Makale
Evde tele çalışma modelinde işverenlerin, işçilerin kişisel verilerini koruma hususunda KVKK ve ilgili iş mevzuatı kapsamında yerine getirmesi gereken çeşitli hukuki yükümlülükleri bulunmaktadır. Bu yükümlülükler arasında aydınlatma yapılması, veri güvenliğinin sağlanması ve kurumsal kuralların belirlenerek işçiye bildirilmesi ön plana çıkar.
Evde Tele Çalışmada İşverenin KVKK Kapsamındaki Hukuki Yükümlülükleri
Gelişen teknolojiler ve değişen çalışma modelleriyle birlikte hayatımıza giren evde tele çalışma ilişkilerinde, işçinin iş görme borcunu işyeri dışında ifa etmesi kişisel verilerin korunması bağlamında işverenlere yeni ve kritik sorumluluklar yüklemektedir. Bir veri sorumlusu sıfatını haiz olan işveren, iş ilişkisinin kurulmasıyla birlikte işçiye ait kişisel verileri işlemeye başlar ve bu süreçte mevzuattan kaynaklanan hukuki yükümlülüklerini harfiyen yerine getirmek zorundadır. Aksi takdirde hem idari yaptırımlarla hem de özel hukuktan doğan tazminat talepleriyle karşılaşma riski doğar. İşverenlerin KVKK çerçevesindeki başlıca yükümlülükleri; aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, Veri Sorumluları Siciline kayıt, ilgili kişilerin başvurularını cevaplama ve Kişisel Verileri Koruma Kurulu kararlarını yerine getirmektir. Bu hukuki yükümlülüklerin, özellikle evden çalışma gibi doğrudan işverenin fiziksel gözetimi altında olmayan atipik çalışma modellerinde, işçinin kişilik haklarına ve özel hayatın gizliliğine saygı çerçevesinde titizlikle uygulanması gerekmektedir. İşbu makalede, işverenlerin bu temel KVKK yükümlülüklerinin sınırları ve uygulama usulleri ele alınmaktadır.
İşverenin Aydınlatma Yükümlülüğü
İşveren tarafından gerçekleştirilen kişisel veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için, işçinin süreç öncesinde doğru ve tam olarak bilgilendirilmesi zorunludur. KVKK'nin 10. maddesinde düzenlenen aydınlatma yükümlülüğü, veri sorumlusu olan işverenin işçiye karşı yerine getirmesi gereken asli görevlerinden biridir. İşveren bu yükümlülüğünü, işçinin bir talebi olmasını beklemeksizin re'sen yerine getirmelidir. Aydınlatma işlemi kapsamında işçiye; veri sorumlusu işverenin kimliği, verilerin hangi amaçla ve hangi hukuki sebebe dayalı olarak işleneceği, verilerin hangi yöntemlerle toplanacağı, kimlere ve hangi amaçla aktarılabileceği ile Kanun'da sayılan diğer hakları açıkça bildirilmelidir. Bu bildirimin en geç kişisel verilerin elde edildiği anda yapılması kanuni bir zorunluluktur. Ayrıca, işleme faaliyeti işçinin açık rızasına veya kanundaki bir diğer işleme şartına dayansa bile ilgili aydınlatma faaliyetinin eksiksiz olarak yapılması şarttır.
Aydınlatmanın Usulü ve İspat Külfeti
Aydınlatma işleminin şekli kural olarak katı bir şarta bağlanmamıştır. Sözlü, yazılı, ses kaydı veya elektronik ortam kullanılarak yapılabilmesi pekâlâ mümkündür. Ancak, aydınlatma yükümlülüğünün yerine getirildiği hususunda ispat yükü tamamen işverenin üzerindedir. İleride yaşanabilecek olası hukuki uyuşmazlıklarda ispat kolaylığı sağlaması adına, aydınlatma işleminin yazılı olarak yapılması, aydınlatma metninin işçi tarafından onaylanması veya imzalanması ve bir suretinin işçiye teslim edilmesi uygulamada şiddetle tavsiye edilmektedir. Eğer veri işleme faaliyeti aynı zamanda işçinin açık rızasını da gerektiriyorsa, aydınlatma yükümlülüğünün yerine getirilmesi ile açık rıza alınması işlemleri ayrı ayrı yürütülmelidir. İşverenin aydınlatma yükümlülüğüne aykırı davranması, kişisel veri işleme sürecini baştan itibaren hukuka aykırı hale getireceği gibi, işverenin doğrudan ciddi idari para cezalarıyla karşılaşmasına da temel teşkil edecektir.
