• tr
  • en
+90 212 257 5858
info@bbahukuk.com
KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN İŞ HUKUKU KAPSAMINDA DEĞERLENDİRİLMESİ
KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN İŞ HUKUKU KAPSAMINDA DEĞERLENDİRİLMESİ

I. GİRİŞ
Teknolojinin hızlı bir ivmeyle büyüdüğü çağımızda özellikle internet üzerinden bireylerin kişisel verilerini yaygın olarak paylaşmaya başlaması bu verilerin hukuki düzenlemelerle koruma altına alınmasını zorunlu hale getirmiştir.

Avrupa Birliği’ nde kişisel verilerin korunmasına ilişkin mevzuat çalışmaları 1980’ li yılların başında başlamıştır. Kişisel veriler ile ilgili ilk düzenlemelere, Türkiye’ nin de üyesi olduğu[1] İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23 Eylül 1980 tarihinde kabul edilen “Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber” de yer verilmiştir. Bunu Türkiye’ nin de imzalamış olduğu 28 Ocak 1981 tarihli ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, daha sonra 24 Ekim 1995 tarihinde Avrupa Birliği Parlamentosu tarafından onaylanan 95/46/AT sayılı “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi”[2] ve son olarak da 14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından onaylanan AB Genel Veri Koruma Yönetmeliği (GDPR) izlemiştir.

Türk Hukukunda ise bireylerin kişisel verilerinin korunmasına ilişkin ilk düzenlemeye 2709 sayılı Türkiye Cumhuriyeti Anayasasının “Özel Hayatın Gizliliği” ni düzenleyen 20.maddesine 07.05.2010 tarihli, 5982 sayılı Kanun ile eklenen son fıkrada yer verilmiş ve bireyin kişisel verilerinin korunması anayasal bir hak olarak güvence altına alınarak kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmüştür.[3] Uzun süren yasalaşma sürecinden sonra nihayet 7 Nisan 2016 tarihinde kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir.

Günlük iş hayatı akışında işverenler tarafından işçilerden bir takım kişisel bilgiler talep edilmekte, bu bilgiler bilgisayar ortamında ya da özlük dosyalarında saklanmakta, yasal mercilere, bağlı ortaklıklarına, iştiraklerine ve hatta yurtdışına aktarılmaktadır. Kişisel verilerin korunması temel bir hak olarak güvence altına alındığına göre; işçinin hakları göz önünde bulundurularak işçiye ait kişisel verilerin hangi şart ve koşullarda işlenebileceğinin çerçevesinin çizilmesi, Kişisel Verilerin Korunması Kanunu ve İş Kanunu’ nun birbirine entegre edilmesi gerekmektedir.

Bu çalışmanın ilk bölümünde Kişisel Verilerin Korunması Kanunu kapsamında kısaca kişisel veri ve kişisel verilerin işlenmesi kavramları, kişisel verilerin işlenmesinde uyulması gereken genel ilkeler ve şartlar açıklanacak; çalışmanın ikinci bölümünde ise Kişisel Verilerin Korunması Kanunu* İş Hukuku açısından uluslararası düzenlemeler ışığında değerlendirilerek, işvereninin yükümlülükleri ve işçinin haklarından bahsedilecektir.

II. KİŞİSEL VERİ KAVRAMI VE İŞLENMESİNİN ŞARTLARI

A- KİŞİSEL VERİ KAVRAMI

Kişisel veri, bir kişiyi belirli veya belirlenebilir kılan her türlü bilgi olarak tanımlanmaktadır. Bu tanımdan yola çıkılarak, bireyin adı, soyadı, doğum yeri, doğum tarihi, telefon numarası, kimlik numarası, sigorta numarası, pasaport numarası, motorlu taşıt plakası, araç ruhsat bilgileri, banka hesap bilgileri, kredi kartı bilgileri, adres bilgisi, özgeçmişi, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgileri gibi bir kişiyi belirli veya belirlenebilir[4] kılan tüm bilgiler kişisel veri olarak kabul edilmektedir.

