İş Hukukunda Kişisel Verilerin Korunması
KİŞİSEL VERİLERİN KORUNMASI VE İŞ HUKUKU
Kişisel verilerin korunması konusuna ilişkin esas ve usuller kanunla düzenlenir. Bu kapsamda yürürlüğe konulmuş olan 6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel veri tanımını, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak yapmaktadır. Kişiyi ayırt etmeye yarayan kimlik bilgilerini, kökenini, fiziksel özelliklerini, sağlık bilgilerini, eğitim durumunu, istihdam geçmişini, yerleşim yerini, dernek ve sendika üyeliklerini, mesleğini, finansal bilgilerini, adli sicil bilgilerini, telefon numarasını, görüntüsünü, genetik bilgilerini, iletişim bilgilerini, sosyal medya aktivitelerini içerir ve bunlarla sınırlı olmayan kişiyi niteleyen her türlü veri bu kapsama dahil edilmektedir.
Kişisel verilerin işlenmesi kavramı ise, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
1. Kanunlarda açıkça öngörülmesi.
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Hiç şüphesiz Kişisel Verilerin Korunması Kanunu’nda yer alan düzenlemeler, iş ilişkisinin tarafları açısından da bağlayıcı olacaktır. Nitekim bu bağlayıcılığın birkaç görünümü diğer kanunlarda yer almaktadır.
İş Kanunu Madde 75 hükmü açıkça işverene çalıştırdığı her işçi için bir özlük dosyası düzenleme; bu dosyada, işçinin kimlik bilgilerinin yanında, İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek yükümlülüğü yüklemektedir. Keza bu yükümlülüğün sınırları işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmakla çizilmiştir işçinin haklı çıkarı bulunduğu takdirde bu bilgileri açıklamamakla mükellef kılınmıştır.
6098 sayılı Türk Borçlar Kanunu Madde 419 işverene, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde işleyebilme hakkı tanımıştır.
6331 sayılı İş Sağlığı ve Güvenliği Kanunu Madde 15 ile çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak yapmaları gereken sağlık gözetimi neticesinde elde edilen verilerin çalışanın özel hayatı ve itibarının korunması açısından gizli tutulmasını emretmiştir.
İŞVERENİN YÖNETİM HAKKININ KAPSAMI VE SINIRLARI NELERDİR?
İş sözleşmesi, işçinin bağımlı olarak iş görmeyi, işverenin ise ücret ödemeyi üstlenmesinden oluşan bir sözleşme olup bağımlılık unsuru işçiye işverenin emir ve talimatlarına uygun hareket etme borcu yüklemektedir. Emir ve talimat ilişkisinin doğurduğu hiyerarşik yapılanma işverene doğal olarak işçi üzerinde iş ilişkisinden kaynaklanan ve iş görme edimine yönelik bir yönetim hakkı tanımakta, yönetim yetkisi oluşturmaktadır. Bu kapsamda ekonomik yönden bağımlı ve maddi koşullar açısından zayıf durumda bulunan işçiye nazaran daha güçlü bir otoriteye sahip olan işverenin sınırsız bir yönetim hakkının varlığından söz edilemeyecektir. Çalışanların hayat seviyesini yükseltmek, çalışma hayatını geliştirmek için çalışanları ve işsizleri korumak, çalışmayı desteklemek, işsizliği önlemeye elverişli ekonomik bir ortam yaratmak ve çalışma barışını sağlamak için gerekli tedbirleri almakla mükellef kılınan devlet iş ilişkisinde işçinin korunması temel ilkesine uygun hareket edilmesini sağlamak zorundadır. İşbu ilkeden hareketle işverenin yönetim hakkının sınırlı bir anlam ifade ettiği sonucunu doğurmakta işçinin korunması için işverenin yönetim yetkisi anayasa, kanun, yönetmelik, toplu/bireysel iş sözleşmesi, işyeri yönetmeliği ve işyeri uygulamaları gibi kaynaklar ile sınırlandırılmaktadır. İşverenin yönetim hakkının sınırları oluşturan en önemli koruma mekanizması ise anayasal bir güvence sağlayan işçinin temel hak ve özgürlükleridir.
Özel hayatın gizliliği korunması gereken temel hak ve özgürlüklerden biri olup işçinin kişilik haklarını ilgilendirmektedir. Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına ve kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Teknolojik gelişmelerin meydana getirdiği dönüşümler dikkate alındığında hayatın her alanında özel hayatın gizliliğine karşı müdahalenin oldukça kolaylaşmış ve yaygınlaşmış olduğu konusu şüphe götürmez bir gerçektir. Mevcut durumun iş ilişkisine yansıması dikkate alındığında işverenlerin sıklıkla işçinin telefon görüşmeleri, internet geçmişi, e-posta içerikleri, araç kayıtları, görüntüleme kayıtları yahut giriş çıkış kontrolü için başvurulan tanıma sistemleri aracılığıyla denetim ve takip faaliyetleri yürütülmesine altyapısal olanaklar tanınmış olduğu ve bu türden imkanlara sıklıkla başvurulduğunu söylemek mümkündür. Bu imkanlar işçilerin kişisel verilerine erişimine ve işlenmesine sebebiyet vermekte işçinin korunması ilkesi bu alanlara ilişkin ihlallerin meydana gelmemesi ve yönetim hakkının sınırlarının aşılmaması için düzenlemelere başvurulmasını zaruri kılmaktadır.
KVKK KAPSAMINDA İŞÇİNİN KİŞİSEL VERİLERİNİN İŞLENMESİNE HAKİM OLAN İLKELER
KVKK veri işleme faaliyetinin yürütülmesinde veri sorumlusunu bazı ilkelerle bağlı kılmıştır. İşçinin kişisel verilerinin işlenmesi faaliyeti yürütülürken işveren aşağıda sıralı ilkelere ve gereklerine riayet etmek zorundadır:
İşleme faaliyeti hukuka ve dürüstlük kuralına uygun olarak gerçekleştirilmelidir.
İşverenin işçinin kişisel verilerini işlerken kanunlar başta olmak üzere her türlü mevzuata uygunluğu sağlamak makul, doğru ve dürüst bir kişi gibi hareket etmekle yükümlüdür.
Kişisel verinin doğru ve gerektiğinde güncel olması gerekmektedir.
İşbu ilke işverene işçinin kişisel verilerini gerçekle örtüşür şekilde işlediğinden emin olmak için denetim yapmak ve gerektiğinde bir veri politikası oluşturma yükümlülüğü yüklemektedir.
Veri belirli, açık ve meşru amaçlar için işlenmelidir.
İşveren işçinin kişisel verilerini net olarak algılayabileceği şekilde belirlenmiş veri amaçları doğrultusunda açık, anlaşılır sebeplerle işleyebilecektir.
Kişisel verinin amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi gerekir.
İşveren, iş ilişkisinin gereklerine ve işin niteliğine uygun ölçüde veri işleme faaliyeti yürütmelidir.
Kişisel veri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
Saklama süresi mevzuat hükümleri, verinin niteliği, sorumluluk hükümleri ve işçinin meşru menfaatleri dikkate alınarak belirlenmelidir.
KİŞİSEL VERİLERİN İŞLENMESİNDE İŞVERENİN YÜKÜMLÜLÜKLERİ
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eden veri sorumlusu iş ilişkisinde işveren sıfatına tekabül etmektedir.
Veri Sorumluları Siciline Kayıt
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Veri Sorumluları Siciline kaydolmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırmaları gerekmektedir.
Aydınlatma Yükümlülüğü
Akabinde işveren, kişisel verilerin elde edilmesi sırasında işçiye veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ve işçinin sahip olduğu kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, konusunda aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
Açık Rıza Alma Yükümlülüğü
Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez. KVKK çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır.
Teknik ve İdari Tedbirler Alma Yükümlülüğü
Veri sorumlusu sıfatıyla işveren; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
KİŞİSEL VERİLERİN HUKUKA AYKIRI OLARAK İŞLENMESİNİN ÖZEL HUKUK KAPSAMINDA SONUÇLARI
İşçinin kişisel verilerinin hukuka aykırı olarak işlenmesinin iş ilişkisinin tarafları bakımından hukuki, cezai ve idari sonuçları mevcuttur.
1. Hukuki Sonuçlar
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
– Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat talep etme
– Hâkimden, saldırıda bulunanlara karşı korunma, saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini talep etme
– Düzeltme veya kararın üçüncü kişilere bildirilmesi ya da yayımlanması isteminde de bulunabilir.
2. Cezai Sonuçlar
– Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
– Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
– Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
3. İdari Sonuçlar
– Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.
– Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
– Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
– Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
İŞVERENİN YÖNETİM HAKKI KAPSAMINDA UYGULAMALARI VE BU UYGULAMALARIN KVKK KAPSAMINDA DEĞERLENDİRİLMESİ
1. Telefon Konuşmalarının Denetlenmesi
İşveren işçinin kullanımına telefon sağlamışsa, işçi tarafından bu telefonun kendisine veriliş amacına uygun kullanılması gerekir. Bu kullanım amacına aykırı davranışların olup olmadığını denetlemek işverenin meşru yararı olması gerekçesi ile kabul edilebilirdir. İşverenin denetim yetkisini kullanırken işçinin haberleşme özgürlüğünü ihlal edecek telefon görüşmelerinin dinlenmesi başta olmak üzere herhangi bir talepte bulunamayacak, arama geçmişi ve konuşma süreleri ile sınırlı denetim yapabilecektir. Netice itibariyle herkes, haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır. Milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; haberleşme engellenemez ve gizliliğine dokunulamaz.
