İŞÇİ ÖZLÜK DOSYASININ OLUŞTURULMASI VE İŞVERENİN KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA SORUMLULUĞU

ÖZET

İş hukuku mevzuatı ve ilgili diğer düzenlemeler doğrultusunda işveren tarafından hazırlanan ve muhafaza edilen özlük dosyaları içerikleri bakımından işçilere ait genel ve özel nitelikli kişisel veriyi içerisinde barındırmaktadır. Dolayısıyla, şirket bünyesinde iş hukuku mevzuatına göre tutulan özlük dosyalarının oluşturulması, muhafazası ve imhası aşamalarında işçilere ait kişisel verilere ilişkin herhangi bir ihlalin yaşanmaması adına kişisel verilen korunması mevzuatına ve ilgili diğer düzenlemelere uygun olacak şekilde faaliyetlerin gerçekleştirilmesi gerekmektedir.

Anahtar Kelimeler: Özlük dosyası, kişisel veri, özel nitelikli kişisel veri

GİRİŞ

Kişisel verilerin korunması alanında ulusal, bölgesel ve ulusalüstü nitelikteki yeni düzenlemelerin yürürlüğe girmesi ve bu düzenlemeler kapsamında getirilen yaptırımların oldukça ağır olması sebepleriyle, temel faaliyetleri bakımından kişisel veri işleyen şirketler, uyum sürecini oldukça hızlı tamamlama eğilimindedir. Ne var ki, kişisel verilerin korunmasına ilişkin mevzuata uyum sağlaması gerekenler, yalnızca ana faaliyetleri kişisel veri işleme fiili olan veri sorumluları değildir. Nitekim, idari ve ticari faaliyetleri kapsamında kişisel veri işleyen tüm şirketlerin, ilgili mevzuata uyum sağlaması zorunluluğu mevcuttur.

Bilindiği üzere, işçi özlük dosyası ile ilgili düzenlemeler 4857 sayılı İş Kanunu ("İK") ile çalışma hayatımıza girmiş ve işverenlerce bu belgeler ile formların düzenlenmesi ve saklanması zorunlu hale getirilmiştir ve İK'nın 104. madde hükmü ile özlük dosyasının düzenlenmemesi halinde, işveren aleyhine idari para cezasının uygulanacağı öngörülmüştür. İlgili mevzuat uyarınca işçilere ait özlük dosyalarında bulunması gereken belgelerin kişisel veri, alınacak sağlık raporlarının özel nitelikli kişisel veri ihtiva ediyor olması sebebiyle işverenin özlük işlemlerine ilişkin faaliyetleri ile ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu("KVKK") ve ilgili mevzuat oldukça büyük bir önem arz etmektedir.

  1. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ("KVKK") BAKIMINDAN DEĞERLENDİRME

KVKK uyarınca kişisel veri, kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda, işçinin özlük dosyasında yer alacak fotoğraf, yerleşim yeri, kimlik bilgileri, telefon bilgileri gibi veriler kişisel veri ve söz konusu muhafaza işlemi de kişisel veri işleme faaliyeti olarak kabul edilecektir. Bu bağlamda, işçinin kişisel verilerinin işlenmesine ilişkin kuralların ve özellikle "veri minimizasyonu" ve "amaçla sınırlı ve ölçülü veri işleme" ilkelerinin dikkate alınması önem arz etmektedir.2Ayrıca, şeklen bir tanıma tabi olmayan özlük dosyalarının, işçinin işe devam ettiği süre boyunca devamlı olarak güncellenmesi gerekmektedir.

Bununla birlikte, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu'na ("İSGK") göre işverenler, çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimi yükümlülüğüne tabi tutulmakta olup, çalışanların işe girişlerinde, işin devamı süresince, iş değişikliğinde, iş kazaları sonrasında ve Çalışma ve Sosyal Güvenlik Bakanlığı'nın belirlediği periyodlarda sağlık muayenelerinin yapılmasını sağlamak zorundadırlar.

Bu kapsamda işçiye ait sağlık raporlarının da özlük dosyasında bulunması gerekecektir. Bahse konu sağlık raporları, işin devamı süresince yapılan periyodik sağlık muayenelerine ilişkin raporlar ve işçiye ait diğer sağlık bilgileri de KVKK md. 6 kapsamında özel nitelikli kişisel veri olarak değerlendirilecektir.

Bu noktada da özellikle KVKK'nın temel ilkelerinden "İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma"ilkesinin dikkate alınması gerekmekte olup; özel nitelikli kişisel veri ihtiva eden belgelerin, sır saklama yükümlülüğü altında olan işyeri hekimi/hemşiresi tarafından alınması ve muhafaza edilmesi, veri güvenliğinin ve KVKK'da öngörülen hassasiyetin sağlanması bakımından daha isabetli olacaktır.

  1. ÖZLÜK DOSYALARININ MUHAFAZASI HUSUSU

Her ne kadar özlük dosyalarının saklanma koşulları ile ilgili çeşitli yönetmeliklerde düzenlemeler mevcut olsa da, KVKK ve İK kapsamında özlük dosyalarının muhafazası hususu ile ilgili net bir hüküm bulunmamaktadır. Uygulamada özlük dosyalarının kilitli dolaplarda saklanması yöntemi kabul görse de Kişisel Verileri Koruma Kurulu ("Kurul") tarafından yayımlanan "Kişisel Veri Güvenliği Rehberi"nde, kişisel veri güvenliğinin sağlanması için kişisel veri içeren kâğıt ortamındaki evrakların, sunucuların, yedekleme cihazlarının, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi önlemler alınarak muhafaza edilebileceği açıklanmıştır. Dolayısıyla, özlük dosyalarının kilitli dolaplarda muhafaza edilme zorunluluğu bulunmamakta olup, yalnızca ihtiyaç halinde yetkili kişiler tarafından ulaşılabilecek kilitli ortamlarda muhafaza edilmeleri yeterli olacaktır.

  1. ÖZLÜK DOSYALARININ İMHASI

KVKK'nın 7. maddesinde öngörüldüğü üzere, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, ilgili kişisel verilerin, şirket içerisinde oluşturulacak bir imha politikası çerçevesinde ve bu politikadaki esaslara uygun olacak şekilde imha edilmesi germektedir.

Verilerin hangi usul ve yöntemlerle imha edileceği yine Kurul tarafından yayımlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik" ("Yönetmelik") kapsamında düzenlenmiş olup, işbu Yönetmelik ve akabinde yayımlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi ile hem fiziki hem de elektronik ortamdaki kişisel verileri silme, yok etme ve anonim hale getirme yöntemlerinin tanım ve örnekleri ile birlikte bu işlemlerin nasıl gerçekleştirileceğine dair detaylı adımlara yer verilmiştir.

Dolayısıyla, veri sorumluları tarafından şirket faaliyetleri çerçevesinde işlenen kişisel veriler ile ilgili olarak bir imha politikası hazırlanmalı ve bu imha politikası içerisinde şirket tarafından belirlenecek periyodik imha sürelerine yer verilmelidir. Ayrıca, imha işlemlerinin kayıt altına alınması ve en az üç (3) yıl saklanması gerekmektedir3. Ancak bu kayıt işleminin ne şekilde gerçekleştirileceği ve hangi unsurların kayıt altına alınacağı henüz netlik kazanmamıştır. Bu konuda, ileride herhangi bir ispat sorunu yaşanmaması adına, Kurul tarafından yapılacak açıklamaların beklenmesi isabetli olacaktır.

SONUÇ

Yukarıda ayrıntılı bir şekilde inceleme altına alındığı üzere, yoğun şekilde genel ve özel nitelikli kişisel veri ihtiva eden özlük dosyalarının muhafazası ve imhası, KVKK ve ilgili diğer mevzuat bakımından son derece önem teşkil etmektedir.

Bu doğrultuda, şirket bünyesinde iş hukuku mevzuatına göre tutulan özlük dosyalarının oluşturulması, muhafazası ve imhası aşamalarında; kişisel verilerin korunması mevzuatına uygun olarak hareket edilmesi, özlük dosyası kapsamına dahil edilecek belgelerin "veri minimizasyonu" ve "amaçla sınırlı ve ölçülü veri işleme" ilkeleri çerçevesinde değerlendirilmesi, özlük dosyalarının muhafazasında gerekli teknik ve idari tedbirlerin alınması ile imhaları için makul sürelerin belirlenmesi ve bu sürelerin dolmasıyla mevzuata uygun şekilde imha edilmesi hususlarının göz önünde bulundurulması gerekmektedir.

Yazarlar : Hatice Zümbül, Dila Güneş

E-mail : hatice.zumbul@zumbul.av.tr

(İlgili Makale daha önce Mondaq'ta yayımlanmıştır.)

Footnotes

2 Yeliz Polat, "4857 Sayılı İş Kanunu'na Göre İşçi Özlük Dosyası", T.C. İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Çalışma Ekonomisi ve Endüstri İlişkileri Anabilim Dalı Endüstri İlişkileri ve İnsan Kaynakları Bilim Dalı Yüksek Lisans Tezi,  İstanbul, 2011, s. 26; "Özellikle Kişisel Verilerin Korunması Kanunu Çerçevesinde İşçilerin Kişisel Verilerinin İhlâli Ve Korunması Yolları", Ayşe Merve Belge, 2017, Özel Sayı, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi

3 Ayrıntılı bilgi için bkz. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, çevrimiçi kaynak : http://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm (Erişim Tarihi: 04.01.2019, saat 13:18)

__

* gerekli alanlar

__ (0)