Türkiye'de, kişisel verilerin korunmasına yönelik en önemli gelişme, 7 Nisan 2016 tarihli Resmi Gazete'de yayımlandıktan sonra yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Yasasıdır (KVKK).

Benzer şekilde, Avrupa Birliği üye ülke vatandaşlarını kapsayan Genel Veri Koruma Yönetmeliği, (GDPR) 25 Mayıs 2018'de yürürlüğe girmiş ve Avrupa'daki kişisel verilerin korunmasına yönelik iyileştirmelerde önemli bir aşama oluşturmuştur.

bordro dış kaynak yönetimi kvkk insanlar ellerini birbirinin ellerinin üzerine koyuyorlar görsel işbirliğini temsil ediyor

Yaptırımlar ve Faktörler

Her iki yasa (GDPR ve KVKK) ve kapsadıkları ağırlaştırılmış cezai yaptırımlar, kuruluşları ilgili gerekliliklere uygun olmaya zorlasa da, birçok kuruluş henüz gerekli adımları atmamıştır.

Ülkemizde, özellikle İstanbul ve Ankara dahil olmak üzere bazı şehirlerde yapılan bilgilendirme toplantıları, bazı şirketler ve kamu kurumları tarafından dijitalleşme süreçlerinde bir fırsat olarak değerlendirilmiştir.

Öte yandan, KVKK'da öngörülen hapis cezaları veri sorumlularının dikkatlerini idari ve teknik önlemlere çekmektedir.

Örneğin, kişisel verilerin belirtilen süre içinde (saklama sürelerine uyulmaması) imha edilmemesi için 2 yıla kadar hapis cezası veya kişisel verilerin yasa dışı bir şekilde kaydedilmesi halinde 1-3 yıl hapis cezası uygulanmaktadır.

Kanunda bulunan en ağır yaptırım, 2-4 yıl hapis cezasıdır kişisel verilerin başkaları tarafından hukuka aykırı olarak aktarılması veya ifşa edilmesidir.

KVKK'da tanımlanan idari para cezaları da son derece yüksektir; 2019 yılı için yapılan parasal yaptırımlar, ifşa yükümlülüğünün yerine getirilmemesi durumunda 100.000 TL, veri denetleyicisinin siciline tescil ve bildirim yükümlülüğünün ihlali durumunda 1.000.000 TL'ye kadar çıkmaktadır.

GDPR yasal uyumsuzluk vakaları, ilgili işletmenin bir yıl önceki küresel cirosunun % 4'üne kadar veya 20.000.000 EUR para cezasına çarptırılabilirler.

Her iki yasada da benzer şekilde tanımlanan yerlere gelecek olursak; veri konusu, veri denetleyicisi ve veri işlemcisi önemli konulardır. Üç konuyla da ilgili olan operasyonel iş süreçlerinden biri bordro dış kaynak kullanımı sürecidir.

KVKK'nın 3. maddesi bu konuların detayları şu şekildedir:

Veri Konusu: Verileri işlenen gerçek kişi uygulamada verilerin sahibi olarak görev yapar. Buna GDPR'de "Veri Konusu" denir.

Veri Denetleyicisi: Kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin oluşturulmasından ve yönetiminden sorumlu gerçek veya tüzel kişiye veri denetleyicisine GDPR'de "Veri Denetleyicisi" denir.

Veri İşlemcisi: Kişisel verileri, veri denetleyicisi tarafından verilen yetki altında işleyen gerçek veya tüzel kişilere GDPR'de "Veri İşlemcisi" denir.

Bordro Dış Kaynak Hizmetlerinin Tarihsel Gelişimi ve Sarbanes-Oxley Yasası (SOX)

sarbanes oxley yasasının logosu

Bordro dış kaynak hizmetlerinin tarihine kısaca bir göz atarsak, başlangıçta bu alanda otomasyon ve bilgisayar kullanımının olmadığı yıllarla başlamalıyız.

