Kişisel verilerin korunmasına ilişkin hükümlerin iş hukukunda iki önemli yansıması olduğu söylenebilir. Bunlardan ilki, işçinin kişisel verilerinin korunması amacıyla iş ilişkilerinde yapılması gerekli değişikliklerdir. Bu konuya ilişkin yazımıza buradan göz atabilirsiniz.
İkinci olarak, işverenin veri sorumlusu sıfatı ile elde ettiği ve elinde bulundurduğu verilere erişimi bulunan işçilerin, anılan verilere ilişkin olarak koruma yükümlülüğünü yerine getirmesidir. İşte bu nedenle, işverenin işçiden bir gizlilik taahhütnamesi alması, veri sorumluları bakımından fiili bir zorunluluktur. Bu husus veri sorumlusu tarafından veri güvenliğine yönelik olarak alınması gereken idari tedbirler arasında değerlendirilmelidir.
Her ne kadar uygulamada kişisel verilerin korunmasına ilişkin işçiler ile imzalanan gizlilik taahhütnamesinin iş sözleşmesine ek bir protokol olarak ya da iş sözleşmesi içerisinde bir hüküm olarak düzenlendiği görülse de bu taahhütnamenin iş sözleşmesinden bağımsız bir belge halinde düzenlenmesinin yerinde olacağı kanaatindeyiz.
Gizlilik Taahhütnamesinde Yer Alması Gereken Hususlar
Gizlilik taahhütnamesinde düzenlenmesi gereken öncelikli husus, işçinin iş görme edimini yerine getirdiği esnada öğrendiği ve erişim sağlaması mümkün olabilecek her türlü kişisel veriyi işverenin onayı olmaksızın işleyemeyeceği, üçüncü kişilere açıklayamayacağı ve işleme amacı dışında kullanamayacağıdır. İşçiden alınacak bu taahhüt, işverene, işverenin müşterilerine, diğer çalışanlarına, işverenin iş ilişkisinde bulunduğu üçüncü kişilere ait her türlü veriyi kapsamalıdır.
Taahhütname “yasaklanmadıkça her şey serbesttir” prensibi yerine “izin verilmedikçe her şey yasaktır” prensibi kapsamında hazırlanmalı ve ayrıca hazırlanmış olan disiplin yönetmeliği varsa bu yönetmeliğe de atıfta bulunmalıdır.
İşçiden alınacak taahhüt, herhangi bir veri ihlalinin işçi tarafından fark edilmesi halini de düzenlemelidir. Veri sorumlusu sıfatını haiz işverenin, herhangi bir veri ihlali halinde Kişisel Verileri Korum Kurumu’na (“KVKK”) bildirim yükümlülüğü olduğundan, veri ihlalinin en kısa sürede işverene bildirilmesi bu yükümlülüğün yerine getirilmesi bakımından önem taşımaktadır.
İşçi tarafından taahhüt edilen veri güvenliğine ilişkin hususların tamamının iş ilişkisinin sona ermesinden sonraki süreçte de devam edeceği belirtilmelidir. Bu noktada iş ilişkisinin hangi nedenle sona erdiğinin herhangi bir önemi olmayacaktır.
İş ilişkisinin mahiyetine göre özel olarak düzenlenebilecek hükümler söz konusu olabilir. Bu nedenle işverenin elinde bulundurduğu kişisel verinin mahiyeti ve anılan verilere erişimi bulunan personele göre özel hükümlerin sevk edilmesi de söz konusu olabilecektir.
İşçinin kusurlu davranışı neticesinde herhangi bir veri ihlali gerçekleşmesi durumunda işçinin genel hükümler çerçevesinde sorumluluğuna gidilmesi mümkündür. Ancak gizlilik taahhütnamesi altında buna ilişkin düzenleme yapılması, işçinin tazminat sorumluluğunun sınırlarının çizilmesi yerinde olacaktır. Zira gerçekleşmesi muhtemel herhangi bir veri ihlali durumunda ilgili kişi tarafından yöneltilecek taleplerin ve KVKK tarafından uygulanacak yaptırımların muhatabı veri sorumlusu sıfatını taşıyan işveren olacaktır.
Her İşçiden Gizlilik Taahhütnamesi Alınmalı Mı?
İşverenin her işçiden gizlilik taahhütnamesi alması bir zorunluluk değildir. Birçok şirket, elde ettiği verilere erişimi bulunan personel bakımından kişisel verilerin korunması anlamında gizlilik taahhütnamesi alınması prosedürüne başvurmaktadır. Örneğin birçok şirkette insan kaynakları, muhasebe, hukuk, bilişim teknolojileri departmanlarında çalışan personelin, şirketin elinde bulundurduğu çalışanlara, müşterilere ve üçüncü kişilere ait kişisel verilerin oldukça büyük bir kısmına erişimi bulunabilmektedir. Doğrudan erişimi olan bu gibi personelden gizlilik taahhütnamesi alınması oldukça önemlidir.
Bununla birlikte, şirket organizasyonu içerisinde işçilerin büyük bir kısmının kişisel verilere doğrudan erişimi olmasa dahi, yetkisiz erişim hallerinin de söz konusu olabileceği göz önünde bulundurularak yapılacak değerlendirme çerçevesinde risk teşkil edebilecek her personelden gizlilik taahhütnamesi alınması tavsiye edilmektedir.
Gizlilik taahhütnamesi ve ilgili her türlü dokümanın hazırlanması sürecine ilişkin daha fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından ve info@startupnedir.com adresinden iletişime geçebilirsiniz.