1. Giriş
Modern iş dünyasında; şirket, şirketler topluluğu, kurum vb. (hepsi birlikte “şirket” olarak anılacaktır.) oluşumlara duyulan güvenin artarak sürdürülebilir bir çalışma ortamı sağlanabilmesi için şirketler etik standartlar oluşturmakta ve bunlara uyum gösterilmesi için aksiyonlar almaktadır. Sürdürülebilir çalışma ortamının ve etik standartlara uyumun sağlanabilmesi için ise etik dışı davranışlardan şirketin haberdar olabilmesi önemlidir. Etik dışı davranışlardan haberdar olabilmek için ise şirketler, etik hat süreçlerini kurgulamakta ve çalışanları ile paydaşlarını (ör: tedarikçiler, alt işverenler, müşteriler vb.) etik hattın kullanılması yönünde teşvik etmektedir.
Etik süreçleri, doğası gereği, kişisel verilerin işlenmesini de içermektedir. Bu nedenle, etik hatların etkin ve güvenli bir şekilde işletilebilmesi için aynı zamanda kişisel verilerin korunması hususuna da dikkat edilmesi önemlidir. Bu yazımızda, etik hat uygulamasında dikkat edilmesi gereken hususlar özellikle kişisel verilerin korunması bakımından ve çalışanlar özelinde incelenecektir.
2. Etik Hat Nedir?
Etik hat, şirket içerisinde gerçekleşmesi muhtemel/gerçekleşmiş olan etik standartlar dışı suiistimal, davranış/kural ihlali ve/veya sorunları bildirmek üzere kurulan bir gizli iletişim kanalı olarak özetlenebilecektir. Bu sayede; çalışanlar, yöneticileri ile paylaşamadıkları veya paylaşamayacakları sorunları etik hatta erişerek anlatacak muhatap bulmaktadır. Etik hat; e-posta, telefon veya her iki iletişim kanalı aracılığıyla da mümkün olabilmektedir. Etik hat, kural olarak anonim işlemekteyse de etik dışı olayı anlatırken kişilerin kendilerine ait bilgileri paylaşması da mümkündür. Ancak, çalışanların bilgilerini etik kapsamında paylaşması halinde, etik hatta ulaşan çalışanın misillemeye maruz kalması, iş ortamındaki huzurunun bozulma ihtimali söz konusu olabilmektedir. Her ne kadar, şikayet edenin adı anonim tutulsa da şikayet edilen kişinin ad-soyad bilgileri, şikayet konusu, departman bilgisi vb. kişisel verileri paylaşılmaktadır. Bunlar bakımından anonim bir süreç yürütülmesinden bahsedilemeyecektir.
3. Kişisel Verilerin Korunması Bakımından Nelere Dikkat Edilmesi Gerekmektedir?
Kişisel verilerin korunması, etik hat uygulamasında en çok dikkat edilmesi gereken unsurlardan biridir. Kişisel verilerin toplanması, görüntülenmesi, analiz edilmesi saklanması vb. süreçler 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili sair mevzuat (“Veri Koruma Mevzuatı”) uyarınca kişisel verilerin işlenmesi olarak ifade edilmektedir. Bu sebeple, etik süreçleri kapsamında kişisel verilerin korunmasına ilişkin politikaların oluşturulması ve çalışanların işbu politikalar hakkında bilgilendirilmesi önemli olmaktadır. Ayrıca, çalışanların kişisel verilerinin güvenliğinin sağlanması için uygun teknik ve idari tedbirlerin alınması yine veri koruma mevzuatına uyum ve kişisel verilerin korunması bakımından önem taşıyacaktır.
a) Etik Hat Politika ve Prosedürleri: Etik hatların başarılıbir şekilde işleyebilmesi için şirketlerin, etik hatta yönelik açık ve net politika ve prosedürlerin olması önemlidir. Etik hat süreçlerinde birçok kişisel veri ile temas edilmesinin mümkün olması sebebiyle, politika ve prosedürlerin, etik hat süreçlerinde kişisel verilere ne şekilde davranılacağını, kişisel verilerin hangi kapsamda kimler tarafından işlenebileceğine, aktarım yapılacak tarafların olup olmadığına dair vb. kuralları çizmesi faydalı olacaktır. Ayrıca bu belgelerin varlığı, etik hat çalışanlarının hangi kişisel veriler karşısında nasıl aksiyon alması gerektiğini bilmesi açısından da önem taşımaktadır. Etik özelindeki politika ve prosedürler dışında; kişisel verilerin işlenmesi, özel nitelikli kişisel verilerin işlenmesi, kişisel veri ihlal müdahale politikası gibi belgelerin de varlığı etik süreçlerinde kişisel verilerin kullanılması konusunu şirket içerisinde çok daha anlaşılır kılacaktır. Kaldı ki, politikaların hazırlanması etik hattın devamlılığı için gerekli olmasının yanında, Veri Koruma Mevzuatı uyarınca da veri sorumlusu ve veri işleyenlerin alması gereken idari tedbirlerden biridir. Bu sebeple, söz konusu politikaların etik hattın sürdürülebilirliği açısından önem taşımasının yanında Veri Koruma Mevzuatı’na uyum için de gerekli olduğu söylenebilecektir.