Veri Güvenliğini Sağlama Yükümlülüğü
İşverenin evde tele çalışan işçilere yönelik bir diğer temel sorumluluğu, işlenen kişisel verilerin yasal standartlarda veri güvenliğini sağlamaktır. KVKK'nin 12. maddesi uyarınca işveren; verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere yetkisiz kişilerin erişmesini engellemek ve verilerin yasal muhafaza süresi boyunca güvenle saklanmasını temin etmek zorundadır. Bu korumayı tam anlamıyla sağlamak için veri sorumlusunun, uygun güvenlik düzeyini tesis etmeye yönelik her türlü teknik ve idari tedbiri alması yasal bir emirdir. Uygun güvenlik seviyesinin belirlenmesinde işverenin faaliyet alanı, korunan verinin hassas niteliği ve ilgili işleme faaliyetinin yaratabileceği muhtemel riskler özenle dikkate alınmalıdır. İşveren sadece gerekli tedbirleri almakla kalmayıp, işyerinde bu tedbirlerin fiilen uygulanıp uygulanmadığına dair gerekli denetimleri yapmak veya dışarıdan destek alarak yaptırmakla da doğrudan mükelleftir.
Evde Tele Çalışmada Özel Güvenlik Tedbirleri
Uzaktan Çalışma Yönetmeliği uyarınca evde tele çalışma ilişkisinde kurumsal ve kişisel verilerin korunmasına ilişkin işverene özel düzenlemeler getirilmiştir. İşveren, uzaktan çalışan işçisini, işyerine ve yaptığı işe dair verilerin korunması ile paylaşımına yönelik olarak uygulanan işletme kuralları ve ilgili yasal mevzuat hakkında detaylıca bilgilendirmekle yükümlüdür. İşletme sınırları dışına çıkan kurumsal verilerin güvenliği, klasik işyeri ortamına kıyasla daha yüksek güvenlik riskleri barındırdığından, işveren tarafından kurumsal VPN kullanımı, yetki matrisleri oluşturulması ve uçtan uca şifreleme sistemleri gibi teknik altyapıların kurulması elzemdir. İşveren tarafından getirilen bu işletme kurallarına ve ilan edilen veri güvenliği tedbirlerine uzaktan çalışanın da riayet etmesi yasal bir zorunluluktur. İşverenin bu bağlamda alacağı her türlü önleyici güvenlik tedbiri, sadece işe ait verileri değil, evde tele çalışan işçinin şahsi kişisel verilerinin korunması amacına da doğrudan ve güçlü bir biçimde hizmet edecektir.
İşverenin KVKK Kapsamındaki Diğer Asli Görevleri
Aydınlatma yükümlülüğü ve veri güvenliğinin sağlanması dışında, veri sorumlusu sıfatını taşıyan işverenin kanundan doğan birtakım spesifik idari ve hukuki görevleri de mevcuttur. İşverenin bu kapsamda yerine getirmek zorunda olduğu diğer yasal gerekler, KVKK mimarisinin sorunsuz işlemesini ve ilgili kişilerin haklarının güvence altına alınmasını sağlamaktadır. Özellikle evde tele çalışma gibi atipik esnek modellerde, işveren ile işçi arasındaki mesafenin getirdiği olası iletişim zayıflıklarını gidermek için bu idari sorumlulukların daha da özenle uygulanması gerekmektedir. İşverenin bu bağlamda dikkat etmesi gereken idari sorumlulukları ve yasal yükümlülükleri aşağıdaki gibi sıralanabilir:
- Kanun'da öngörülen şartları taşıması halinde Veri Sorumluları Siciline kayıt (VERBİS) yükümlülüğünü kanuni süreleri içinde eksiksiz olarak tamamlamak.
- İşçilerin (ilgili kişilerin) kişisel verilerine yönelik bilgi alma, düzeltme veya silme yönündeki hukuki başvurularını cevaplamak ve yasal sürede karara bağlayarak sonuçlandırmak.
- Kişisel Verileri Koruma Kurulu tarafından yürütülen incelemeler sonucunda verilen ihlal ve yaptırım kararlarını gecikmeksizin ve harfiyen yerine getirmek.
- Özel nitelikli kişisel verilerin işlenmesi söz konusu olduğunda, Kurul tarafından ayrıca ve açıkça belirlenen yeterli ek güvenlik önlemlerini eksiksiz olarak tesis etmek.
Belirtilen bu görevlerin yerine getirilmemesi, işverenin idari denetim mekanizmaları karşısında ağır maddi yaptırımlara maruz kalmasına neden olabileceği gibi, işçi nezdinde doğacak muhtemel maddi ve manevi zararların tazmini için de temel hukuki dayanak teşkil edecektir. İş hukuku ve veri koruma hukuku kurallarının kesişim noktasında yer alan bu yükümlülüklerin zamanında ve usulüne uygun şekilde yerine getirilmesi, şeffaf ve hukuka uygun bir tele çalışma düzeninin kurulmasının vazgeçilmez şartıdır. İşverenlerin bu yasal kuralları yalnızca bir prosedürden ibaret görmeyip kalıcı bir kurum kültürünün parçası haline getirmeleri beklenmektedir.