Türkiye'de kişisel verilerin korunması ile ilgili atılan en önemli adım Kişisel Verilerin Korunması Kanunu'dur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girdi. Kanun, kişisel verileri işlenen gerçek kişiler ve bu verileri işleyen gerçek ve tüzel kişilere, uyumluluk için 7 Nisan 2018 tarihine kadar süre tanıyan hükümler içermektedir. Benzer şekilde Avrupa Birliği Genel Veri Koruma Tüzüğü (EU General Data Protection Regulation - GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girerek Avrupa'daki kişisel verilerin korunması gelişmelerinin önemli bir aşaması olmuştur.

Yaptırımlar ve Aktörler

Her iki yasa ve çevre mevzuatlarının getirdiği ağır cezai yaptırımlar kurumları uyumlu olmaya zorlasa da, birçok kurum yapılması gerekenler konusunda henüz gereken adımları atmış değil. Başta İstanbul ve Ankara olmak üzere birçok ilimizde yapılan bilgilendirme toplantıları bir kısım şirketler ve kamu kuruluşları için dijitalleşme süreçlerinde bir fırsat olarak değerlendirilmiştir. Diğer taraftan KVKK'da yer alan hapis cezaları dikkatleri idari ve teknik tedbirlere çevirmiştir. Örnek olarak kişisel verilerin; belirlenen süre içinde imha edilmemesi (saklama sürelerine uyulmaması) halinde 2 yıla kadar, kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde 1 – 3 yıl arasında hapis cezası öngörülüyor. Yasada en ağır yaptırım ise kişisel verilerin kanuna aykırı olarak başkasına verilmesi, yayılması ya da ele geçirilmesi durumunda ortaya çıkıyor ve 2 – 4 yıl hapis cezasına hükmediliyor. Diğer taraftan KVKK'nın maddi cezaları da bir hayli yüksek, yine 2019 yılı için aydınlatma yükümlülüğüne aykırılık halinde 100.000 TL'ye kadar ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde 1.000.000 TL'ye kadar yaptırım ön görülmekte. (2019 yılı için yeniden değerleme oranları ile artırılarak hesaplanması gerekmektedir). Aynı zamanda GDPR ile ilgili yasal uyumsuzluklar, işletmenin bir önceki yıla ait küresel cirosunun % 4'ü veya 20.000.000 Euro'ya kadar para cezasına mal olabilir.

Her iki yasada da benzer şekilde tanımlanan taraflara baktığımızda önemli aktörler; veri sahibi, veri sorumlusu ve veri işleyen olarak karşımıza çıkıyor. Bu üç aktörün de bir arada bulunduğu iş süreçlerinden biri de bordro outsource (bordro hizmetlerinde dış kaynak kullanımı) olarak akla geliyor. KVKK'da 3'üncü Madde bu aktörleri aşağıdaki şekilde tanımlamıştır.

  1. İlgili Kişi – Veri Sahibi: Kişisel verisi işlenen gerçek kişi uygulamada veri sahibi olarak karşımıza çıkmaktadır. GDPR'da Data Subject (veri öznesi) olarak adlandırılmaktadır.
  2. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. GDPR'da Data Controller (verileri kontrol eden) olarak karşımıza çıkmaktadır.
  3. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi tanımlar. GDPR'da Data Processor (verileri işleyen) olarak değerlendirilmektedir.

Bordro Outsource Hizmetlerinin Tarihi Gelişimi ve Sarbanes-Oxley Act (SOX)

Bordro outsource (payroll outsource) hizmetlerinin tarihine kısaca bakacak olursak, ilk olarak henüz bu alanda otomasyonun ve bilgisayar kullanımının söz konusu olmadığı yıllardan başlamamız gerekir. Yurt dışında 1940'ların sonunda outsource, karmaşık bir iş fonksiyonunun bir danışmana bırakılmasından ibaretti. Özellikle Amerika'da 50'ler ve 60'lar bordro hesaplamalarının artık akademik düzeyde ve yaygın olmamakla birlikte şirketler tarafından ilk bilgisayarlar ile yapılmaya başlandığı bir dönemdi. 1970'lerin başlarından 1980'e kadar ortaya çıkan bordro outsource şirketleri, bordro süreçlerini otomatik hale getirme ve el değmeden ücret pusulası (payslip, paycheck) üretme önerisinde bulundular.