Bazı kişisel veriler ise doğaları gereği temel hak ve özgürlükler ile doğrudan ilgilidir ve işlenmeleri halinde bireyin temel hak ve özgürlüklerini önemli ölçüde olumsuz etkileme potansiyeline sahiptir. Bu nedenle Kanun, bireyin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte olan[5] ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti[6], dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veriler” olarak ayrı bir kategori altında düzenlemiştir.

B- KİŞİSEL VERİLERİN İŞLENMESİ KAVRAMI VE İŞLENMESİNİN ŞARTLARI

  1. KİŞİSEL VERİLERİN İŞLENMESİ KAVRAMI

Bilişim Teknolojileri alanındaki hızlı büyüme göz önünde bulundurulduğunda “Kişisel verilerin işlenmesi” kapsamına giren işlerin sınırlandırılmaması ve geniş yorumlanması gerekmektedir. En geniş anlamıyla kişisel verilerin işlenmesi, veriler üzerinde gerçekleştirilen tüm işlemler olarak tanımlanmaktadır.[7] Kanun’ un “Tanımlar” başlıklı 3. maddesinde kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak belirtilmiştir.

  1. KİŞİSEL VERİLERİN İŞLENMESİNİN ŞARTLARI

Kişisel verilerin korunmasında gözetilen asıl amaç verinin sahibi olan bireyin temel hak ve özgürlüklerinin, kişilik hakkının ve özel alanının korunmasıdır.[8] Bu amaç doğrultusunda kişisel veriler ancak Kanun’ un 4. maddesinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek”[9] ilkelerine uyulmak ve kanunda belirtilen istisnalar dışında veri sahibinin açık rızasını[10] almak kaydıyla işlenebilecektir.

Kanun’ un 3.maddesinde açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza[11] olarak ifade edilmiştir. Buna göre, rızanın varlığından söz edilebilmesi için; veri sahibinin (i) veri sorumlusunun ve varsa temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) Kanun’un 11.maddesinde sayılan hakları ile ilgili bilgilendirilmiş olması[12] ve bu bilgilendirmeye dayanarak, hiçbir baskı altında kalmadan tamamen özgür iradesi ile ve kuşkuya yer bırakmayacak açıklıkta kişisel verilerinin işlenmesine yönelik onayının alınması gerekmektedir.

Kural olarak kişisel veriler, veri sahibinin açık rızası olmadan işlenemeyecektir. Ancak Kanun ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu halleri düzenleyerek, bu kurala birtakım istisnalar getirmiştir. Özel nitelikli kişisel veriler dışında kalan kişisel verilerin işlenmesi için açık rızanın aranmayacağı istisnai durumlar Kanunun 5.maddesinde düzenlenmiştir. Bu istisnalar;

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

Özel Nitelikli Kişisel Verilerin İşlenmesinin Şartları

Kanun’ un 6.maddesi uyarınca, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki veriler olarak kabul edilen kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik ve genetik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili kişisel verilerin, veri sahibinin açık rızası olmaksızın işlenmesi yasaktır.

Maddenin üçüncü fıkrasında özel nitelikli kişiler verilerin işlenmesinde ilgili kişinin açık rızasının aranmayacağı istisnai durumlar belirtilmiştir. Buna göre, sağlık ve cinsel hayat dışındaki kişisel veriler, sadece kanunlarda öngörülen hâllerde; sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilecektir.

III. İŞ HUKUKU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI
A- GENEL OLARAK

Günümüz iş ilişkilerinde işverenler tarafından hukuki yükümlülüklerini yerine getirmek ya da kurumsal kimliklerinin sağlıklı bir şekilde işlemesini sağlamak, işyerinde verimi artırmak amacıyla her gün işçilere ait kişisel verilerin işlenmesi sık rastlanılan bir durumdur.