1940'ların sonunda, yurtdışında, dış kaynak kullanımı bir danışmana karmaşık bir iş fonksiyonu tahsis etmekle sınırlıydı. Özellikle ABD'de 50'li ve 60'lı yıllar, bordro hesaplamalarının akademik düzeyde yapılmaya başlandığı ve şirketler tarafından ilk bilgisayarlar aracılığıyla henüz yaygınlaşmamış olduğu bir dönemi ifade etmektedir.

1970'lerin başından 1980'lere kadar ortaya çıkan bordro dış kaynak şirketleri, bordro süreçlerini otomatikleştirmeyi ve tamamen manuel olmayan, otomatik bir yöntemle maaş bordroları ve maaş çekleri üretmeyi önerdi.

2002 yılında Sarbanes-Oxley Kanununun ortaya çıkmasına neden olan denetim konuları, kuruluşlar için en önemli maliyet kalemlerinden birini oluşturan personel ücretlerinde daha tutarlı kontrollerin önemi konusunda farkındalık yaratmıştır.

SOX, kuruluşların finansal raporlama üzerindeki kontrollerini en üst düzeye çıkarmayı ve etkin bir kurumsal yönetim sistemi kurmayı amaçlamıştır.

Yeni kurallara göre, bir denetim şirketi bir müşterinin finansal denetimini yürütüyorsa, söz konusu müşterinin başka hiçbir işini yapamayacağı ilkesi olarak kabul edilmiştir.

Zaman içinde çeşitli yolsuzlukların ortaya çıkmasıyla, bordroyu işleyen ve ödemeleri yapan kurum içi bordro operatörlerinin yıllardır yüksek ücretler, ek ödemeler, zaman içinde ödemeler ve hileli işlemler yaptıkları anlaşılmıştır.

İç kontrol zayıflıkları, güçler ayrılığı ilkesinin uygulanamaması, eksikliklerin bildirilmesi ve insan hatası gibi faktörler, özellikle ABD şirketleri için bordro hizmetlerinin dış kaynak kullanımını birincil tercih haline getirmiştir.

Bu eğilim daha sonra Avrupa'ya ve daha sonra dünyadaki diğer ülkelere yayılmıştır.

SOX Kanunu'ndan kaynaklanan güçler ayrılığı yaklaşımına göre denetim şirketleri, denetim hizmeti verdikleri şirketler için bordro hesaplamaları yapamazlar.

Günümüzde şirketler, bu karmaşık iş sürecini maliyet etkinliği, gizlilik ve güvenlik, yasal uyumluluk, kontrol gereksinimi vb. nedenlerle dış kaynak kullanımı yoluyla gerçekleştirmeyi tercih etmektedir. Böylece gizlilik, denetim ve kontrol olanakları artarken yolsuzluk azalmaktadır.

Tarafların Hak ve Yükümlülükleri

Bir şirket bordro işlemlerini dışarıdan hizmet alarak gerçekleştirirse, tarafların yasal hak ve yükümlülükleri ayrı ayrı gözden geçirilmelidir.

Organizasyon içerisinde, operasyonlarını dış kaynaklardan temin eden sürece dahil olan tarafları ayırt etmeye çalıştığımızda, çeşitli roller ile karşılaşırız. Aşağıda süreçteki tarafların bireysel durumlarının bir özeti bulunmaktadır:

Bordro işlemlerini outsource eden şirketler için 4857 sayılı İş Kanununun 75. maddesi çalışanların kişisel bilgilerinin korunmasına ilişkin önemli bir hüküm içermektedir. Buna göre, "işveren, çalıştığı her bir çalışan için kişisel bir dosya oluşturur. Bu dosyada, işveren, çalışanın kimlik bilgilerine ek olarak, buna ve diğer mevzuata uygun olarak vermekle yükümlü olduğu tüm belge ve kayıtları saklamakla yükümlüdür ve talep edildiğinde bunları yetkili memurlara ve organlara sunacaktır.İşveren, elde ettiği bilgileri iyi niyet ilkesine ve yasaya uygun olarak kullanmak ve gizliliği haklı olan bilgileri açıklamakla yükümlü değildir. çalışan". Benzer şekilde, KVKK'nın 5. maddesi kişisel verilerin işlenme şartlarına ilişkin kuralları öngörmektedir. Buna göre, aşağıdaki koşullardan en az biri mevcutsa, kişisel verilerin işlenmesi mümkün olacaktır.

