Etik Hat Kurgusunda Kişisel Verilerin Korunması Bakımından Dikkat Edilmesi Gerekenler

12.06.2024

Contents

Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.


1. Giriş

Modern iş dünyasında; şirket, şirketler topluluğu, kurum vb. (hepsi birlikte “şirket” olarak anılacaktır.) oluşumlara duyulan güvenin artarak sürdürülebilir bir çalışma ortamı sağlanabilmesi için şirketler etik standartlar oluşturmakta ve bunlara uyum gösterilmesi için aksiyonlar almaktadır. Sürdürülebilir çalışma ortamının ve etik standartlara uyumun sağlanabilmesi için ise etik dışı davranışlardan şirketin haberdar olabilmesi önemlidir. Etik dışı davranışlardan haberdar olabilmek için ise şirketler, etik hat süreçlerini kurgulamakta ve çalışanları ile paydaşlarını (ör: tedarikçiler, alt işverenler, müşteriler vb.) etik hattın kullanılması yönünde teşvik etmektedir.

Etik süreçleri, doğası gereği, kişisel verilerin işlenmesini de içermektedir. Bu nedenle, etik hatların etkin ve güvenli bir şekilde işletilebilmesi için aynı zamanda kişisel verilerin korunması hususuna da dikkat edilmesi önemlidir. Bu yazımızda, etik hat uygulamasında dikkat edilmesi gereken hususlar özellikle kişisel verilerin korunması bakımından ve çalışanlar özelinde incelenecektir.

2. Etik Hat Nedir?

Etik hat, şirket içerisinde gerçekleşmesi muhtemel/gerçekleşmiş olan etik standartlar dışı suiistimal, davranış/kural ihlali ve/veya sorunları bildirmek üzere kurulan bir gizli iletişim kanalı olarak özetlenebilecektir. Bu sayede; çalışanlar, yöneticileri ile paylaşamadıkları veya paylaşamayacakları sorunları etik hatta erişerek anlatacak muhatap bulmaktadır. Etik hat; e-posta, telefon veya her iki iletişim kanalı aracılığıyla da mümkün olabilmektedir. Etik hat, kural olarak anonim işlemekteyse de etik dışı olayı anlatırken kişilerin kendilerine ait bilgileri paylaşması da mümkündür. Ancak, çalışanların bilgilerini etik kapsamında paylaşması halinde, etik hatta ulaşan çalışanın misillemeye maruz kalması, iş ortamındaki huzurunun bozulma ihtimali söz konusu olabilmektedir. Her ne kadar, şikâyet edenin adı anonim tutulsa da şikayet edilen kişinin ad-soyad bilgileri, şikayet konusu, departman bilgisi vb. kişisel verileri paylaşılmaktadır. Bunlar bakımından anonim bir süreç yürütülmesinden bahsedilemeyecektir.

3. Kişisel Verilerin Korunması Bakımından Nelere Dikkat Edilmesi Gerekmektedir?

Kişisel verilerin korunması, etik hat uygulamasında en çok dikkat edilmesi gereken unsurlardan biridir. Kişisel verilerin toplanması, görüntülenmesi, analiz edilmesi saklanması vb. süreçler 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili sair mevzuat (“Veri Koruma Mevzuatı”) uyarınca kişisel verilerin işlenmesi olarak ifade edilmektedir. Bu sebeple, etik süreçleri kapsamında kişisel verilerin korunmasına ilişkin politikaların oluşturulması ve çalışanların işbu politikalar hakkında bilgilendirilmesi önemli olmaktadır. Ayrıca, çalışanların kişisel verilerinin güvenliğinin sağlanması için uygun teknik ve idari tedbirlerin alınması yine veri koruma mevzuatına uyum ve kişisel verilerin korunması bakımından önem taşıyacaktır.

a) Etik Hat Politika ve Prosedürleri: Etik hatların başarılı bir şekilde işleyebilmesi için şirketlerin, etik hatta yönelik açık ve net politika ve prosedürlerin olması önemlidir. Etik hat süreçlerinde birçok kişisel veri ile temas edilmesinin mümkün olması sebebiyle, politika ve prosedürlerin, etik hat süreçlerinde kişisel verilere ne şekilde davranılacağını, kişisel verilerin hangi kapsamda kimler tarafından işlenebileceğine, aktarım yapılacak tarafların olup olmadığına dair vb. kuralları çizmesi faydalı olacaktır. Ayrıca bu belgelerin varlığı, etik hat çalışanlarının hangi kişisel veriler karşısında nasıl aksiyon alması gerektiğini bilmesi açısından da önem taşımaktadır. Etik özelindeki politika ve prosedürler dışında; kişisel verilerin işlenmesi, özel nitelikli kişisel verilerin işlenmesi, kişisel veri ihlal müdahale politikası gibi belgelerin de varlığı etik süreçlerinde kişisel verilerin kullanılması konusunu şirket içerisinde çok daha anlaşılır kılacaktır. Kaldı ki, politikaların hazırlanması etik hattın devamlılığı için gerekli olmasının yanında, Veri Koruma Mevzuatı uyarınca da veri sorumlusu ve veri işleyenlerin alması gereken idari tedbirlerden biridir. Bu sebeple, söz konusu politikaların etik hattın sürdürülebilirliği açısından önem taşımasının yanında Veri Koruma Mevzuatı’na uyum için de gerekli olduğu söylenebilecektir.