Kanun yürürlüğe girmeden önce de işçinin korunması amacıyla işverenin hangi koşullarda işçilere ait kişisel verileri kullanabileceğine ilişkin Borçlar Kanunu ve İş Kanunu’nda düzenlemeler yer almaktaydı. 6098 sayılı Türk Borçlar Kanunu’nun “Kişisel verilerin kullanılmasında” başlıklı 419. maddesinde işverenin ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde işçiye ait kişisel verileri kullanabileceği[13] düzenlenmiştir.

4857 sayılı İş Kanunu’ nun 75. Maddesinde ise; işverenin işçiye ait kişisel bilgileri içeren bir özlük dosyası oluşturma zorunluluğu düzenlenmiştir. Bu kapsamda işveren, işçinin kimlik bilgileri ile birlikte İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamakla ve bunları istendiği zaman yetkili memur ve mercilere göstermekle yükümlüdür. Aynı maddenin ikinci fıkrasında ise işveren tarafından işçi hakkında elde edinilen bilgilerin dürüstlük kuralları ve hukuka uygun olarak kullanılması ve gizli kalmasında işçinin haklı çıkarı[14] bulunan bilgilerin açıklanmaması gerektiği düzenlenmiştir.

Ancak bu düzenlemelerin tek başına yetersiz olduğu açıktır. Kişisel Verilerin Korunması Kanunu’nda işçinin kişisel verilerinin korunmasına yönelik özel düzenlemelere yer verilmiş olmasa da Kanun, iş ilişkisi çerçevesinde kişisel verileri işlenen işçi ile bu verileri tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen işveren hakkında da uygulanacağı için önem arz etmektedir.

Öncelikle Kanun kapsamında işverenin sorumluluğunun yalnızca bir iş sözleşmesine dayanarak çalıştırılan işçilere karşı olmadığının altının çizilmesi gerekmektedir. Veri sorumlusu olarak işveren, iş başvurusunda bulunan adayların, doğrudan veya dolaylı olarak kontrolünde bulunan yeni işe başlayan çalışanın, geçici personelinin, stajyerlerinin, yüklenicilerinin, gönüllü çalışanlarının ve danışmanlarının kişisel verileri de dahil tüm çalışanlarının kişisel verilerini korumakla ve Kanun’ da belirtilen usul ve esaslara uygun olarak işlemekle yükümlüdür.

İş hukukunda kişisel veri kavramı, bilgisayar ortamında veya özlük dosyalarında saklanan, işçinin özel ve mesleki yaşamını kapsayan, işçiyi doğrudan veya dolaylı olarak ilgilendiren tüm bilgiler, işaretler veya notlar[15] olarak tanımlanmaktadır. Bu kapsamda iş başvuru formları, referanslar, işçinin kimlik numarası, sigorta numarası, maaşlarına ilişkin bilgiler, banka hesap bilgileri, sağlık raporları, performans değerlendirme raporları, eğitim, disiplin, terfi durumuna ilişkin bilgiler vb. tüm bilgiler işçiye ait kişisel verilere örnek olarak verilebilir.

B- İŞÇİYE AİT VERİLERİN İŞLENMESİNİN ŞARTLARI VE İŞVERENİN YÜKÜMLÜLÜKLERİ

İşçilere ait veriler, Kanun’ un 4. maddesinde belirtilen “hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek” genel ilkelerine uyulmak ve Kanun’ da belirtilen istisnalar dışında işçinin açık rızasını almak kaydıyla işlenebilir.

  1. Kişisel verilerin hukuk kurallarına uygun olarak işlenmesi, Kanun ve diğer ilgili mevzuatta düzenlenen usul ve esaslara uyulması; dürüstlük kuralına uygun olarak işlenmesi ise veri sahibinin haklarının gözetilerek iyi niyet çerçevesinde hareket edilmesi gerekliliğini ifade eder. GDPR’ ın 5.maddesinde hukuka ve dürüstlük kuralına uygun olma ve şeffaflık ilkesi[16] birlikte düzenlenmiştir. Kanun’ da şeffaflık ilkesine ayrıca yer verilmemiştir ancak Kanun’ un veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 9.maddesi ve ilgili kişinin haklarını düzenleyen 10.maddesinin şeffaflık ilkesinin gereği olan düzenlemeler içerdiğini söyleyebiliriz.

