İşçi Özlük Dosyasındaki Kişisel Verilerin KVKK Kapsamında Korunması ve İşlenmesi

İşçi özlük dosyasına ilişkin temel düzenleme, 4857 sayılı İş Kanunu'nun 75. maddesinde yer almakta; işverene çalışanına ait bilgi ve belgeleri kapsayan özlük dosyasını oluşturma ve muhafaza etme yükümlülüğü getirilmektedir. Aynı Kanun'un 104. maddesi uyarınca bu yükümlülüğe uyulmaması halinde işveren aleyhine idari para cezası uygulanmaktadır. Kimlik, eğitim, sağlık durumu, askerlik bilgisi ve ikametgâh gibi pek çok kişisel veriden oluşan özlük dosyaları, aynı zamanda Kişisel Verilerin Korunması Kanunu (KVKK) güvencesi altındadır. KVKK; işvereni yalnızca işin gerektirdiği verileri işlemek ve bu verileri güvenli ortamlarda saklamakla yükümlü kılmakta, Kanun'da öngörülen usul ve esaslara aykırı veri işleme faaliyetleri ise kişisel veri ihlali sonucunu doğurmaktadır. Bu çerçevede özlük dosyalarındaki kişisel verilerin KVKK'ya uygun biçimde işlenmesi büyük önem taşımaktadır. Aşağıda bu konu çeşitli başlıklar altında ele alınmıştır.

İşçi Özlük Dosyasındaki Kişisel Verilerin İşlenmesi, Saklanması ve İmhası

Özlük dosyalarında yer alan veriler, KVKK'nın 4. maddesi çerçevesinde yalnızca hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar doğrultusunda işlenebilir. İşverenin bu kapsamda veri toplama faaliyetini işin gereklerine hizmet eden bilgilerle sınırlı tutması, verileri amaçla bağlantılı, ölçülü ve sınırlı biçimde işlemesi gerekmektedir. Özlük dosyalarındaki veriler güvenli bir ortamda korunmalı ve yalnızca yetkili kişilerin erişimine açık olmalıdır.

Öte yandan KVKK'nın 7. maddesi uyarınca işverenler, saklama süresi dolan ya da işlenmesini gerektiren nedenleri ortadan kalkan verileri imha etmekle yükümlüdür. "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" ve Kişisel Verileri Koruma Kurumu'nun Kişisel Veri Saklama ve İmha Politikası kapsamında; iş sözleşmesinin sona ermesinin ardından kişisel verilerin saklanmasını meşrulaştıran azami sürenin dolmasıyla birlikte işlevini yitiren veriler, yönetmelikte belirlenen esaslar dahilinde silinmeli, yok edilmeli ya da anonim hale getirilmelidir. Uygulamada özlük dosyalarının kilitli dolaplarda saklanması yaygın bir yöntem olmakla birlikte, Kişisel Veri Güvenliği Rehberi uyarınca yalnızca yetkili kişilerin ihtiyaç halinde erişebildiği güvenli ortamlarda muhafaza edilmesi de yeterli kabul edilmektedir.

Sağlık Verilerinin Korunması ve İşlenmesi

Sağlık verileri, KVKK'nın 6. maddesi kapsamında özel nitelikli kişisel veri sayılmaktadır. 7499 sayılı Kanun ile 1 Haziran 2024 tarihinde yürürlüğe giren değişikliklerle birlikte bu verilerin işlenmesinde açık rıza artık tek zorunlu şart olmaktan çıkmış; istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanındaki hukuki yükümlülüklerin yerine getirilmesi gibi yeni hukuki işleme sebepleri de mevzuata eklenmiştir. Bununla birlikte sağlık verilerinin, işe girişte ve periyodik muayeneler dahil olmak üzere yalnızca işyeri hekimi ya da yetkili sağlık personeli tarafından toplanması gerekliliği devam etmektedir. Nitekim Kişisel Verileri Koruma Kurulu kararları da işyeri hekiminin sır saklama yükümlülüğü çerçevesinde sağlık verilerini işleyebileceğini teyit etmektedir.

