Kişisel veri kavramı her geçen gün hayatımıza daha çok entegre olan bir kavram. Kişisel verilerimizi aslında uzun zamandır günlük hayatta ilişki kurduğumuz kişiler, işyerleri, şirketler, hastaneler, okullar, ziyaret ettiğimiz internet siteleri, indirdiğimiz uygulamalar ve bunlara yaptığımız üyelikler veya sosyal medya kanallarıyla diğer kişilerle paylaşmaktayız. Gerek kendi kararımızla paylaştığımız gerekse bilgimiz dışında erişilen kişisel verilerimiz hakkında çeşitli kişi ve kuruluşlar bilgi sahibi olmakta, bazen bu bilgileri saklamakta, başkalarına aktarmakta veya çeşitli amaçlarla kullanmaktadır. Kişisel veri hukuku tam da bu ilişkilerin hukuki zeminini oluşturan, yasal bir boyut kazandıran görece yeni bir hukuk branşıdır.
Kişisel veri hukuku ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle ilk kez gündeme gelmiş, ardından bu Kanunla bağlantılı çıkarılan yönetmeliklerle bu alanda yeni düzenlemeler getirilmiştir. Söz konusu düzenlemelerin yürürlüğe girmesi, işçi-işveren ilişkilerine de yeni bir boyut kazandırmış ve işverenler bakımından yeni yükümlülükler getirmiştir. İşçi çalıştıran kişi veya kurumların KVKK kapsamında sorumluluklarının belirlenmesi ve mevzuat uyum çalışmalarının yürütülmesi oldukça önemli olup, aksi takdirde cezai yaptırımlarla karşılaşılması ve çeşitli uyuşmazlıkların doğması kaçınılmaz olacaktır.
1. Kişisel Veri Kavramı
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kanundaki tanımdan yola çıkarak kişisel verinin ne olduğu hemen anlaşılamamaktadır. Kişiye ait hangi bilgilerin kişisel veri niteliğinde olduğu Kanun’da sayma yoluyla tek tek belirlenmiş de değildir. Önemli olan, bu verinin bir kişiyi diğer kişilerden ayıran bir özelliğinin olup olmadığıdır. Her somut olayda bir verinin tek başına veya diğer verilerle birlikte belli bir gerçek kişiyi işaret edip etmediğine bakılır. Bir kişinin, adı, soyadı ile diğer kimlik bilgileri, fotoğrafı, ses kaydı, adli sicil kaydı, IP adresi, ailevi özellikleri, etnik kökeni, siyasi ve felsefi görüşü, mesleği kişisel verilere örnektir.
Kişisel veri mutlaka bir gerçek kişiye yani bireye ait bilgidir. Bu bağlamda örneğin, tüzel kişi olarak nitelenen şirketlere ve diğer kuruluşlara ait bilgilerin kişisel veri niteliğinde olmayacağı açıktır.
Kişisel veriler kendi içinde özel nitelikli kişisel veriler şeklinde bir alt ayrıma da tabi tutulmakta ve bu tür veriler daha sıkı bir koruma altına alınmaktadır. Çünkü bu türden veriler kişiler hakkında ayrımcılığa neden olabilecek türden verilerdir. Kanunda özel nitelikli kişisel verilerin hangileri olduğu belirlendiği için bunların sayısını arttırmak mümkün değildir. Kanuna göre özel nitelikli kişisel veriler; “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.”
Özel nitelikli kişisel veriler içerisinde de kişinin sağlığı ve cinsel hayatı ile ilgili veriler daha farklı bir konuma sahiptir. Bu farklılık verilerinveri sorumlusu veya veri işleyenler tarafından hangi şartlarda işlenebileceği konusunda ortaya çıkmaktadır. Özel nitelikli kişisel veriler ancak ilgili kişinin açık rızasıyla veya Kanun’da gösterilen hallerde işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise “ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar” tarafından işlenebilir.
2. Veri Sorumlusu ve Veri İşleyen Kavramları
Veri sorumlusu bir gerçek veya tüzel kişi olabilir. Verilerin işlenme amaç ve araçlarını belirleyen ve veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiyle verileri onun adına, onun verdiği talimatlarla veya aradaki sözleşme ilişkisine göre işleyen gerçek veya tüzel kişidir.