 

  1. Kişisel verilerin doğru ve gerektiğinde güncel olması: İşveren tarafından işlenen işçilere ait kişisel verilerin doğru ve güncel olması ve yanlış, eksik olan ve/veya güncel olmayan verilerin işveren tarafından silinmesi veya düzeltilmesi gerekir.[17] İşveren, işçiye ait sakladığı her türlü kişisel veriyi işçinin erişiminde bulundurmak zorundadır.[18] Nitekim kişisel verilerine erişemeyen bir işçi, verilerinin güncel ve doğru olduğunu kontrol edemeyecek ve gerektiğinde müdahalede bulunamayacaktır. Örneğin performans değerlendirmesi yapılması halinde çalışan ilgili belgelere erişim sağlayabilmelidir.
  2. Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi: Veri sorumlusu olan işverenin veri işleme amacının meşru olması ve bu amacını açık ve kesin olarak belirlemesi gerekmektedir. Madde gerekçesinde belirtildiği üzere kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesi, veri sorumlusunun işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumluları, belirttikleri bu amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlu olacaklardır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Madde gerekçesinde verilen örnekte; bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyeceği belirtilmiştir[19]. İşveren, hukuki yükümlülüklerini yerine getirebilmesi için işlemesi gereken bilgiler dışında işçiden işe girerken, işin devamında ve sonrasında ancak işçinin mesleği ile doğrudan ilgiliyse bilgi talep edebilir.

 

  1. Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması: Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi işlenen verilerin belirlenen amaçları gerçekleştirmeye elverişli olması ve amaç ile ilgili olmayan[20] veya ihtiyaç duyulmayan kişisel verilerin işlenmemesini gerektirir. İşverenin bilgi edinme hakkı ile işçinin özel hayatının gizliliğini koruma hakkı arasında ilgi bağı olmalıdır. İşveren veri işleme amaçlarını belirlemeli ve ancak kanuni yükümlüklerin yerine getirilmesi, işçinin görev için yeterli olup olmadığının tespiti[21], işçinin menfaati için ve işçinin işi ile doğrudan ilgili ise işçiden bilgi talep etmelidir. Avrupa Birliği’ nde işyerinde veri koruması ile ilgili ilk ulusal ve özel düzenleme olan ve 1 Ekim 2004 tarihinde Finlandiya’ da yürürlüğe giren “İş Hayatında Verilerin Korunması Hakkında Kanunu” [22] uyarınca işçinin rızası olsa bile işverenin ilgililik prensibi[23] kapsamı dışında kalan bilgileri işleyemeyeceği düzenlenmiştir. Örneğin, işyerine giriş ve çıkışlarda güvenliğin sağlanması amacıyla kurulması istenen bir kamera sisteminin işçilerin sürekli izlenmesine, kayıt altına alınmasına yol açacak şekilde tüm katlarda, odalarda kurulması erişilmek istenen amaç ile ölçülü olmayacaktır.

 

  1. Kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi: Kişisel veriler ancak amaç için gerekli süre boyunca saklanmalıdır. Herhangi bir verinin öngörülen süreden daha uzun bir süre boyunca saklanmasını gerektirecek geçerli bir sebep yoksa bu veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.[24] Örneğin iş akdi feshedilen bir işçinin sağlık verilerinin işveren tarafından iş akdi feshedildikten sonraki dönemde de saklanmaya devam edilmemesi gerekmektedir. İşveren, Kanun ve sır saklama yükümlülüğü çerçevesinde iş ilişkisi sona erdikten sonra da işçiye ait kişisel verileri korumakla yükümlüdür.

 

  1. İşçinin Açık Rızasının Bulunması: Hiyerarşik yapıdaki işveren işçi ilişkisinde işçinin “özgür irade” si ile kişisel verilerinin işlenmesine onay vermesi kuşkuyla yaklaşılması gereken tartışmalı bir konudur.[25] İşçinin rıza göstermemesi durumunda iş imkanından yoksun kalacağına dair en ufak bir şüpheye yer bırakılmamalı ve işçi vermiş olduğu rızayı iş sözleşmesi devamında da dilediği zaman geri alabilmelidir.

