İşverenler Dikkat Milyonluk Ceza Gelebilir
Bir süredir gündemde yer alan önemli konulardan biri de kişisel verilerin korunmasına ilişkin düzenlemelerdir. 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak 07.10.2016 tarihi itibariyle tüm hükümleri yürürlüğe girmişti. 6698 Sayılı Kanun’un yayınlanmasından önce, Borçlar Kanununun 419. maddesi, bu güvenceyi sağlamak üzerine kurulmuştu. Buna göre, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.”
Ancak çalışma hayatında, kişisel verilerin işlenmesi oldukça fazladır. Her şeyden önce İş Kanununun 75. maddesine göre “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” Yani işveren çalışanlarına ait bu tip bilgileri bir dosyada düzenlemek zorunda. SGK bilgileri, aile durum beyan bildirimi, koruyucu kıyafetlerin bedeni, hastalık kayıtları, işe giriş muayeneleri, işe alım formları vb. tüm süreçte, kişisel veriler işverenlerce kayıt altına alınmaktadır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kanunda belirtilen usul ve esaslar çerçevesinde işlem yapması gerekir. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenememektedir. Diğer bir deyişle özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu koşullar altında kişisel verilerin yurt dışına aktarılabilmesi için;
- Yeterli korumanın bulunması
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekir. Kişisel verilerin korunmasıyla ilgili olarak cezalar sadece yeni kanunda düzenlenmemiştir. Kişisel verilerin kaydedilmesi başlıklı Ceza Kanunu’nun 135. maddesine göre, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarıoranında artırılmaktadır. Dikkat edilirse, cezanın artırılarak verildiği haller, Kişisel Verilerin Korunması Kanunu’nda tanımlanmış özel nitelikli verilerdir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğerinançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun ilgili hükümleri uygulanmaktadır. Kişisel verileri silmeyen veya anonim hâle getirmeyenler hakkında ise verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Kişisel verileri korumada konunun niteliğine göre aşağıdaki para cezaları uygulanacak:
1- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere bilgi vermekle yükümlüdür. Buna aykırılık halinde 5.000 T’den 100.000 TL’ye kadar,
2- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar,
3- Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ye kadar,
4- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar, idari para cezası verilmektedir.