Anasayfa/ Makale/ Veri Sorumlusu İşverenin Yükümlülükleri ve Sorumluluğu

Veri Sorumlusu İşverenin Yükümlülükleri ve Sorumluluğu

İş ilişkisinde işveren, kişisel verilerin işleme amaç ve yöntemlerini belirleyen veri sorumlusu sıfatını taşır. İşverenin, işçiyi aydınlatma, veri güvenliğini sağlama ve ihlal bildirimi yükümlülükleri bulunmakta olup, bu kurallara aykırılık hukuki, idari ve cezai sorumluluklar doğurmaktadır.
search
5 dk okuma Yayınlanma: Güncelleme:
AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK EŞİT DAVRANMA BORCU VERİ İHLALİ

İş ilişkisinde veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kişisel Verilerin Korunması Kanunu kapsamında, işverenler çalışanlarına karşı hukuken veri sorumlusu sıfatını haizdir. İşveren, kişisel verilerin elde edilmesinden saklama süresinin sona ermesine kadar geçen tüm süreçte, veriler üzerindeki her türlü işlem ve eyleme ilişkin karar verme yetkisine sahiptir. Bu geniş yetki alanı, işverene verilerin hukuka uygun şekilde işlenmesi, korunması ve yönetilmesi noktasında katı yasal sorumluluklar yüklemektedir. İş ilişkisi çerçevesinde işverenin, işçiyi gözetme ve eşit davranma borcu bulunduğundan, veri işleme faaliyetlerinin tamamında hukuka ve dürüstlük kurallarına riayet etmesi zorunludur. Veri sorumlusunun belirlenmesi, işçilerin yasal haklarını kime karşı ileri sürebileceklerinin tespiti açısından büyük önem taşımaktadır ve bu süreçte işverenin sorumluluğu esastır.

İşverenin Aydınlatma ve Bilgi Verme Yükümlülüğü

Veri sorumlusu sıfatını taşıyan işverenin en temel hukuki yükümlülüklerinden biri, kişisel verilerin işlenmesi aşamasında işçisini aydınlatma yükümlülüğüdür. İşveren, kişisel verilerin elde edildiği ilk andan itibaren veri sahibi işçiye; kendi kimliğini, verilerin hangi amaçla işleneceğini, kimlere aktarılabileceğini ve işçinin yasal haklarını bildirmek zorundadır. Aydınlatma işlemi yapılırken teknik ve hukuki dilden kaçınılmalı, işçinin yaş ve dil gibi özellikleri dikkate alınarak yalın ve anlaşılır bir dil kullanılmalıdır. Bu yükümlülük, sadece işçinin talebine bağlı bir durum olmayıp, işverenin re'sen ve sürekli olarak yerine getirmesi gereken bir usuldür. Eğer veri işleme amacı değişirse, işveren her yeni aşamada işçiyi tekrar aydınlatmakla yükümlüdür. Ayrıca, mevzuat uyarınca aydınlatma yükümlülüğünün yerine getirildiğinin ispat külfeti tamamen veri sorumlusu olan işverenin üzerindedir.

Veri Güvenliği, İhlal Bildirimi ve İmha Süreçleri

İşverenler, çalıştırdıkları işçilerin kişisel verilerinin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz üçüncü kişilerce erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri almak zorundadır. Veri güvenliğinin tam anlamıyla sağlanması, sürekli bir denetim ve muhafaza sürecini gerektirir. Bununla birlikte, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde işveren, yasal sınırlar çerçevesinde veri ihlali bildiriminde bulunmakla yükümlüdür. Veri sorumlusu sıfatını haiz işverenin bu aşamadaki diğer idari ve operasyonel yükümlülükleri aşağıda maddeler halinde belirtilmiştir:

  • İşlenen kişisel verilerin hukuki dayanağı ortadan kalktığında verileri silmek, yok etmek veya anonim hale getirmek.
  • Bir veri ihlali yaşandığında, bu durumu en geç yetmiş iki saat içinde Kişisel Verileri Koruma Kurulu'na ve ilgili işçiye bildirmek.
  • Kişisel veri işleme faaliyetlerinin şeffaflığını sağlamak üzere veri işleme envanteri ve imha politikası hazırlamak.
  • İşyerinde veri güvenliğine ilişkin düzenli denetimler yapmak veya profesyonel denetim kuruluşlarından faydalanmak.