İşçinin açık rızasının bulunduğunun kabul edilebilmesi için; işveren tarafından işçiye, kişisel verilerinin işlenmesine rıza vermemesi ya da iş ilişkisi devam ettiği sürece rıza vermekten vazgeçmesi halinde herhangi bir yaptırım ile karşılaşmayacağına dair bir güvence verilmesi gerekmektedir. Dolayısıyla ancak işçinin seçim hakkının bulunduğunun bilinciyle hareket etmesi halinde gerçek anlamda “özgür irade” den bahsedilebilecektir. Bazı Avrupa Birliği üyesi ülkelerde işçilerin kişisel verilerinin korunması için işyerlerinde denetim sistemleri kurulmadan önce işverenin işçi konseyleri ile anlaşmaya varması gerektiği düzenlenmiştir. İşçiler bu anlaşma çerçevesinde kişisel verilerinin korunmasında temsilcilerinden yardım almaktadır.[26]

İşveren işçi arasındaki ilişki göz önünde bulundurulduğunda uygulamada en çok karşılaşılacak olan işçinin kişisel verilerinin işlenmesinde açık rızasının gerekmeyeceği istisnai durumlardan[27] ikisi (i) işverenin hukuki yükümlülüklerini yerine getirebilmesi ve (ii) meşru menfaatleri için veri işlenmesinin gerekli olması olarak değerlendirilebilir.

İşveren, özellikle İş Kanunu ve Sosyal Güvenlik Kanunu’ndan kaynaklanan yükümlülüklerini yerine getirebilmesi için işçiye ait banka hesap bilgileri, medeni durumu, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi bazı verileri işçinin rızası olmadan işleyebilecektir.[28] İşverenin işçiden bu bilgileri talep ederken verilerin işlenmesini gerekli kılan yasal düzenlemeler ve bu bilgilerin hangi mercilere, hangi aralıklarla aktarılacağı hakkında işçiyi bilgilendirmesi doğru olacaktır. Bunun dışında işveren tarafından, yasal dayanağı olmayan veya meşru amaç gerekliliğini aşan her türlü kişisel verinin işlenmesi hukuka aykırılık teşkil edecektir.

Kanun’ un 5.maddesinin 2. Fıkrasının (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işveren, meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda açık rıza şartı aranmaksızın işçiye ait kişisel verileri işleyebilecektir. Madde gerekçesinde verilen örnekte “bir şirket sahibinin, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebileceği” belirtilmiştir. Özellikle ehliyetli ve liyakatli çalışanların terfi almaları, yalnızca veri sorumlusu statüsündeki şirket sahibinin meşru menfaatini[29] değil aynı zamanda işçinin menfaatini de teşkil etmektedir. Her ne kadar Kanun, veri sorumlusunun meşru menfaatinin sınırını “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla” ibaresi ile sınırlamış olsa da işveren-işçi ilişkisindeki ekonomik ve sosyal dengesizlik nedeniyle işverenin meşru menfaatinin işçinin korunması için dar yorumlanması gerekmektedir.

