Av.Erdem Arda Akay

Genel Olarak

»Son yıllarda hız kazanan teknolojik gelişmeler ışığında tüm dünyada olduğu gibi ülkemizde de sosyal ve ekonomik hayata sirayet eden kişisel verilerin korunması meselesi, hemen hemen her alanda düzenleme yapılarak kendine yer bulmuştur. Bu alanların başında da işçi-işveren ilişkisi bağlamında kişisel verilerin korunması meselesi gelmektedir.

Kişisel Verilerin Korunması Kanunu

»7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte gerçek ve tüzel kişilerin etkileşimde oldukları kişilere ait kayıt altına alınan veriler düzenlenmiştir. Bu kanun, 95/46/EC Sayılı Kişisel Verilerin Korunmasına İlişkin Avrupa Birliği Direktifi, daha sonra yayımlanarak yürülüğe giren ve direktifin yerini alan AB Parlamentosu ve Konseyi’nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü ile 28 Ocak 1981 tarihinde Strazburg’da imzalanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ile uyumlu hazırlanmış bir yasal düzenlemedir.

Diğer Kaynaklar

»Uluslararası Çalışma Örgütü’nün (ILO) işçilere dair kişisel verilerin işlenmesi ve bu kişisel verilere dair karşılaşılabilinecek olası kişilik haklarının ihlalini önlemeye dair bir sözleşmesi bulunmamaktadır. Ancak ILO’nun 1958 tarihli ve Türkiye tarafından 1966 yılında onaylanmış olan 111 sayılı İş ve Meslek Bakımından Ayrımcılığın Önlenmesine İlişkin Sözleşmesi, 1971 tarihli ve Türkiye tarafından 1993’te onaylanan 135 sayılı İşletmelerde İşçi Temsilcilerinin Korunması ve Onlara Sağlanacak Kolaylıklar Hakkında Sözleşmesi ile 143 sayılı tavsiye kararında, 181 sayılı Özel İstihdam Bürolarının Korunmasına İlişkin Sözleşmesinde işçilerle ilgili kişisel bilgilerin korunmasına ilişkin hükümler geliştirilmiştir. Avrupa Konseyi’nin 18 Ocak 1989’da kabul edilen İstihdam Amacıyla Kullanılan Kişisel Verilerin Korunmasına İlişkin R(89)2 sayılı Tavsiye kararı da bu konuda önemli bir kaynaktır.

»Bu konudaki eksikliklerin giderilmesi amacıyla ILO’nun 1995 tarih ve 267. toplantısında karar alınmış ve 1-7 Ekim 1996’da yapılan toplantılarda da çalışanların özel hayatına ilişkin bilgilerin korunması ve kullanılmasının düzenlenmesine dair bir metin geliştirilmiştir. Uluslararası Çalışma Örgütünün benimsediği ve ülkemizde de işçilerin kişisel verilerinin işlenmesi bağlamında kabul edilen ilkelere göre; çalışanların kişisel veri niteliğindeki bilgilerinin korunmasına dair yöntemler geliştirilmeli ve veri sorumluları tarafından işlenecek kişisel veri düzeyi minimum seviyede tutularak, elde edilen kişisel veriler amaçlanan işe dair alanlarla sınırlı olarak kullanılmalıdır.

Veri Sorumlusu İşveren Bakımından Veri Sorumluları Siciline Kayıt Prosedürü

»Kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adı verilmektedir. İşveren kişi ya da kurum, kişisel verilerin işlenmesi ve korunması bağlamında veri sorumlusu unvanına sahiptir. Faaliyetleri kapsamında Türkiye’de kişisel verileri işleyen gerçek ve tüzel kişiler, kanuna göre veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilecektir.

İşveren Tarafından Yanında Çalışanlara ve Çalışan Adaylarına Ait Kişisel Veri Niteliğindeki Bilgilerin İşlenmesi

İşveren Tarafından Kişisel Verilerin İşlenmesi

»İşveren gerçek ve tüzel kişiler tarafından, kanun hükümlerine uymak kaydıyla çeşitli sebeplerle yanında çalışan işçilere veya çalışan adaylarına ilişkin kişisel veri niteliğindeki bilgiler toplanabilmektedir. Bu sebeplere örnek olarak işe alım sürecinde başvuran adayların değerlendirilmesi, özlük dosyası düzenlenmesi, çalışanlara yönelik terfi ve mesleki eğitim hususlarında bilgi toplanması, verilen hizmet veya üretilen ürünlere ilişkin kalite kontrol ve müşteri memnuniyetinin üst düzeyde tutulması için bilgi toplanması gösterilebilir.

