Özlük Dosyalarının Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi

4857 sayılı İş Kanunu’nun 75 inci maddesi uyarınca işverenlerce her bir çalışan için özlük dosyası oluşturulması zorunludur. Oluşturulan bu dosyalarda, işveren çalışanın kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere ibraz etmek zorundadır.

İş Kanunu’nun 10 uncu maddesi uyarınca niteliği itibarı ile 10 günden az süreli olan süreksiz işler ile Deniz İş Kanunu ve Basın İş Kanunu kapsamında çalışanlar için özlük dosyası tutulması zorunluluğu yoktur.

İşçi özlük dosyasının tutulması yasal bir zorunluluk olması yanında kişisel verileri içermesi nedeniyle (kişinin kendisi ve ailesi ile ilgili bilgiler) 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ayrıca önem arz etmektedir. Bu nedenle özlük dosyalarının oluşturulması, muhafazası ve imhası aşamalarında çalışanlara ait kişisel verilere ilişkin herhangi bir ihlalin yaşanmaması adına Kişisel Verilerin Korunması Kanunu ve ilgili diğer düzenlemelere uygun olacak şekilde faaliyetlerin gerçekleştirilmesi gerekmektedir.

Çalışanın kişisel verileri işlenirken; Kişisel Verilerin Korunması Kanunu’nun “Veri minimizasyonu” ve “amaçla sınırlı ve ölçülü veri işleme” ilkelerinin dikkate alınması önem arz etmektedir. Şeklen bir tanıma tabi olmayan özlük dosyalarının, çalışanın iş akdinin devam ettiği süre boyunca güncellenmesi gerekmektedir. Ayrıca çalışana, kişisel verilerinin işlenmesi ile ilgili aydınlatma yapılmalı bu aydınlatmada kişisel verilerin neden alındığı, ne amaçla ve nerede kullanılacağı, kimlerle paylaşılacağı, veri sahibi olarak haklarının neler olduğu anlatılmalıdır. Kişisel Verilerin Korunması Kanunu’nun 10 uncu maddesi gereği işveren aydınlatma yapmakla yükümlüdür. Bu sebeple aydınlatmanın yazılı metinle yapılması ve bu metinlerin çalışana imzalatılarak özlük dosyalarında muhafaza edilmesi işverenin ispat yükümlülüğünü kolaylaştıracaktır. Yine çalışanların iş sözleşmeleri de Kişisel Verilerin Korunması Kanunu kapsamında düzenlememişse çalışanlarla bu kapsamda ek protokol yapılması uygun olacaktır.

Çalışanlara ait özlük dosyalarında bulunan; “Kan grubu kartı, sağlıkla ilgili tetkikler, işe giriş periyodik muayene formu, istirahat ve iş göremezlik raporları” Kişisel Verilerin Korunması Kanunu’nun 6 ıncı maddesi kapsamında özel nitelikli kişisel veri olarak değerlendirilmektedir. Bu nedenle, sağlık verisi ihtiva eden belgelerin, sır saklama yükümlülüğü altında olan işyeri hekimi/hemşiresi tarafından alınmalı ve muhafaza edilmelidir. İşyeri hekiminin/hemşiresinin işletmede sürekli bulunmaması durumunda ise sağlık verileri; çalışanın açık rızası alınarak ve özlük dosyasından ayrı bir ortamda, erişim yetkisi tanımlanmış kişilerin kontrolünde muhafaza edilmelidir.

Yine özel nitelikli veri kapsamında olan adli sicil kaydı ise kanuni bir zorunluluk olması durumunda alınmalı, aksi takdirde çalışanlardan “Açık rıza” alınarak işlenmelidir. Alınan adli sicil kaydına ait veriler en fazla 6 ay saklandıktan sonra imha edilmelidir.

Kişisel Verileri Koruma Kurulu tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi”nde; kişisel veri güvenliğinin sağlanması için kişisel veri içeren kâğıt ortamındaki evrakların, sunucuların, yedekleme cihazlarının, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi önlemler alınarak muhafaza edilebileceği açıklanmıştır. Bu nedenle özlük dosyaları; ihtiyaç halinde, sadece yetkili kişiler tarafından erişilebilecek şekilde ve kilitli ortamlarda muhafaza edilmelidir.

İş Kanunu uyarınca işçi tarafından açılacak davalarda zamanaşımı süresi 5 yıldır. Bu açıdan özlük dosyasının içerisindeki belgelerin saklanma süreleri önem taşır. 5510 sayılı Kanuna göre belge saklama süresi, belgenin ilgili olduğu yılı takip eden yılbaşından başlamak üzere on yıl, kamu idarelerinde ise otuz yıldır. İş Sağlığı ve Güvenliği mevzuatına göre ise işçinin kişisel sağlık dosyalarının 15 yıl saklanması gerekmektedir. İşçi özlük dosyasındaki belgelere göre saklama sürelerine dikkat edilmelidir. Saklama süresi dolan özlük dosyalarının imhası ise Kişisel Verilerin Korunması Kanunu’nun 7 inci maddesine, Kurum tarafından yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik ve bu mevzuat hükümlerine uygun olarak hazırlanmış şirket imha politikasına göre yapılmalıdır.