2002 yılında Sarbanes-Oxley yasasının ortaya çıkmasına yol açan denetim sorunları, işletmelerin en önemli gider kalemlerinden biri olan personel ücretlerinin daha tutarlı kontrolü konusunda bir farkındalık oluşturmuştur. SOX, kurumların finansal raporlamaları üzerindeki kontrollerini en üst seviyeye yükseltmesini ve etkin bir kurumsal yönetimi sistemi oluşturulmasını amaçlamıştır. Yeni kurallara göre denetim firması, bir müşterisinin mali denetimini yapıyorsa, o şirketin bundan başka bir işini yapamaz prensibi kabul edilmiştir.

Zaman içinde ortaya çıkan çeşitli yolsuzluklarda şirket içerisinde bordro hesaplayan ve ödeme yapan (inhouse payroll) sorumluların, yıllarca gerçek olmayan; yüksek ücret, ek ödeme, fazla mesai, hileli avans tutarları yatırdıkları anlaşıldı. İç kontrol zayıflıkları, görev ayrılığı ilkelerinin uygulanmaması, raporlama eksiklikleri, insan hatası gibi etkenler özellikle Amerikan şirketlerinde bordro hizmetini dışarıdan almayı birinci tercih haline getirdi. Daha sonra bu akım Avrupa ve ardından diğer dünya ülkelerine yayıldı.

SOX yasasından kaynaklanan görev ayrılığı anlayışı gereği, denetim şirketleri denetledikleri firmaların bordro hesaplamalarını yapamamaktadırlar. Günümüzde, şirketler daha uygun maliyet, gizlilik ve güvenlik, yasal uyum, kontrol ihtiyacı gibi nedenlerle bu karmaşık iş sürecini dışarıdan hizmet alarak yürütmeyi tercih etmeye başlamışlardır. Bu sayede yolsuzluklar azalmakta, gizlilik, denetim ve kontrol imkanları artmaktadır.

Tarafların Hak ve Sorumlulukları

Bir işletmenin bordro hesaplamaları ile ilgili süreci dışarıdan hizmet alarak yürütmesi durumunda, tarafların yasal hak ve sorumlulukların ayrı ayrı incelenmesi gerekecektir. Hizmet alan işletme içerisinde konunun taraflarını ayrıştırmaya çalışırsak karşımıza farklı roller çıkmaktadır. Tarafların süreç içerisindeki durumlarını ayrı ayrı özetlemek gerekirse,

1. Bordro hizmeti alan şirket: 4857 Sayılı İş Kanunu 75'inci Madde çalışanın kişisel verilerinin korunması ile ilgili önemli bir hüküm içermektedir. Buna göre "İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür". Benzer şekilde KVKK 5'inci maddede Kişisel verilerin işlenme şartları ile ilgili kuralları belirlemiştir. Buna göre aşağıdaki yer alan hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkün hale gelmektedir.