»İşveren, iş sözleşmesi akdetmeyi düşündüğü işçi adayına ilişkin kimi özellikleri bilmek ve bu bilgiler doğrultusunda iş ilişkisine başlama kararı almak isteyebilir. Bu amaçla işçi adayına kimlik bilgilerine, yaşadığı yerin bilgisine, eğitim durumuna, daha önceki iş tecrübelerine ilişkin sorular yöneltebilir. Dikkat edilmesi gereken husus, işçiye sorularak öğrenilmek istenen bilgilerinin kapsamının yapılacak işe ve işin yürütülmesine ilişkin olmasıdır.

İşverenin Kişisel Verilerin Korunması Bağlamındaki Yükümlülükleri

–Türk Borçlar Kanunu bağlamında;

»Yürütülen iş ilişkisi çerçevesinde işçinin kişisel veri niteliğindeki bilgileri, işveren tarafından işlenecek ve gerekli işlemlerde bu verilerden yararlanılabilecektir. Ancak işçinin iş sözleşmesinden dolayı işverene karşı belirli yükümlülükleri olduğu gibi işverenin de işçiye karşı sözleşmeyle yükümlülük altına girdiği hususlar mevcuttur. İşverenin bu yükümlülüklerinden biri de işçiyi gözetme yükümlülüğüdür.

»Bu bağlamda 6098 sayılı Türk Borçlar Kanunu’nun 419. maddesinde “İşçinin kişiliğinin korunması” başlığı altında işçilere ait kişisel verilerin kullanılması konusu düzenlenmiştir.

“Kişisel verilerin kullanılmasında

MADDE 419- İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.”

»İlgili TBK hükmü iş hukuku bağlamında düzenlenen iş sözleşmeleri açısından geçerlidir ve veri sorumlusu işveren tarafından kişisel verilerin işlenmesi ve kullanılması işlemi buna uygun yürütülecektir. İşçinin işe yatkınlığı veya hizmet sözleşmesinin ifası için zorunlu olmadığı sürece işçinin kişisel veri niteliğindeki bilgileri kullanılamayacaktır.

-İş Kanunu Bağlamında;

»İşveren, iş sözleşmesi ile yanında çalışan işçilerin kişisel veri niteliğindeki bilgilerini de mevzuata uygun şekilde işlemek ve korumak durumundadır. İşçilerin, işveren tarafından işlenen kişisel verilerine dair en tipik örnek işçi özlük dosyasıdır. 4857 sayılı İş Kanunu’nun 75. maddesinde işçi özlük dosyasına işlenmek adına işveren tarafından elde edilen bilgilerin kullanımı ve korunması konusu işlenmiştir:

“İşçi özlük dosyası

Madde 75 – İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”

»İşçinin kimlik bilgileri, mesleki başarısı, devamlılığı ve verimliliği gibi konularda işveren tarafından kişisel veri niteliğindeki bilgiler daha sonra iş ile alakalı kullanılmak üzere toplanabilecektir. Burada dikkat edilmesi gereken nokta, bu verilen işçinin rızasıyla veya istisna hallerde rıza aranmasa dahi dürüstlük kurallarına uygun olarak toplanması ve kullanılmasıdır. Söz konusu kişisel verilerin paylaşılması, ancak 3. kişilerin haklı menfaati olması halinde mümkün olabilecektir.