Bunun yanı sıra; veri yönetişimi, etik hatlar aracılığıyla toplanan bilgilerin güvenli bir şekilde yönetilmesi ve saklanması için kritik öneme sahiptir. Bu bağlamda, veri yönetişimi politikalarının oluşturulması ve uygulanması gerekmektedir. Bu politikalar, verilerin kimler tarafından erişilebileceğini, nasıl saklanacağını ve hangi durumlarda paylaşılacağını belirlemektedir. Ayrıca, veri güvenliğinin sağlanması için gerekli teknik önlemler de bu politikaların bir parçası olmaktadır. Güvenli ve güçlü bir veri yönetişimi sayesinde çalışanların etik hat ile paylaştıkları bilgiler güvende kalmaktadır.
b) Anonimlik: Anonim kalmanın bir hak olup olmadığının tartışılmakta olduğu günümüzde anonimlik, kişisel verilerin korunması bakımından büyük bir önem taşımaktadır. Etik hatta ulaşan çalışanların anonim kalma hakkına saygı gösterilmesi büyük önem taşımaktadır. Anonimlik, çalışanların kendilerini güvende hissetmelerini sağlayarak, daha fazla kişinin etik hatta ulaşmasını sağlayacaktır. Anonimlik korunurken, çalışanların kimlik bilgilerinin gizli tutulması ve işbu bilgilerin yetkisiz üçüncü kişilerle paylaşılmaması ve söz konusu çalışan bilgilerine erişen kişi sayısının ve yetkilerinin kısıtlanması uygun olacaktır. Ayrıca, bildirilen etik dışı ihlallerin gizliliği de korunmalı ve işbu bilgiler yalnızca söz konusu etik hat başvurusunu çözümleyecek yetkili kişilerin erişimine sunulmalıdır.
c) Eğitim ve Farkındalık Programları: Etik hat süreçlerinde yer alacak çalışanlara, farkındalık eğitimleri verilmesi ve farkındalık çalışmalarının yapılması uygun olacaktır. Böylelikle, etik hat süreçlerinde yer alan çalışanlar, etik hattın yapısı gereği, sürekli olarak işlemekte oldukları kişisel veriler ile ilgili nasıl aksiyonlar almaları gerektiği hakkında bilinç sahibi olacaklardır. Ayrıca; söz konusu eğitimlerin periyodik olarak yapılması Veri Koruma Mevzuatı uyarınca idari tedbir olarak geçmekte olup veri sorumlusu ve veri işleyenler için yükümlülük olarak sayılmaktadır.
d) Düzenli Denetimler: Veri Koruma Mevzuatı’na uygun bir etik hat süreci yürütüldüğünün,bu kapsamda işlenen kişisel verilerin güvenliğinin düzenli olarak denetlenmesi ve gerekli iyileştirmelerin yapılması uygun olacaktır. İşbu denetimler, yukarıdaki sayılanlara benzer olarak Veri Koruma Mevzuatı uyarında idari tedbirler kapsamında olup veri sorumlusu ve veri işleyenler için yükümlülük olarak geçmektedir. Aynı zamanda, bu denetimler şirket içerisindeki etik faaliyetlerinin etkin şekilde yürütülüp yürütülmediğinin anlaşılmasına da yardımcı olacaktır.
e) Teknik Altyapı: Etik hat uygulamasına uygun teknik altyapı sağlanarak, etik hatta bildirimde bulunan çalışanların anonimliğinin temin edilmesi önem arz etmektedir. Uygun bir teknik altyapı olmaksızın, yukarıda sayılan önlemlerin alınması zorlaşabilecektir.
f) Etik Hat Tedarikçisinin Seçilmesi: Her ne kadar yukarıda birçok dikkat edilecek husus sayılmış ise de pratik hayatta etik hat süreçleri çoğunlukla tedarikçiler aracılığıyla yürütülmektedir. Bu sebeple, şirketler tarafından tedarikçi seçilirken tedarikçinin yukarıdaki kriterleri sağlayıp sağlamadığından emin olunması; bu doğrultuda, uygun sözleşme hükümlerinin imzalanması, kişisel verilerin korunması hükümlerinin sözleşmeye dahil edilmesi veya ek protokol hazırlanması önerilmektedir. İşbu sözleşme ve/veya ek protokoller aracılığıyla şirketler tarafından kişisel verilerin korunması bakımından etik hat tedarikçisinin her türlü önlemi aldığından emin olunmalıdır. Bir başka deyişle, etik hat tedarikçileri tarafından Veri Koruma Mevzuatı uyarınca gerekli olan her türlü idari ve teknik tedbirin alındığından şirket olarak emin olunması uygun olacaktır. Aksi takdirde, olası bir kişisel veri ihlali yaşınması durumunda şirketin itibarının zedelenmesi, Kişisel Verileri Koruma Kurulu tarafından idari para cezasıyla karşılaşma riski bulunmaktadır.
4. Sonuç
Etik hatlar, şirketlerin etik değerlere uyumunu sağlamada kritik bir rol oynamaktadır. Ancak, bu hatların etkin ve güvenli bir şekilde işletilebilmesi için özellikle kişisel verilerin korunması ve çalışanların anonim kalması gibi konulara özen gösterilmesi, Veri Koruma Mevzuatı’na uyum sağlanması, etik hat tedarikçisinin doğru seçilmesinin, etik hat çalışanlarına periyodik eğitimler verilmesinin, uygun altyapının sağlanmasının ve düzenlidenetimler yapılmasının; etik hatların güvenilirliğini ve etkinliğini artıracağı düşüncesindeyiz. Bu bağlamda, alınacak tedbirler ve uygulanacak politikalar, etik hatların başarılı bir şekilde işletilmesine katkı sağlayacaktır. Bu sebeple; etik hat uygulaması öncesinde bu yazımızda bahsi geçen tüm unsurları asgari bir gereklilik olarak benimsemek şirketler açısından etik ve Veri Koruma Mevzuatı’na uyumlu bir davranış olacaktır.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.