A. GİRİŞ
Kişisel verilerin korunmasına ilişkin getirilen mevzuat düzenlemeleri neticesinde, özellikle iş faaliyetleri bakımından kişisel veri işleyen şirketler uyum sürecini yakından takip etmektedirler. Bununla bağlantılı olarak, kişisel verilerin korunmasına yönelik uyum süreci; işçilerin özlük dosyaları içerisinde yer alan bilgi ve belgelerden ötürü, gerek genel nitelikli gerekse özel nitelikli kişisel verilere belki de en fazla temasın olduğu İnsan Kaynakları departmanları bir diğer ifadeyle Personel Müdürlükleri’nin iş faaliyet süreçleri bakımından ayrı bir öneme sahiptir.
B. KİŞİSEL VERİ KAVRAMINA İLİŞKİN MEVZUAT DÜZENLEMELERİ VE “ÖZLÜK” KAVRAMI
Bilindiği üzere, işçi özlük dosyasına ilişkin düzenlemeler 4857 s. İş Kanunu’nda uygulama alanı bulmuş; ilgili kanunun 75.maddesinde işverene, işçiye ait bilgi ve belgelerin yer aldığı bir özlük dosyası muhafaza yükümlülüğü getirmiştir. İlgili madde ile aynı zamanda işverene işçi ile sözleşme yaptığı andan itibaren işçi hakkında tutacağı özlük dosyasını gizli tutmak ve kimseye açıklamama yükümlülüğü doğmaktadır. Aynı sayılı kanunun 104.maddesi, özlük dosyası düzenlemeyen işverenler aleyhine de idari para cezası uygulanacağını öngörmüştür.
Özlük dosyasında ne tür bilgi ve belgelerin yer alacağı konusunda bir düzenleme olmamakla beraber; işveren gerek İş Kanunu gerekse diğer mevzuat gereklilikleri doğrultusunda özlük dosyasında düzenlemek zorunda olduğu her türlü bilgi ve belgeyi tutmakla yükümlü olup aynı zamanda bu dosyayı işçiyle iş ilişkisi devam ettiği süre boyunda güncellemesi gerekmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca işçilere ait özlük dosyasında bulunması gereken bilgi ve belgelerin kişisel veri, alınacak sağlık raporlarının da özel nitelikli kişisel veri olması sebebiyle işçinin özlük dosyası kapsamında yer alan işlemlerin tespiti ile ilgili olarak Kanun büyük önem arz etmektedir.
Kanun’un tanımlar başlığı altında yer alan 3.maddesinde kişisel veri: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel verinin tanımıyla bağlantılı olarak, işçinin özlük dosyasında yer alan özgeçmişi, fotoğrafı, yerleşim adresi, kimlik ve iletişim bilgileri, mahkûmiyet durumu, medeni durumu, sağlık hastalık durumu vb. gibi bilgiler kişisel veri olmakla beraber; bu verileri muhafaza işlemi de kişisel veri işleme faaliyeti kapsamında kabul edilecektir.
Yine Kanun’un 5.maddesi kişisel verilerin işlenme şartlarını açıkça belirtmiştir. İşçilere ait kişisel verilerin işlenme faaliyeti sırasında, Kanun’da öngörülen usul ve esaslara uygun olmadan yapılan veri işleme faaliyetlerinde kişisel verilerin ihlali gündeme gelebilir. Bu sebeple ihlali engellemenin muhtemel çözümü hangi verilerinin işleneceği konusunda işçiden alınan açık rızanın varlığıdır.
Bu noktada dikkat edilmesi gereken husus; işveren tarafından alınacak açık rızanın yazılı biçimde alınması ve bu işlem esnasında işçi rıza gösterdiği konu hakkında tam bilgili ve bilinçli olmalıdır. İlgili madde uyarınca, kişisel verilerin ilgili kişinin açık rızası8 olmaksızın işlenemeyeceği hüküm altına alınmış olup; hükmün 2.fıkrasında veri işleme faaliyeti için ilgili kişinin açık rızasının aranmayacağı istisnai haller de belirtilmiştir.
