İşçi özlük dosyasına ilişkin düzenlemeler 4857 sayılı İş Kanunu’nda uygulama alanı bulmuş; ilgili Kanun’un 75.maddesinde işverene, işçiye ait bilgi ve belgelerin yer aldığı özlük dosyasını muhafaza yükümlülüğü getirilmiştir. Kanun’un 104. maddesi ise, özlük dosyası düzenlemeyen işverenler aleyhine idari para cezası uygulanacağını öngörmüştür. İşçi özlük dosyaları, işverenin çalışanına dair kimlik, eğitim, sağlık, askerlik durumu, ikametgâh ve sair bilgileri içeren kayıtlarını kapsamakta olup, özlük dosyalarında yer alan bilgi ve belgeler, Kişisel Verilerin Korunması Kanunu (KVKK) ile güvence altına alınmıştır. KVKK, çalışanların kişisel verilerinin işlenmesinde işverene ciddi birtakım yükümlülükler getirerek işverenin, yalnızca işin gerektirdiği bilgileri işlemesini ve verilerin güvenli bir ortamda saklanmasını zorunlu kılmaktadır. Kanun’da öngörülen usul ve esaslara uygun olmadan yapılan veri işleme faaliyetlerinde kişisel verilerin ihlali gündeme gelecektir. Bu bağlamda işçi özlük dosyasındaki bilgilerin KVKK’ya uygun olarak işlenmesi önem taşımaktadır. Aşağıda, işçi özlük dosyalarındaki kişisel verilerin korunması, çeşitli başlıklar altında incelenmiştir.
İşçi Özlük Dosyasındaki Kişisel Verilerin İşlenmesi, Saklanması ve İmhası
İşçi özlük dosyalarında yer alan bilgiler, KVKK’nın 4. Maddesi uyarınca yalnızca “hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla” işlenebilir. İşverenin bu verileri, “amaçla bağlantılı, sınırlı ve ölçülü” olarak toplaması, yalnızca işin gereklerine hizmet eden bilgileri işlemesi gerekmektedir. İşçi özlük dosyalarında yer alan veriler, güvenli bir ortamda saklanmalı ve yalnızca yetkili kişilerin erişimine açık olmalıdır.
İşverenlerin, veri saklama süresi dolan, işlenmesini gerektiren sebepleri ortadan kalkan bilgileri imha etmesi KVKK’nın 7. maddesi gereğince zorunludur. “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası” uyarınca işverenlerin, işlenme amacı sona eren ya da iş sözleşmesinin sona ermesinden sonra kişisel verilerin saklanmasını gerektiren azami sürenin geçmesi ile birlikte gerekliliğini yitiren verileri, ilgili yönetmelik çerçevesinde silmesi, yok etmesi veya anonim hale getirmesi gerekir.
Sağlık Verilerinin Korunması ve İşlenmesi
Sağlık verileri, KVKK’nın 6. maddesi gereğince “özel nitelikli kişisel veri” sınıfına girmekte olup işlenmesi, açık rıza gerektirmektedir. Sağlık verileri, çalışanların işe girişte ve belirli aralıklarla yapılan periyodik muayene sonuçları dahil olmak üzere sağlık durumlarına ilişkin bilgileri içermekte olup, bu verilerin yalnızca işyeri hekimi ya da yetkili sağlık personeli tarafından toplanması gerekmektedir. Nitekim Kişisel Verileri Koruma Kurulu kararları uyarınca da, özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle, mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verilerinin işlenmesinin mümkün olduğu kabul edilmektedir.
İşveren, çalışanın işyerinde maruz kalabileceği sağlık ve güvenlik risklerine göre çalışanlarının sağlığını gözetmek ile sorumludur. İlk işe alımda, iş değişikliği durumunda, talep üzerine iş kazası, meslek hastalığı veya sağlık sorunları nedeniyle veya işin ve işletmenin tehlike sınıfına göre belirlenmiş düzenli aralıklarla çalışanın sağlık muayenesi işyeri hekimi tarafından yapılabilmekte ve muayene sonucunda rapor düzenlenmektedir. Sağlık verilerinin, yapılacak olan işin niteliğine göre yalnızca işin gerektirdiği bilgi ile sınırlı kalınarak amaca uygun ve ölçülü şekilde toplanması ve çalışanın rızasına dayalı olarak işlenmesi işverenin sorumlulukları arasındadır.