2. İnternet Trafiğinin Denetlenmesi
Mesai saatleri içerisinde işçiler tarafından iş görme borcunun yerine getirilmesini aksatacak şekilde internet kullanımını engellemek, hukuki risk doğurabilecek sitelere erişilmesinin önüne geçmek ve üretim, işletme veya müşteri bilgileri başta olmak üzere ticari sır niteliğinde bilgilerde meydana gelebilecek ihlalleri önlemek adına işverenin internet trafiği üzerinde bir denetim yetkisi olduğunu söylemek mümkündür. İşveren, işyerindeki internet kullanımının özel amaçlara yönelik olabileceğine ilişkin bir irade beyanı açıklamadığı takdirde yalnızca işin görülmesine ilişkin bir kullanım amacı olduğu kabul edilecektir. Bu kapsamda her iki halde de internet üzerinden yapılan her türlü faaliyetin işverence takip edildiği bilgisi işçi ile paylaşılmak zorundadır. Ancak belirtmekte fayda vardır ki internet trafiğinin denetlenmesi faaliyetine son çare olarak başvurulmalı bahsi geçen riskleri önlemek adına öncelikli olarak teknik tedbirler, erişim engelleri gibi önlemler alınmalıdır.
İş görme ediminin ifa edilebilmesi için işveren tarafından işçinin kullanımına tahsis edilen elektronik posta adresi üzerinden yapılacak olan yazışmalarda yapılacak denetimlerde önemli olan iki nokta bulunmaktadır: İşçiye tahsis edilen elektronik posta adresinin yalnızca iş görme edimiyle sınırlı olarak kullanılabileceği ile ilgili olarak açıkça bilgilendirilmesi gerektiği ve işçinin yazışmaların denetlendiği konusunda aydınlatılması gerektiğidir. Akabinde mevcut e-posta işin görülmesine ilişkin midir bunun tespit edilmesi gerekecektir. Başlık, kime gönderildiği gibi içerikler kontrol edilerek iş görme edimiyle alakalı kabul edilebilir yazışmaların görüntülenmesinin önünde bir engel yoktur.
3. Video kamera ile Denetim
İşverenin işçiyi kamera ile denetleyebilmesi için öncelikle ölçülü, meşru ve herkesçe kabul edilebilir makul bir gerekçesi olmalıdır. İşçinin iş görme edimini yerine getirmesi için baskı kurma gayesi bu eylem için bir gerekçe oluşturmamaktadır. Yine başkaca herhangi bir tedbirin alınması olanağı bulunmadığı durumda ses kayıt özelliği bulunmayacak bir cihaz ile iş sağlığı güvenliği önlemlerinin uygulanmasına ilişkin olarak başvurulabilir bir yöntem olabileceği gibi önü alınamayan hırsızlık durumuna karşı bir tedbir olarak da kullanılabilecek olup işçinin bilgilendirilmesi zaruridir.
4. Araç ile Konum Takibi
İşin niteliği dolayısıyla seyyar çalışmanın yahut taşıma faaliyetinin gerçekleştirildiği veya işçinin kullanımına araç tahsis edilmesi halinde güvenlik veya kontrol gayesi ile başvurulabilir bir yöntem iken işçinin muhakkak uygulama hakkında bilgilendirilmesi gerekir. Kontrol yetkisinin bulunduğu zamanın tespiti ise işçinin yalnızca iş görme edimiyle sınırlı olarak kullanımına sunulan bir araç mı yoksa özel kullanım için de bir izin mevcut mu bu ayrıma bakılmalıdır. Yalnızca iş görme ediminin ifası ile sınırlı kullanım amacı mevcut ise bu kapsamda mesai saatleri dışında da bir denetim yetkisi mevcut iken özel işlerde kullanım izni var ise denetim mesai saatleri ile sınırlıdır.
5. İşe Giriş ve İşten Ayrılış Denetimi
Mesaiye katılım kontrollerini sağlamak için sıklıkla başvurulan yöntemler arasında imza denetimi, kartlı geçiş sistemi, retina taraması, yüz tanıma sistemi, parmak izi yöntemleri bulunmakla birlikte bu yöntemlerden her birinin yürütülen faaliyetin gerektirdiği güvenlik seviyesi ile ölçülü olması şartı aranmaktadır. Giriş çıkış kontrolünün sağlanmasında kullanılabilecek daha makul bir çözüm var ise bu tercih edilmeli olmadığı takdirde ölçülü olarak nitelendirilebilecek kimlik, imza denetimi, kartlı giriş uygulamaları tercih edilmelidir. İşçinin genetik verilerine başvurulabilmesi için işin niteliğinin çok yüksek seviyede güvenlik gerektiriyor olması gerekir.
İş Hukuku kapsamında kişisel verilerin korunması konusunda daha fazla bilgi için iletişime geçebilirsiniz.