12 Mart 2024 günü 32487 sayılı Resmî Gazetede yayımlanan ve 1 Haziran 2024 tarihinde yürürlüğe girecek olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan değişiklikler, kanunun Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile uyumlanması hedefine ilişkin olarak atılan ilk adımlardan biridir. İlk olarak kanunun eski ve yeni haline yer verilecek olan bu yazımda; 6698 sayılı Kişisel Verilerin Korunması Kanununun 6’ncı maddesinde yapılan değişiklikler ile bu değişikliklerin işçi-işveren ilişkisine etkisinin neler olabileceği hususları değerlendirilecektir.
Eski Hali:
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Yeni Hali:
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Mülga
“(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.”
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Görüleceği üzere kanun maddesinin yeni halinde özel nitelikli kişisel verilerin tanımı muhafaza edilmiş, kanunun 2. fıkrasında yer alan “Özel nitelikli verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmü kaldırılarak 3. fıkranın başına “Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;” diye başlayan hüküm ile özel nitelikli kişisel verilerin işlenmesinin yalnızca açık rızaya bağlı olması durumu değiştirilmiş ve işleme nedenleri genişletilmiştir. 3. fıkra altında yer alan bendler ile özel nitelikli kişisel verilerin işlenebilmesinin hukuki sebepleri sıralanmıştır.
Bu durumda özel nitelikli kişisel verilerin, yalnızca ‘ilgili kişinin açık rızasının olması’ hukuki sebebiyle değil:
-Kanunlarda açıkça öngörülmesi halinde,
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde,
-İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması halinde,
-Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde,
-Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması halinde,
-İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde,
-Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde, işlenebilmesine imkân tanınmıştır.
3. fıkranın b bendinde yer alan “Kanunlarda açıkça öngörülmesi” ve f bendinde yer alan ”İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması” yeni hukuki işleme sebepleri ile:
Çoğu zaman hukuki bir yükümlülük gereği çalışanlarına ait kişisel verileri işleyen ve muhafaza eden işverenin, bu hukuki yükümlülüklerini yerine getirirken karşılaştığı birtakım sorunların önüne geçilmiş,
İstihdam ve iş ilişkisi içerisinde bazen zorunluluk olarak işlenmesi gereken özel nitelikli kişisel verilerin yalnızca ‘ilgili kişinin açık rızasının olması’ hukuki sebebiyle işlenebilmesinin ve bunun sonucunda işverenin karşılaşabileceği sorunlar önlenmiştir.
Burada kanaatimce; işveren tarafından İş Kanunu vb. düzenlemeler nedeniyle zorunluluk olarak işlenmesi gereken özel nitelikli kişisel verilerin bu zorunlulukla çelişkili olarak yalnızca ‘ilgilinin açık rızasının alınması’ hukuki işleme sebebine dayalı işlenebilmesi durumuna son verilmiştir. Yani kanunun eski halinde işveren hem kanuni yükümlülükleri gereği bir takım özel nitelikli kişisel verileri işlemek durumunda hem de kanuni yükümlülükleri gereği bu faaliyeti gerçekleştirirken işçiden açık rızasını almak zorunda bırakılmış durumdaydı. Ancak yeni düzenleme ile bu çelişkili durumun önüne geçildiği ve işverenin, kanuni yükümlülüklerini yerine getirirken ve işin sürdürülebilirliği için zorunlu olan hallerde özel nitelikli kişisel veri işleme faaliyetini ilgili işçinin açık rızası olmadan da sürdürebilmesine imkân sağlanmıştır. Pek tabi işveren özel nitelikli veri işleme faaliyetine işçinin açık rızasını alarak da devam edebileceği gibi bu faaliyetlerini aynı zamanda kanunlarda açıkça öngörülmesi veyahut istihdam, iş sağlığı ve güvenliği vs. sebeplerle zorunlu olması hukuki işleme sebebine dayalı olarak da devam edebilecektir. Kanunun 4. maddesinde yer alan:
“Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”
şeklindeki genel ilkelere aykırı olmaması koşulu ile işverenin bu yeni düzenleme ile birlikte özel nitelikli kişisel veri işleme faaliyetine kanun metninde yer alan bir veya birkaç nedene dayalı olarak devam edebilecektir.
Siz de fikrinizi belirtin