İş Sözleşmesi ve Disiplin Yönetmeliği Kanuna Uygun Olarak Nasıl Hazırlanır?
Veri sorumlusu olarak her şirketin, kurumun farklı boyutta ve önemde verileri bulunmaktadır. Bu nedenle iş sözleşmesi ve disiplin yönetmeliği içeriği, kişisel verilerin korunması ile ilgili hükümler, disiplin hükümleri, yasak olan fiiller, disiplin cezaları her şirket, kurum için farklı olmalı ve o şirkete, kuruma özgü olarak hazırlanmalıdır.
Çalışanların yetkileri kesin bir şekilde belirlenmeli ve bunlar yazılı olarak hazırlanmalıdır. Bu yetki alanları belirlenmezse disiplin hükümleri boşa düşmekte, uygulanabilirliğini kaybetmektedir.
Disiplin cezalarını gerektiren fiiller tek tek belirtilmeli ve bu fiillerin hangi disiplin cezasına ve/veya cezalarına yol açacağı belirtilmelidir.
Disiplin kurulu ve disiplin kurulunun üyeleri belirlenmelidir. Burada tek sayıda yönetici pozisyonundaki kişi kurul olarak atanmalı ve kurul başkanı da belirlenmelidir.
Kişisel Verilerin Korunmasına ilişkin hükümler sözleşmelere eklenmeli ve disiplin hükümleri iş sözleşmesinin eki veya devamı olacak şekilde çalışana imzalatılmalı ve disiplin hükümlerinde değişiklik yapılması halinde bu durum tüm çalışanlara ilan edilmelidir.
Disiplin cezaları (kınama, uyarma, işten çıkarma) kesin bir şekilde tanımlanmalı ve kimlerin bu cezaları vermeye yetkili olduğu belirlenmelidir. Burada bu cezalara da ayrıca bir itiraz prosedürü öngörülebilir.
İş Sözleşmeleri
6098 sayılı Türk Borçlar Kanunu’nun 419. maddesinde işverenin, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabileceği düzenlenmiştir. Söz konusu maddenin gerekçesinde, “teknolojik gelişmeler sonucunda günlük yaşantının bir parçası haline gelen ve bilgisayar ortamında saklanabilen verilerin kullanılması konusunda işçinin korunması amacıyla bazı sınırlamalar” getirilmesine ihtiyaç duyulduğu belirtilmektedir. Ancak bu hüküm, gerekçede belirtilen sınırlamalara tabi olmayıp; işçinin özlük dosyasında saklanan basılı verilerini de kapsamaktadır. Söz konusu maddenin ikinci fıkrasında değinilen özel kanunun, İş Kanunu’nun yanı sıra 6698 sayılı Kişisel Verilerin Korunması Kanunu olduğunu kabul etmek gerekir.
İşçiye Ait Kişisel Veriler
İşçinin kişisel verileri bilgisayar ortamında ve özlük dosyasında saklanan, işçinin özel ve mesleki hayatındaki bilgileri de içine alan ve işçiyle ilişkili veya ilişkilendirilebilecek tüm bilgileri kapsar. İşçinin kimliğinde yer alan tüm bilgiler, ikametgahı, adli sicil kaydı, sağlık verileri, dernek üyelikleri vb. bilgiler işçiye ait kişisel verilerdir.
İşçinin İşe Yatkın Olması ve Hizmet Sözleşmesinin İfası İçin Zorunluluk
Türk Borçlar Kanunu’nun 419. maddesinin birinci fıkrası uyarınca işveren maddede belirtilen iki ölçütten en az birinin varlığı halinde işçiye ilişkin kişisel veriler işlenebilecektir. İşçinin işe yatkınlığı, işçinin işi ifasının gerektirdiği kabiliyette olması; hizmet sözleşmesinin ifası için zorunlu olması ise, sözleşmede yer alan yükümlülüğünü yerine getirmesi için zorunlu olan verilerdir.
İşçinin Kişisel Verilerinin “Kullanılması”
Türk Borçlar Kanunu’nun 419. maddesinde “kullanma” ibaresi kullanılmıştır. Doktrinde bu kavramın, işçinin kişisel verilerinin korunmasında eksik kaldığı olduğu düşünülmektedir. İşçiye ait kişisel veri ile yapılan tüm hareketlerin bu kapsamda yer alması gerekmektedir. Bu itibarla “kullanma”, yalnızca kişisel verilerin işlenmesi kabul edilen tek bir faaliyeti karşılamakta olup işçinin kişisel verileri için sağlanacak korumanın kapsamının son derece daraltılmasına zemin hazırlayabilecektir. Açıklanan nedenlerle, söz konusu madde geniş yorumlanarak “verinin işlenmesi” olarak değerlendirilmelidir.
Hem Türk Borçlar Kanunu hem de Kişisel Verilerin Korunması Kanunu gereğince işçilerin kişisel verileri temel ilke ve veri işleme şartlarına uygun olarak gerçekleştirilmelidir. Bu nedenle işçilerin iş sözleşmelerine kişisel verilerin korunmasına ilişkin maddeler eklenmektedir. Ayrıca sözleşmenin ekinde veri işleme faaliyetine ilişkin aydınlatma metni imzalatılmakta ve işçilerden açık rıza alınmaktadır.
Disiplin Yönetmeliği
Veri sorumlusu bir tüzel kişilik ise, disiplin yönetmeliği Kişisel Verilerin Korunması Kanunu’na göre revize edilmektedir. Kurumda bir kişisel veri ihlali gerçekleşmesi durumunda hangi yaptırımın uygulanacağı disiplin yönetmeliğinde belirlenmelidir. Böylece çalışanlarda hem farkındalık uyandırılmış hem de veri ihlaline karşı caydırıcılık sağlanmış olmaktadır.