  • Veri sahibinin açık rızasının varlığı,

  • Kanun tarafından açıkça belirtilen durumlarda,

  • Fiziksel imkansızlık nedeniyle rızasını veremeyen veya rızası yasal olarak geçersiz olan bir kişinin veya başka bir kişinin yaşamının veya bedensel bütünlüğünün korunması zorunlu olduğunda,

  • Bir sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerektiğinde, söz konusu sözleşmenin yapılması veya yerine getirilmesi ile doğrudan ilgili olması şartıyla,

  • Veri kontrolörünün yasal yükümlülüğünü yerine getirmesinin zorunlu olduğu yerlerde,

  • Veri sahibinin kendisi tarafından yayınlandığı yerlerde,

  • Bir hakkın korunması, kullanılması veya korunması için verilerin işlenmesinin zorunlu olduğu durumlarda,

  • İlgili kişinin temel hak ve özgürlüklerinin ihlal edilmemesi şartıyla, veri denetleyicisinin meşru menfaatleri için verilerin işlenmesi zorunlu olduğunda.

Yukarıda belirtilen maddelerde sağlanan bilgiler ışığında, çalışanların ücretlerini ödemenin yasal yükümlülüğü doğal olarak işveren olan veri denetleyicisine aittir.

Ayrıca, bordro hesaplaması, çalışan ile işveren arasında ve işveren arasında imzalanan iş sözleşmesinin yerine getirilmesini sağlayan koşullardan biridir.

Diğer bir deyişle, çalışanın bordrosunun hesaplanması amacıyla kişisel verilerin işlenmesinin yasal dayanağı tamamen oluşturulmuştur. Buna göre, kişisel veriler çalışanların açık onayı alınmadan bordro servis sağlayıcısına aktarılabilir.

Öte yandan, bu noktada fark edilmemesi gereken bir diğer önemli husus, açıklama yükümlülüğüdür. KVKK, veri kontrolörü için açıklama yükümlülüğü öngörür; kişilerin açık rızası, kişisel veri işleme koşullarının yerine getirilmesi ve benzer süreçlere bakılmaksızın.

Veri kontrolörü, şirket için açıklama yükümlülüğünü yerine getirirken Kanunun 10 uncu maddesinde belirtilen hükümleri göz önünde bulundurmalıdır. Ayrıca, 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete'de yayımlanan Bilgilendirme Yükümlülüğünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Tebliği, açıklama yükümlülüğü kapsamında uyulacak usul ve esasları belirler.

Kanunun ilgili maddesi ve tebliğde yapılan açıklamalara göre, kişisel verilerin ve bunların aktarılacağı tarafların işlenmesinin amacı açıkça belirtilmelidir. Ayrıca, yasal dayanak açıkça gösterilmeli ve kişisel verilerin bordro şirketine aktarılmasının amacı açıklama metninde belirtilmelidir.

KVKK'nın 12. Maddesi uyarınca, kişisel verilerin veri denetleyicisi adına gerçek veya tüzel bir kişi tarafından işlenmesi durumunda, veri denetleyicisi, kişisel verilerin uygun şekilde işlenmesini sağlamak, kanuna aykırı önlemek için veri işlemcisi ile ortaklaşa sorumludur: erişim, korunmasını sağlamak ve tüm teknik ve idari önlemleri almak.

Dış kaynak tarafının aktaracağı veriler arasında hassas kişisel veriler de olabilir. Bordro hesaplamalarını etkileyebilecek sendika üyeliği, sağlık bilgileri, tıbbi raporlar vb. hassas kişisel veriler olarak kabul edilir.