Örneğin, işverenin işçinin özlük dosyasını tutması kanundan kaynaklanan bir yükümlülük olduğundan (İş Kanunu m.75), bu konuda Kanun’un 5.maddesi uyarınca işçinin açık rızasının aranmayacaktır.
İşverenin, işçiye ait ücreti yatırabilmesi için işçinin kimlik numarası veya hesap bilgilerini işlemesi de Kanun’un 5/2’de yer alan “sözleşmenin ifasıyla doğrudan doğruya ilgili olması” istisnası kapsamında olduğundan; işçinin açık rızası aranmayacaktır.
Kanun’un 6. maddesinde özel nitelikli kişisel verilerin ne olduğundan bahsedilmiş; ilgilinin açık rızası olmaksınız işlenmesi yasaklanmıştır. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler, kanunda öngörülen hallerin varlığı halinde ilgilinin açık rızası olmaksızın işlenebileceği istisnai düzenlemeyle kabul edilmiştir.(m.6/3) Bu kapsamda işçilere ait işe girişler, işin devamı sırasında alınan sağlık raporları Kanun’un 6.maddesi uyarınca özel nitelikli kişisel veri konumundadır. Benzer şekilde, işçinin kan grubu vb. içerikli sağlık verileri, biyometrik verileri, dini inancı, mahkûmiyet durumu da özel nitelikli kişisel veriler kapsamında yer alacaktır.
Belirtmek gerekir ki, kişisel verilerin işlenmesinde uyulması gereken ilkeler Kanun’un 4.maddesinde detaylıca belirtilmiştir. İlgili madde hükmünde açıkça belirtildiği üzere, kişisel veriler, işledikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdırlar. Bir başka ifadeyle, özellikle işçinin özlük dosyasında tutulan bilgi ve belgelerin niteliklerine bakıldığında işin gereklilikleri doğrultusunda veri işleme faaliyetini gerçekleştirmek veri sorumluları adına en makul çözüm olacaktır.
Örneğin; günümüzde birçok şirket işe giriş esnasında kanuni bir yükümlülük olmamasına rağmen10 , işçiden “adli sicil kaydı” talep etmekte ve bu belgeyi de, özlük dosyasında muhafaza etmektedir. Ancak işçiden alınan adli sicil kaydına, özlük dosyasına konulduğu günden itibaren ilgililer tarafından belki de bir daha bakılmamakta ancak işçiye ait bu veri, bu durumla sınırlı olarak yükümlülüğü kapsamında olmamasına rağmen veri sorumlusu tarafından işlenmekte ve muhafaza edilmektedir.
Muhtemel çözüm; işçinin işe giriş esnasında adli sicil kaydı’nın olmadığını beyan etmesi ve akabinde veri sorumlusu tarafından bunun kontrol edilmesi ve işçiden alınan onay neticesinde, özlük dosyasına konulmamasıdır. Kişisel verilerin işlenmesinde, “işledikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesinin dikkate alınması gerekmekte olup; işçinin özel nitelikli kişisel verileri kapsamında yer alan sağlık raporu ve sağlık verisi içeren bilgi ve belgelerin, mesleği gereği sır saklama yükümlülüğü altında olan işyeri hekimi denetimi ve gözetiminde muhafaza edilmesi, kanunun belirlediği veri işleme ilkelerine uyum bakımından daha isabetli bir çözüm olacaktır.
B. ÖZLÜK DOSYASININ MUHAFAZASI
Yukarıda bahsedildiği üzere, özlük dosyası oluşturmak ve muhafaza etmek işverenin İş Kanunun’dan gelen yükümlülüğüdür. İşçinin özlük dosyasının fiziki mi yoksa elektronik ortamda mı saklanacağı hususunda kanunda bir açıklık yoktur. Özlük dosyasının fiziki ortamda saklanacağı hallerde, işverenin İş Kanunundan doğan yükümlülüğü, dosyanın 3.kişilerin eline geçmesini önlemektir11 . Benzer şekilde günümüzde, özlük dosyaları veri sorumluları tarafından elektronik ortamda da saklanabilmektedir. Buna engel teşkil eden bir hüküm bulunmamaktadır.
İş Kanunu ve sair mevzuatlarda özlük dosyasının saklanma ortamına ilişkin bir açıklık olmasa dahi; Kişisel Veri Güvenliği Rehberi’nde, “Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmalıdır.” şeklinde düzenleme mevcuttur. Buna göre, iş faaliyetlerini ifa ederken fiziki saklamayı tercih eden veri sorumlularının kişisel veri içeren özlük dosyalarını kilitli ortamda muhafaza etmeleri kişisel verilerin işlenmesi sürecinde makul bir çözüm olacaktır. Elektronik ortamda özlük dosyalarına erişimin olduğu hallerde ise; işçinin kişisel verilerine erişim noktasında veri sorumlusunun şirket içerisinde kişisel verilere erişime yönelik yetkilendirmeyi ilgili mevzuatlar uyarınca sınırlı düzeyde yapması, veri işleme amacının ölçülülüğü bakımından önem arz etmektedir.
C. ÖZLÜK DOSYASININ SAKLANMA SÜRESİ VE İMHASI
Kanun’da, kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği, aynı zamanda işlenme sebepleri ortadan kalktıktan sonra kişisel verilerin ne şekilde imha edileceği düzenleme alanı bulmuştur. Aynı zamanda, kişisel verilerin hangi usul ve yöntemlerle imha edileceği, “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” (“Yönetmelik”) içeriğinde detaylıca düzenlenmiş olup; “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi” kapsamında ise kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin detaylı açıklama ve örneklendirmelere yer verilmiştir.
Özlük dosyalarının saklanma süresine ilişkin düzenleme, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu kapsamında uygulama alanı bulmuştur. İlgili kanun kapsamında, işçiye ait özlük dosyaları taraflar arasındaki iş ilişkisi sona erdikten sonra 10 yıl süreyle saklanmalıdır. Şayet, ilgili mevzuatlarda gösterilen sürelerden başka bir süre belirlenmiş ise, bu halde belirlenen sürenin veri işleme amacı için gerekli olması aranmaktadır. Bununla beraber, mevzuatlara uygun olarak işlenen kişisel verilerin işlenmelerini gerektiren sebeplerin ortadan kalkması halinde bu veriler re’sen veya ilgilisinin talebi üzerine silinmeli, yok edilmeli veya başka verilerle birleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilerek anonimleştirilmesi gerekmektedir. İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir12 . Bu sebeple, veri sorumluları tarafından şirket içerisinde görülen veri işleme faaliyetleri ile ilgili olarak Yönetmelik’te yer aldığı üzere kişisel verilere ilişkin veri imha politikası hazırlanmalı ve imha politikası içerisinde periyodik imha sürelerine yer verilmelidir.
D. SONUÇ
Yukarıda detaylı şekilde izah edildiği üzere; işverenin iş faaliyetleri sırasında yerine getirmekle yükümlü olduğu faaliyetlerinin başında işçilerin özlük dosyaları muhafaza etmek görevi gelmektedir Ancak ne İş Kanunu’nda ne de ilgili mevzuatlarda özlük dosyasının içeriği ve ne şekilde muhafaza edileceği dair açık düzenlemeler yer almamaktadır. İçerisinde çok sayıda genel ve özel nitelikli kişisel verileri barındırmasıyla özlük dosyalarının muhafazası ve imha süreci, veri sorumluları bakımından önem arz etmektedir. Bu süreçte, veri sorumlusunun Kanun’un veri işleme amaç ve sınırlarıyla bağlı ölçülü veri işleme faaliyetini yürütmesi ve gerek Kanun gerekse sair mevzuat hükümlerinde yer alan ilkelere bağlı kalarak, özlük dosyasının muhafazasında gerekli tedbirleri alarak hareket etmesi ve belirlenen makul sürenin sonunda şirket tarafından belirlenen imha politikasını uygulaması gerekmektedir.