ÖZLÜK DOSYASI KAVRAMININ İŞ KANUNU VE KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ

4857 Sayılı İş Kanunu kapsamında karşımıza çıkan “Özlük Dosyası” kavramı, çalışanlar ve işverenler tarafından uygulamada da fazlaca benimsenmiş ise de çalışanlara ait özlük dosyalarının günümüzde sadece iş hukuku açısından değerlendirilmesi ve yalnızca iş kanunu kapsamında gerekliliklerinin yerine getirilmesi hata olacaktır. Özlük dosyası içeriğinde birtakım özel nitelikli kişisel verileri de bulundurduğundan çalışanlardan alınan ve özlük dosyası içeriğini oluşturan belgelerin, 6698 Sayılı Kişisel Verilerin Korunması Kanunu açısından da değerlendirilmesi doğru olacaktır. Bu yazımda öncelikle özlük dosyası kavramını tanımlamakla birlikte işbu kavramı 4857 Sayılı İş Kanunu ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu açısından değerlendireceğim. Faydalı olması dileğiyle, keyifli okumalar dilerim.

26.08.2022 - 17:15 Yayınlanma

13.04.2024 - 13:33 Güncelleme

ÖZLÜK DOSYASI KAVRAMININ İŞ KANUNU VE KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ

4857 SAYILI İŞ KANUNU KAPSAMINDA “ÖZLÜK DOSYASI” KAVRAMI

Özlük dosyası hakkındaki düzenlemeler, 10.06.2009 tarihinde 25134 sayılı Resmi Gazete içeriğinde yayımlanan 4857 Sayılı İş Kanunu ile hayatımıza girmiştir. Bahsi geçen kanunun 75. maddesinde özlük dosyası, “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” şeklinde tanımlanmıştır. Özlük dosyası içeriğinde bulunan belgelerden bahsedecek olursak, bu belgeler çalışanın işe başlama, işe devam etme ve işten ayrılma gibi durumlarına göre farklılık göstermektedir. Örneklendirecek olursak, özlük dosyasında bulunması gereken belgelerin en başında çalışanların özel nitelikteki kişisel verileri bulunmaktadır. Bunlar çalışanın kimlik bilgileri, adli sicil kaydı, işe giriş bildirgesi, vesikalık fotoğrafı, ikametgahı, aile durumu bildirimi, sağlık durumu bildirir belgesi ve hatta parmak izi gibi çalışana ait tüm biyometrik ve genetik verilerdir. Bu belgeler çalışanın işe devam etme ve işten ayrılma gibi durumlarına bağlı olarak güncellenmek durumundadır. Öyle ki 4857 Sayılı İş Kanunu’nun 104. maddesinde, özlük dosyası düzenlemeyen işverenlere idari para cezası uygulanacağı belirtilmiştir. Bu noktada işverenler yalnızca özlük dosyası bulundurma yükümlülüğü altında değil aynı zamanda çalışanlardan alınan ve saklanan verileri dürüstlük kuralları çerçevesinde hukuka uygun şekilde bulundurma yükümlülüğü altındadır. Özlük dosyası bulundurma zorunluluğu işverene, sır saklama ve gizlilik yükümlülüğünü de beraberinde getirmiştir.

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA “ÖZLÜK DOSYASI” KAVRAMI

Her ne kadar özlük dosyası kavramı sadece İş Kanunu kapsamında değerlendiriliyor gibi gözükse de dosya içeriğinde çalışanlara ait özel nitelikli kişisel verilerinde bulunmasından sebeple işveren, yalnızca iş kanuna bağlı olarak “İşveren” sıfatıyla yükümlülük altında değil aynı zamanda 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na bağlı olarak da “Veri sorumlusu” sıfatıyla yükümlülük altındadır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5. maddesinde; kişisel verilerin, veri sahibinin açık rızası olmadan işlenemeyeceği belirtilmiş olup aynı maddenin 2. Fıkrasının ilgili bentlerinde, kanunlarda açıkça öngörülmesi veya veri sorumlusunun hukuki yükümlülüğü bulunması halinde açık rızanın alınması gerekmediği belirtilmiştir. Bu noktada Kişisel Verilerin Korunması Kanun’u ilgili maddelerince, İş Kanunu’na bağlı olarak işverenin/veri sorumlusunun özlük dosyası oluşturma ve içeriğinde ilgili belgeleri bulundurma zorunluluğu olduğundan çalışandan, bu belgeler için açık rıza almasına gerek yoktur.

Fakat bu noktada, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlığı altındaki 6. Maddesinin 3. ve 4. fıkralarına dikkat edilmesi gerekir. Öyle ki anılan maddenin 3. Fıkrasında, sağlık ve cinsel hayata ilişkin verilerin işlenmesinde açık rızanın mutlaka olması gerektiği belirtilmiş olup aynı maddenin 4. Fıkrasında ise sağlık ve cinsel hayata ilişkin verilerin dışındaki diğer özel nitelikli kişisel veriler için kanuni zorunluluk bulunduğu takdirde açık rıza alınmasına gerek yok ise de kurul tarafından belirlenen yeterli önlemlerin alınması gerektiği vurgulanmıştır. İşbu önlemler kurulun 31.01.2018 tarihli, 2018/10 karar no’lu, “ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI GEREKEN YETERLİ ÖNLEMLER” başlığı altında yayımlanan karar yazısında belirtilmiştir. Karar yazısında özetle, veri sahibinin açık rızasını gerektirmeyen verilerin dahil önemle muhafaza edilmesi gerektiği, veri sorumlusunun tüm verileri gerekli teknik ve hukuki prosedürler dahilinde işlemesi, saklaması ve yine aynı prosedürler dahilinde zamanı geldiğinde işbu verileri yok etmesi gerektiği vurgulanmıştır. Bu noktada veri sorumlusu olan işverenlerin sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel verileri işlemesine, saklamasına ve kanunen gerek kalmadığında yok etmesine ilişkin açık ve anlaşılır prosedürler hazırlaması, uygulaması ve bu prosedürleri de veri sahibi çalışanlarıyla paylaşması doğru olacaktır. Hatta ilgili karar yazısında, çalışanlara bu konularda düzenli eğitimler verilmesi gerektiği de ayrıca belirtilmiştir.

SONUÇ VE YETERLİ ÖNLEMLERİN DEĞERLENDİRİLMESİ

Sonuç olarak, İş Kanun’undan gelen özlük dosyası yükümlülüğü işvereni, çalışanın özel nitelikli verilerini işleyen ve muhafaza eden veri sorumlusu haline getirmiştir. Bu noktada işverenin, veri sorumlusu sıfatıyla Kişisel Verilerin Korunması Kanun’u dahilinde de sorumlu olduğu açıktır. Bu durumda veri sorumlusu olan işveren sadece özlük dosyası oluşturup içeriğindeki gerekli tüm belgeleri güncel şekilde muhafaza edince tüm yükümlülüğünü yerine getirmiş olacak mı daha doğrusu bu yeterli olacak mı? Aslında tüm yazının temelini bu soru oluşturuyor fakat yukarıda anlatılanlardan da anlaşılacağı üzere, sorunun cevabı, “Hayır, yeterli olmayacak.”

Alınabilecek yeterli önlemleri genel anlamda değerlendirecek olursak, çalışanlara ait özlük dosyaları hangi ortamda saklanıyor ise ortamın güvenliğine ilişkin gerekli tedbirlerin alınması önem taşıyacaktır. Dijital ortamda saklanan çalışan verileri için, mutlaka düzenli olarak sızma testlerinin yapılması, testler sayesinde varsa siber güvenlik açıklarının tespit edilmesi ve kontrol altında tutulması çalışanın özel nitelikli kişisel verileri dahil tüm verilerinin 3. kişilerle izinsiz paylaşılmasını aynı zamanda veri sahibi/çalışan ile veri sorumlusu /işverenin mağduriyetini engelleyecektir. Fiziksel olarak saklanan çalışan verileri için alınabilecek en basit önlemlerden biri, özlük dosyası içinde muhafaza edilen belgenin niteliğine göre ilgili departmanın yetkili kılınması ve yalnızca o departmanın erişime yetkili olmasıdır. Çalışanın sağlık verilerinin yalnızca iş yeri hekimi erişimine elverişli olması şeklinde örneklendirme yapabilmekle birlikte dijital veya fiziksel ortamda da olsa işbu veriler için yetkili kişi/kişiler belirlemek bu kişi veya kişiler dışındakilere erişimi kapatmak her zaman en etkili veri muhafaza etme yöntemlerindendir.

Tüm bunların dışında yukarıda bahsettiğimiz kurulun ilgili karar yazısında da belirttiği gibi, işlenen, saklanan ve zamanı geldiğinde yok edilmesi gereken tüm çalışan verileri için veri sahiplerinin yani çalışanların düzenli olarak eğitime tabi tutulması, aydınlatma metinleri ile aydınlatılması büyük önem taşımaktadır. Ayrıca belirtmek gerekirse çoğu veri sorumlusu işverenin aydınlatma metni ile açık rıza metnini bir kereye mahsus olmak üzere çalışandan alması uygulamada sıkça karşımıza çıkan yanlışlardan biridir. Açık rıza ve aydınlatma metni genel hususlar çerçevesinde hazırlanabilecek olsa da iş hayatının olağan akışına ve güncellenen durumlara göre verileri 3. Şahıslarla paylaşılması gereken çalışandan konuya göre ayrıca açık rıza almak çok daha sağlıklı olacaktır.

Yazımda genellikle verileri işleme ve muhafaza etme yükümlülüklerinden bahsetmiş olsam da bu verilerin yok edilmesi de ayrıca önem taşımakta olup veri sorumlusu sıfatıyla işverenin sorumluluğunun bir devamıdır. Akıllara hemen çalışanın iş akdi sonlandığında özlük dosyasındaki belgelerin şayet arabuluculuk faaliyetlerinde ya da iş mahkemeleri vb. durumlarda kullanılmayacaksa imha edilmesi yükümlülüğü gelse de çalışanın iş akdi devam ederken de işverenin bazı belgeleri imha yükümlülüğü bulunmaktadır. Buna en güzel örneklerden biri özlük dosyası içeriğinde bulunan çalışana ait adli sicil kaydıdır. Uygulamada önemsenmeyen, işe giriş esnasında istenen ve devamlı olarak özlük dosyasında bulundurulan bu belge, Kişisel Verilerin Korunması Kanun’u açısından büyük önem taşımakta olup adli sicil kaydının özlük dosyası içeriğinde yalnızca 6 ay süreyle bulundurulması gerekmektedir. 6 ayın sonunda veri sorumlusu sıfatıyla işveren tarafından imha edilmeli, bu imha süreci hususunda çalışan ayrıca aydınlatılmalıdır. Ek olarak, özlük dosyası içeriğinde bulunan kimlik fotokopisi şayet eski kimlik tipine aitse çalışanın kan grubu ve dini inanç bilgisi de belge içeriğinde yer almaktadır. Bu noktada veri sorumlusu sıfatıyla işverenin eski tip kimlik fotokopilerinde yer alan kan grubu ve dini inanç kısmını karalamak suretiyle özlük dosyası içeriğinde muhafaza etmesi gerekecektir.

Özetle, özlük dosyası kavramının ve içeriğinin salt İş Kanunu kapsamında değil Kişisel Verilerin Korunması Kanunuyla bir bütün olarak değerlendirilmesi ile gerek çalışana gerek işverene yüklediği sorumlulukların ve kazandırdığı hakların birlikte yorumlanması, uygulanması iki taraf açısından mağduriyete yol açmayacak, hak kayıplarının önüne geçecektir.