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu maddelerde yer alan bilgiler ışığında çalışanların ücretlerinin ödenmesi doğal olarak veri sorumlusu işverenin hukuki sorumluluğudur. Ayrıca bordro hesaplaması çalışan ile işveren arasında akdedilen iş sözleşmesinin ifa edilebilmesinin şartlarından biridir. Diğer bir ifade ile çalışanın bordrosunun hesaplanması için kişisel verilerinin işlenmesinin hukuki dayanakları tam olarak oluşmaktadır. Buna göre çalışanlardan bir açık rıza alınmadan kişisel verileri bordro hizmet tedarikçisine aktarılabilecektir. Ancak burada gözden kaçırılmaması gereken önemli bir konu da aydınlatma yükümlülüğüdür. KVKK; kişilerin açık rızası, kişisel veri işleme şartlarının oluşması ve benzer süreçlerden bağımsız olarak veri işleme sorumlusuna aydınlatma yükümlülüğünü şart koşmaktadır. Veri sorumlusu şirketin, aydınlatma yükümlülüğü yerine getirirken Kanunun 10'uncu maddesindeki maddeleri dikkate alması gereklidir. Ayrıca 10 Mart 2018 Tarihli 30356 Sayılı Resmi Gazete'de yer alan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ ile aydınlatma yükümlülüğü kapsamında uyulması gereken usul ve esasları belirlemektedir.

Kanun maddesi ve tebliğde yapılan açıklamalara göre, kişisel verilerin ne amaçla işleneceği ve kimlere aktarılacağı açıkça belirtilmelidir.

Bununla birlikte, aydınlatma metninde hukuki sebep açıkça ortaya konmalı ve bordro şirketine hangi amaçla kişisel veri aktarılacağı belirtilmelidir.

KVKK'nın 12'inci Maddesi gereğince veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde; kişisel verilerin usulüne uygun işlenmesinin sağlamak, hukuka aykırı erişimi önlemek, korunmasını sağlamak ve tüm teknik ve idari tedbirleri almak konusunda veri işleyen ile müştereken sorumludur.

Hizmet alan şirketin aktaracağı veriler arasında özel nitelikli kişisel veriler de yer alabilmektedir. Bordro hesaplarını etkileyecek olan sendika bilgisi, sağlık bilgileri, hastalık raporları gibi konular özel nitelikli kişisel veriler olarak belirlenmiştir. Bu kapsamda sayılacak veriler şu şekildedir; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler (kıyas yoluyla çoğaltılamaz).

Yasaya göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında sadece aşağıdaki hâllerde mümkün olmaktadır:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Bu durumda örneğin, personelin sendikalılık bilgisi bordro outsource hizmet tedarikçisine açık rıza aranmaksızın (aydınlatma metninde yer alarak) aktarılabilecektir. Hastalık raporlarının bordro outsource hizmet tedarikçisine aktarılması konusunda ise personelden açık rıza alınması gerekecektir.

2. Şirket çalışanları ve kişisel verilere erişim yetkisi olanlar: Özel hayatın gizliliği ve korunması Anayasal haklardan biridir. 18 Ekim 1982 tarihli Türkiye Cumhuriyeti Anayasası 20'inci maddesine göre, "herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz." Bu maddeye 7 Mayıs 2010 tarihinde yapılan ek şu şekildedir, "herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." Aynı zamanda KVKK'nın 11'inci maddesinde bu haklar alttaki gibi düzenlenmiştir.

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektirecek sebepler ortadan kalkmışsa, zaman aşımı sürelerini de dikkate alarak kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Veri sahibi, veri sorumlusuna başvururken KVKK 13'üncü maddesi gereğince talebini yazılı olarak veya Kişisel Verilerin Korunması Kurulu tarafından belirlenecek diğer yöntemlerle iletebilecektir. Firmalar genel olarak aydınlatma yükümlülüğünde bu talepler ile ilgili bir e-posta adresi veya bir online form erişimi sağlamaktadırlar. KVKK gereğince bu taleplerin ücretsiz karşılanacağı ancak eğer bu talebi yerine getirmek için bir maliyete katlanılması gerekiyorsa bunun veri sahibinden tahsil edilebileceği unutulmamalıdır. Ücret tarifesi, Kişisel Verileri Koruma Kurulu tarafından belirlenecektir. Ancak talep nedeni olan konu ile ilgili işverenin bir kusuru varsa alınan bedel iade edilecektir.

