisel verilerin ilgili kişinin açık rızası dışında herhangi bir iletişim aracı vasıtasıyla herhangi bir gerçek ve/veya tüzel kişiye aktarılıp aktarılmadığı; böyle bir aktarım yapıldıysa, yapılan bu aktarımın hangi amaçla yapıldığını, aktarımın içeriğini, aktaran ve aktarılan kişileri de gösterir orijinal metnin kopyasını içeren bilgi, belge vb. dokümanın” Kuruma sunulduğu üzere ilgili kişiye de sunulması ve akabinde söz konusu bilgi, belge vb. dokümanın ilgili kişiye sunulduğuna dair Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.”

Açık rıza aranmaksızın kişisel veri işlemeyi mümkün kılan şartlar dışında ilgili kişiden açık rızası alınmadan (açık rıza alınması durumunda ise KVK Kanunu m.3 ‘e uygun olacak şekilde açık rıza alınmalıdır.) verisi işlenemez. Açık rıza aranmaksızın kişisel veriler işleniyorsa bunun sebeplerini ve zorunluluklarını hukuka uygun olacak şekilde açıklamakla yükümlüdür. İnsan kaynakları departmanı çalışan, çalışan adayı, hissedar ortak gibi birçok kişi grubunun verisini barındıran bir birimdir. Bu netice ile KVK kanunu en iyi şekilde anlamalı ve uygulamalıdır. İnsan kaynakları departmanı kendi ekibi başta olmak üzere, KVKK ve diğer etkileşim alanlarıyla ilgili eğitimleri tüm personellere aldırmalı ve farkındalık çalışmaları düzenlemelidir.