
Türkiye’de kişisel verilerin korunmasına yönelik en önemli adım, 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur (KVKK). 7 Nisan 2018 tarihine kadar verisi işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişilerin hukuka uygunluğunun sağlanması. Benzer şekilde Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girmiş ve Avrupa’da kişisel verilerin korunmasına yönelik yapılan iyileştirmelerde önemli bir aşamayı oluşturmuştur.
KVKK Kapsamında Yaptırımlar ve Aktörler
Hem yasaların (GDPR ve KVKK) hem de çevre mevzuatının getirdiği ağırlaştırılmış cezai yaptırımlar, kuruluşları ilgili gerekliliklere uymaya zorlasa da, birçok kuruluş henüz gerekli adımları atmadı. Başta İstanbul ve Ankara olmak üzere ülkemizin birçok şehrinde gerçekleştirilen bilgilendirme toplantıları, bazı şirketler ve kamu kurumları tarafından dijitalleşme süreçlerinde fırsat olarak değerlendirilmiştir. Öte yandan KVKK’da öngörülen hapis cezaları ise idari ve teknik tedbirlere dikkat çekiyor
Her iki kanunda da benzer şekilde tanımlanan taraflara baktığımızda, veri sahibi, veri sorumlusu ve veri işleyicisi önemli aktörler olarak karşımıza çıkıyor. Tüm bu üç aktörün bir araya geldiği operasyonel iş süreçlerinden biri de bordro dış kaynak kullanımı sürecidir. KVKK’nın 3. maddesi bu aktörleri şu şekilde tanımlamaktadır:
Veri Sahibi: Verisi işlenen gerçek kişi uygulamada veri sahibi olarak hareket etmektedir. GDPR’de Veri Konusu olarak adlandırılır.
Veri Sorumlusu: Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. GDPR’de Veri Denetleyicisi olarak adlandırılır.
Veri İşleyen: Kişisel verileri veri sorumlusu tarafından verilen yetkiye dayanarak ve adına işleyen gerçek veya tüzel kişiyi; GDPR’de Veri İşlemcisi olarak adlandırılır
Tarafların Hak ve Yükümlülükleri
Bir şirket dış kaynaklı hizmet alarak bordro işlemlerini gerçekleştiriyorsa tarafların yasal hak ve yükümlülükleri ayrıca gözden geçirilmelidir. Organizasyon içinde, operasyonlarını dış kaynak olarak kullanan sürece dahil olan tarafları ayırt etmeye çalıştığımızda çeşitli rollerle karşılaşıyoruz. Aşağıda süreç içindeki tarafların bireysel durumlarının bir özeti bulunmaktadır:
Bordro işlemleri için dış kaynak sağlayan şirket: 4857 sayılı İş Kanunu’nun 75. Maddesi çalışanların kişisel verilerinin korunmasına ilişkin önemli bir hüküm içermektedir.
- Veri sahibinin açık rızasının varlığı,
- Kanunda açıkça öngörülen durumlarda,
- Fiziki imkânsızlık nedeniyle rıza veremeyecek durumda olan veya rızası hukuken geçersiz olan veya başka bir kişinin can veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin taraflarına ait kişisel verilerin doğrudan söz konusu sözleşmenin yapılması veya ifasıyla ilgili olması kaydıyla işlenmesinin gerekli olması,
- Veri sorumlusunun yasal yükümlülüğünü yerine getirmesinin zorunlu olduğu hallerde,
- Veri sahibinin kendisi tarafından alenileştirildiği durumlarda,
- Bir hakkın güvence altına alınması, kullanılması veya korunması için veri işlemenin zorunlu olduğu durumlarda,
- İlgili kişinin temel hak ve özgürlüklerinin ihlal edilmemesi kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.