Makale
İş ilişkisinde işveren, kişisel verilerin işleme amaç ve yöntemlerini belirleyen veri sorumlusu sıfatını taşır. İşverenin, işçiyi aydınlatma, veri güvenliğini sağlama ve ihlal bildirimi yükümlülükleri bulunmakta olup, bu kurallara aykırılık hukuki, idari ve cezai sorumluluklar doğurmaktadır.
Veri Sorumlusu İşverenin Yükümlülükleri ve Sorumluluğu
İş ilişkisinde veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kişisel Verilerin Korunması Kanunu kapsamında, işverenler çalışanlarına karşı hukuken veri sorumlusu sıfatını haizdir. İşveren, kişisel verilerin elde edilmesinden saklama süresinin sona ermesine kadar geçen tüm süreçte, veriler üzerindeki her türlü işlem ve eyleme ilişkin karar verme yetkisine sahiptir. Bu geniş yetki alanı, işverene verilerin hukuka uygun şekilde işlenmesi, korunması ve yönetilmesi noktasında katı yasal sorumluluklar yüklemektedir. İş ilişkisi çerçevesinde işverenin, işçiyi gözetme ve eşit davranma borcu bulunduğundan, veri işleme faaliyetlerinin tamamında hukuka ve dürüstlük kurallarına riayet etmesi zorunludur. Veri sorumlusunun belirlenmesi, işçilerin yasal haklarını kime karşı ileri sürebileceklerinin tespiti açısından büyük önem taşımaktadır ve bu süreçte işverenin sorumluluğu esastır.
İşverenin Aydınlatma ve Bilgi Verme Yükümlülüğü
Veri sorumlusu sıfatını taşıyan işverenin en temel hukuki yükümlülüklerinden biri, kişisel verilerin işlenmesi aşamasında işçisini aydınlatma yükümlülüğüdür. İşveren, kişisel verilerin elde edildiği ilk andan itibaren veri sahibi işçiye; kendi kimliğini, verilerin hangi amaçla işleneceğini, kimlere aktarılabileceğini ve işçinin yasal haklarını bildirmek zorundadır. Aydınlatma işlemi yapılırken teknik ve hukuki dilden kaçınılmalı, işçinin yaş ve dil gibi özellikleri dikkate alınarak yalın ve anlaşılır bir dil kullanılmalıdır. Bu yükümlülük, sadece işçinin talebine bağlı bir durum olmayıp, işverenin re'sen ve sürekli olarak yerine getirmesi gereken bir usuldür. Eğer veri işleme amacı değişirse, işveren her yeni aşamada işçiyi tekrar aydınlatmakla yükümlüdür. Ayrıca, mevzuat uyarınca aydınlatma yükümlülüğünün yerine getirildiğinin ispat külfeti tamamen veri sorumlusu olan işverenin üzerindedir.
Veri Güvenliği, İhlal Bildirimi ve İmha Süreçleri
İşverenler, çalıştırdıkları işçilerin kişisel verilerinin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz üçüncü kişilerce erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri almak zorundadır. Veri güvenliğinin tam anlamıyla sağlanması, sürekli bir denetim ve muhafaza sürecini gerektirir. Bununla birlikte, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde işveren, yasal sınırlar çerçevesinde veri ihlali bildiriminde bulunmakla yükümlüdür. Veri sorumlusu sıfatını haiz işverenin bu aşamadaki diğer idari ve operasyonel yükümlülükleri aşağıda maddeler halinde belirtilmiştir:
- İşlenen kişisel verilerin hukuki dayanağı ortadan kalktığında verileri silmek, yok etmek veya anonim hale getirmek.
- Bir veri ihlali yaşandığında, bu durumu en geç yetmiş iki saat içinde Kişisel Verileri Koruma Kurulu'na ve ilgili işçiye bildirmek.
- Kişisel veri işleme faaliyetlerinin şeffaflığını sağlamak üzere veri işleme envanteri ve imha politikası hazırlamak.
- İşyerinde veri güvenliğine ilişkin düzenli denetimler yapmak veya profesyonel denetim kuruluşlarından faydalanmak.
Veri Sorumlusu İşverenin Hukuki, Cezai ve İdari Sorumluluğu
İşverenin yükümlülüklerini ihlal etmesi durumunda hukuki, cezai ve idari yaptırımlar gündeme gelmektedir. Cezai sorumluluk bağlamında, Türk Ceza Kanunu hükümleri devreye girer; hukuka aykırı olarak kişisel veriyi kaydeden işverene hapis cezası öngörülmekte olup, verileri hukuka aykırı olarak başkasına veren veya yayan kişi daha ağır cezai müeyyidelerle karşılaşmaktadır. İdari açıdan ise Kişisel Verilerin Korunması Kanunu uyarınca; aydınlatma yükümlülüğüne, veri güvenliği tedbirlerine veya Kurul kararlarına aykırı davranan veri sorumluları hakkında yüksek tutarlarda idari para cezaları uygulanmaktadır. Hukuki sorumluluk boyutunda, Türk Borçlar Kanunu gereği sözleşmeye aykırılık hükümleri işletilir. İşveren, sözleşmenin yan edimlerinden sayılan koruma ve sır saklama yükümlülüklerini ihlal ederse, işçinin uğradığı zararları tazmin etmekle yükümlüdür. Hem idari otoriteler hem de yargı mercileri nezdinde, veri sorumlusunun bu geniş çaplı mesuliyeti titizlikle denetlenmektedir.