KVKK Kapsamında İşverenlerin Yükümlülükleri
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), iş dünyasında veri işleme süreçlerini kökten değiştirmiştir. İşverenler, "Veri Sorumlusu" sıfatıyla, çalışan adaylarından mevcut personele kadar geniş bir yelpazede kişisel verileri korumakla yükümlüdür.
İşverenin Temel Yükümlülükleri
1. Aydınlatma Yükümlülüğü
İşveren, kişisel verileri elde etme sırasında ilgili kişiyi (çalışanı) bilgilendirmek zorundadır. Bu bilgilendirme şunları içermelidir:
- Veri sorumlusunun kimliği.
- Verilerin hangi amaçla işlendiği.
- Verilerin kimlere ve hangi amaçla aktarılabileceği.
- Veri toplamanın yöntemi ve hukuki sebebi.
2. Açık Rıza Alma Zorunluluğu
Temel kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak kanun, "sözleşmenin ifası", "hukuki yükümlülük" gibi istisnalar tanımıştır. Sağlık verileri gibi "Özel Nitelikli Kişisel Veriler" söz konusu olduğunda ise açık rıza şartı çok daha sıkıdır.
3. Veri Güvenliği (Teknik ve İdari Tedbirler)
İşverenler, verilerin sızmasını, kaybolmasını veya yetkisiz erişimi önlemek için gerekli tüm tedbirleri almalıdır. Bu tedbirler arasında:
- Ağ güvenliği ve siber güvenlik önlemleri.
- Erişim yetki matrislerinin oluşturulması.
- Çalışanlara yönelik farkındalık eğitimleri.
- Veri işleme politikalarının hazılanması yer alır.
Yaptırımlar
KVKK'ya aykırılık halinde, Kişisel Verileri Koruma Kurulu tarafından çok yüksek idari para cezaları uygulanmaktadır. Ayrıca, Türk Ceza Kanunu kapsamında hapis cezası gerektiren suçlar da oluşabilir.
Av. Sema SARIÇAM BAKAR