Pazar araştırma şirketleri, kuryeler, dışarıdan hizmet sunan çağrı merkezi şirketleri veri işleyendir.
Bu iki kavramı birbirinden ayırt etmek bazen zor olabilmektedir. Bu iki sıfat aynı kişide de birleşmiş olabilir. Örneğin bir şirket hem veri sorumlusu hem de veri işleyen olabilir. Bir muhasebe şirketi kendi çalışanlarının verileri bakımından veri sorumlusu, müşterisi olan şirketlerin verilerini tutarken veri işleyen sıfatına sahiptir.
Yine veri sorumlusunun bir tüzel kişi ya da gerçek kişi olması gerektiğinden şirket içinde tüzel kişiliği olmayan birimlerin veri sorumlusu olması mümkün değildir. Burada veri sorumlusu şirket tüzel kişiliği olup, şirket adına veri işleyen gerçek kişiler varsa ancak bunlar veri işleyen olarak konumlandırılabilir.
Alt işveren-asıl işveren ilişkisinde, at işverenin işçileriyle ilgili olarak hem alt işverenin hem de asıl işverenin veri sorumlusu olduğu durumlar olabilmektedir. Asıl işveren eğer bu işçilerle ilgili olarak verilerin işlenmesinin amaç ve araçlarını kendisi belirliyorsa asıl işveren de veri sorumlusu sıfatına sahiptir. Ancak bu mutlak bir kural olmayıp bunlar arasında veri işleyen-veri sorumlusu ilişkisi de olabilir. Doğru tespit için verilerin işlenmesiyle ilgili aradaki ilişkiye bakılması gerekir.
3. İşçinin Kişisel Verileri
Kişisel verilerin korunması alanı, iş hukukuyla yakın bir ilişki ve etkileşim içindedir. İşverenler tarafından işçilere ait bilgilerin işçi özlük dosyalarında saklanması gerektiğinden işveren işçi verileriyle ilgili veri sorumlusudur. İşçilere ait kişisel veriler bilgisayar ortamında veya işçi özlük dosyalarında saklanan, işçinin özel ve mesleki yaşamını kapsayan, işçiyle ilgili ve onu belirli kılan her türden bilgisidir. Bu kapsamda örneğin, işçinin adresi, telefon numarası, sendikal faaliyetleri, performans raporları, sağlık bilgileri, e-posta yazışmaları, etnik kökeni, dini, uyruğu, medeni hali kişisel verilerine örnektir.
4. İşverenin İşçinin Kişisel Verileri Bakımından Sorumluluğu
İşçilerin kişisel verilerinin korunması İş Kanunu Madde 75 hükmünde de düzenlenmiştir. Söz konusu maddeye göre, “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”
İşverenler işçilere ait bu bilgileri işlerken, saklarken, kullanırken, yurtiçinde ve yurtdışında başkalarına aktarırken bazı kurallara uymakla yükümlüdür. İşveren veri sorumlusu sıfatıyla bu kurallara uymadığı takdirde cezai yaptırımlarla karşılaşacaktır. Aşağıda işverenin bir veri sorumlusu olarak işçinin kişisel verileriyle ilgili sorumlulukları tek tek belirtilmiştir.
4.1. Kullanım Amaçlarıyla Sınırlı Kalma
İşverenin işçinin sadece görev tanımı, iş ilişkisinin kurulması, sürdürülmesi ve işin yerine getirilmesi için gerekli tecrübe, mesleki yeterlilik, eğitim durumu gibi bilgilerini isteme ve kaydetme hakkı vardır.
İşverenlerin sık sık iş ilişkisiyle alakası olmayan, işçi-işveren ilişkisinin sınırlarını aşan cinsten işçi verilerini talep ettiklerine rastlamaktayız. Oysa ki bu durum işverenin sorumluluğunu gerektiren ve yaptırımı olan bir davranıştır. Örneğin bir kadın işçiye işe alım sırasında evli olup olmadığı ve çocuk düşünüp düşünmediğinin sorulması, hem eşitlik ilkesine aykırı olan ayrımcı bir uygulama hem de KVKK kapsamında sorunlu bir davranıştır. Böyle bir soru ancak işin özelliği gerektiriyorsa sorulabilir. Mesela bir radyoloji teknikeri alımında işçinin zarar görmemesi bakamından yöneltilebilecek bir soru olarak kabul edilebilir. Aynı şekilde Gelir Vergisi Kanunu kaynaklı olarak yapılacak ödemelere esas olması bakımından soruluyorsa kabul edilebilir.
