Etkili bir uyum programının en temel, olmazsa olmaz elementlerinden biri ihbar mekanizmalarıdır. Uyum programının etkinliği ve işlerliğinin ölçülmesi ve takibi bakımından önemli bir fonksiyonu olan ihbar mekanizmaları uyum ihlallerinin tespitinde de en etkili yöntemdir. Nitekim Uluslararası Suistimal İnceleme Uzmanları Derneği (ACFE) tarafından yayınlanan 2024 yılına ilişkin suistimal raporunda da, suistimallerin ortaya çıkarılmasında açık ara en etkili aracın ihbar mekanizmaları olduğu belirtilmiştir.

İhbar mekanizmalarının kurulması ve işleyişinde iş hukuku, ceza hukuku, veri koruma gibi farklı hukuki disiplinleri ilgilendiren çeşitli hukuki konular gündeme gelmektedir. Fakat ülkemizde ihbar mekanizmalarına veya bildirimde bulunan kişilerin korunmasına özgülenmiş bir yasa bulunmamaktadır. Bu nedenle ihbar mekanizmalarına ve ihbarcıların korunmasına uygulanabilecek birtakım düzenlemeler için İş Kanunu, Türk Ceza Kanunu ve Kişisel Verilerin Korun – ması Kanunu gibi genel nitelikteki mevzuata bakmak gerekmektedir. Bu yazımızda ihbar mekanizmaları açısından karşımıza çıkabilecek farklı hukuk disiplinlerini ilgilendiren konulara değinmeye çalışacağız.

KVKK Açısından İhbar Mekanizmaları Şirketler bünyesinde dile getirme kültürünün yaygınlaştırılması ve bu kapsamda da etkin ihbar mekanizmalarının kurulması sürecinde ele alınması gereken en önemli konulardan biri şüphesiz kişisel verilerin korunmasıdır. 6698 sa – yılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmış olup bir gerçek kişinin kimlik bilgileri, irtibat bilgileri, mesleki deneyim bilgileri ve davranışları dâhil söz konusu gerçek kişi ile ilgili her türlü bilgi kişisel veri sayılmaktadır. Bu doğrultuda ihbar mekanizmaları, ister çalışan ister bir üçüncü taraf olsun, ihbarda bulunan ve hakkında ihbarda bulunulan gerçek kişilerle ilgili çeşitli kişisel verilerin işleneceği göz önünde bulundurularak kurgulanmalı, şirketler veri sorumlusu sıfa – tıyla kuracakları ihbar mekanizmalarının hukuka uygun bir şekilde kişisel veri işleme faaliyetlerini gerçekleştirdiğinden emin olmalıdır. KVKK’da öngörülen yükümlülüklerin yerine getirilmemesi durumunda Kişisel Verileri Korumu Kurumu’nun (“Kurum”) re’sen veya ilgili kişinin şikâyeti üzerine başlatabileceği soruşturma sonucunda veri sorumlusu sıfatıyla şirketlerin idari para cezası yaptırımı ile karşı karşıya kalabileceği unutulmamalıdır.

Mevzuata Uyum ve Soruşturmalar ekibimizin kaleme aldığı “İhbar Mekanizmaları Ekseninde Karşılaşılan Hukuki Konular” başlıklı makalemizin tamamına buradan ulaşabilirsiniz.