Sağlık verilerinin korunması bakımından ise, bu noktada önemle belirtmek gerekir ki; çalışana ait muayene formları, sağlık raporları ve diğer tüm özel nitelikli sağlık verilerinin özlük dosyasının içinde değil işyeri hekimi bünyesinde muhafaza edilmesi ve çalışanın sağlık verilerinin herkes tarafından erişilebilir bir konumda olmaması veri gizliliği ve güvenliği ihlali oluşturmamak yönünden oldukça önem taşımaktadır.
Adli Sicil Kaydı Özlük Dosyasında Saklanabilir Mi?
Kişinin ceza mahkumiyetine ilişkin bilgileri, özel nitelikli kişisel veri olarak kabul edilmektedir. Bu nedenle adli sicil kaydının, KVKK’nın 6. maddesi uyarınca yalnızca “kanunlarda açıkça öngörülmesi”, “kişinin açık rızasının bulunması” veya kanunda açıkça sayılan diğer bazı belirli hallerde işlenmesi mümkündür.
Bağlı olunan iş kolu veya çalışılan pozisyon itibariyle (örneğin güvenlik görevlisi, özel öğretim kurumlarında çalışacak personel gibi) adli sicil kaydının alınmasına olanak tanıyan ve hatta yasal bir gereklilik olarak öngören bir kısım düzenlemeler mevcuttur. Ancak bu düzenlemeler istisna niteliğinde kalıp, kural olarak işverenler işçilerinin adli sicil kayıtlarını açık rızaya dayalı olarak işlemek zorundadır. Dolayısıyla kanunlarda özel olarak belirtilmediği hallerde çalışanın açık rızası olmaksızın adli sicil kaydı bilgisinin işlenmesi mümkün olmayıp bu yöndeki bir faaliyet hukuka aykırı olacaktır. Ayrıca personel açık rızası alınırken; bu açık rızanın verilip verilmemesinin iş başvurusunun olumlu sonuçlanması veya işe giriş için zorunlu bir unsur olarak kabul edilemeyeceği ile açık rızanın hiçbir şarta bağlı olmaksızın ve her zaman geri alınabileceği hususlarında mutlaka bilgilendirilmelidir. Bunların yanı sıra ilgili veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemler alınarak saklanmalı, uygun süre içerisinde imha edilmelidir.
Sonuç
İşverenlerin, çalışanların yalnızca işin gerektirdiği kişisel verilerini işleme ve bu verilerin güvenliği için tüm teknik ve idari tedbirleri alma yükümlülüğü, işçilerin özlük dosyalarında yer alan verilerin korunarak işyerinde güvenilir bir ortamın tesisine katkı sağlamaktadır.
İçerisinde çok sayıda genel ve özel nitelikli kişisel verileri barındırmasıyla özlük dosyalarının muhafazası ve imha süreci, işverenler bakımından oldukça büyük önem arz etmektedir. Bu süreçte İşverenin, Kanun’un veri işleme amaç ve sınırlarıyla bağlı kalarak, ölçülü şekilde veri işleme faaliyetini yürütmesi, gerek Kanun gerekse sair mevzuat hükümlerinde yer alan ilkelere uyumlu hareket etmesi, özlük dosyasının muhafazasında gerekli tedbirleri alması ve belirlenen makul sürenin sonunda ise imha politikasını uygulaması gerekmektedir. Sürecin her bir adımının herhangi bir ihlale mahal vermeksizin özenle yürütülebilmesi bakımından, bu konuda hukuki destek alınması önem taşımaktadır. Ayrıca bu kapsamda, şirket içi eğitimler alınarak iç bilinçlenmenin sağlanması, KVKK kapsamındaki yükümlülük ihlallerinden doğabilecek idari para cezaları ile karşılaşmamak adına önleyici bir adım olacaktır.