Bu açıklamalar ışığında çalışanın gerekli gördüğü durumda, tedarikçi bordro outsource şirketinin kim olduğunu öğrenmesi talebinin, veri sorumlusu tarafından karşılanmasının yasaya uygun olduğunu söyleyebiliriz.

Şirket içerisinde bordro outsource hizmet tedarikçisine, çalışanların kişisel verilerini aktarma yetkisi bulunan kişiler için ayrı bir güvenlik ihtiyacı doğmaktadır. Ücret, özel nitelikli kişisel veriler ve benzeri hassas verilere erişimi olan personel için daha farklı bir gizlilik sözleşmesi oluşturulmalı ve yetki matrisinde bu kişilerin erişim seviyeleri ayrıştırılmalıdır.

3. Bordro outsource hizmet tedarikçisi: Bordro outsource hizmetleri tedarikçisi, veri sorumlusu olan müşterisinden aldığı çalışan verileri ile bordro hesaplaması işlemi yapmaktadır. Bu hizmet veri sorumlusundan alınan bir yetki ile yerine getirildiği için tedarikçi bu kapsamda "veri işleyen" olarak değerlendirilmelidir. Şirket ve tedarikçi aralarında bir "veri sorumlusundan, veri işleyene veri aktarımı" sözleşmesi imzalamalıdırlar. Veri işlemenin amaç ve yöntemleri bu sözleşmede belirtilmelidir. Tedarikçinin, bordro hesabı için aldığı kişisel verileri sözleşmede belirtilen bordro hizmeti ve benzeri amaçlar dışında kullanması durumda aynı veri için bir anda "veri sorumlusu" olarak değerlendirileceği önemli bir noktadır. Veri işleyenin, her ne kadar veri sorumlusunun talimatları doğrultusunda, veri sorumlusuna ait verileri işlese de gerekli teknik ve idari tedbirleri alarak kişisel verilerin korunmasını sağlamak zorunda olduğu açıktır. Veri işleyen, müşterisinden alacağı verileri, hizmet amacı ile bağlantılı, sınırlı ve ölçülü olarak almalıdır. Örnek olarak, bordro hesabının yapılması için ad, soyad, T.C. kimlik numarası yanında Asgari Geçim İndirimi hesaplaması için çalışanın ailesi ile ilgili bilgiler alınabilir. Ancak eğer şirket kendi çalışanlarının otopark giriş çıkışlarını takip etmek için araç plakalarını alıyorsa bunu bordro hizmet tedarikçisine aktarmasına gerek yoktur. Çünkü motorlu taşıt plakası kişisel veri olarak tanımlanmıştır ve gereksiz aktarımı ölçülülük ilkesi ile çelişmektedir.

Yukarıda bahsedilen süreç ve sorumluluklar ile ilgili olarak hizmet alan şirket ve bordro hizmetleri tedarikçisi, aktarım sırasında kişisel verilerin güvenliğinin sağlanması için gerekli güvenlik önlemlerini almalıdır. Taraflar, bu verilerin korunması ile ilgili oluşabilecek risklerin gerçekleşme olasılıkları tespit edilerek bir riskin gerçekleşmesi durumunda yol açacağı kayıpları analiz ederek buna uygun çözümleri ortaya koymalıdırlar. Verilerin güvenli bir şekilde aktarımı için şifreleme, SSL, e-posta güvenliği ve benzeri tüm teknik tedbirler titizlikle incelenmeli ve aktarım anında oluşabilecek riskler minimize edilmelidir. Ayrıca veri ihlali durumunda veri sorumlusunun veri ihlal bildirimi hakkındaki yükümlülükleri göz önünde bulundurulmalıdır.

  • [1] Kişisel Verilerin Korunması Kanunu Metni: Okumak içintıklayınız
  • [2] AB Veri Koruma Regülasyonu (GDPR) Metni: Okumak içintıklayınız
  • [3] Veri İhlal Bildirimi Hakkında: Okumak için tıklayınız

Click here to read more

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.