İşveren-işçi ilişkisinden kaynaklanan kişisel verilerin korunması hususuna ilişkin usul ve esaslara yönelik özel bir düzenleme olmayıp bu alan KVKK ve diğer mevzuat hükümlerince düzenlenmektedir. Kişisel veri kavramı, Kişisel Verilerin Korunması kanununda “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder” şeklinde tanımlanmıştır. Bu kavramdan anlaşılacağı üzere Tüzel Kişiye ait veriler KVKK kapsamında koruma altına alınmamıştır. Bir verinin “Kişisel Veri” olarak nitelendirilebilmesi için öncelikle gerçek bir kişiye ait olması ve veri ile kişi arasında bağlantı olması gerekmektedir. Veri ile kişi arasındaki bağ ilgili veriden, ilgili kişiye ulaşılabilmesi anlamına gelecektir. Bu tanımlamada vurgulanmak istenen, korumanın kapsamının verinin kendisi değil bağlı olduğu kişinin kişilik hakkı olduğudur. Kişisel verileri işlenen gerçek kişiler ise kanunda “İlgili Kişi” olarak tanımlanmıştır. “Veri Sorumlusu” ise Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.    “Kişisel verilerin işlenmesi” tanımı ise Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ifade etmektedir. Bu yazı kapsamında, verisi işlenen İlgili Kişi “İşçi”, Veri sorumlusu ise “İşveren” olarak değerlendirilecektir

İş ilişkileri içerisinde işe alım sürecinde dahi işveren tarafından işçiye ait “İsim, meslek, mesleki deneyim, yaş, medeni hal, banka hesap bilgileri, sağlık raporu, adli sicil kaydı vb.” pek çok kişisel veri işlenmektedir. İşverenin bu verileri işlemesi çoğu zaman kanuni bir yükümlülük olarak karşımıza çıkmaktadır:

  • İş kanunu madde 75 “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” Şeklinde olup işçiye ait özlük dosyası tutulması zorunluluğu iş vereninin veri işlemesini kanuni bir yükümlülük haline getirmiştir.
  • İş Kanunu madde 28. işverene, çalışma belgesi düzenleme yükümlülüğü getirmiştir. Bu kapsamda işverenin işçiye ait kişisel verileri işlemesi gerekmektedir.
  • Türk Borçlar Kanunu madde 426’da Hizmet belgesi verme yükümlülüğü de yine işçiye ait kişisel verilerin işveren tarafından işlenmesi zorunluluğunu doğurmaktadır.
  • İş Sağlığı ve Güvenliği Kanunu madde 14 İş kazası ve meslek hastalıklarının kayıt ve bildirimi ve ayrıca madde 15’te Sağlık Gözetimi gereği bakanlıkça belirlenen düzenli aralıklarla işçilerin sağlık muayenelerinin yapılmasını sağlama yükümlülüğü olan işveren bu kayıt ve bildirim yükümlülüğünün bir sonucu olarak işçinin sağlığına ilişkin özel nitelikli kişisel verileri işlemek durumunda kalmaktadır.
  • Zorunlu İlköğrenim Çağı Dışında Kalmış Okuma Yazma Bilmeyen Vatandaşların, Okur Yazar Duruma Getirilmesi veya Bunlara İlkokul Düzeyinde Eğitim – Öğretim Yaptırılması Hakkında Kanun’un 6. Maddesinde ise “İşverenler işyerlerinde çalışan okuma – yazma bilmeyen işçilerin iş ve ikametgâh adreslerini, Kanunun yürürlüğe girmesinden itibaren üç ay içinde milli eğitim müdürlüklerine bildirmek zorundadır.” Denilmiş olup ilgili Kanun, zorunlu ilköğrenim çağı dışında kalan kişileri 14 yaşını bitiren kişiler olarak tanımlamış olduğundan işyerinde 14-18 yaş arasında yarı zamanlı olarak çalışan bir çocuk dahi olsa, yasal temsilcisinin rızası olmadan, kanuni yükümlülük olarak işveren milli eğitim müdürlüğüne işçinin bilgisini göndermekle yükümlüdür.

İşverenin işçiye ait verileri işlemesi bir yükümlülük olarak karşımıza çıkmakla birlikte, İşveren sözleşmeden doğan edimlerini yerine getirmek için işçinin kişisel verilerini işlemeye ihtiyaç duyabilir. En basit örneği, işverenin işçiye maaş ödemesi yapmak için işçinin banka ve kimlik bilgilerini öğrenmesidir. Veri sorumlusu sıfatıyla işveren; işlediği bu verileri kanunda belirtilen usul esas ve ilkelere uygun olarak işlemek, muhafaza etmek ve gerektiğinde ise yok etmekle de yükümlüdür.

Kişisel Verilerin Korunması Kanununun Genel İlkeler başlıklı 4. Maddesinde “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” Denilmiş ve kişisel verilerin işlenmesine ilişkin olarak 5 temel ilke sayılmıştır. Bunlar:

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlarla işlenme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sayılmıştır.

