Makaleler

COVİD-19 Şartlarında Zorunlu Olarak Uygulanan Evden Çalışma Usulünün Kişisel Verilerin Korunması Kanunu Çerçevesinde Değerlendirilmesi

Covid-19 virüsünün dünya genelinde hızla yayılması ile birlikte pek çok işveren, çalışanlarını korumak adına evden çalışma kararı almıştır. Uzaktan çalışma kavramı 4857 sayılı İş Kanununun 14’üncü maddesinin 4’üncü fıkrasında; “İşçinin, işveren tarafından oluşturulan iş organizasyonu kapsamında iş görme edimini evinde ya da teknolojik iletişim araçları ile işyeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisi” şeklinde tanımlanmış olup, söz konusu tanıma göre uzaktan çalışma usulünün uygulanabilmesi için taraflar yazılı bir anlaşmaya gerek duyulmaktadır, ancak Covid-19 şartlarında bu ilişki zorunlu olarak ortaya çıktığı için halihazırdaki durum hukuki tanıma uygun düşmemekte; işçi ve işveren arasında normal çalışma düzenindeki hak ve yükümlülükler geçerliliğini sürdürmektedir.

İşyerinde çalışanlar bakımından işveren “Veri Sorumlusu” kabul edilmektedir ve veri sorumluları evden çalışma sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine uygun olarak hareket etmeli, veri güvenliğine yönelik gerekli idari ve teknik tedbirleri almaya devam etmelidir.

Veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nun 10. maddesinden doğan kişileri aydınlatma ve yine aynı Kanun’un 12. Maddesinden doğan veri güvenliğini sağlama yükümlülükleri bulunmaktadır. Kanun’un 10. Maddesi uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11 inci maddede sayılan diğer hakları, konusunda bilgi vermek; madde 12 uyarınca ise kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Öncelikle 12. Maddeyi ele alırsak, internet ağlarının ve mobil telefon kullanımının artması ile uzaktan çalışma yönteminin uygulanabilirlik kabiliyetinin arttığı şüphesizdir, ancak uzaktan çalışma usulünün yaygınlaşması sonucu işverenin karşı karşıya olduğu siber risklerin artması ihtimaline karşı da birtakım güvenlik önlemlerinin alınması gerekmektedir. Bu kapsamda alınabilecek önlemler; güvenlik duvarı ve virüs koruma uygulamalarının güçlendirilmesi, çalışanlara uygun güvenlik önlemleri alınmış sistemler/bilgisayarlar teslim edilmesi, yetkilendirilmelerde “en az gerekli yetki” prensibine uygun hareket edilmesi, çalışanların sistem ve veri girişlerinde şifre uygulamasının getirilmesi ve çalışanlara siber riskler hakkında gerekli eğitimlerin verilmesi olarak düşünülebilir.
Kişisel Verileri Koruma Kurulu, 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” i şu şekilde düzenlemiştir;

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa;

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.” şeklinde belirtmiştir. Bu konuda, Kişisel Verileri Koruma Kurulu tarafından yayımlanan ve veri sorumlularınca alınması gereken idari ve teknik tedbirleri gösteren bir rehber de bulunmaktadır. ( https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf )

İşverenlerin gizlilik ve veri güvenliğine ilişkin alınan bu önlemlerle ilgili olarak çalışanlarını bilgilendirme yükümlülüğü bulunduğu gibi doğaldır ki çalışanlar da kendilerine işin yürütümü ile ilgili sağlanan telefon ve bilgisayarlara üçüncü kişilerin erişiminin önüne geçmek için gerekli tedbirleri almaya ve iş takiplerini kişisel bilgisayar ve telefonları üzerinden yapmamaya özen göstermelidir. Uzaktan çalışma için kullandıkları sistemlere gerekli güvenlik yazılımlarının yüklendiğinden, içeriklerinde herhangi bir zararlı yazılım bulunmadığından ve kurum dışına herhangi bir kritik verinin çıkarılmadığından emin olunması gerekmektedir. Ancak Çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Konuya 10. madde bakımından yaklaşıldığında ise; çalışanlara ait telefon numaraları ve mail adresleri kişisel veri kabul edilmektedir. Normal şartlarda bir işyerinde çalışanlara ofis maili ve telefonları verilmek suretiyle KVKK madde 5/2/f de yer alan istisna kapsamında ilgili kişinin rızası alınmak zorunda kalınmadan bu bilgiler üçüncü kişilerle paylaşılabilmekteydi. Ofis dışı çalışmaya başlanması ile birlikte eğer ofis altyapısı kullanılamıyorsa çalışanların kişisel mail ve telefon adreslerinin üçüncü kişiler ile paylaşılması için açık rızalarının alınması gerekmektedir. Yine, işveren yönetim hakkı kapsamında uzaktan çalışan işçinin çalışıp çalışmadığını denetlemek isteyebilir ve bu amaçla işçinin bilgisayarına uzaktan erişmeyi, kullanımını takip etmeyi ya da bilgisayar kamerasından görüntü almayı talep edebilir. Bu şekilde talepleri söz konusu ise işveren, bu izleme yöntemi ve yöntemin sınırları hakkında işçiyi açıkça bilgilendirmeli; izleme sınırlı ve ölçülü olmalıdır. Uzaktan çalışma esnasında İşçinin görüntüsünün alınması ise 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca açık rıza gerektirmektedir. İşverenlerin çalışanlara ait lokasyon verilerini tutması ise ölçülülük kriterleri çerçevesinde uygun olmayacaktır.

Sonuç olarak, 6698 sayılı KVKK uyarınca veri sorumlusu kabul edilen işverenin bu Kanun’dan doğan yükümlülükleri evden çalışma süresince de devam etmektedir. Veri sorumluları bu süreçte, kişisel verilerin korunması ile ilgili gerekli güvenlik önlemlerini almalı, çalışanlarını alınan önlemler hakkında bilgilendirmeli ve koruma altına alınan haklara bir müdahalenin söz konusu olabileceği durumlarda rızalarına başvurmalıdır. Aksi halde 18. Madde kapsamında idari para cezası ile karşı karşıya kalınması durumu söz konusu olabilecektir.

Av. İrem ERKOÇ TANIŞIR