İşveren; çalışanın maruz kalabileceği sağlık ve güvenlik risklerini gözetmekle yükümlüdür. İşe başlangıçta, görev değişikliğinde, talep üzerine ya da tehlike sınıfına göre belirlenen aralıklarla gerçekleştirilen sağlık muayeneleri işyeri hekimi tarafından yapılmakta ve muayene sonucunda rapor düzenlenmektedir. Bu verilerin yapılacak işin niteliğiyle orantılı biçimde ve amaca uygun şekilde işlenmesi, işverenin temel sorumluluklarındandır.

Sağlık verilerinin güvenliğinin sağlanması açısından ise şu husus özellikle vurgulanmalıdır: Muayene formları, sağlık raporları ve diğer özel nitelikli sağlık belgeleri, genel özlük dosyasının içinde değil işyeri hekimi bünyesinde muhafaza edilmeli; bu verilere genel erişimin önlenmesi sağlanmalıdır. Aksi hâl veri gizliliği ve güvenliği ihlali oluşturacaktır. Ek olarak, eski kimlik belgelerinde yer alan kan grubu ve din bilgisi gibi özel nitelikli verilerin karartılarak ya da buzlanarak okunmaz hale getirilmesi de dikkat edilmesi gereken pratik bir yükümlülük olarak öne çıkmaktadır.

Adli Sicil Kaydı Özlük Dosyasında Saklanabilir Mi?

Ceza mahkûmiyetine ilişkin bilgiler özel nitelikli kişisel veri kapsamında değerlendirilmektedir. Bu nedenle adli sicil kaydının işlenebilmesi; kanunda açıkça öngörülmüş olması, ilgili kişinin açık rızasının bulunması ya da Kanun'da sınırlı sayıda belirlenen diğer hukuki sebeplerin varlığı halinde mümkündür.

Güvenlik görevlisi veya özel öğretim kurumlarında çalışacak personel gibi belirli pozisyonlar için adli sicil kaydının alınmasına olanak tanıyan ya da bunu zorunlu kılan özel düzenlemeler mevcuttur. Ne var ki bu düzenlemeler istisna niteliğinde kalıp kural, açık rızaya dayalı işleme olmaya devam etmektedir. Kanunda açıkça öngörülmeyen hallerde çalışanın açık rızası olmaksızın adli sicil kaydının işlenmesi hukuka aykırıdır. Açık rızanın alınması sürecinde çalışanın özellikle şu konularda bilgilendirilmesi zorunludur: rızanın verilip verilmemesinin işe alım sürecinin olumlu sonuçlanmasına bağlanamayacağı, rızanın hiçbir koşula bağlı olmaksızın her zaman geri alınabileceği. Söz konusu veriler, Kurul tarafından belirlenen yeterli önlemler alınarak saklanmalı ve uygun süre sonunda imha edilmelidir.

Sonuç

Çalışanların yalnızca işin gerektirdiği kişisel verilerinin işlenmesi ve bu süreçte gerekli tüm teknik ve idari önlemlerin alınması; özlük dosyalarındaki verilerin korunmasına ve işyerinde güvenilir bir ortamın tesisine doğrudan katkı sağlamaktadır.

Hem genel hem de özel nitelikli çok sayıda kişisel veriyi bünyesinde barındıran özlük dosyalarının muhafazası ve imhası, işverenler bakımından son derece kritik bir süreç oluşturmaktadır. Bu süreçte işverenin; Kanun'un veri işleme amaç ve sınırlarına bağlı kalarak ölçülü biçimde hareket etmesi, gerek KVKK gerekse ilgili mevzuat hükümleriyle uyumlu davranması, dosyanın saklanmasında gerekli güvenlik tedbirlerini alması ve belirlenen sürenin sonunda imha politikasını eksiksiz uygulaması gerekmektedir. Sürecin her aşamasının herhangi bir ihlale yol açmaksızın yürütülebilmesi için bu alanda hukuki destek alınması büyük önem taşımaktadır. Bunun yanı sıra şirket içi eğitimler aracılığıyla kurumsal farkındalığın artırılması; KVKK kapsamındaki yükümlülük ihlallerinden kaynaklanabilecek idari para cezalarıyla karşılaşmamak adına önleyici ve etkin bir adım olacaktır.

Av. Selin Ünverdi