Bu kapsamda İşverenin; hukuka uygun, toplanma amacıyla sınırlı, asgari düzeyde ve meşru yollarla elde edilmiş verileri işlemeyi ilke edinmesi, şeffaflık ilkesi gereği verisi işlenen işçiyi hangi verilerinin ne amaçla işlendiğini, bu verilerin hangi amaçla kimlerle paylaşıldığını ne şekilde muhafaza edildiğini ve ne zaman imha edileceğini bildirmesi gerekecektir. Önemle belirtmek gerekir ki KVKK madde 5/1 gereği veri sorumlusu, ilgili kişinin “Açık rızası” olmaksızın veri işleyemez. Bu kapsamda İşçiye hangi verilerinin ne amaçla işlendiğinin bildirilmesi ve işçinin açık rızasının alınması işverenin yasal yükümlülüğü olup bildirim yapılmaksızın ve rıza alınmaksızın veri işlenmesi veyahut işçinin elektronik olarak gözetlenmesi kişilik haklarının ihlali anlamına gelecektir.

İşçinin kişisel verilerinin işlenmesinde, Açık rıza gerektirmeyen hallerde kanunda düzenlenmiş olup kanun gereği olma, Sözleşmenin ifası gereği zorunlu olma, Üstün yarar ve kanunda sayılan diğer hallerde açık rıza alınması gerekmez ancak genel düzenleme açık rıza alınması yönündedir.

İşverenin işçinin kişisel verilerini işleyebilmesinin sınırı TBK m. 419’da çizilmiştir. Madde, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.” şeklindedir.  Bu madde metni ile kişisel verilerin, ancak işin niteliğinin gerektiği ölçüde işlenmesi gerektiği. İşin icrası için bilinmesi gerekmeyen veriler işlenmemesi gerektiği hüküm altına alınmıştır. Genel ilkeler kapsamında işveren topladığı verilerin doğru ve güncel olmasını sağlamakla yükümlü olup işçi tarafından düzeltme talep edildiğinde verilerde gereken düzeltmeleri yapmalıdır. Ayrıca amaçla bağlılık ilkesi gereği işveren yasal amaçlarına bağlı olarak yalnızca bu amaç doğrultusunda gereken verileri işlemelidir. Örnek vermek gerekirse bir kişinin mesleki bilgisine ilişkin veriler işin niteliği gereği gerekebilecek iken dini inancına yönelik bir verinin toplanması mesleğin gereği değilse (işverenin dini eğitim veren bir kurum olması durumu) saklanması hiçbir amaca hizmet etmeyecek olup bu verinin işlenmemesi gerekecektir. Aksi bir durum ayrımcılığa yol açabilecek ve işçinin kişilik hakları ihlal edilmiş olacaktır. Tüm bunların yanı sıra işveren yalnızca merakını giderme ya da işçi üzerinde psikolojik baskı kurma amacıyla meşru dayanağı olamadan veri elde etmemelidir. Esas olarak veri işlemede Asgarileştirme ilkesi esas alınmalı ve veri işleyen, işleme amacını gerçekleştirmesine yetecek kadar veri kullanmalıdır.  Bu kapsamda Veri işleme amacını aşan işleme faaliyetleri hukuka aykırı olacaktır.

İşverenin veri sorumlusu sıfatıyla topladığı bu verileri koruması, saklaması ve gerektiğinde imha etmesi veyahut anonimleştirmesi de kanuni bir yükümlülüktür. İşverenin verileri korumasına, djital ortamda saklanan veriler için virüs programları kullanması, fiziki olarak tutulan veriler için verilerin saklandığı alanlara erişimin kısıtlanması örnek gösterilebilir. İşverenin verileri belirli bir süre saklaması kanuni yükümlülüğü olup topladığı verilerle ilgili kişi arasındaki bağı keserek, yani verileri anonimleştirerek de saklaması mümkün olabilecektir.

Bu nedenlerle işveren tarafından; kişisel verilerin toplanmasına, işlenmesine ne şekilde muhafaza ve imha edileceğine ilişkin politikalar belirlemesi gerekecek aynı zamanda işlenen verilere ilişkin olarak, hangi verilerin ne amaçla toplandığına ve ne amaçla kullanılacağına, kimlerle paylaşılacağına ve ne şekilde saklanıp imha edileceğine dair işçinin aydınlatması ve açık rızasının alınması gerekecektir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’inin 5. Maddesinin 1. Fıkrasında aydınlatma yükümlülüğü ile açık rızanın alınması işlemlerinin ayrı ayrı gerçekleştirilmesi gerektiği belirtilmiştir.  Buna göre işveren iş sözleşmesine ek olarak “Aydınlatma metni” ve “Açık Rıza Onayı” evraklarını düzenleyerek işçinin ıslak imzası alınmak suretiyle işbu evrakları işçinin özlük dosyasına eklemelidir. Bu düzenlemedeki amaç işçinin önce nelere onay verdiği hususunda aydınlatılması ve daha sonra onayının alınması düzenini sağlamaktır. Ayrıca veri ihlali durumlarında ispat yükü işverende olacağından işverenin bu hususlarda titiz davranması ve yükümlülüklerini yerine getirip işçinin ıslak imzalı onaylarını alıp muhafaza etmesi ispat açısından önem arz edecektir.

 

Miray Kebabcı
Latest posts by Miray Kebabcı (see all)