İş hayatında, işverenler ve çalışanlar arasında çeşitli kişisel veriler paylaşılır. Bu veriler arasında bazıları “özel nitelikli kişisel veriler” olarak nitelendirilir ve işlenmeleri özel bir hassasiyet ve dikkat gerektirir. Bu yazıda, özel nitelikli kişisel verilerin ne olduğunu, işyerinde nasıl işlenmesi gerektiğini ve işveren ve çalışanların bu konudaki yükümlülüklerini detaylı bir şekilde inceleyeceğiz.
1. Özel Nitelikli Kişisel Verilerin Kapsamı
6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) göre özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, dini, mezhebi veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri kapsar. Bu tür verilerin işlenmesi, kanunda öngörülen hallerde veya kişinin açık rızasıyla mümkündür.
2. İşyerinde Özel Nitelikli Kişisel Verilerin İşlenme Şartları
İşverenler, işyerinde çalışanların özel nitelikli kişisel verilerini işlerken aşağıdaki hususlara dikkat etmelidir:
- Yalnızca Kanuni Amaçlar için İşleme: Özel nitelikli kişisel veriler, ancak kanunda belirtilen veya çalışanların açık rızasını aldığı amaçlar için işlenebilir. Örneğin, bir işverenin işyerinde ayrımcılık yapıp yapmadığını kontrol etmek için çalışanların etnik kökenini bilmesi gerekebilir. (KVKK Madde 9/a)
- Açık Rıza: Özel nitelikli kişisel verilerin işlenmesi için çalışanların açık rızası gereklidir. Rıza metninde, hangi verilerin işleneceği, işlenme amacı ve verilerin kimlere aktarılacağı açıkça belirtilmelidir. (KVKK Madde 13/1)
- Veri Güvenliği: İşlenen özel nitelikli kişisel veriler, yetkisiz erişime, kullanıma, ifşaya, değiştirilmeye veya yok edilmeye karşı korunmalıdır. Bu amaçla, işverenler gerekli teknik ve idari tedbirleri almalıdır. (KVKK Madde 28)
- Süre Sınırlaması: Özel nitelikli kişisel veriler, ancak işlenme amacının gerektirdiği süre kadar saklanabilir. İşlenme amacı ortadan kalktığında veya kanunlarda farklı bir süre öngörülmedikçe bu veriler silinmelidir. (KVKK Madde 12)
3. İşveren ve Çalışanların Yükümlülükleri
- İşverenler:
- Özel nitelikli kişisel verileri işlerken kanuna ve etik ilkelere uymak zorundadır.
- Çalışanlara, hangi verilerin işleneceği, işlenme amacı ve verilerin kimlere aktarılacağı konularında açık ve şeffaf bilgi vermelidir. (KVKK Madde 10)
- İşlenen verilerin güvenliğini sağlamalıdır.
- Verileri yalnızca kanunda öngörülen veya çalışanların rızasını aldığı amaçlar için işleyebilir.
- İşlenen verileri ilgili mevzuatta öngörülen süre kadar saklamalıdır.
- Çalışanlar:
- Kendilerine ait özel nitelikli kişisel verilerin işlenmesine ilişkin haklarını bilmelidir.
- Rıza verme konusunda özgürdür ve istedikleri zaman rızalarını geri alabilirler. (KVKK Madde 15)
- İşverenin hukuka aykırı veri işleme faaliyetlerini KVKK’ya bildirebilirler. (KVKK Madde 77)
4. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Yasal Düzenlemeler
- Kişisel Verilerin Korunması Kanunu (KVKK): İşyerinde özel nitelikli kişisel verilerin işlenmesini düzenleyen temel yasadır.
- Veri Güvenliği Yönetmeliği: İşlenen kişisel verilerin güvenliğini sağlamaya yönelik teknik ve idari tedbirleri belirler.
- Çalışma Kanunu: İşyerinde işverenin ve çalışanın hak ve yükümlülüklerini düzenleyen yasadır. Kanun, işverenlerin çalışanların özel nitelikli kişisel verilerini işlerken dikkat etmesi gereken bazı yükümlülükleri de belirlemektedir.
5. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Örnekler
- İşe Alım Süreci: İşe alım sürecinde, işverenler adaylardan bazı özel nitelikli kişisel verileri talep edebilir. Bu tür verilerin işlenmesi için adayın açık rızası gereklidir. Rıza metninde, hangi verilerin işleneceği, işlenme amacı ve verilerin kimlere aktarılacağı açıkça belirtilmelidir.
- Sağlık Bilgileri: İşverenler, çalışanların sağlık bilgilerini ancak kanunda öngörülen hallerde veya çalışanların açık rızasını aldığı takdirde işleyebilir. Örneğin, bir işveren, işyerinde iş kazası veya meslek hastalığı riskini değerlendirmek için çalışanların sağlık bilgilerini bilmesi gerekebilir.
- Sendika Üyeliği: İşverenler, çalışanların sendika üyeliği bilgilerini işleme yetkisine sahip değildir. Bu tür bilgiler, ancak çalışanların açık rızası ile işlenebilir.
6. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Riskler
Özel nitelikli kişisel verilerin işlenmesi, çeşitli riskler barındırır. Bu riskler arasında şunlar yer alır:
- Yetkisiz Erişim: Özel nitelikli kişisel veriler, yetkisiz kişiler tarafından ele geçirilebilir. Bu durum, çalışanların mahremiyetinin ihlal edilmesine ve kimlik hırsızlığı gibi suçlara yol açabilir.
- Veri Güvenliği İhlalleri: Özel nitelikli kişisel veriler, siber saldırılar veya veri kaybı gibi olaylar sonucunda tehlikeye girebilir. Bu durum, işverenin itibarına zarar verebilir ve çalışanlara maddi ve manevi tazminat yükümlülüğü oluşturabilir.
- Ayrımcılık: Özel nitelikli kişisel veriler, çalışanlara karşı ayrımcılık yapmak için kullanılabilir. Bu durum, çalışanların motivasyonunu düşürebilir ve işyerinde huzursuzluğa yol açabilir.
7. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Öneriler
İşverenler, özel nitelikli kişisel verileri işlerken aşağıdaki önerileri dikkate almalıdır:
- Veri Minimuma İndirme: İşlenen özel nitelikli kişisel veri miktarı, işlenme amacı için gereken en aza indirilmelidir.
- Veri Güvenliği: İşlenen özel nitelikli kişisel veriler, yetkisiz erişime, kullanıma, ifşaya, değiştirilmeye veya yok edilmeye karşı korunmalıdır.
- Çalışan Farkındalığı: Çalışanlar, özel nitelikli kişisel verilerin işlenmesine ilişkin hakları ve yükümlülükleri konusunda bilgilendirilmelidir.
- Şeffaflık: İşverenler, özel nitelikli kişisel verileri nasıl işlediklerine ilişkin olarak çalışanlara şeffaf olmalıdır.
- Hesap Verebilirlik: İşverenler, özel nitelikli kişisel verileri işleme faaliyetlerinden sorumludur ve KVKK’ya aykırılık durumunda yaptırım uygulanabilir.
İşyerinde özel nitelikli kişisel verilerin işlenmesi, hassasiyet ve dikkat gerektiren bir konudur.
KVKK ile ilgili daha fazla bilgi almak veya uyum sürecine yardımcı olacak profesyonel bir danışmanlık almak için Garanti KVK şirketi olarak size yardımcı olmaya hazırız. Bizimle iletişime geçmek için Garanti KVK websitesi adresinden bize ulaşabilirsiniz.