2. GİZLİLİK DÜZENLEMELERİ
Genel Veri Koruma Yönetmeliği (GDPR) [1] 25 Mayıs 2018 tarihinde AB genelinde yürürlüğe girmiştir. Bu yönetmelik, işverenlerin kişisel verileri toplama, kullanma ve koruma konusundaki yükümlülüklerini ve sorumluluklarını önemli ölçüde artırmaktadır.
Çalışanlar veri koruma kanunu kapsamındaki sorumluluklarını anlamalı ve işverenler de yeterli veri koruma politikaları ve prosedürlerine sahip olmalıdır. Kuruluşların çalışanlarına GDPR hakkında bilgi vermesi ve yeni yönetmelik hakkında eğitim vermesi önemlidir.
Çalışanlar, GDPR kapsamında, aşağıdakiler de dahil olmak üzere bir dizi haklara sahiptir:
- Kişisel verilerinin toplanması ve işlenmesi hakkında bilgi
- Veri sorumlusu tarafından kendileri hakkında tutulan kişisel verilere ve tamamlayıcı bilgilere erişim
- Sahip oldukları kişisel verilerin yanlış veya eksik olması durumunda kişisel verilerinin veri sorumlusu tarafından düzeltilmesini sağlama
- Kişisel verilerinin veri sorumlusu tarafından silinmesini isteme
- Yasadışı olduğunu veya verilerin yanlış olduğunu düşündükleri takdirde bir veri denetleyicisinin verilerini işlemesini kısıtlama
- Kişisel verilerinin doğrudan pazarlama, bilimsel veya tarihsel araştırma için işlenmesine itiraz etme
- Veri taşınabilirliği - bu, işverenlerinden veri almalarına ve bunları yeniden kullanmalarına olanak tanır.
İşverenler, çalışanlarının kişisel verilerini kurum içinde ve dışında nasıl kullandıkları ve korudukları konusunda şeffaf olmalıdır. İşverenler veri işleme faaliyetlerinden sorumludur ve veri koruma ilkelerini nasıl uyguladıklarını gösterebilmelidirler. Sahip oldukları tüm kişisel verilerin bir envanterini çıkarmalıdırlar. Daha sonra bu verileri aşağıdaki başlıklar altında kontrol etmeli ve verileri işlemek için gerekli izne ve yasal dayanağa sahip olduklarından emin olmalıdırlar:
- Neden ellerinde tutuyorlar?
- Nasıl elde ettiler?
- Başlangıçta neden toplanmıştı?
- Ne kadar süreyle saklayacaklar?
- Hem şifreleme hem de erişilebilirlik açısından ne kadar güvenli?
- Hiç üçüncü taraflarla paylaşıyorlar mı ve bunu neye dayanarak yapabilirler?
Teorik altyapı
Kişisel verilerin işlenmesi için yasal dayanak ( hukuki sebep)
Kuruluşların bir çalışanın kişisel verilerini işlemek için yasal bir dayanağa (meşru bir neden) ihtiyacı vardır. Meşru nedenler şunları içerir:
● Çalışanın işleme için onay vermiş olması
● İşlemenin bir çalışanın sözleşmesinin bazı kısımlarını yerine getirmek için gerekli olması
● Bir sözleşmeye akdedilmeden önce çalışanın talebi üzerine adımlar atmak için işlemenin gerekli olması. (Örneğin, istihdam kapsamındaki ücret konusunda)
● Yasal bir yükümlülüğe uymak (Örneğin, çalışan kayıtlarının tutulması için yasal bir gereklilik)
● İşlemenin çalışanın hayati çıkarlarına uymak için gerekli olması. (Örneğin, bir kişinin tıbbi geçmişinin ciddi bir trafik kazasından sonra kendisini tedavi eden hastaneye açıklanması)
● Kuruluşun meşru menfaatleri için.
Muvafakatname
Rıza, çalışan verilerinin işlenmesi için meşru bir nedendir ve yukarıdaki diğer yasal gerekçelerden hiçbiri geçerli değilse rıza almanız gerekir. Çalışanlardan onay talep ederken yükümlülüklerinizin farkında olmanız gerekir. GDPR, rızanın 'özgürce verilmiş, belirli, bilgilendirilmiş ve açık' olması gerektiğini belirtmektedir. Bu, veri sahibinin verilerinin işlenmesine rıza gösterdiğinin farkında olması ve rıza göstermeye zorlanmaması gerektiği anlamına gelir.
