İş Hukuku Anlamında Kişisel Verilerin Korunması

İş Hukuku Anlamında Kişisel Verilerin Korunması

Kişisel veri, kişilerin adları , adres bilgileri, telefon numaraları, var ise mevcut olan hastalıkları, banka hesap numaraları, kredi kartları, şifreleri, mali kayıtları, aldığı cezalar, arkadaşları, akrabaları gibi belirli veya belirlenebilir bir kişiyle ilgili tüm bilgiler olarak tanımlanabilir. Bu veriler, günümüzde hayatımızın her alanında gerek kamu sektöründe gerek özel sektörde yaygın olarak kaydedilmekte, başkalarına transfer edilmekte ve özellikle bilgisayar ve internet aracılığıyla paylaşılmaktadır.

Veri Koruma Hukukunun Amacı Nedir?

Veri koruma hukukunun ve bu anlamda kişisel verilerin korunmasının temel amacı, verilerin hukuka aykırı olarak kaydedilmesini önlemek ve bu veriler üzerinde gerçekleştirilen bütün işlemlerin hukuka uygunluğunu sağlamaktır. İşçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, tabiiyeti, mahkumiyet durumu, siyasi ya da sendikal faaliyetleri, sağlık ve hastalık durumu, e-posta yazışmaları, dini, ırkı, etnik kökeni, cinsel eğilimi vb. bilgiler korunması gereken kişisel veriler kapsamında yer almakta ve korunması gereken bilgiler olarak kabul edilmektedir. Bu verilerin kontrolsüz şekilde işlenmesi, bazı temel hakların ihlal edilmesine sebep olmaktadır.

Kişisel verilerin depolandığı veya kullanıldığı formun, veri koruma hukukunun uygulanabilirliği ile bir ilgisi bulunmamaktadır. Yazılı veya sözlü haberleşme ve iletişimler yanında, kapalı devre televizyon sistemi ile kaydedilen görüntü veya sesler de dahil olmak üzere, bu bilgilerin kişisel verileri içermesi mümkündür.

Kâğıtlarda yer alan bilgiler yanında, elektronik ortamda kaydedilen bilgilerin, insan dokusundan alınan hücre numunelerinin dahi kişisel veri olarak kabul edilmesi mümkündür. Kişisel verilerin işlenmesi günümüzde iş ilişkilerinde oldukça sık rastlanılan bir konu haline gelmiştir. Nitekim işverenler, kanunun öngördüğü yükümlülüklere uymak, işçi seçiminde, eğitiminde, işçinin yükselmesinde kullanmak, iş sağlığı ve güvenliğini sağlamak, müşteri ilişkilerini kontrol etmek, işyeri güvenliğini sağlamak gibi amaçlarla iş başvurusunda bulunan işçi adaylarına ya da çalıştırdıkları işçilerine ait kişisel verileri işlemektedir.

Bu bağlamda veri koruma hukukunun ve kişisel verilerin korunmasının temel amacı verilerin hukuka aykırı olarak kaydedilmesini önlemek ve bu veriler üzerinde gerçekleştirilen bütün işlemlerin hukuka uygunluğunu sağlamaktır. Kişisel verilerin korunması özel hayatın gizliliği temel hakkına dayanmaktadır ve özel hayatın gizliliği insanın kişiliğinin korunmasında önemli bir araçtır.

Verilerin Korunması Hakkı Neye Dayanır?

Verilerin korunması hakkı, özel hayata saygı gösterilmesi hakkından doğmuş olan bir haktır. Özel hayat kavramı, insanlar ile ilgilidir. Bu itibarla, veri koruma asli yararlanıcıları gerçek kişilerdir. Kişisel verilerin korunması konusu kişilik hakları ile de yakından ilgili olduğu için, kişilik haklarının korunması, işçinin işe alınmasında ve iş sözleşmesinin devamında elde edilen bilgilerin kullanılmasının sınırlandırılması, bazı bilgilerin elde edilmesinin yasaklanması önemlidir.

İş Hukuku Anlamında Kişisel Veri Nedir?

İş hukukunda kişisel veri kavramı, bilgisayar ortamında veya özlük dosyalarında saklanan, işçinin özel ve mesleki yaşamını kapsayan, işçiyi doğrudan veya dolaylı ilgilendiren tüm bilgiler, işaretler veya notlardır. İşçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, tabiiyeti, mahkumiyet durumu, siyasi ya da sendikal faaliyetleri, sağlık ve hastalık durumu, e-posta yazışmaları, dini, ırkı, etnik kökeni, cinsel eğilimi vb. bilgiler korunması gereken kişisel veriler kapsamında yer almaktadır.

