Kişisel verilerin korunması amacıyla ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiş ve başta Kişisel Verileri Koruma Kurumu olmak üzere birçok kamu kuruluşu tarafından kişisel verilerin korunması ile ilgili yönetmelikler hazırlanmıştır. Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikler, kişisel verileri işleyen veri sorumluları için belirli yükümlülükler getirirken; bu metinler kapsamında veri sorumlularının çalışanlarının yükümlülükleri ile ilgili doğrudan herhangi bir düzenleme bulunmamaktadır. Bununla birlikte, veri sorumluları tarafından kişisel verilerin korunması ile ilgili yükümlülüklerin yerine getirebilmesi için, veri sorumlularının çalışanları tarafından belirli sorumlulukların yerine getirilmesi gerekecektir. Bu yazımızda, çalışanların kişisel verilerin korunması ile ilgili sorumluluklarına değineceğiz.
Çalışanlar için en önemli sorumluluk, başta Kişisel Verilerin Korunması Kanunu olmak üzere, kişisel verilerin korunması mevzuatına uygun davranmaktır. Bununla birlikte, bütün çalışanların kendi gayretleri ile kişisel verilerin korunması ile ilgili mevzuata hâkim olması ve kendi sorumluluklarını bilmesi mümkün değildir. Dolayısıyla, Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin etkin bir şekilde korunabilmesi ve çalışanların sorumluluklarını öğrenebilmesi için veri sorumluları tarafından, çalışanlarına kişisel verilerin korunması ile ilgili eğitimler verilmeli ve farkındalık çalışmaları yapılmalıdır.
Bu eğitim ve farkındalık çalışmalarının bir diğer amacı, kişisel verilere izinsiz erişimin engellenmesi konusunda çalışanların bilgilendirilmesi ve kişisel verilere izinsiz erişim olduğu takdirde ilk müdahalenin çalışanlar tarafından yapılmasını sağlamaktır. Örneğin, kötü amaçlı yazılım ya da siber saldırı sonucunda veri sorumlusu tarafından muhafaza edilen verilere üçüncü kişilerin izinsiz bir şekilde erişmesi durumunda, çalışanların gerekli ilk müdahaleleri yapabiliyor olması, kişisel verilerin korunması ve güvenliği açısından büyük önem teşkil etmektedir.
Veri sorumlusunun çalışanları, hukuka aykırı olarak, kişisel verilerin açıklanmasına veya paylaşılmasına sebep olabilir. Örneğin, çalışanlar tarafından dikkatsizlik, dalgınlık veya tecrübesizlik sebebiyle bir e-postanın yanlış kişiye gönderilmesi ya da kişisel verilerin yetkisi olmayan kişilerle paylaşılması, kişisel verilerin korunması açısından ihlal teşkil edecektir. Veri sorumlusu tarafından verilecek eğitimlerin ve yapılacak çalışmaların başka bir amacı da çalışanlar tarafından sebep olunabilecek bu tür ihmallerin en aza indirgenmesidir. Bu doğrultuda, çalışanlara düşen yükümlülük, kişisel verilerin korunması ile ilgili eğitimlere ve çalışmalara katılmak, eğitim ve çalışmalarda elde ettiği bilgiler uyarınca veri sorumlusu tarafından işlenen kişisel verilerin güvenliğini sağlamak ve kişisel verilerin hata ya da ihmal sonucunda açıklanmasının veya paylaşılmasının önüne geçmektir.
Veri sorumluları, kişisel verilerin korunması ile ilgili olarak çalışanları ile gizlilik sözleşmesi imzalayabilir, şirket içi düzenlemeler yapabilir ve kişisel verilerin korunması ile ilgili disiplin cezaları öngörebilir. Bu durumda çalışanlar, kişisel verilerin korunması ile ilgili mevzuatın yanı sıra, veri sorumluları ile imzaladıkları gizlilik sözleşmelerine ve şirket içi düzenlemelere uymakla yükümlü olacaklardır.
Veri sorumluları tarafından, çalışanlara kişisel verilerin korunması ile ilgili görev ve yetkiler verilebilir. Örneğin, bir şirket çalışanı, şirket içinde, kişisel verilerin korunması ile ilgili denetim yapması için görevlendirilebilir. Bu durumda, denetimle görevlendirilen çalışan, kişisel verilerin güvenliği konusunda diğer çalışanlara göre daha fazla özen göstermek ve denetim yaparken işlediği kişisel verilerin güvenliğini sağlamak için her türlü tedbiri almak zorunda olacaktır.
Bazı şirket çalışanları, evlerinden kendi bilgisayarları ve iletişim araçları ile çalışabilmektedir. Özellikle, koronavirüs salgını sebebiyle, günümüzde evden çalışan sayısında önemli bir artış yaşanmaktadır. Kişisel verilerin korunması mevzuatı kapsamında, evden çalışma ile ilgili herhangi bir engel bulunmamaktadır. Bununla birlikte hem veri sorumlusu hem de çalışan tarafından kişisel verilerin korunması için gereken idari ve teknik tedbirler alınmalıdır. Örneğin, çalışanlar kullandıkları bilgisayarlarda güncel antivirüs uygulamaları kullanmalı, güvenlik duvarı ve kullandığı uygulamaları güncel tutmalı ve kişisel verilerin korunması açısından herhangi bir güvenlik açığına imkân verilmemelidir. Bu kapsamda sayılan tedbirleri çalışanın veya işverenin almasından bağımsız olarak, çalışanın kendi cihazını iş için kullanması durumunda, işlemleri şahsi oturumu üzerinden değil, farklı bir kullanıcı üzerinden yapması önemlidir.
Çalışanın sorumluluğu ile ilgili son olarak, kişisel verilerin korunması mevzuatımız için bir bağlayıcılığı bulunmayan; fakat örnek teşkil edebilecek Morrisons Supermarket PLC kararına değinmekte fayda görüyoruz. İngiliz mahkemeleri tarafından verilen bu kararda, kişisel verilerin veri sorumlusunun bir çalışanı tarafından kötüye kullanılması ve bunun sonucunda kamuya paylaşılması durumunda, kişisel verileri kötüye kullanan çalışanın veri sorumlusuna dönüşeceği belirtilmiş ve yaptırımların buna göre uygulanmasına karar verilmiştir.