Bir çalışan verilerinin işlenmesine rıza göstermeden önce, işveren çalışanlara kişisel verilerinin neden toplandığını, nasıl kullanılacağını ve işleneceğini anlattığını göstermelidir. Sessizlik, önceden işaretlenmiş kutular veya hareketsizlik rıza olarak kabul edilemez. Veri sahibi rızasını istediği zaman geri çekebilir ve rızayı geri çekmek de vermek kadar kolay olmalıdır.
GDPR eğitimi ve çalışanlar ve çalışan adayları ile iletişim
İşverenler çalışanları şu konularda bilgilendirmelidir:
● Hangi kişisel verileri toplanacak(veya üçüncü bir tarafça toplayacak)
● Veri nasıl işlenecek
● Veriler neden işlenecek
GDPR, kişisel verileri toplanmadan ve işlenmeden önce iş adaylarına belirli bilgilerin verilmesini gerektirmektedir. Bu bilgiler açık ve erişilebilir olmalıdır ve web sitesinde bir gizlilik bildirimi ve adaylara gönderilen bir mektup olabilir. Veri koruma politikalarına ilişkin çalışan eğitimi, aday bir çalışan olduğunda gerçekleştirilir.
Veri Sahibi Erişim Talepleri (DSAR'lar)
İşverenler, çalışanlardan gelen kişisel veri erişim taleplerine 1 ay içinde yanıt vermek için prosedürlere sahip olmalıdır. Taleplerin karmaşık veya çok sayıda olması halinde bu süre 2 ay daha uzatılabilir.
Güvenlik yükümlülükleri
Veriler 'uygun teknik ve kurumsal tedbirlerle' korunmalıdır. Veriler, örneğin anonimleştirme, şifreleme, anti-virüs güvenlik önlemleri kullanılarak veya yedeklenerek güvende tutulmalıdır. İşverenler bu güvenlik önlemlerini test etmeli ve GDPR güvenlik yükümlülüklerine uyduklarını gösterebilmelidir.
Kayıt tutma ve düzeltme hakkı
Kuruluşlar verileri yalnızca toplandıkları görevi tamamlamak için gereken süre boyunca veya yasaların gerektirdiği şekilde saklamalıdır. İşverenler bir saklama politikasına sahip olmalı ve verilerin neden saklandığını gerekçelendirebilmelidir.
Çalışanlar, bir işverenin kendileri hakkında dosyada hangi verilere sahip olduğunu bilme hakkına sahiptir ve ayrıca bu verileri düzeltme hakkına da sahiptir. Bir iş sözleşmesi sona erdiğinde çalışan verilerine ne olacağı İK politikalarında belgelenmelidir.
Kişisel verilerin paylaşılması ve aktarılması
Çalışan verilerini işlemek için işe alım ajansları veya bordro sağlayıcıları gibi üçüncü tarafları kullanan kuruluşlar, üçüncü tarafın GDPR ile uyumlu olmasını sağlamaktan sorumlu olacaktır ve uygun sözleşmelere sahip olmaları gerekir. Verilerin AB dışına aktarılmasıyla ilgili GDPR yükümlülüklerine de uymalısınız.
Veri koruma yetkilisi
GDPR kapsamında bazı kuruluşlar, örneğin kamu kurum ve kuruluşları, devlet daireleri, büyük ölçekli veri işlemeye dahil olan kuruluşlar ve hassas veya özel kategori verileri işleyen kuruluşlar bir Veri Koruma Yetkilisi[2] atamak zorundadır.
İhlalleri bildirin
İşverenler veri ihlallerini, bir ihlalden haberdar olduktan sonra 72 saat içinde Veri Koruma Komisyonu'na (DPC) bildirmelidir. Eğer 72 saat içinde DPC'ye bildirimde bulunmazlarsa, gecikme için bir gerekçe sunmalıdırlar. Kimlik hırsızlığı gibi bir veri sahibine zarar verebilecek ihlaller de ilgili kişiye de bildirilmelidir.
Cezalar
Mevzuata uymak ve yeterli politika ve prosedürleri uygulamaya koymak önemlidir. Kuruluşlar denetlenebilir ve uygulamalarının GDPR'yi ihlal etmesi halinde önemli cezalarla karşı karşıya kalabilir.