Yine işçi adayından adli sicil kaydının istenmesi de işverenin hukuken talep edebileceği bir veri türü olmayıp, iş ilişkisiyle bir ilgisi yoktur. Ancak güvenlik görevlisi alımı gibi bu konuda özellik arz eden işlerle ilgili olarak bu veri türünün de talep edilip işlenmesi mümkün görülebilir.
4.2. İşçiyi Aydınlatma Yükümlülüğü
İşveren, işçininya da işçi adayının bilgilerini hangi amaçla edindiğini, verilerin nerde saklandığını, bu verilere kimler tarafından erişilebileceğini, verilerin kimlere akarılabileceğini işçiye bildirmekle yükümlüdür(KVKK madde 10). Bu yükümlülük işveren açısından hem mevcut işçileri hem de kendisine iş başvurusunda bulunana kişiler bakımından geçerlidir. Aydınlatme yükümlülüğü mutlaka veriler işlenmeden önce yerine getirilmelidir.
Aynı şekilde işçinin talebi halinde verilerinini kimlere aktarıldığı, ne amaçla kullanıldığı gibi bilgileri işveren işçiyle paylaşmak zorundadır.
4.3. Gizlilik İlkesine Riayet ve Açık Rıza Alma Yükümlülüğü
İşçinin kişisel verilerinin işveren tarafından işlenebilmesi, kullanılabilmesi, başkalarına aktarılabilmesi için Kanun’daki istisnalar dışında mutlaka işçinin açık rızasının alınması gerekmektedir. İşverenlerin bu yükümlülüğü nasıl yerine getirecekleri hakkında 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Bu tebliğin 5/1-b hükmü uyarınca işveren işçiye karşı olan aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini her ikisini de gerçekleştirmelidir. “Aydınlatma Metni” ve “Açık Rıza Onayı” ile ilgili işverenin iki ayrı belge hazırlayarak işçinin iş sözleşmesine eklmesi ve işçi tarafından imza edilen bu belgeyi işçi özlük dosyasında saklaması gerekmektedir.
4.4. İşverenin Açık Rıza Almaktan Muaf Tutulduğu Haller
Kural olarak işverenin her durumda işçinin verileriyle ilgili işlemlerinde işçinin açık rızasını alması gerektiğinden bir önceki başlıkta bahsetmiştik. Ancak Kanun’da işverenin işçinin rızasını almasına gerek olmadan bazı verilerini paylaşabileceğine ilişkin istisnai düzenlemeler de bulunmaktadır. Örneğin, denetimler sırasında işverenler, işçilerle ilgili genel nitelikli bilgi ve belgeleri denetimi yapan kişilerle işçi rızası almadan paylaşabilir yine, işverenin resmi kurumlarla işçinin bazı verilerini paylaşmasında rızasını almasına gerek yoktur. Örneğin, işverenin stopaj vergisi işlemleri ve sosyal sigortalar kapsamındaki yükümlülükleri gereği ilgili kurumlarla işçinin verilerini izinsiz paylaşmasında hukuken bir sorun yoktur.
İş sözleşmesinin devamı süresince elde edilen performans değerlendirme raporları ve işçinin verimliliği gibi veriler de işçinin açık rızasına tabi olmaksızınişlenebilir. İşçinin görüntü alınması yoluyla takibi gibi çeşitli performans denetleme araçlarıyla veri elde edilmesi de işçinin özel yaşamını ihlal edecek düzeyde olmadığı sürece ve işverenin meşru amaçlarıyla sınırlı kalmak koşuluyla işçinin açık rıza vermesi şartına tabi tutulmamıştır. Ancak hemen belirtmek gerekir ki, bu verilerin işlendiğinden işçi yazılı olarak bilgilendirilmeli, bu uygulama tebliğ edilmelidir. Aksi takdirde bu verilerin işçi aleyhine delil olarak kullanılması hukuka aykıdır.