Kanun’ un 6.maddesinde yer verilen düzenleme gereğince, işçiye ait özel nitelikli kişisel verilerin işçinin açık rızası olmadan işlenmesi yasaktır. Özellikle işçinin sağlık verilerinin işlenmesinin yasal sınırlarının şüpheye yer bırakmayacak açıklıkta düzenlenmesi gerekir. İş ilişkisinde işçiye ait sağlık verilerinin işe girişlerde ve iş ilişkisinin devamında işlenmesinin işverenin hukuki yükümlülüklerini yerine getirmesi için zorunlu olduğu hallerde karşımıza çıkmaktadır. Örneğin; İş Sağlığı ve Güvenliği Kanununun “Sağlık gözetimi” ni düzenleyen 15 inci maddesi uyarınca; işveren, “çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını” sağlamalıdır. Bununla birlikte “işe girişlerinde, iş değişikliğinde, iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde talep etmeleri hâlinde ve işin devamı süresince, çalışanın ve işin niteliği ile işyerinin tehlike sınıfına göre Bakanlıkça belirlenen düzenli aralıklarla çalışanların sağlık muayenelerinin yapılmasını sağlamak zorundadır.” Maddenin devamında; tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacak olan işçilerin, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlatılamayacağı ve sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgilerinin gizli tutulması gerektiği belirtilmiştir. Söz konusu düzenleme işin niteliğinden kaynaklanan risklere karşı “işçinin sağlığının, beden bütünlüğünün korunması” amacıyla getirilen bir düzenlemedir. Bu noktada iş sağlığı ve güvenliği ile işverenin işçi seçimindeki keyfiyeti arasında ayrım yapılması önemlidir.[30] İşçinin kişisel verilerinin işlenmesine yönelik vermiş olduğu açık rızasına kuşkuyla yaklaşılması gereğinin bir yansıması olarak özellikle sağlık verileri gibi özel nitelikli kişisel verilerinin işlenebilmesi için ikincil düzenlemelerle daha ağır koşullar öngörülebilir. Örneğin; İtalya’ daki düzenleme uyarınca işçiye ait özel nitelikli kişisel verilerin işlenebilmesi için işçinin yazılı olarak açık rızasının alınması tek başına yeterli olmayıp; işverenin ayrıca Veri Koruma Kurulu’ nun onayını alması gerekmektedir.[31]

  1. İŞÇİNİN HAKLARI

İlgili kişinin hakları Kanun’ un 11.maddesinde düzenlenmiştir. Buna göre veri sahibi işçi, işveren veya işveren vekiline başvurarak; kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahiptir.

Aynı maddenin birinci fıkrasının (g) bendinde ilgili kişinin “işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine çıkan sonuca itiraz hakkı” düzenlenmiştir. Bu kapsamda örneğin işçi tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilmesi ve analiz sonucunda ortaya çıkan performans notunun işçi aleyhine olması halinde işçinin sonuca itiraz etme hakkı[32] bulunmaktadır.

İşçi, Kanunun uygulanması ile ilgili taleplerini yazılı olarak öncelikle işverene veya işveren vekiline iletmelidir. İşveren veya vekili tarafından en geç otuz gün içinde talep incelenerek, işçiye cevap verilmelidir. Başvurunun işveren tarafından reddedilmesi, süresinde başvuruya cevap verilmemesi veya işçinin verilen cevabı yetersiz bulması halinde; işçi, işverenin cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula[33] şikâyette bulunabilir.

Kurula şikayet hakkı dışında işçi, kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması durumunda genel hükümlere göre zararın giderilmesini talep edebilecektir.

 

 

  1. SONUÇ

Teknolojinin hızlı büyümesinin doğal bir sonucu olarak ortaya çıkan bilgisayar ortamında veri paylaşımı özellikle bireyin özel hayatının gizliliği ile doğrudan ilişkili olan kişisel verilerinin korunmasına yönelik hassasiyetin artmasına sebep olmuştur. Türk Hukuk sisteminde geç de olsa kişisel verilerin korunmasına yönelik ilk özel düzenleme niteliğindeki 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun yürürlüğe girmesi ile birlikte genel bir çerçeve çizildiği söylenebilir. Ancak her ne kadar Kanun hükümlerinin sağladığı korumalar iş ilişkilerine uygulanacak olsa da hiyerarşik yapıdaki işçi-işveren ilişkisinde özellikle “işçinin açık rızası” nın varlığına duyulacak şüphe nedeniyle işçinin korunmasına ve işverenin yükümlülüklerini yerine getirebilmesini kolaylaştırmaya yönelik bir takım özel düzenlemelerin öngörülmesi gerekmektedir.

