Kişisel verilerin korunması maksadıyla ülkemizde 6698 sayılı KVKK kabul edilmiş ve öncelikle Kişisel Verileri Koruma Kurumu olarak birçok kamu kuruluşu aracılığıyla kişisel verilerin korunmasına ilişkin mevzuatlar düzenlenmiştir. KVKK ve ilgili yönetmelikler, kişisel verileri işleyen veri sorumluları açısından belli birtakım yükümlülükler getirirken; bu metinler çerçevesinde veri sorumlularının çalışanlarının yükümlülüklerine ilişkin direkt olarak herhangi bir düzenleme yoktur. Bunun yanında, veri sorumluları aracılığıyla kişisel verilerin korunmasına ilişkin sorumlulukları gerçekleştirebilmesi amacıyla, veri sorumlularının çalışanları aracılığıyla birtakım sorumlulukların gerçekleştirilmesi gerekecektir. Bu içerikte, çalışanların kişisel verilerin korunmasına ilişkin yükümlülüklerinden bahsedeceğiz.
Çalışanlar için en önem arz eden yükümlülük, öncelikle KVKK olmak üzere, kişisel verilerin korunması yönetmeliğine uygun davranmaktır. Bunun yanında, tüm çalışanların kendi eforları ile kişisel verilerin korunmasına ilişkin yönetmeliğe hâkim olması ve kendi yükümlülüklerini bilebilmesi olanaksızdır. Bu sebeple, KVKK gereğince, kişisel verilerin etkin bir şekilde korunabilmesi açısından ve çalışanların kendi yükümlülüklerini öğrenebilmesi amacıyla veri sorumluları aracılığıyla, çalışanlarına kişisel verilerin korunması ile alakalı eğitimler verilmeli ve farkındalık çalışmaları gerçekleştirilmelidir.
Bu eğitim ve farkındalık çalışmalarının bir diğer maksadı, kişisel verilere izinsiz erişimin önüne geçilmesi durumunda çalışanlara bilgi verilmesi ve kişisel verilere izinsiz erişim olması hâlinde ilk müdahalenin çalışanlar aracılığıyla gerçekleştirilmesini sağlamaktır. Örnek vermek gerekirse, kötü amaçlı yazılım ya da siber saldırı neticesinde veri sorumlusu aracılığıyla korunan verilere üçüncü kişilerin izinsiz erişmesi hususunda, çalışanların gereken ilk müdahaleleri gerçekleştirebiliyor olması, kişisel verilerin korunması ve güvenliği konusunda büyük önem taşımaktadır.
Veri sorumlusunun çalışanları, hukuka aykırı bir şekilde, kişisel verilerin tanımlanmasına veya paylaşılmasına neden olabilir. Örnek olarak, çalışanlar tarafından dikkatsizlik, dalgınlık veya deneyimsizlik nedeniyle bir e-postanın yanlış kişiye iletilmesi ya da kişisel verilerin yetkisi olmayan kişilere aktarılması, kişisel verilerin korunması hususunda ihlal sayılacaktır. Veri sorumlusu aracılığıyla verilecek eğitimlerin ve gerçekleştirilecek çalışmaların farklı bir maksadı da çalışanlar aracılığıyla neden olunabilecek bu tarz ihmallerin minimuma çekilmesidir. Aynı zamanda, çalışanlara düşen sorumluluk, kişisel verilerin korunması ile alakalı eğitimlere ve çalışmalara katılımda bulunmak, eğitim ve çalışmalarda kazandığı bilgiler gereğince veri sorumlusu aracılığıyla işlenen kişisel verilerin güvenliğini sağlamak ve kişisel verilerin yanlışlıkla ya da ihmal neticesinde açıklanmasının veya paylaşılmasının önünü kesmektir.
Veri sorumluları, kişisel verilerin korunması ile alakalı bir şekilde çalışanları ile gizlilik sözleşmesi imzalayabilir, şirket içi düzenlemeler gerçekleştirebilir ve kişisel verilerin korunması ile alakalı disiplin cezaları saptanabilir. Bu hususta çalışanlar, kişisel verilerin korunması ile alakalı yönetmeliğin dışında, veri sorumluları ile imzaladıkları gizlilik sözleşmelerine ve şirket içi düzenlemelere uygun davranmakla sorumlu tutulacaklardır.
Veri sorumluları aracılığıyla, çalışanlara kişisel verilerin korunması ile alakalı görev ve yetkiler verilebilir. Örnek olarak, bir şirket çalışanı, şirket içinde, kişisel verilerin korunması ile alakalı tetkik gerçekleştirmesi amacıyla görevlendirilebilir. Bu hususta, tetkikle görevlendirilen çalışan, kişisel verilerin güvenliği hususunda diğer çalışanlara oranla daha çok özen göstermek ve tetkik gerçekleştirirken işlediği kişisel verilerin güvenliğini sağlamak amacıyla her şekilde önlemi alması mecbur kılınacaktır.
Birtakım şirket çalışanları, evlerinden kendi bilgisayarları ve iletişim cihazları ile çalışabilmektedir. Bilhassa, korona virüs salgını nedeniyle, günümüzde evden çalışan sayısında ciddi bir artış olmuştur. Kişisel verilerin korunması yönetmeliği çerçevesinde, evden çalışma ile alakalı hiçbir engel yoktur. Bunun yanında hem veri sorumlusu hem de çalışan aracılığıyla kişisel verilerin korunması amacıyla gerekli idari ve teknik önlemler alınmalıdır. Mesela, çalışanlar kullandıkları bilgisayarlarda güncel antivirüs uygulamalarından yararlanmalılar, güvenlik duvarı ve kullandığı uygulamaların güncelliğine önem vermelidir ve kişisel verilerin korunması konusunda hiçbir güvenlik açığına olanak verilmemelidir. Bu çerçevede sayılan önlemleri çalışanın veya işverenin almasının yanı sıra, çalışanın kendi cihazını iş için kullanması hususunda, işlemleri kendi oturumu aracılığıyla değil, farklı bir kullanıcı aracılığıyla yapması önem arz etmektedir.
Çalışanın sorumluluğu ile alakalı son olarak, kişisel verilerin korunması yönetmeliğimiz için bir bağlayıcılığı olmayan; ancak örnek olabilecek Morrisons Supermarket PLC kararından bahsetmekte yarar vardır. İngiliz mahkemeleri aracılığıyla verilen bu kararda, kişisel verilerin veri sorumlusunun bir çalışanı aracılığıyla kötüye kullanılması ve bunun neticesinde kamuya paylaşılması hususunda, kişisel verileri kötüye kullanan çalışanın veri sorumlusuna dönüştürüleceği açıklanmış ve yaptırımların buna göre uygulanmasına karar verilmiştir.
Düzenleyen: Zehra Betül TAŞKIN
İncelemek isterseniz: https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/2040/Veri-Guvenligine-Iliskin-Yukumlulukler