Örnek Olarak;
Bir yönetmen, bir çalışanın iş performansı hakkında değerlendirmelerde bulunmuştur ve söz konusu değerlendirmeler çalışanın özlük dosyasında saklanmaktadır. Her ne kadar “çalışan kendisini işine vermiyor” gibi ve aksi kanıtlanamaz bir olgu olarak “çalışan, son altı ay zarfında beş hafta süreyle devamsızlık yapmıştır” gibi değerlendirmelerin, denetmenin sadece şahsi kanaatini kısmen veya tamamen yansıtması mümkün olsa da söz konusu değerlendirmeler, çalışana ilişkin kişisel veri olarak kabul edilirler.

Türk Hukukunda Kişisel Verilen Korunmasına İlişkin Kanun Maddeleri;

    1. Kişisel verilerin korunmasını isteme hakkı 7 Mayıs 2010 tarihinde 5982 sayılı Kanunun ikinci maddesi ile Anayasanın Özel Hayatın Gizliliği başlıklı 20 inci maddesinin üçüncü fıkrasına ek fıkra olarak ilave edilmiştir. Buna göre, Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
    2. Medeni Kanunda doğrudan özel yaşamı korumaya ilişkin bir hüküm bulunmamaktadır. Ancak TMK.m.23-25 de kişiliğin korunmasına ilişkin düzenlemeler getirilmiştir. Bu hükümler, kişilerin ve aynı zamanda işçilerin kişisel verilerinin korunması bakımından bir araç olabilir. TMK.m.24’e göre, “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” Kişilik hakları hukuka aykırı olarak saldırıya uğrayan kişi TMK.m.25 çerçevesinde, saldırının tespiti amacıyla tespit, saldırının sona erdirilmesi için men, saldırı tehlikesinin önlenmesi maksadıyla önleme ve kişilik haklarının zarar görmesi nedeniyle uğradığı zararın giderilmesi için maddi veya manevi tazminat davalarını açabilir. İşçinin kişisel verilerinin işveren ya da işveren vekili tarafından hukuka aykırı olarak kullanılması halinde, gizli kalması gereken kişisel verilerinin kullanılması dolayısıyla kişilik hakları zedelenen işçi de söz konusu genel hükümlerden yararlanarak dava açabilme imkanına sahiptir.
    3. Teknolojik gelişmeler sonucu günlük yaşantının bir parçası hâline gelen ve bilgisayar ortamında saklanabilen verilerin kullanılması konusunda işçinin korunması amacıyla bazı sınırlamalar yapılmış ve bu gerekçe ile Türk Borçlar Kanununun 419 uncu maddesi düzenlenmiştir31. Buna göre, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.”
    4. 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Kişisel verilerin kaydedilmesini düzenleyen TCK.m.135 e göre, “ Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.” Verileri hukuka aykırı olarak verme veya ele geçirme başlığı altında TCK.m.136 ya göre, “ Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” Verileri yok etmemenin yaptırımı düzenleyen TCM.m.138 e göre, “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” TCK.m.139 çerçevesinde kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
    5. İş Kanunumuzda işçilerin kişisel verilerinin korunmasına ilişkin olarak 75. madde ile bir düzenleme getirilmiştir. Söz konusu maddeye göre, “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” Bu düzenleme dürüstlük, kuralının yansıması olarak yerinde bir düzenlemedir. Bu madde çerçevesinde işverenin işçisi ile sözleşme yaptığı andan itibaren işçi hakkında tutacağı kayıtları gizli tutmak ve kimseye açıklamamak yükümlülüğü doğar. İşçinin özlük dosyasında yer alan bilgileri açıklamama yükümlülüğü, sır saklama yükümlülüğü kapsamında değerlendirilebilir. İşverenin bu yükümlülüğe aykırı davranarak işçinin dosyasında yer alan kişisel verileri üçüncü kişilere açıklaması halinde sır saklama yükümlülüğünün ihlal edildiği söylenebilir.
    6. İşverenin, işçinin özlük dosyasında bulunan bilgileri saklaması, işçi hakkında edindiği bilgileri hukuka uygun olarak kullanması ve gizli kalması gereken bilgileri açıklamaması gerekmesine karşın; bu yükümlülüğü ihlal etmesi halinde yaptırım olarak sadece İş K.m.104/1’de, özlük dosyalarını düzenlemeyen işveren ve işveren vekilinin para cezası ödeyeceği düzenlenmiştir. İşçinin kişisel verilerinin bu şekilde hukuka aykırı olarak kullanılması halinde işçi İş K.m.24/II çerçevesinde iş sözleşmesini haklı sebeple feshedebilir ya da genel hükümler çerçevesinde tazminat talep edebilir.
    7. İş Sağlığı ve Güvenliği Kanununun 15 inci maddesinde “Sağlık gözetimi” düzenlenmiştir. Buna göre işveren; çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlar. Bununla birlikte işe girişlerinde, iş değişikliğinde, iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde talep etmeleri hâlinde ve işin devamı süresince, çalışanın ve işin niteliği ile işyerinin tehlike sınıfına göre Bakanlıkça belirlenen düzenli aralıklarla çalışanların sağlık muayenelerinin yapılmasını sağlamak zorundadır. Tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacaklar, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlatılamaz. Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur.
    8. İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliğinin “İşverenin sağlık ve güvenlik kayıtları ve onaylı deftere ilişkin yükümlülükleri” başlıklı yedinci maddesine göre işveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıt ile işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdür. Çalışanın işyerinden ayrılarak başka bir işyerinde çalışmaya başlaması halinde, yeni işveren çalışanın kişisel sağlık dosyasını yazılı olarak talep ederse, önceki işveren dosyanın bir örneğini onaylayarak bir ay içerisinde gönderir. Onaylı defterin asıl sureti işveren, diğer suretleri ise iş güvenliği uzmanı ve işyeri hekimi tarafından saklanır. Defterin imzalanması ve düzenli tutulmasından işveren sorumludur. İşveren, teftişe yetkili iş müfettişlerinin her istediğinde işveren onaylı defteri göstermek zorundadır. İşçinin kişisel verilerinin işlenebilmesi için, KVKK’da öngörülen ilk şart, işçinin açık rızasının bulunmasıdır.