Veri Sorumlusu İşverenin Hukuki, Cezai ve İdari Sorumluluğu

İşverenin yükümlülüklerini ihlal etmesi durumunda hukuki, cezai ve idari yaptırımlar gündeme gelmektedir. Cezai sorumluluk bağlamında, Türk Ceza Kanunu hükümleri devreye girer; hukuka aykırı olarak kişisel veriyi kaydeden işverene hapis cezası öngörülmekte olup, verileri hukuka aykırı olarak başkasına veren veya yayan kişi daha ağır cezai müeyyidelerle karşılaşmaktadır. İdari açıdan ise Kişisel Verilerin Korunması Kanunu uyarınca; aydınlatma yükümlülüğüne, veri güvenliği tedbirlerine veya Kurul kararlarına aykırı davranan veri sorumluları hakkında yüksek tutarlarda idari para cezaları uygulanmaktadır. Hukuki sorumluluk boyutunda, Türk Borçlar Kanunu gereği sözleşmeye aykırılık hükümleri işletilir. İşveren, sözleşmenin yan edimlerinden sayılan koruma ve sır saklama yükümlülüklerini ihlal ederse, işçinin uğradığı zararları tazmin etmekle yükümlüdür. Hem idari otoriteler hem de yargı mercileri nezdinde, veri sorumlusunun bu geniş çaplı mesuliyeti titizlikle denetlenmektedir.

Patronum benden sürekli bilgi istiyor ama ne yapacağını söylemiyor, bu yasal mı? expand_more
Hayır, bu durum hukuka uygun değildir. Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında işvereniniz veri sorumlusu sıfatını taşır ve verilerinizi elde ettiği ilk andan itibaren sizi aydınlatmakla yükümlüdür. İşvereniniz; kendi kimliğini, bu bilgileri hangi amaçla işleyeceğini, kimlere aktarabileceğini ve yasal haklarınızı size anlaşılır bir dille açıklamak zorundadır. Üstelik, bu aydınlatma yükümlülüğünün yerine getirildiğini ispat etme sorumluluğu da tamamen işvereninizin üzerindedir.
İşyerinde kişisel bilgilerim çalındı, patronumun bana haber vermesi gerekmez mi? expand_more
Kesinlikle size haber verilmesi yasal bir zorunluluktur. İşvereniniz, kişisel verilerinizin hukuka aykırı olarak başkaları tarafından elde edilmesi, yani bir veri ihlali yaşanması durumunda gerekli bildirimleri yapmakla yükümlüdür. Mevzuata göre işveren, veri ihlali gerçekleştiğinde bu durumu en geç yetmiş iki saat içinde hem size hem de Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Bu yükümlülüğün ihlali, işveren açısından ciddi idari yaptırımlara yol açmaktadır.
İşten ayrıldım, şirkette kalan kişisel dosyalarımın ve bilgilerimin akıbeti ne olacak? expand_more
İş ilişkiniz sona erdiğinde ve kişisel verilerinizin işlenmesini gerektiren hukuki dayanak ortadan kalktığında, işvereninizin bu verileri süresiz saklama hakkı bulunmamaktadır. Veri sorumlusu sıfatıyla işveren, hukuki dayanağı kalmayan bu verileri silmek, yok etmek veya anonim hale getirmek zorundadır. İşverenin tüm bu süreçleri şeffaf bir şekilde yönetmek üzere bir veri işleme envanteri ve imha politikası hazırlamış ve uyguluyor olması gerekmektedir.
Patronum gizli bilgilerimi başkasına vermiş, ona dava açıp tazminat alabilir miyim? expand_more
Evet, böyle bir ihlal durumunda işvereninize karşı hem hukuki hem de cezai yollara başvurabilirsiniz. İşveren, veri güvenliğini sağlama ve sır saklama yükümlülüklerini ihlal ederek kişisel verilerinizi hukuka aykırı şekilde yayar veya başkasına verirse, Türk Ceza Kanunu kapsamında ağır yaptırımlarla karşılaşır. Ayrıca Türk Borçlar Kanunu gereğince, sözleşmenin yan edimlerinden olan koruma borcunun ihlali sebebiyle uğradığınız tüm zararları işvereninizden tazmin etme hakkınız bulunmaktadır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir