Yazar; Mehmet SOLAK
Teknolojik gelişmelerle birlikte, bilgilerin, görüntülerin, fikirlerin çok kolay ve sınır tanımadan paylaşılabildiği teknoloji çağında, kişilerin özel hayatlarının koruma altına alınması doğal bir ihtiyaç haline gelmiştir. Bu anlamda 6698 say. Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat çerçevesinde işverenlerin yükümlülüklerine değinmek gerekecektir.
İş Hukuku Açısından Kişisel Veri ve İşlenmesi
Kişisel Veri kavramı KVKK’da belirtilmiş olup, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Örneğin, bir kişinin nüfus bilgileri, iletişim, sağlık ve mali bilgileri, özel hayatı, siyasi görüşü ile dini inancına ilişkin bilgiler, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli bilgiler olup, kişisel veridir. Bu doğrultuda işçinin işyerindeki e-posta yazışmaları, performans değerlemesi işçilerin kişisel verileri arasında değerlendirilebilecektir. Danıştay, biyometrik yöntemlerle kimlik doğrulaması yapılması suretiyle elde edilen verilerin ve personelin mesai takibinde yüz tarama ya da parmak izi gibi yöntemlerin uygulanması ile elde edilen verilerin kişisel veri olduğunu, dolayısıyla korunması gereken veriler kapsamında değerlendirmiştir.
Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması, kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmaktadır.
İşçinin kişisel verileri işlenirken dikkat edilmesi gereken en önemli husus, işverenin bilgi edinme hakkı ile işçinin kişisel verilerinin korunması ve özel hayatın gizliliği hakkı arasında denge kurulmasıdır.
İŞVERENİN KİŞİSEL VERİLERİ İŞLEMEDE UYMASI GEREKENLER
– Açık Rıza ve Gizlilik Yükümlülüğü
4857 say. İş Kanunu 75/2. maddesinde yer aldığı üzere işveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür. KVKK’da, bu kurala açık rıza kuralını eklenmiştir. Açık rıza, kanunda belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Buna göre verilerin edinilmesi, işlenebilmesi, iletilmesi ve edindiği verileri 3. kişiler ile paylaşmasında açık rıza aranacaktır. İşveren edindiği bilgileri herhangi bir sübjektif değerlendirme yapmadan saklamalıdır.
Açık rızanın geçerliliği için yazılı alınması zorunlu olmasa da ispat kolaylığı açısından yazılı şekilde alma yolu tercih edilmelidir. İşçinin açık rızası, iş sözleşmesinde buna ilişkin bir hükme yer verilerek ya da ayrı bir belge düzenlenerek elde edilebilecektir.
– Aydınlatma Yükümlülüğü
Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanan “veri sorumlusu” sıfatına haiz olan işverenlerin işçinin kişisel verilerini elde etme sırasında kendisi ve varsa temsilcisinin kimliğini, alınan kişisel verilerinin hangi amaçla işleneceğini, verilerin kimlere hangi amaçla aktarılabileceğini, veri toplama yöntemi ile hukuki sebebini ve işçinin sahip olduğu haklarını aydınlatma yükümlülüğü gereği açıklaması gerekir. Eksik veya yanlış veri varsa verileri düzeltmek ve güncel tutmak durumundadır. (KVKK-10. md)
– Yurtdışına İletim
Yabancı ortaklı şirketlerde, yabancı ortakların şirketin veri tabanına erişimi bulunuyor ise, bu yabancı ülkelerin kişilere bildirilmesi ve kişilerden açık rıza alınması gerekmektedir. KVKK, ayrıca verilerin iletileceği ülkeler hakkında değerlendirme yapılmasını aramaktadır. Bu kapsamda ilgili ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının veri güvenliği bulunduğunu yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izni aranmaktadır.
– Belirli Bir Amaç Doğrultusundaki Bilgileri Edinme
İşverenler, kişisel verileri işe alacakları kişileri enine boyuna araştırma, edinilen bilgilerin daha sonra işe yarayabileceğini düşünerek saklama eğilimindedirler. Oysa KVKK’da açıkça, verilerin sadece kullanım amacı ile sınırlı miktarının edinilebileceğini ve saklanabileceğini düzenlemiştir. Bu nedenle işveren, işçiye ait verileri, ancak işçinin işe yatkınlığıyla ilgili ve iş sözleşmesinin ifası için zorunlu olduğu ölçüde elinde bulundurabilecektir. İşveren kayıtlarında bulunan ancak iş ilişkisi ile ilgili olmayan bilgiler, işverenler için hukuki sorumluluk doğmasına neden olabilecektir.
Bu kapsamda işveren işe alım aşamasında, adaya örneğin daha önceki işinde aldığı ücretini, sigara veya alkol kullanıp kullanmadığını, evlenmeyi düşünüp düşünmediğini, çocuk isteyip istemediğini ve adli sicilini soramayacaktır. Bu tür sorular, KVKK’ya aykırılığın yanı sıra, ayrımcılığa sebep olması ve eşitlik ilkesine aykırılık nedeniyle de geçersiz kabul edilecektir. Fakat çalışma yeri ve işin niteliği gerektiriyor ise, örneğin kişi şoför olarak çalıştırılacaksa trafik suçunun olup olmadığı, muhasebe bölümünde çalıştırılacak ise malvarlığı hakkında soru sorulabilecektir.
– İşverenin Elindeki Verileri Silmesi
Bu kanun çerçevesinde, işverenler yasal saklama yükümlülüklerinin dışında, kişisel verileri arşivleyemeyeceklerdir. Bu nedenle işe alınmayan adayların özgeçmişleri yok edilmeli, ileride gerekli olur düşüncesi ile saklanmamalı, adaydan açık onay alınmamışsa başka işverenler ile paylaşılmamalıdır. Keza işten ayrılan işçilerin verilerinin, olası yasal takiplere karşı zamanaşımı süresi sona erdikten sonra, ya da mevzuatın öngördüğü saklama süresi sonunda (örneğin ücret ve fazla çalışma ücretlerine ilişkin veriler için 5 yılın sonunda), kayıtlardan silinmeli ya da anonimleştirilmelidir. İşçilerin alışkanlıkları, duygusal, sosyal, ekonomik yapısı, kişilik özellikleri ile ilgili bilgilerin de yok edilmesi gerekir. İşçi de, amaca hizmet etmeyen verilerinin silinmesini isteme hakkını haizdir. Bu talep doktrinde kişilerin unutulma hakkı olarak tanımlanır.
– Verilerin Korunması İçin Gerekli Tedbiri Alma
İşverenler, bu verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmek zorundadır. Bu kapsamda verileri virüs programı ile korumalı, olası siber saldırılara karşı gerekli tedbiri almalıdır. İşveren bu tedbirleri alması için üçüncü bir kişiyi görevlendirebilirse de bu durum, işverenin sorumluluğunu ortadan kaldırmayacaktır. (KVKK-12/2)
RIZA ALINMASINA GEREK DUYULMAYAN HALLER
KVKK 5/2 maddesine göre belirli istisnai hallerde işçinin açık rızası aranmaksızın kişisel veriler işlenebilecektir.
– Bunlardan biri kanunlarda kişisel verileri işlemenin açıkça öngörüldüğü hallerdir. Örneğin vergi ve SGK bildirimleri, işçi özlük dosyası yasal olarak düzenlenmek zorundadır. Ancak işveren bu bilgileri iş sözleşmesi ve iş ilişkisinin izin verdiği ölçüde kullanmakla yükümlüdür.
– İş Müfettişlerince yapılan teftişler sırasında özlük dosyaları, genel nitelikli bilgiler işçinin rızasına gerek olmadan paylaşılabilecektir. İşçilerin siyasi düşüncesi, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik verileri gibi özel bilgilerin iletilebilmesi için işçilerin açık rızası gerekir.
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu ve işverenin meşru menfaati bulunan hallerdir.
– İşçinin kendisi tarafından alenileştirilmiş bilgilerinin işlenmesi için de rızaya gerek yoktuir. Bu kapsamda işçinin internette paylaştığı kişisel verilerin işlenebileceği sonucuna ulaşılabilmektedir. Fakat bu hükmün uygulama alanı tartışmalı olup içtihatlarla belirlenecektir. Zira, sosyal medya hesaplarının kişisel alan olarak kabul edilmesi, paylaşımların belli kişilere açık olması, işverene açık olmayan hesapların işverenlerce gözetlenmesi, işçiler aleyhine delil olarak kullanılabilmesi hem KVKK hükümlerine, hem de özel hayatın gizliliği ilkesine ters düşmesi söz konusudur.
İŞ İLİŞKİSİ SÜRECİNDE İŞÇİNİN KİŞİSEL VERİLERİNİN İŞLENMESİ
İşveren, işçinin mesleki yeterliliğini değerlendirebilmek, işe alımda ise işverenin iş sözleşmesinden kaynaklanan yükümlülüklerini yerine getirebilmek için kişisel verilerin işlenmesi gerekmektedir. Hatta, işçi işten ayrıldıktan sonra dahi birtakım kişisel verileri saklanmaya devam etmektedir. Bu nedenle, bahsi geçen süreçlerde her sürecin niteliğine uygun olarak ayrı ayrı işçinin kişisel verilerinin korunma kapsamının incelenmesi gerekmektedir.
1. İş Başvurularında ve İşe Alımlarda İşçinin Kişisel Verilerinin İşlenmesi
İş sözleşmesi, işçinin kişiliğini ön plana çıkaran ve işçi-işveren arasında güven temelli ilişkiler kuran bir sözleşmedir. Bu sebeple, işçinin iş görme yanında sadakat borcu da önem taşımaktadır. İşverenin işçiye yönelik bilgi edinme hakkı işverenin yönetim hakkından kaynaklanmaktadır. İşveren, iş sözleşmesi yapacağı işçinin belirli özelliklerini öğrenip değerlendirdikten sonra ancak işe alma konusunda karar verir. Bu nedenle, işverenin işçinin iş sözleşmesi kapsamındaki kişisel verilerini işlemesinde meşru menfaati vardır. İşverenin meşru sınırlar içinde işçinin mesleki bilgisini ölçmek ve meslek yaşantısı hakkında bilgi edinmeye yönelik sorularına ilişkin olarak aday, gerek iş başvurusu formları ile gerekse iş görüşmelerinde sözlü olarak verilerini ifşa etmektedir.
İşe alınırken de işçilerin kişisel verilerinin korunması hakkının ihlal edilmesi söz konusu olabilir. İşveren, kendisi ile paylaşılan kişisel verileri, KVKK hükümlerine uygun olarak muhafaza etmek zorundadır. Adayın işe alınmaması halinde, kişisel verilerin işlenmesini gerektiren sebebin ortadan kalkması nedeniyle iş başvurusu kapsamında adayın işverene verdiği bilgiler (kişisel veriler) adaya iade edilmeli, işverence silinip yok edilmeli veya anonim hale getirilmelidir.
2. İş İlişkisi Devam Ederken Kişisel Verilerinin İşlenmesi
İş ilişkisi sürdükçe işçinin kişisel verilerinin işlenmesine kuşkusuz devam edilecektir. İşverenler, işyerinde denetimi sağlamak, daha iyi sonuçlar elde etmek, güvenlik önlemi almak, performans değerlendirmesi yapmak, verimlilik ölçümünü gerçekleştirmek veya çalışma disiplini sağlamak amacıyla işyeri ve işçilerini izlemektedir. Çalışma süreci boyunca işçinin kişisel verilerinin işlenmesi genellikle görsel (kamera) veya teknolojik diğer yöntemlerle yapılan kayıtlar ile gerçekleştirilmektedir.
Bireylerin görüntüsü ve sesi, kişisel veri olarak kabul edildiği için, kural olarak, kameraların kullanılması durumunda, hukuka uygunluk sebebi olarak işçilerin açık rızasının alınması, bilgilendirilmesi ve veri güvenliği başta olmak üzere gerekli tedbirlerin alınması gerekmektedir. (Kamera sistemi ile izleme hususu doktrinde tartışmalı olup, bu konuya başka bir yazıda değinilecektir.)
3. İşten Ayrıldıktan Sonra İşçinin Kişisel Verilerinin Saklanmaya Devam Edilmesi
İşten ayrılmış olan kişilerin işçilik haklarına dair belirli hususları zamanaşımı süresi boyunca dava edebileceği göz önünde bulundurularak, eski çalışanların iş sözleşmesi kapsamında kişisel verilerinin saklanmasında işverenin meşru menfaati mevcuttur. Ancak söz konusu zamanaşımı süresinin sonunda, ilgili kişilere ait kişisel verilerin silinmesi gerekmektedir.
İŞÇİNİN KİŞİSEL VERİLERİNİN KORUNMASI
Anayasa madde 20’de herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, Borçlar Kanunu md 419’da işverenin işçiye ait kişisel verileri ancak işçinin işe yatkınlığıyla veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanılabileceği, 4857 sayılı İş Kanunu md 75’te işçinin verilerinin işlenmesinde işverence hukuka ve dürüstlük kuralına uyulması zorunluluğu ile işçinin özlük dosyasında yer alan bilgileri gizli tutmasına ilişkin esası ile KVKK’de kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini koruma amacıyla, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenleyen, işçi işveren ilişkisi bakımından işçilerin kişisel verilerini güvence altına alan temel düzenlemelerdir.
Verileri İşlenen Çalışanın Hakları
İşçilerin, veri sorumlusu olan işverenlere başvurarak;
a) Kendisiyle ilgili verilerin işlenip işlenmediğini öğrenebilir, buna ilişkin bilgi talep edebilir,
b) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilir,
c) Verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir
d) Verilerinin düzeltilmesini, şartlar dahilinde kişisel verilerin silinmesini veya yok edilmesini isteyebilir.
İşçi işverene yazılı başvurmasına karşın en geç 30 gün içinde cevap alamaz, eksik cevap verilir veya talebi reddedilirse veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurumu’na bağlı kurula şikâyette bulunabilir.
İşverenin Kişisel Verileri Korumaya İlişkin Yükümlülükleri
İşverenin, kişisel verileri korumaya ilişkin en başta işçiyi bilgilendirme yükümlülüğü bulunmaktadır. Bunun yanı sıra, veri sorumlusu olan işveren, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak üzere uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (KVKK-12. md)
Ayrıca, işyerinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. İşverenler, öğrenilen kişisel verileri hükmüne aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri, görevden ayrılmalarından sonra da devam eder.
YAPTIRIMLAR
. Hukuki Yönden
Kişisel verilerinin ihlali halinde 4857-24/II çerçevesinde işverenin davranışı ahlak ve iyiniyet kurallarına uymayan bir fiil niteliği taşıdığı için işçi iş sözleşmesini haklı nedenle feshedebilir.
İşçi sözleşmeyi fesih hakkını kullanmasa dahi, genel hükümlere göre tazminat hakları olduğu gibi, kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep edebilirler.
İş Kanununun 75. maddesinin ihlal edilmesi ve işçiye ait saklanması gereken verilerin açıklanması halinde kişilik hakkının zedelenmesinden zarar gören işçi, manevi tazminat davası da açabilecektir (TBK-58).
. Cezai Yönden
İşçinin kişisel verilerinin hukuka aykırı kullanımı Tük Ceza Kanunu’nun 135 ila 140. madde maddelerinde suç olarak düzenlenmiş ve cezai yaptırımlara bağlanmıştır. Bu çerçevede haberleşmenin gizliliğinin ihlali (TCK-132), kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması (TCK-133), özel hayatın gizliliğini ihlal (TCK-134), kişisel verilerin kaydedilmesi (TCK-135), kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme (TCK-136), verileri yok etmeme (TCK-137) suçları ve hapis cezası yaptırımı düzenlenerek, işçinin kişisel verilerinin korunması amaçlanmıştır.
. KVKK Uyarınca
KVKK’nın 18. maddesinde kabahatler sayılmış olup madde uyarınca; aydınlatma yükümlülüğünü, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen işverenlere, 5.000-TL ile 1.000.000 TL arasında idari para cezası uygulanacaktır.
SONUÇ
Kişisel verilerin korunması konusundaki çalışmalar oldukça yeni ve gelişmekte olan bir alandır. Dolayısıyla işverenler tarafından, kişisel verilerin korunmasına ilişkin güncel düzenlemelerin takip edilmesi gerekmektedir. İşverenler işyeri organizasyonunu KVKK’ya uyarlamalı, denetimler ile sistemin mevzuata uygun çalıştığını kontrol etmelidir. Bu kapsamda işverenler, edinilen verilerin sözleşmenin kurulması yahut işin yürütümü ile ilgili ve gerekli veri olup olmadığını sorgulamalıdır. Aksi durumda yüksek meblağlı cezalara zemin hazırlayacakları gibi hukuki diğer yaptırımlara da maruz kalabileceklerdir.
————————————————————————————————————–
Yararlanılan Kaynaklar
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun
http://www.goksusafiisik.av.tr/Articletter/2018_Winter/GSI_Articletter_2018_Winter_Article7.pdf
http://www.durgunluhukuk.com/makale-19-6698-sayili-kisisel-verilerin-korunmasi-kanunu-ve-isveren-sorumluluklari.html
http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/is-hukuku-kapsaminda-kisisel-verilerin-korunmasi/