İşverenin İşçinin Kişisel Verilerini Talep Şartları

»İş Kanununun 25. maddesinde ise işverenin haklı nedenle derhal fesih hakkı düzenlenmiştir. İlgili maddede; işçinin tutulduğu hastalığın tedavi edilemeyecek nitelikte olduğu ve işyerinde çalışmasında sakınca bulunduğunun saptanması durumunda veya işçinin kendi kastından veya derli toplu olmayan yaşantısından yahut içkiye düşkünlüğünden doğacak bir hastalığa ya da engelli duruma düşmesi nedeniyle oluşan devamsızlığında işverenin sözleşmeyi haklı nedenle derhal feshedebileceği belirtilmiştir. Bu madde kapsamında işverenin, işçinin sağlık verilerine amaca yönelik olarak ulaşma hakkının bulunduğu görülmektedir. Bununla birlikte yine aynı madde uyarınca; işçinin iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek ya da gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işvereni yanıltması durumunda da işverenin haklı fesih olduğunun belirtilmesi, işverenin işe almadan önce işçiyle yapacağı görüşmelerde sözleşmenin esaslı konularına ve işçinin temel özelliklerine ilişkin hususlarda kişisel veri niteliğinde bilgileri talep edebileceğini göstermektedir.

 –İş Sağlığı ve Güvenliği Kanunu ve yönetmeliği bağlamında;

»İşçinin sağlık bilgileri, Kişisel Verilerin Korunması Kanunu 6. madde bağlamında özel nitelikli kişisel veriler arasında sayılmıştır. Kanun özel nitelikteki kişisel verilerin işlenebilmesi için açık rızayı şart koşmuş ancak ilgili maddenin devamında sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebileceğini şerh düşmüştür. Bu bağlamda hassas veri olarak da nitelendirilen özel nitelikli kişisel verilerin hukuka uygun işlenmesi veri sorumluları açısından büyük önem arz etmektedir.

»Bilindiği gibi kişisel verilerin işlenmesi kavramı üst başlık olarak bu verilerin aktarılması, saklanması, korunması ve yok edilmesi gibi birçok veri işlemini kapsamaktadır. 6331 sayılı İş Sağlığı ve Güvenliği Kanununu da, işçinin kişisel veri kapsamındaki sağlık bilgilerinin gizli tutulması konusunda işverene yükümlülük getirilmiştir. İlgili kanunun “Sağlık Gözetimi” başlıklı 15. maddesinin son bendi uyarınca işveren, sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgilerini gizli tutmakla yükümlüdür.

»Kanuna paralel olarak hazırlanan İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği de işverene, iş sağlığı ve güvenliği faaliyetlerine ilişkin kaydı ve işçilerin kişisel sağlık dosyalarını saklama yükümlülüğü getirmiştir. İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. Maddesi uyarınca işveren, ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydı, işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdür.

»Bununla birlikte işçinin işyerinden ayrılarak başka bir işyerinde çalışmaya başlaması halinde, yeni işveren çalışanın kişisel sağlık dosyasını yazılı olarak talep edecek, önceki işveren dosyanın bir örneğini onaylayarak bir ay içerisinde yeni işverene gönderecektir. Onaylı defterin asıl suretini işveren, diğer suretlerini ise iş güvenliği uzmanı ve işyeri hekimi saklama yükümlülüğü altındadır. Defterin imzalanması ve düzenli tutulmasından işveren sorumludur ve olası bir teftiş durumunda yetkili iş müfettişleri her istediğinde işveren onaylı defteri göstermek zorundadır.

Veri sorumlusu işverenin, yanında çalışan işçinin kişisel veri niteliğindeki bilgilerini işlerken uyması gereken bazı yükümlülükler bulunmaktadır:

Aydınlatma yükümlülüğü ve açık rıza alınması;

»İlgili kişiye ait kişisel verilerin işlenebilmesi, istisnai haller saklı kalmak üzere açık rızaya bağlıdır. Ancak bu açık rızanın varlığı halinde veri işleme ve saklama prosedürleri uygulamaya konabilecektir. Kanunda açık rıza kavramı; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak ifade edilmiştir. Söz konusu bilgilendirme de KVKK m.10 uyarınca düzenlenmiş aydınlatma yükümlülüğü çerçevesinde gerçekleştirilecektir. Hem iş başvurusunda bulunan kişilerin hem de işveren yanında çalışan işçilerin kişisel verilerinin ne amaçla işlendiği, nerede depolandığı, kimlerle paylaşılabileceği gibi hususlarda veri işlenme sürecine başlamadan bilgilendirilmesi gerekmektedir.