Birçok şirket tarafından günümüzde tercih edilen parmak iziyle giriş-çıkış kayıtları da ölçülülük ilkesi bağlamında sorun teşkil edebilecek bir uygulamadır. İşçinin parmak izi bir tür biyometrik veri olup, özel nitelikli kişisel veridir. İşverenin bu yöntem yerine kartlı geçiş sistemini tercih etmesi bu anlamda ölçülülük ve kullanım amacıyla sınırlılık bakımından mevzuatla daha uyumludur.
Belirtilmelidir ki bu konular oldukça sınırlı biçimde anlaşılmalı ve işverenler tarafından işçinin verileri kaydedilir veya paylaşılırken olabildiğince hassas davranılmalıdır.
4.5. Verilerin Korunması İçin Gerekli Tedbirleri Alma Yükümlülüğü
İnternet ve bilgisayar çağında yaşamanın sonucu olarak artık pek çok bilgiyi internet ortamında saklamakta ve paylaşmaktayız. Bu durum bilgisayar ve internet ortamında saklanan bilgilerimizin güvenliğiyle ilgli yeni sorunları da berberinde getirmektedir. Sık sık bazı iş yeri ve şirketlerin siber saldırılara uğradığını basından duymaktayız. Şirketlerin ve şahıs olarak iş yeri sahibi işverenlerin, müşterilerinin kişisel verilerini koruma yükümlülüğünün yanı sıra çalıştırdıkları personellerin verilerinin de güvenliğinden sorumlulukları vardır.
İşverenlerin işçilerin verilerinin gizliliğini sağlama, başkaları tarafından bu verilere izinsiz erişimleri engelleme, bunun için gerekli teknik altyapıyı kurma konusunda Kanun’dan doğan yükümlülükleri vardır. Hatta veri güvenliği için işveren başka bir iş yeri veya şirketten hizmet alıyor olsa dahi bu durum kendi sorumluluğunu kaldırmaz. İşverenin işçilere tazminat ödemesi gerekir.
4.6. Verilerin Yurtdışına Aktarımı Konusunda Yükümlülükler
İşçinin kişisel verilerinin yurt içinde paylaşılmasında işçinin bu konuda bilgilendirilerek açık rızası aranmalıdır. Ancak işçi verilerinin yurtdışına aktarılmasının gerekli olduğu durumlar da ortaya çıkmaktadır. Özellikle çok uluslu şirketlerde yurtdışına veri aktarımı yapılmakta veya yabancı ortaklı şirketlerin bu şirketlerin veri tabanlarına erişimi sayesinde işçi verileri yabancı ilkelerle paylaşılmaktadır. Bu kapsamda işverenin iki öenmli sorumluluğu bulunmaktadır; birincisi KVKK kapsamında işçinin bu paylaşıma ilişkin açık rızasını mutlaka temin etmelidir. İkinci olarak işverenler, , kişisel veri paylaşımı yapacağı ülkenin bu verilerle ilgili yeterli korumayı sağlayıp sağlayamayacağını araştırmak ve sağülayamayavağını tespit ettiği durumlarda veri paylaşımı yapmamak yükümlülüğü altındadır.
4.7. Veri Sorumluları Siciline Kaydolma
6698 sayılı KVKK’nın 16 ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Sicili olan ve VERBİS olarak kısaltılan sicile kaydolması gerekmektedir. Söz konusu kayıt işlemi online olarak Kişisel Verileri Koruma Kurumu’nun internet adresi üzerinden gerçekleştirilebilmektedir.
4.8. Verilerin Silinmesi, Yok Edilmesi veya Anonimleştirilmesi Konusunda Yükümlülükler
İşçilerin sadece iş ilişkisi gereği gerekli olan bilgilerinin işverenler tarafından işlenebileceğinden bahsetmiştik. İşveren sadece kullanım amacıyla sınırlı olarak veri işleyebilir. Bunun haricinde işçilerin özel nitelikli kişisel verilerini örneğin, felsefi ve siyasi düşüncesi, sağlığı, alışkanlıkları gibi bilgilerinin işverence işlenmesi hukuka aykırıdır ve işçi bu türden verilerinin silinmesini her zaman isteyebilir.
İşten ayrılan işçilerle ilgili verileri de işveren ancak Kanun’da belirtilen süreler boyunca saklamaya devam edebilir. Bu sürelerin sonunda işçiye ait bilgileri silmeli veya anonim hale getirmelidir.
