Günümüzde pek çok şirket personeline araç veya şirket hattı tahsis etmektedir. Şirketler yönetim faaliyetinin yürütülmesi, denetim faaliyetinin sürdürülmesi ve lojistik faaliyetlerin sürdürülmesi için personeline tahsis etmiş olduğu araç veya şirket hatlarını, takip sistemi ile takip etmektedir.
Örneğin araç takip sistemi aracın anlık olarak hızını, konumunu ve hatta yapılan ani frenin bile şirket tarafından gözlemlenmesine imkân vermektedir.
Sürücüye ait olan bu kişisel veriler hem şirket tarafından hem de araç takip sistemi hizmeti alınan şirket tarafından işlenmektedir. Şirketler bu gibi durumlarda Kişisel Verilerin Korunması Kanunu’nun araç veya şirket hattı takibine izin vermediğini düşünmektedir. Hâlbuki KVKK yapılan veri işlemesinin hukuki bir zemine oturtulmasını istemektedir.
Şirketlerin bu gibi durumlarda dikkat etmesi gereken dört önemli nokta vardır.
1- Takibin personelin iş sözleşmesinde belirtilen mesai saatleri içinde yapılması,
2- Personele konu ile ilgili önce Aydınlatma yapılması daha sonra Açık Rıza beyanın alınması,
3- Elde edilen verilerin sadece yetkili kişiler tarafından görülebilmesi,
4- Şirket ile araç takip sistemi hizmeti veren 3. Tüzel kişi arasında KVKK anlamında sorumluluk sözleşmesinin oluşturulması gerekmektedir.
1- Mesai saatleri içinde takip
Şirketler takibi sadece mesai saatleri içinde yapmalıdır. Çünkü tahsis edilen araç veya şirket hattı iş faaliyeti kapsamında personele tahsis edilmiş olup ticari faaliyetin devamı ve denetlenmesi için takip edilmektedir.
Tahsis edilme amacı iş faaliyeti çerçevesi içindeyken personelin mesai saati dışında kalan özel hayatına dair herhangi bir bilgi şirket tarafından işlenmemelidir.
Kişisel Verileri Koruma Kanunu ve çıkış noktası olan, Avrupa ' da uzun yıllardır yürürlükte olan Avrupa Genel Veri Koruma Tüzüğü'nün çıkış noktası ''Özel Hayatın Gizliliği' nin korunmasıdır. KVKK ile güvence altına alınan ''Özel Hayatın Gizliliği'' ayrıca Anayasanın 20. maddesine göre;
"Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Bu ilkenin ihlali halinde, yani özel hayatın gizliliği ihlal edilirse artık yeni Ceza Kanununa göre fiil suç sayılacaktır."
Dolayısı ile iş sözleşmesinde belirtilen mesai saatleri dışında personele tahsis edilen şirket aracının veyahut şirket telefonunun takip edilmesi, konum bilgisinin alınması, ani fren bilgisinin alınması, hız bilgisinin alınması ve işlenmesi vb. durumlar önce Anayasa 20. maddeye, sonra Avrupa Genel Veri Koruma Tüzüğü'ne daha sonra da KVKK' ya aykırıdır.
Bazı şirketler bu durumun KVKK kapsamında ihlal olmadığını, tahsis edilen araç ve şirket telefonlarının takip edildiği ancak sadece gerekli hallerde bakıldığını gerekmedikçe bakılmadığını veya şirket bünyesine kaydedilmediğini anlık olarak bakıldığı şeklinde savunma yapıyor.
Öncelikle şunu belirtmek gerekir ki Kişisel Verilerin İşlenmesi başlığında da belirttiğimiz gibi bir kişisel veri şirket bünyesine giriyorsa artık işlenmiş sayılmaktadır. Takip sistemi aracılığı ile ulaşılan bilgilerin sadece gerekli hallerde bakılıp bakılmadığı önemli değildir. Önemli olan personelin kullandığı aracın hız bilgisinin veya konum bilgisinin şirket bünyesinde barındırılmasıdır.
Ayrıca aracın hız ve konum verilerinin kaydedilmemesi dolayısıyla ileri ki tarihlerde bu bilgilere ulaşılamaması KVKK kapsamında bu verilerin işlenmediği anlamına gelmemektedir. Anlık olarak bile olsa ilgili aracın hız ve konum bilgisi şirket tarafından öğrenilebiliyorsa personelin kişisel verisi işlenmiş demektir.
2- Personele Konu İle İlgili Önce Aydınlatma Yapılması Daha Sonra Açık Rıza Beyanın Alınması
Şirket mevzuata ve KVKK ‘ ya uygun olarak yapacağı takipte, takibe başlamadan önce personeli konuya ilişkin bilgilendirmeli ve personelin takibi kabul ettiğine dair Açık Rıza beyanını almalıdır.
Şirket, personele Açık Rıza Metni imzalatırken metnin kolay anlaşılır ve detaylı olmasına dikkat etmelidir. Personel, kendisi hakkında alınacak olan hız, konum, fren gibi veriler hakkında tüm yönleriyle bilgilendirilmelidir.
Personel:
1- Hangi verilerin işleneceği,
2- Hangi saatler arasında verilerin işleneceği,
3- Verilerin işleme amaç ve kapsamı,
4- Elde edilen verilere şirket bünyesinde hangi kişi veya departmanın ulaşabileceği,
5- Verilerin kimlere hangi amaçla aktarılacağı,
6- Verilerin yurt dışına aktarılıp aktarılmayacağı,
7- Verilerin hangi yöntem ile elde edileceği,
8- Elde edilen verilerin ne kadar süre saklanacağı,
9- Elde edilen verilerin korunması için alınan teknik tedbirler konusunda bilgilendirilmelidir.
Açık Rıza Metni içinde bulunması gerekenleri Kanun tek tek saymamıştır. Anca ilgili kişi kişisel verisi hakkında tüm yönleri ile bilgilendirilmeli diyerek Açık Rıza Metni içinde bulunması gereken konunun özünü ortaya koymuştur. Dolayısı ile yukarıdaki maddelere ekleme yapılabilir.
Metin hazırlandıktan sonra ispat yükünün şirketin tüzel kişiliğinde olduğunu unutmadan herhangi bir yöntem ile personelin irade beyanı alınmalıdır.
3- Elde Edilen Verilerin Sadece Yetkili Kişiler Tarafından Görülebilmesi
Başlıktan da anlaşılacağı üzere takip sistemi ile elde edilen kişisel verilere şirket bünyesinde sadece daha önce den belirlenen personel veya personeller tarafından erişilebilmelidir. Aslında belirli kişisel verilerin belirli bir personel tarafından ulaşılması ilkesi sadece takip sistemi ile elde edilen veriler için değil şirket bünyesindeki tüm kişisel veriler için geçerlidir.
Şirket bünyesindeki personeller sadece kendi yetki sınırları içindeki kişisel veriye ulaşabilmeli, yetki sınırları dışında kalan herhangi bir kişisel veriyi görmemeli ve erişememelidir. Yetki sınırlarını belirlemek Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu sıfatı ile şirketin yükümlülükleri arasındadır.
Şirketin kişisel veri güvenliğine ilişkin yerine getirmesi gereken teknik tedbirlere göre şirket bünyesinde ‘’ Yetki Matrisi ‘’ gibi önlemler alarak hem personelin ulaşabileceği kişisel veri bakımında yetki alanını belirlemeli hem de şirket içindeki kişisel veri güvenliği takibini yapmalıdır.
4- Şirket İle Araç Takip Sistemi Hizmeti Veren 3. Tüzel Kişi Arasında KVKK Anlamında Sorumluluk Sözleşmesinin Oluşturulması
Şirketler takip sistemlerini dış kaynak hizmet alım yolu ile 3. Bir tüzel kişiden hizmet almaktadır. Kurulan takip sistemi ile elde edilen veriler hem personelinin takibini yapan şirket tarafından hem de takip sistemi hizmetini veren şirket tarafından işlenmektedir. ( Genellikle)
İki şirket arasında kişisel veri aktarımı olacağı için elde edilecek olan kişisel veriler üzerinde yaşanacak olan herhangi bir hukuki ihtilafta sorumluluğun belirlenmesi veya kişisel veri güvenliğinin sağlanamadığı durumlarda acil olarak yapılması gerekenlerin belirlenmesi için iki şirket arasında KVKK sözleşmesi bulunması gerekmektedir.
Bu sözleşme ile teme olarak taraflar kişisel veri güvenliğinin sağlanması için kişisel veri güvenliğine ilişkin idari ve teknik tedbirleri tam anlamıyla yerine getirmeyi taahhüt eder.
Opmerkingen