Verilerin belirtilen amaçlarla ve sürelerle sınırlı olarak kullanılması;

»Kişisel Verilerin Korunması Kanununun yürürlüğe girmesiyle getirilen prensibe göre işverenin, yalnızca yapılan iş bakımından elzem ve işin yürütülmesiyle ilgili verileri işlemesi esas tutulmuştur. İşveren, aydınlatma yükümlülüğü bağlamında bilgilendirdiği işçinin kişisel verilerini, bu bilgilendirmede işçiye aktarılan amaçla ve süreyle sınırlı olarak kullanabilecektir.

Verilerin kanuna uygun olarak üçüncü kişilere aktarılması;

»Kişisel Verilerin Korunması Kanunu’nun 8. maddesinde düzenlenen verilerin aktarılması hususu, kural olarak ilgili kişinin açık rızasına bağlanmıştır. Kanundan belirtilen ilkeler çerçevesinde işlenmek amacı ile elde edilen kişisel veriler ilgili kişinin açık rızası alınmak sureti ile Türkiye’de üçüncü kişilere aktarılabilecektir. Ancak Kanun’un 5.maddesinin 2.fıkrasında ve yeterli önlemler alınmak kaydıyla 6.maddesinin 3.fıkrasındaki şartlardan birinin mevcut olması durumunda işçinin açık rızası aranmaksızın veri sorumlusu işveren tarafından kişisel verilerin aktarımı gerçekleştirilebilecektir.

Verilerin güvenliğinin sağlanması;

»Veri sorumlusu işveren, aynı zamanda veri sistemine işlenen bu kişisel veri niteliğindeki bilgilerin korunmasından da sorumludur. KVKK m. 12’de veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini engellemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü tedbiri alması gerektiği belirtilmiştir.

Veri Sorumlusu İşveren Tarafından Kişisel Verilerin İşlenmesi ve Korunmasına Dair Yürütülecek Politikanın Belirlenmesi

»Mevzuata uygun bir şekilde kişisel verileri işleyen ve bunları veri sisteminde depolayan veri sorumlusu işveren, aynı zamanda bünyesindeki kişisel verilerin güvenliğinden de sorumlu olacaktır. Kanunun 12. maddesinde veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir.

»Bu kapsamda işverenlerin, teknik ve hukuki destek ile güvenlik prosedürü geliştirmesi işçilerin kişisel verilerinin korunmasına ilişkin olası risklerin önüne geçilmesini sağlayabilecektir. İdari ve hukuki anlamda; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları uygulanması ve kişisel verilerin mümkün olduğunca azaltılması gibi tedbirlere başvurulabilecektir. Teknik anlamda ise siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel verilerin bulutta depolanması gibi tedbirler alınarak kişisel verilerin korunması sağlanabilecektir.

İşveren Tarafından Kişisel Verilerin Korunması Kanunu’na Uygun Hareket Edilmemesi Durumunda Karşılaşılabilecek Yaptırımlar

»Kişisel verilerin mevzuat hükümlerine göre işlenmemesi veya hukuka aykırı bir sonucun ortaya çıkarılması halinde veri sorumlularının karşı karşıya kalacağı müeyyideler 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 17. ve 18. maddelerinde gösterilmiştir.

»6698 sayılı Kanun’un 17.maddesi “Suçlar” başlığı altında TCK’nın 135 ila 140. maddelerine atıf yapmış ve cezai yönden veri sorumlularının kişisel verilerin kaydedilmesi, verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi, verileri yok etmeme suçlarına ilişkin sorumlu olacakları belirtilmiştir. Bununla birlikte Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde düzenlenen “kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” kurallarına aykırı hareket edenlerin TCK m.138 kapsamında cezalandırılacağı ortaya konmuştur.

»6698 sayılı Kanun’un 18.maddesinde ise “Kabahatler” başlığı altında; aydınlatma ve veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kişisel Verilerin Korunması Kurulu tarafından verilen kararların yerine getirilmemesi ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hallerinde veri sorumlarına ilişkin idari para cezası öngörülmüştür. Söz konusu idari para cezaları, hem gerçek kişi hem de tüzel kişi veri sorumluları hakkında uygulanacaktır. İdari para cezasına hükmetme yetkisi Kişisel Verilerin Korunması Kurulu’na aittir. Kurul, veri sorumlusunun mali durumu ve ihlalin niteliğine göre kanunda belirtilen aralıkta bir cezaya hükmedecektir. Buna ek olarak veri sahibinin bir zarara uğraması halinde tazminat talep etme hakkı da saklıdır.