ÇALIŞMA HAYATI
Sanayi Devrimi ile gelişen süreçte modern fabrika ve işyerleri kurulmuş, günümüzdeki anlamda çalışma hayatı, mavi yaka ve beyaz yaka kavramları da bu şekilde ortaya çıkmıştır. Çalışma ve iş hayatında ister mavi yaka ister beyaz yaka olsun, işverene bağlı olarak ücret karşılığında iş gören tüm bireylerin henüz iş ilişkisi başlamadan önce işverenler tarafından kişisel verileri işlenmeye başlamaktadır.
SORUN NE ?
Çalışma ve iş hayatında, iş ilişkisi başlamadan önce işçilerin (bireylerin) kişisel verileri işveren tarafından toplanmaya başlamakta, işe giriş ile işin devamı sırasında ve hatta iş ilişkisi sona erdikten sonra dahi birçok kişisel veri işleme faaliyeti gerçekleşmektedir.
Kronolojik açıdan sorunları ele almak gerekirse, ilk sorun, işe giriş öncesi bireylerin kişisel verilerinin işlenmesi noktasında ortaya çıkmaktadır. İşverenler gerek doğrudan gerekse çeşitli platformlar aracılığıyla verdikleri iş ilanlarında ya da kabul ettikleri iş başvurularında, çalışan adaylarının birçok kişisel verisini toplamaktadır. Bu noktada yeknesak bir uygulama olmadığı için aynı sektörde birden çok işverene iş başvurusu yapan bir kişi, her bir işverene birbirinden farklı kategoride kişisel verilerini vermekte, daha doğru bir ifadeyle iş başvurusu yapabilmek adına vermeye zorlanmaktadır. Bazı işverenlerin çalışan adaylarının adli sicil kayıtlarını dahi talep ettikleri bilinmektedir.
Diğer yandan işe giriş sırasında işverenler çalışanların kimlik bilgilerinden sağlık bilgilerine, iletişim bilgilerinden biyometrik verilerine kadar birçok kategoride kişisel veri talep etmekte, bu verileri içeren dokümanların işverene teslimi ile iş sözleşmeleri imzalanmaktadır. Hal böyle olunca çalışanların kişisel verilerini özgür iradeyle verip vermediği ilk sorun olarak karşımıza çıkmaktadır. Bu noktada ikinci sorun, işverenin topladığı bu kişisel verilerin iş ilişkisinin kurulması ve iş ilişkisinin devamı için zorunlu ve meşru olup olmadığı noktasında toplanmaktadır. Diğer bir sorun ise, işverenin topladığı bu kişisel verileri nerede ve nasıl, hangi güvenlik tedbirlerini alarak muhafaza ettiği noktasında ortaya çıkmaktadır. Zira işyeri hekimi çoğu kez kâğıt üzerinde olduğundan ve işçinin muayenesini kendisi yapmadığından özellikle çalışanın sağlık verileri bizzat özlük dosyaları içerisinde tutulmaktadır. Böyle olunca, hassas kişisel veri olan sağlık verilerine insan kaynakları hatta muhasebe çalışanları dahi erişebilmektedir. Benzer şekilde çalışanlara zimmetlenen cep telefonu, araç ve bilgisayarların trafik verilerinin takip edilmesi, zimmetlenen araçlarda GPS takibi yapılması ve bu konuda çalışanlara karşı hiçbir bilgilendirmenin yapılmaması önemli sorunlardan bir başkasıdır. Diğer taraftan çok uluslu şirketlerde çalışanların kişisel verilerinin yurt dışına aktarılması söz konusu olabilmekte ve çoğu kez bu konuda çalışanlar aydınlatılmadan kişisel verileri birçok ülkedeki grup şirketleriyle paylaşılmaktadır. Yine işin devamı sırasındaki iş sağlığı ve güvenliği faaliyetleri kapsamında toplanan çeşitli sağlık verilerinin de toplanması ve muhafazası noktasında işverenlerin yükümlülüklerini çoğu kez ihlal ettiği görülmektedir.
Özetle iş ilişkisinin devamı sırasında işverenler çalışanlarının birçok kategoride kişisel verilerini toplamakta; toplanan bu veriler işveren tarafından kamu kurum ve kuruluşları, tedarikçiler, müşteriler gibi çeşitli üçüncü taraflarla paylaşılabilmektedir. Ancak kişisel veri işleme noktasında kurum kültürü oturmamış işverenler ise çalışanlarının bu kişisel verileri üzerindeki kontrolü bir süre sonra kaybetmekte ve olası bir veri ihlalinde ihlal kaynağını ve ihlalden etkilenen verileri tespit edememektedir.
Bir diğer sorun da çalışanların iş ilişkisi sona erdikten sonra işverenler tarafından imha edilmesi gereken kişisel verilerin tespiti noktasında ortaya çıkmaktadır. Kişisel veri işleme noktasında belirli politikaları olmayan, üçüncü taraflara hangi çalışan verisini aktardığını tespit edemeyen işverenler, çalışanlarına ait kişisel verileri imha etmesi gereken periyodik imha dönemi geldiğinde bu kişisel verileri tespit edemeyecektir.
ÇÖZÜM NE ?
Kişisel veri mahremiyeti hem çalışanların hem çalışan adaylarının hem de işverenlerin temel yaklaşımı olmalıdır.
VeriniKoru Ekibi, bireyleri kişisel veri ihlallerinden korumanın yine bireylerin “kişisel veri mahremiyeti” yaklaşımını benimsemeleriyle gerçekleşeceğine inanmaktadır.
Bu nedenle iş başvuru süreçlerinde çalışan adayları, sadece mülakat ve iş başvuru süreciyle ilgili kişisel veri paylaşımı yapmalı, kendisinden fazla ve gereksiz kişisel veri talep edildiği takdirde bunun yasal dayanağının olmadığını işverenlere ifade etmelidir. Buna paralel olarak hazırlayacakları özgeçmiş ve eklerini veri mahremiyeti yaklaşımıyla oluşturmalı ve işverenlere çok fazla kişisel veri vermemelidirler.
İşverenler de verdikleri iş ilanlarında sadece ilgili pozisyon için aday değerlendirmesi yapabilecek kadar kişisel veri talep etmeli, mümkün mertebe CV gönderimine imkân sağlayan iş başvuru yöntemleri benimsememeli, web sitelerinde iş başvuru formları oluşturmalı veya kişisel veri mahremiyetine saygı duyan aracı platformlarla iş birliği yapmalıdır. İşverenler, henüz iş başvuru aşamasında bu denli fazla kişisel veri toplamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olabileceğini, periyodik imha dönemi geldiğinde iş yüklerinin ciddi oranda artabileceğini de unutmamalıdır.
İşverenle üçüncü kişiler arasında özellikle çalışanların kişisel verilerinin paylaşılması söz konusu olduğunda işveren tarafından veri aktarımı yapılan üçüncü kişilere veri koruma taahhütnameleri ve gizlilik sözleşmeleri imzalatılmalıdır.
Çalışanlara zimmetlenen cep telefonu, bilgisayar ve otomobil gibi araç gereçler üzerine takılan GPS takip sistemleri veyahut web site trafik takibi vasıtasıyla izleme yapılacaksa çalışanlar bilgilendirilmeli ve gerektiğinde açık rızaları alınmalıdır.
Çalışan ve çalışan adaylarından kişisel veri toplanırken mahremiyet etki değerlendirme çalışmaları yapılmalı, iş ilişkisinin kurulması ve devamı için gerekli olan kişisel veriler dışında veri toplama ve işleme faaliyeti yürütülmemelidir.