Bu kapsamda listelenebilecek veriler, ırk, etnik köken, siyasi görüşler, felsefi inançlar, din, mezhep veya diğer inançlar, görünüm, sendika ve / veya dernek üyelikleri, sağlık, cinsel yaşam, cezai mahkumiyet ve sabıka kayıtları ile ilgili verilerdir.

Yasaya uygun olarak, hassas kişisel verilerin işlenmesi, ilgili kişiden açık rızanın olması durumu dışında, yalnızca aşağıdaki koşullar altında mümkündür:

  • Sağlık durumu ve cinsel yaşam ile ilgili olanlar dışında hassas kişisel veriler için; sadece yasaların öngördüğü durumlarda,

  • Sağlık ve cinsel yaşam ile ilgili kişisel veriler yalnızca yetkili organlar ve kurumlar veya halk sağlığının korunması, koruyucu tıp, tıbbi teşhis, tedavi ve bakım hizmetleri, planlama ve yönetim amacıyla gizlilik yükümlülüğüne tabi kişiler tarafından işlenebilir.

Bu durumda, personelin sendika üyelik bilgileri, açık rıza alınması gerekmeksizin (açıklama metninde bahsedilerek) bordro dış kaynak hizmet sağlayıcısına aktarılabilir. Öte yandan, sağlık raporlarının bordro dış kaynak hizmet sağlayıcısına aktarılması için personelin açık onayı gerekmektedir.

Şirket çalışanları ve kişisel verilere erişim yetkisi olan kişiler için Gizlilik ve korunma hakkı Türk Anayasası'nda düzenlenmiştir. Türkiye Cumhuriyeti Anayasası'nın 18 Ekim 1982 tarihli 20. maddesi uyarınca, "herkes kişisel ve aile yaşamının mahremiyetine saygı gösterilmesini isteme hakkına sahiptir.

Kişisel ve aile yaşamının mahremiyeti dokunulmazlık altında korunmaktadır. Bu maddeye 7 Mayıs 2010 tarihinde yapılan ek şu şekildedir: "herkes kişisel verilerinin korunmasını talep etme hakkına sahiptir.

Bu hak, bir kişinin kişisel verileri hakkında bilgi edinme hakkını kapsar; bu verilere erişim hakkı, bunların düzeltilmesini veya silinmesini talep etme hakları ve bu verilerin amaçlanan amaçlarla kullanılıp kullanılmadığını öğrenme hakları Kişisel veriler yalnızca Kanunda belirtilen şartlar altında veya açık bir şekilde işlenebilir.

Kişisel verilerin korunmasına ilişkin usul ve esaslar kanunla düzenlenmiştir. Ayrıca, bu haklar KVKK'nın 11. maddesi uyarınca düzenlenmiştir.

Veri denetleyicisine başvurarak, herkesin;

  • kişisel verilerinin işlenip işlenmediğini öğrenme,

  • Kişisel verileri işleniyorsa, prosedür hakkında bilgi talep etme,

  • kişisel verilerin işlenme amacı hakkında bilgi edinmek ve kişisel verilerin amaçlarına uygun kullanılıp kullanılmadığını öğrenmek,

  • kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişiler hakkında bilgi edinme,

  • kişisel verilerin eksik veya yanlış işlenmiş olması durumunda düzeltme talep etme,

  • kişisel verilerin işlenmesini gerektiren nedenler ortadan kalkmasını, zaman aşımı da dikkate alınarak kişisel verilerin silinmesini veya imha edilmesini talep etmek ve kişisel verilerin aktarıldığı üçüncü tarafların da bu konuda yapılan eylemler,

  • kişisel verilerinin münhasıran otomatik sistemler aracılığıyla analiz edilmesinden dolayı, veri sahiplerine karşı herhangi bir olumsuz sonucun ortaya çıkmasına itiraz etme,

  • kişisel verilerin hukuka aykırı olarak işlenmesi sonucu zararların devam etmesi halinde tazminat talep etme.

Kaynak