Açık Rıza Nedir?

Açık rıza, KVKK’da, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Açık rızanın geçerli olması için yazılı olarak alınması zorunlu değildir. Ancak ispat kolaylığı açısından işverenler, işçilerin rızalarını yazılı şekilde alma yolunu tercih edebilmektedir. İşçinin açık rızası yazılı olarak, iş sözleşmesi içerisinde buna ilişkin bir hükme yer verilerek ya da ayrı bir belge düzenlenerek elde edilebilecektir.

İşçinin açık rızası, kişisel verinin işlenmesine başlamadan önce alınabileceği gibi veri işleme esnasında gerekli bilgilendirmelerin yapılması şartıyla da alınabilecektir. Ancak önemle belirtmek gerekir ki, işveren hukuka aykırı olarak veri işlemişse, bu işleme işçinin sonradan onay vermesi hukuka aykırılığı ortadan kaldırmayacaktır. KVKK’nın 5/2 maddesinde öngörüldüğü üzere, belirli istisnai durumlarda, işçinin açık rızası aranmaksızın kişisel verileri işlenebilecektir.

Hukuka uygunluk sebebi oluşturan bu istisnai haller, kanunlarda ilgili kişisel verileri işlemenin açıkça öngörüldüğü; bir sözleşmenin kurulması veya ifası kapsamında veri işlemenin gerektiği; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu ve veri sorumlusunun meşru menfaati bulunan hallerdir. Hükümde ayrıca, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veya veri sorumlusunun hukuki yükümlülüğü açısından zorunlu olan veya verilerin veri sahibi kişi tarafından alenileştirildiği durumlar da istisnai hal olarak sayılmıştır.

İş ilişkisi kapsamında, işverenlerin, işçilerin kişisel verilerini işlerken uyması gereken çeşitli ilkeler bulunmaktadır. KVKK m.4/2 uyarınca, kişisel veriler işlenirken; (i) hukuka ve dürüstlük kurallarına uyulmasına, (ii) verilerin doğru ve gerektiğinde güncel olmasına, (iii) belirli, açık ve meşru amaçlar için işlenmesine, (iv) verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesine ve (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması gerekmektedir.

İşten Ayrıldıktan Sonra İşçinin Kişisel Verilerinin Saklanmaya Devam Edilmesi

İşverenin bünyesinde çalışmış ve ardından işten ayrılmış olan kişilerin işveren ile yapmış olduğu iş sözleşmesi kapsamında belirli hususları iş davalarının zamanaşımı süresi boyunca gündeme getirebileceği göz önünde bulundurularak, eski çalışanların iş sözleşmesi kapsamında kişisel verilerinin saklanmasında işverenin meşru menfaati mevcuttur. Ancak söz konusu zamanaşımı süresinin sonuna gelinmesi ile, ilgili kişilere ait kişisel verilerin silinmesi gerekmektedir. KVKK’nın 7. maddesine göre, hukuka uygun olarak işlenmesine rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu yani işveren tarafından silinecek, yok edilecek veya anonim hale getirilecektir.

İşçinin Kişisel Verilerinin Korunması Hakkı

KVKK’nın 11. maddesinde düzenlendiği üzere, işçilerin, veri sorumlusu olan işverenlere başvurarak kendileriyle ilgili

  • kişisel veri işlenip işlenmediğini öğrenme,
  • kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • KVKK’nın ilgili maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • eksik veya yanlış işlenmiş kişisel verilerin düzeltilmesi halinde, bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Belirtmek gerekir ki, işçiler, bu haklarını kural olarak yazılı olarak veri sorumlusu olan işverene başvurarak kullanabilecektir. Veri sorumlusu sıfatını haiz işveren, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.

Hukuka Aykırı İşlenen Veriler Hakkında Gündeme Gelecek Yaptırımlar

KVKK’da veri sorumlusu olan işverenin yükümlülüklerini yerine getirmemesi halinde karşılaşacağı yaptırımlar öngörülmüştür. Buna göre, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 35 (“TCK”) 135 ila 140. madde hükümleri uygulanacaktır. Buna göre, işverenlerin karşı karşıya kalabileceği cezai yaptırımlar açısından, TCK m. 135’de düzenlenen, kişisel verilerin hukuka aykırı olarak kaydedilmesi, m. 136’da düzenlenen kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme, m. 138’de düzenlenen verileri yok etmeme suçları uygulama alanı bulabilecektir.

Ayrıca, TCK m. 140’da düzenlendiği üzere, belirtilen suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacaktır. Bunların yanı sıra, TCK m. 132’de yer alan haberleşmenin gizliliğini ihlal, m. 133’te yer alan kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması ile m. 134’de düzenlenen özel hayatın gizliliğini ihlal suçları ise, koşulların bulunması halinde uygulama alanı bulabilecektir.

KVKK’nın 18. maddesi uyarınca, i) aydınlatma yükümlülüğünü, ii) veri güvenliğine ilişkin yükümlülükleri, iii) Kişisel Verileri Koruma Kurulu’nun verdiği kararların gereğini, iv) Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu olan işverenler, belirtilen tutarlarda idari para cezası yaptırımının muhatabı olacaktır. Ayrıca, İK m. 104/1’de düzenlendiği üzere, m. 75’de öngörülen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verilir.

Günümüzde kişisel verilerin işlenmesinde oldukça gelişmiş teknikler kullanılmaktadır; bu nedenle ortaya çıkabilecek ihlallere karşı kanunlarda öngörülen önlemlerin de değişmesine ihtiyaç duyulmuştur. Bu doğrultuda çeşitli mevzuatlarda yasal düzenlemeler yapılarak kişisel veri kavramı tanımlanmış ve koruma kapsamı belirlenmiştir. Makalemizde söz konusu düzenlemelerin üzerinde durulmuştur. İşverenlerin iş ilişkisinin başlangıcından sonuna kadar hatta sona erdikten sonra dahi çalışanlarının kişisel verilerini işledikleri tespit edilmiş ve bu işlemlerin her bir evresinde somut olayın KVKK kapsamında ayrıca değerlendirileceği vurgulanmıştır. Bu değerlendirme yapılırken ise KVKK’da öngörülen genel ilkeler ve çalışanın kişisel verilerinin işlenmesine önceden açık rıza gösterip göstermediği belirleyici olacaktır. Bütün bunlarla birlikte önemle belirtmek gerekir ki, ülkemizde kişisel verilerin korunması konusundaki çalışmalar oldukça yenidir ve gelişmekte olan bir alandır.

YENİ MAKALELER
KATEGORİLER