Özellikle işçinin internet kullanımının denetimi, e-postalarının okunması, kamera ile izlenmesi, telefonlarının dinlenmesi, görüşmelerinin kaydedilmesi, sağlık verilerinin işlenmesi ile ilgili ilişkin daha detaylı düzenlemeler getirilmesi ve mevcut düzenlemelerin işçi-işveren ilişkisinde nasıl uygulanacağının ayrıca detaylı olarak düzenlenerek 6698 sayılı Kişisel Verilerin Korunması Kanunu ile iş mevzuatının birbirine uyumlu hale getirilmesi gerekmektedir.

KAYNAKÇA

  • Frank Hendrickx, Protection of workers’ personal data in the European Union, Univevrsity of Leuven, University of Tilburg, 2002

 

  • 95/46/EC sayılı “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi”

 

  • Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Basım, İstanbul 2008

 

  • AB Genel Veri Koruma Yönetmeliği (GDPR)

 

  • Hamdi Mollamahmutoğlu/Muhittin Astarlı/Ulaş Baysal, İş Hukuku, Gözden Geçirilmiş ve Yenilenmiş 6. Baskı, Ankara 2014

 

  • Sarper Süzek, İş Hukuku, Yenilenmiş 10. Baskı, İstanbul 2014

 

  • Article 29 Working Party, Opinion on the Processing of Personal Data in the Employment Context, Opinion 8/2001, WP 48, 13.09.2001

 

  • The Act on Data Protection in Working Life (759/2004), 01.10.2004, Finlandiya

 

  • Kuner, European Data Protection Law, s.68

 

  • İbrahim Korkmaz, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, TBB Dergisi 2016 (124)

 

[1] Türkiye, 14 Aralık 1960 tarihinde imzalanan Paris Sözleşmesi ile kurulan İktisadi İşbirliği ve Kalkınma Teşkilatı’ nın kurucu üyelerindendir.

[2] Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data

[3] 2709 sayılı Türkiye Cumhuriyeti Anayasası’ nın 20. maddesinin son fıkrası şu şekildedir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

* 6698 sayılı Kişisel Verilerin Korunması Kanunu çalışmanın devamında yalnızca “Kanun” olarak belirtilecektir.

[4] Kanun’ un 3.maddesinin gerekçesinde bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale gelmesini ifade etmektedir. Bu kapsamda gerçek kişinin adı, soyadı, kimlik numarası gibi bilgiler dışında kişinin fiziki, sosyal, ailevi, ekonomik özelliklerine ilişkin bilgiler de kişisel veri olarak kabul edilmektedir.

[5] 6698 sayılı Kanun’ un 6.maddesinin gerekçesinde belirtilmiştir.

[6] 95/46/AT sayılı AB Direktifinde ve GDPR’ da “kılık ve kıyafet” in özel nitelikli veri olarak sayılacağına ilişkin herhangi bir ibare bulunmamaktadır. Nitekim, 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık ve kıyafeti…” ibarelerinin iptallerine ve yürürlüklerinin durdurulmasına karar verilmesi talebi ile Anayasa Mahkemesi nezdinde dava açılmıştır. 22.06.2016 tarihli mahkeme toplantısında 2016/125 esas sayılı dosya hakkında esasa geçilmesine, yürürlüğü durdurma talebinin esas inceleme aşamasında karara bağlanmasına karar verilmiştir.

[7] Kanunun madde gerekçesinde “verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlemler” olarak tanımlanmıştır.

[8] Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Basım, İstanbul 2008, s. 4

[9] Genel ilkelere ilişkin açıklamalara işveren-işçi ilişkisi çerçevesinde aşağıda ayrıca yer verilecektir.

[10] Kanunun madde gerekçesinde açık rıza, “ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” olarak ifade edilmektedir.

[11] AB Genel Veri Koruma Yönetmeliği (GDPR)’ nin 4.maddesinde rıza, “ilgili kişinin kendisi ile ilgili veri işlenmesine, özgür iradesi ile, sadece o işlemle sınırlı ve bilgilendirmeye dayalı olarak, tereddüde yer bırakmayacak açıklıkta verdiği onay beyanı” olarak tanımlanmıştır.

