İşverenler İşçilerinin kişisel verilerini nasıl muhafaza edecek?

İşverenler İşçilerinin kişisel verilerini nasıl muhafaza edecek?

İşverenlerin işçilerin kişisel verileri hakkında eskisinden çok daha dikkatli davranmaları gerekiyor.

İşverenlerin kişisel verileri hukuka uygun olarak kullanmaları yeterli olmayıp herhangi bir kişisel verinin kullanım amacı ortadan kalktığında yok edilmesi gerekiyor.

Kişisel Verilerin Korunması Kanunu’nun 7. maddesi kişisel verilerin yok edilmesine veya anonimleştirilmesine ilişkin olarak, “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir..... Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükümlerini içeriyor. Bu maddede öngörülen yönetmelik, 28.10.2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi.

Veri Sorumluları Sicili’ne kaydolanlar ne yapacak? 

Kanuna göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorundalar.

Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, kurul tarafından, Veri Sorumluları Sicili’ne kayıt zorunluluğuna istisna getirilebilir.

Yönetmeliğe göre Veri Sorumluları Sicili’ne kayıt zorunluluğu olan veri sorumlusu kişisel veri işleme envanteri ve kişisel veri saklama ve imha politikası hazırlamakla yükümlü. Kişisel veri envanteri, veri sorumlularının kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri detaylandırdıkları envanteri ifade ediyor.

Kişisel veri imha ve saklama politikası ise veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı belirliyor.

Politika kişisel verinin yok edilme sistemini belirleyecek

Politika hazırlanırken, politikada kişisel veri saklama ve imha politikasının hazırlanma amacına, düzenlenen kayıt ortamlarına, kişisel verilerin saklanmasını ve imhasını gerektiren sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak erişilmesinin önlenmesi için alınmış tedbirlere, imha edilmesi için alınmış tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine yer verilmelidir.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumluları veri saklama ve imha politikası hazırlamak zorunda olmasalar da kanun ve yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam ediyor. Bu nedenle bu kişilerin de en azından bir imha sistemi kurmaları yerinde olacaktır.

Silinemiyorsa anonim hale getirilmeli...

Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işlenme şartlarının kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekiyor.

Yönetmelik kişisel verinin silinmesini, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak, kişisel verinin yok edilmesini kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak, kişisel verinin anonim hale getirilmesini ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlıyor.

Veri sorumlusu, kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçecek. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlü.

İmha dönemi veri sorumlusunca seçilecek

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olan veri sorumlusunun periyodik imha dönemi seçmesi gerekiyor.

Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenecek. Bu süre yönetmeliğe göre her halde altı ayı geçemeyecek. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu ise kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri silecek, yok edecek veya anonim hale getirecek.

İşçi de talep edebilir

Kişiler bizzat veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silecek, yok edecek veya anonim hale getirecektir.

Yönetmeliğe göre veri sorumlusu, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırmalı ve ilgili kişiye bilgi vermelidir. Eğer talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye de bildirecek, üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin edecek.

Kişisel verileri işleme şartları ortadan kalkmamışsa, talep veri sorumlusunca gerekçesi açıklanarak reddedilebilecek ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilecek.

Cem Kılıç

MİLLİYET