Yine işe alım süreçlerinde adaylardan elde edilen bilgiler, işe alım gerçekleşmediği takidrde silinmeli veya anonim hale getirilmelidir. Adayların açık rızası olmadıkça özgeçmişlerinin saklanmaya devam edilmesi ve başka iş yeri veya şirketlerle paylaşılması işverenin sorumluluğunu gerektirir.
5. İşverenin Sorumluluklarını Yerine Getirmemesi Halinde Uygulanacak Yaptırımlar
Mevzuatımızda, kişisel verilerle ilgili düzenlemelere aykırı davranan işverenler için suç ve kabahatlere ilişkin çeşitli yaptırımlar(hapis ve para cezaları) uygulanması ve özel hukuk bakımından da verilerin ait olduğu kişilere tazminat ödeme yükümlülükleri düzenlenmiştir.
Öncelikle TCK madde 135 ila 140. maddeleri gereği işverenlerin kişisel verileri hukuka aykırı şekilde kaydetmesi, ele geçirmesi, paylaşması veya yok etmemesi hallerinde 1 yıldan 3 yıla kadar hapis cezası gerektiren suçlar olarak düzenlenmiştir. Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suçları için şikayet şartı dahi aranmamaktadır. Eğer bu suçları işleyen işveren bir gerçek kişi değil de şirket gibi bir tüzel kişiyse hakkında hapis cezası değil tüzel kişikere özgü güvenlik tedbiri uygulanacaktır. Bir holding çatısı altındaki şirketlerle bağlı ortaklıklarda verilerin işlenme amacını ve araçlarını belirleyen her şirket veri sorumlusu sıfatıyla bu yaptırımlardan sorumlu olur.
KVKK’nın 18. Maddesinde kabahat teşkil eden aşağıdaki davranışlarla ilgili olarak veri sorumlusu gerçek veya tüzel kişiler hakkında para cezası uygulanması öngörülmüştür;
- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası uygulanır.
Yine özel hukuk hükümleri kapsamında işçinin işverenden özel hayatın gizliliğini ihlal maddesine dayanarak tazminat talep edebileceği de unutulmamalıdır.
SONUÇ
İşçi işveren ilişkilerinde kişisel verilerin korunması konusu 2016’dan bu yana şahıs ve şirket işverenlerin gündemindedir. KVKK mevzuatına uymamanın ciddi yaptırımları olduğundan tüm şirketlerin kişisel verilerin korunmasıyla ilgili mevzuata uyumlaştırma çalışmalarını yapması, gerekli metinleri oluşturması ve gizlilik ve veri politikalarını belirlemesi yasal bir zorunluluktur. İşverenlerin bu konuda cezai yaptırımlara ve hukuki uyuşmazlıkların dava süreçlerine muhatap olmamaları için işçi verilerinin işlenmesinde gerekli aydınlatma yükümlülüğüne riayet ve usulü, açık rıza metinleri ve kişisel verilerin hukuka uygun işlenmesi, saklanması, paylaşılması ve silinmesi ile ilgili tüm konularda bilgi sahibi olması ve gereğini yapması öenm arz etmektedir. Kişisel veri hukukyla ilgili hukuki danışmanlık hizmetleri ve gerekli prosedürlerin tamamlanması konusunda Solmaz Hukuk ve Danışmanlık ekibi profesyonel hizmetler sunmaktadır. Ekibimizin uzman hukukçu kadrosuyla iletişime geçerek hukuki hizmet talebinde bulunabilirsiniz.
Saygılarımızla.
REFERANSLAR
KÜZECİ, Elif, “6698 sayılı Kişisel Verilerin Korunması Kanunu’nun İş Sözleşmesi Çerçevesinde Değerlendirilmesi: Veri Sorumlusu, Veri İşleyen Ve Diğer Aktörler”, 2019, Legal İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, Cilt: 16, Sayı: 63, Eylül-Ekim.
MANAV, Eda A., “İş İlişkisinde İşçinin Kişisel Verilerinin Korunması”, Gazi Üniversitesi Hukuk Fakültesi Dergisi, C. XIX, Y. 2015.
Türk Ceza Kanunu
Kişisel Verilerin Korunması Kanunu