[12] Kişisel Verilerin Korunması Kanunu, m.10.

[13] Maddenin birinci fıkrasında, teknolojik gelişmeler sonucu günlük yaşantının bir parçası hâline gelen ve bilgisayar ortamında saklanabilen verilerin kullanılması konusunda işçinin korunması amacıyla bazı sınırlamalar yapılmıştır. Buna göre, işveren, işçiye ait kişisel verileri ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Maddenin ikinci fıkrasında ise, özel kanun hükümlerinin saklı olduğu belirtilmektedir., Türk Borçlar Kanunu, Madde Gerekçeleri, madde 418.

[14] İşverene sır saklama yükümlülüğü getiren bu düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun 4.maddesine düzenlenen genel ilkelerle paralellik göstermektedir.

[15] Hamdi Mollamahmutoğlu/Muhittin Astarlı/Ulaş Baysal, İş Hukuku, Gözden Geçirilmiş ve Yenilenmiş 6. Baskı, Ankara 2014, s.718; Sarper Süzek, İş Hukuku, Yenilenmiş 10. Baskı, İstanbul 2014, s.404.

[16] GDPR, Art. 5/1-a; Personal data shall be; processed lawfully, fairly and in a transparent amnner in relation to the data subject (“lawfulness, fairness and transparency”)

[17] İşçinin yanlış, eksik veya güncel olmayan bilgilerinin düzeltilmesini talep etme hakkı (the right of rectification) bulunmaktadır. Article 29 Data Protection Working Party, Opinion 8/2001 on the processing of personal data in the employment context, WP 48, 13.9.2001, 3.

[18] Article 29 Working Party, Opinion on the Processing of Personal Data in the Employment Context, Opinion 8/2001, WP 48, 13.09.2001, s.23

[19] Kişisel Verilerin Korunması Kanunu, Madde Gerekçeleri, m.4/3.

[20] GDPR, Art. 5/1-c; Relevancy principle

[21] İşveren, işçinin görev için yeterli olup olmadığının tespiti için işçiye ait referanslar, eğitim durumu vb. bilgileri talep edebilir. Ancak işçinin haberi olmadan eski işvereninden işçiye ait bilgi talep etmesi dürüstlük kuralına aykırılık teşkil edecektir.

[22] The Act on Data Protection in Working Life (759/2004), 01.10.2004, Finlandiya

[23] Relevancy principle

[24] Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemleri Kanun’ un 7.maddesinde ayrıca düzenlenmiştir. Madde gerekçesinde de belirtildiği üzere kişisel verilerin silinmesi, verilerin kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinmesini; kişisel verilerin yok edilmesi, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini, kişisel verilerin anonimleştirilmesi ise, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.

[25] Kuner, European Data Protection Law, s.68 (2.16).

[26] Article 29 Working Party, Opinion on the Processing of Personal Data in the Employment Context, Opinion 8/2001, WP 48, 13.09.2001, s.23. a.g.e. İbrahim Korkmaz, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, TBB Dergisi 2016 (124), s.107.

[27] Kişisel verilerin işlenmesi şartlarında değinildiği üzere, Kanun kişisel verilerin işlenmesinde ilgili kişinin açık rızasının bulunması şartına bazı istisnalar getirmiştir. Kişisel Verilerin Korunması Kanunu, m.5

[28] Kişisel Verilerin Korunması Kanunu, Madde Gerekçeleri, m.5

[29] Kişisel Verilerin Korunması Kanunu, Madde Gerekçeleri, m.5, Gerekçenin devamında belirtilmiştir.

[30] Protection of Personal Data in Work-related Relations, 2013, s.40 (http://www.europarl.europa.eu/studies).

[31] Prof. Frank Hendrickx, Protection of workers’ personal data in the European Union, Univevrsity of Leuven, University of Tilburg, 2002, s.38

[32] Kişisel Verilerin Korunması Kanunu, Madde Gerekçeleri, m.11

[33] Kişisel Verileri Koruma Kurulu

About the Author

BBA Hukuk
BBA Hukuk
administrator

Quick Contact Form