Türkiye’de kişisel verilerin korunması 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile sağlanmaktadır. Bu kanun, çalışanların kişisel verilerinin işveren tarafından toplanması, işlenmesi ve saklanması süreçlerini sıkı kurallar ile sınırlandırmaktadır.
Uzaktan Çalışma Modelinde İşverenin Yükümlülükleri
Uzaktan çalışma sırasında kullanımı pratikle mecbur hale gelen bulut veya benzeri yazılımların kullanılması kişisel verilerin korunması konusundaki endişeleri artırmaktadır. Örnek vermek gerekirse şirketlere ait verilere farklı ağlar ve cihazlar üzerinden erişimin sağlanması, anlık mesaj platformları, e-posta, bulut tabanlı dosya paylaşım hizmetleri, kişisel verilerin izinsiz erişime açılmasına yol açabilmektedir. Güvenlik ihlallerinin engellenmesi bakımından Elektronik İmza Kanunu’nun veri erişimini kontrol altına almayı hedefleyen kimlik doğrulama sistemi bu konu için getirilmiş uygulamalardan biridir.
KVKK madde 12 ve madde 7 gereğince işverenlerin veri güvenliğinin sağlanması ve kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi için gereken bütün teknik ve idari tedbirleri alma yükümlülükleri bulunmaktadır.
Ayrıca yalnızca yapılan işe özgülenmiş, işverenlikçe sağlanan cihazların kullanılması ve sürekli olarak güncellenmesi ile bu cihazlara güçlü şifreler koyulması, çok faktörlü kimlik doğrulama, uzaktan erişim ile veri silme yöntemleri işverenin uzaktan çalışma sırasında veri güveliğini sağlamasında alabileceği tedbirler arasındadır.
Ek olarak çalışanların kimlik avı saldırıları, kötü amaçlı yazılımlar gibi olasılıklara karşı bilinçlendirilmeleri için işverenlikçe eğitim verilmelidir. Cihazların kaybolması, çalınması veya hacklenmesi sebepleriyle verilerin çalınması söz konusu olursa yasal sürecin başlatılması işverenin yükümlülüğündedir.
İşverenin Veri İzleme Yetkisinin Sınırları
İşverenlerin uzaktan çalışma modelinde kişisel verilerin korunması konusunda yerine getirmekle yükümlü oldukları tedbirleri alırken uymaları gereken birtakım sınırlar bulunmaktadır. Bu sınırlar KVKK ve Türk Borçlar Kanunu ile çizilmiştir.
İşverenin uzaktan çalışma esnasında veri erişimini izleme yetkisi bulunmakta olup bu yetki KVKK’nın ile sınrlandırılarak çalışanların özel hayatlarına müdahalenin engellenmesi amaçlanmıştır. Bu hususta işverenin öncelikle veri erişim izni alması gerekmektedir.
Bunların yanında işverenlerin Türk Borçlar Kanunu kapsamında ölçülülük ve gereklilik ilkelerine uygun olarak hareket etmeleri gerekmektedir.
Sonuç
İşverenler, uzaktan çalışma modelinde kişisel verilerin erişime açılma riskini en aza indirmek için elektronik imza kullanılması, yalnızca yapılacak işe özgülenmiş cihazların kullanılması ve bu cihazların sürekli olarak güncellenmesi, güçlü şifreler kullanılması, kullanılan cihazların uzaktan erişime ve veri silmeye elverişli olması yöntemlerini kullanmalıdırlar. Bu önlemlerin yanında çalışanların kötü yazılımlara karşı bilinçlendirilmesi için eğitim verilmelidir. Tedbirlerin uygulanması sırasında işverenler çalışanların özel hayatına müdahale etmemek adına öncelikle veri erişim izni almalıdırlar. Devamında veri erişiminin yapılan iş için gerekli olması ve kullanılan yöntemin çalışanların özel hayatına olması gerekenden fazla müdahale içermemesi gerekmektedir.
Berfin Naz Ayduk
Avukat