Bunun yanı sıra; veri yönetişimi, etik hatlar aracılığıyla toplanan bilgilerin güvenli bir şekilde yönetilmesi ve saklanması için kritik öneme sahiptir. Bu bağlamda, veri yönetişimi politikalarının oluşturulması ve uygulanması gerekmektedir. Bu politikalar, verilerin kimler tarafından erişilebileceğini, nasıl saklanacağını ve hangi durumlarda paylaşılacağını belirlemektedir. Ayrıca, veri güvenliğinin sağlanması için gerekli teknik önlemler de bu politikaların bir parçası olmaktadır. Güvenli ve güçlü bir veri yönetişimi sayesinde çalışanların etik hat ile paylaştıkları bilgiler güvende kalmaktadır.

b) Anonimlik: Anonim kalmanın bir hak olup olmadığının tartışılmakta olduğu günümüzde anonimlik, kişisel verilerin korunması bakımından büyük bir önem taşımaktadır. Etik hatta ulaşan çalışanların anonim kalma hakkına saygı gösterilmesi büyük önem taşımaktadır. Anonimlik, çalışanların kendilerini güvende hissetmelerini sağlayarak, daha fazla kişinin etik hatta ulaşmasını sağlayacaktır. Anonimlik korunurken, çalışanların kimlik bilgilerinin gizli tutulması ve işbu bilgilerin yetkisiz üçüncü kişilerle paylaşılmaması ve söz konusu çalışan bilgilerine erişen kişi sayısının ve yetkilerinin kısıtlanması uygun olacaktır. Ayrıca, bildirilen etik dışı ihlallerin gizliliği de korunmalı ve işbu bilgiler yalnızca söz konusu etik hat başvurusunu çözümleyecek yetkili kişilerin erişimine sunulmalıdır.

c) Eğitim ve Farkındalık Programları: Etik hat süreçlerinde yer alacak çalışanlara, farkındalık eğitimleri verilmesi ve farkındalık çalışmalarının yapılması uygun olacaktır. Böylelikle, etik hat süreçlerinde yer alan çalışanlar, etik hattın yapısı gereği, sürekli olarak işlemekte oldukları kişisel veriler ile ilgili nasıl aksiyonlar almaları gerektiği hakkında bilinç sahibi olacaklardır. Ayrıca; söz konusu eğitimlerin periyodik olarak yapılması Veri Koruma Mevzuatı uyarınca idari tedbir olarak geçmekte olup veri sorumlusu ve veri işleyenler için yükümlülük olarak sayılmaktadır.

d) Düzenli Denetimler: Veri Koruma Mevzuatı’na uygun bir etik hat süreci yürütüldüğünün, bu kapsamda işlenen kişisel verilerin güvenliğinin düzenli olarak denetlenmesi ve gerekli iyileştirmelerin yapılması uygun olacaktır. İşbu denetimler, yukarıdaki sayılanlara benzer olarak Veri Koruma Mevzuatı uyarında idari tedbirler kapsamında olup veri sorumlusu ve veri işleyenler için yükümlülük olarak geçmektedir. Aynı zamanda, bu denetimler şirket içerisindeki etik faaliyetlerinin etkin şekilde yürütülüp yürütülmediğinin anlaşılmasına da yardımcı olacaktır.

e) Teknik Altyapı: Etik hat uygulamasına uygun teknik altyapı sağlanarak, etik hatta bildirimde bulunan çalışanların anonimliğinin temin edilmesi önem arz etmektedir. Uygun bir teknik altyapı olmaksızın, yukarıda sayılan önlemlerin alınması zorlaşabilecektir.

f) Etik Hat Tedarikçisinin Seçilmesi: Her ne kadar yukarıda birçok dikkat edilecek husus sayılmış ise de pratik hayatta etik hat süreçleri çoğunlukla tedarikçiler aracılığıyla yürütülmektedir. Bu sebeple, şirketler tarafından tedarikçi seçilirken tedarikçinin yukarıdaki kriterleri sağlayıp sağlamadığından emin olunması; bu doğrultuda, uygun sözleşme hükümlerinin imzalanması, kişisel verilerin korunması hükümlerinin sözleşmeye dahil edilmesi veya ek protokol hazırlanması önerilmektedir. İşbu sözleşme ve/veya ek protokoller aracılığıyla şirketler tarafından kişisel verilerin korunması bakımından etik hat tedarikçisinin her türlü önlemi aldığından emin olunmalıdır. Bir başka deyişle, etik hat tedarikçileri tarafından Veri Koruma Mevzuatı uyarınca gerekli olan her türlü idari ve teknik tedbirin alındığından şirket olarak emin olunması uygun olacaktır. Aksi takdirde, olası bir kişisel veri ihlali yaşanması durumunda şirketin itibarının zedelenmesi, Kişisel Verileri Koruma Kurulu tarafından idari para cezasıyla karşılaşma riski bulunmaktadır.

4. Sonuç

Etik hatlar, şirketlerin etik değerlere uyumunu sağlamada kritik bir rol oynamaktadır. Ancak, bu hatların etkin ve güvenli bir şekilde işletilebilmesi için özellikle kişisel verilerin korunması ve çalışanların anonim kalması gibi konulara özen gösterilmesi, Veri Koruma Mevzuatı’na uyum sağlanması, etik hat tedarikçisinin doğru seçilmesinin, etik hat çalışanlarına periyodik eğitimler verilmesinin, uygun altyapının sağlanmasının ve düzenli denetimler yapılmasının; etik hatların güvenilirliğini ve etkinliğini artıracağı düşüncesindeyiz. Bu bağlamda, alınacak tedbirler ve uygulanacak politikalar, etik hatların başarılı bir şekilde işletilmesine katkı sağlayacaktır. Bu sebeple; etik hat uygulaması öncesinde bu yazımızda bahsi geçen tüm unsurları asgari bir gereklilik olarak benimsemek şirketler açısından etik ve Veri Koruma Mevzuatı’na uyumlu bir davranış olacaktır.

This website is available “as is.” Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent