KİŞİSEL VERİLERİN KORUNMASI HAKKININ İŞÇİ ve İŞVEREN İLİŞKİSİNE ETKİLERİ
Kişisel veriler, ait olduğu kişi hakkında ayrıntılı bir bilgi kaynağı yaratır. Kişisel veriler, ad-soyaddan ikametgaha, fiziksel özelliklerden günlük faaliyetlere kadar bireyin özel hayatı ve hatta yeri geldikçe iş hayatı hakkında bilgiler sunmaktadır. Kişisel verilerin korunması hakkı ile güdülen amaç, bireylerin kendi özerkliklerini korurken kişisel verilerinin işlenmesi üzerinde söz sahibi olabilmelerinin sağlanmasıdır.
İŞ İLİŞKİSİNDE İŞÇİNİN KİŞİSEL VERİLERİNİN KORUNMASI
İşçilerin ya da iş başvurusunda bulunan adayların kişisel verileri, kanundan doğan bir yükümlülüğü yerine getirme; iş alımında, eğitim verilecek yahut terfi ettirilecek işçilerin seçiminde kullanma; işçilerin sağlığını ve güvenliğini tesis etme; kalite kontrolünü, müşteri hizmetlerini ve işyeri güvenliğini sağlama gibi çeşitli gerekçelerle işverenler tarafından işlenebilmektedir.
Kişisel verilerin korunması hakkı, bireye ait kişisel verilerin sınır konulmaksızın işlenmesinin yaratacağı tehlikelere karşı bireyin korunmasını hedefleyen ve verilerinin nasıl kullanacağı hakkında bireyin karar verme özgürlüğünü garanti altına alan haktır.
1)Temel Kavramlar
a)İşçi Açısından Kişisel Veri Kavramı
KVKK m. 3(d)’de ‘kişisel veri’ , kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır, Eğer bir işçinin kimliği bir veya daha fazla belge ya da dosyadaki farklı verilerin bir araya getirilmesi suretiyle tespit edilebiliyorsa, o işçinin kimliği belirlenebilir olarak kabul edilir. İşverenler, iş ilişkisinin başlangıcından sona ermesine kadar geçen uzun bir süreçte çeşitli nedenlerle işçileri hakkında verileri işlemektedirler.
b)İşverenin Veri Sorumlusu Sıfatı
KVKK gereğince, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, ‘veri sorumlusu’ nu oluşturur. İş ilişkisinde gerçekleşen veri işleme faaliyetleri açısından ‘veri sorumlusu’ rolünü işveren üstlenmektedir. Bu nedenledir ki, işyerindeki veri işleme faaliyetlerinin veri koruma hukukunda tesis edilen kurallara uygun şekilde gerçekleştirilmesinden doğan sorumluluk esas olarak, veri sorumlusu sıfatına sahip olan işveren üzerine doğmaktadır.
KVKK’ da ‘veri işleyen’ kavramı açıkça tanımlanmıştır(m.3(ğ)). Buna göre, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, veri işleyendir. İşveren somut olayın koşullarına göre hem veri sorumlusu hem de işleyen sıfatına aynı anda sahip olabilir.
c)Kişisel Verileri İşlenen İşçi
Kişisel verisi işlenen gerçek kişi, ‘ilgili kişi’dir. (m.3(ç)). İş ilişkisi kapsamında kişisel verileri işlenen işçiler ise, bu işleme faaliyeti açısından ‘ilgili kişi’yi oluşturur.
d)İşçinin Hassas (Özel Nitelikli) Kişisel Verileri
Kişisel veriler bireye ait bilgiler içermesi nedeniyle korunmaktadır. Ancak, kişisel verilerin bir alt kümesini ya da türünü oluşturan hassas kişisel veriler, içerdiği bilgilerin özelliği gereği daha sıkı bir korumaya ihtiyaç duyar. Hassas kişisel verilerin özel olarak düzenlenmesinin altında yatan düşünce, bu türdeki verilerin kötüye kullanımının ‘normal’ kişisel verilerin kötüye kullanımına nazaran, bireyin hakları üzerinde daha ciddi sonuçlar doğurabileceği yönündeki varsayımdır.
KVKK m.6/1’de, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri hassas kişisel verileri olarak düzenlenmiştir.
e)İşçinin Açık Rızası
KVKK M. 3(a)’da ‘açık rıza’ , belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak açıklanmıştır. Bu bağlamda, rızanın geçerli olabilmesi için, her şeyden önce, kanunda yer verilen unsurlara (kesin, bilinçli, spesifik olma ve özgür iradeye dayanma unsurlarına) sahip olması gereklidir. Bunun yanında bizim hukukumuz bakımından rızanın bir de açık olması gerekmektedir.
İş ilişkisi anlamında kişisel verilerin işlenmesine onay verilmesinin özellikle önem arz eden yönü, kişisel verilerinin işlenmesine onay verecek işçi ile işveren arasındaki bağımlılık ilişkisidir. Kişisel verinin işlenmesine onay vermemesi halinde iş sözleşmesinin feshedileceği endişesini taşıyan bir işçinin vereceği rızanın özgür bir iradeye dayalı olduğunu düşünmek güçtür.
f)İşçinin Kişisel Verilerinin İşlenmesi
KVKK’ da ‘kişisel verilerin işlenmesi’ kavramı, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır (m.3(e)).
Uygulamada işverenin işçilere ait belirli bilgiler hakkında araştırma bir araya getirdiği bilgilere ‘kara liste’ adı verilmektedir. Kara liste, belirli insan gruplarına ilişkin spesifik bilgilerin toplanması ve dağıtımıdır.
2)İşçinin Kişisel Verilerinin İşlenmesinde Hukuka Uygunluk Sebepleri
Veri işleme ile işçinin kişisel verileri üzerinde oluşacak işveren müdahalesinin hukuka uygun kabul edilmesi, o faaliyetin bir hukuka uygunluk sebebine dayandırılmış olmasına bağlıdır.
Aşağıdaki haller hukuka uygunluk nedeni sayılır:
- İşçinin açık rızası
İlgili kişinin vereceği açık rıza, veri işleme faaliyetini hukuka uygun hale getirebilir (KVKK m. 5/1).
- Kanunlarda Açık Hükme Bağlanma
KVKK m. 5/2(a) uyarınca, veri işleme faaliyetinin kanunlarda açıkça ifade edilmesi halinde, işçiye ait kişisel veri onun rızası olmaksızın işlenebilir.
- İşçinin ya da Üçüncü Kişilerin Hayati Menfaatlerinin Korunması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan işçinin kendisi ya da üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel verinin işlenmesi mümkün hale gelir.
- Sözleşmesel İlişki Bakımından Gerekli Olma
KVKK m 5/2(c)’ ye göre,diğer bir hukuka uygunluk sebebi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasıdır.
İşçi ile işveren arasındaki ilişki esasen bir sözleşme ilişkisi olduğundan, işveren bu sözleşmenin kurulması veya yerine getirilmesi için işçiye ait kişisel verileri işleyebilir. Fakat her türlü kişisel veri değil, sözleşmenin kurulması yahut yerine getirilmesi bakımından doğrudan doğruya ilgili ve gerçekten gerekli olan verilerin işlenmesi gerekir.
- İşverenin Yasal Yükümlülükleri
İşveren tabi olduğu bir yasal yükümlülüğü yerine getirmek adına işçisine ait kişisel verileri işlerse, bu veri işleme faaliyeti hukuka uygun bir temele dayanır (KVKK m. 5/2(ç)).
- Kişisel Verinin İşçi Tarafından Alenileştirilmiş Olması
KVKK m. 5/2(d)’ de öngörülen bu hukuka uygunluk sebebinde, işçi tarafından kamuoyu ile paylaşılmış kişisel verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığı kabul edilerek verilerin işlenebileceği hükme bağlanmıştır.
- Hakkın Tesisi, Kullanılması veya Korunması Bakımından Gerekli Olma
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu ölçüde, işverenin işçilere ait kişisel verileri işlemesi hukuka uygun kabul edilir.
- İşverenin Üstün Gelen Meşru Yararı
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri işleme faaliyeti veri sorumlusunun meşru menfaatleri için gerekli olduğunda, bu meşru yarar veri işleminin haklı gerekçesini oluşturabilir KVKK m. 5/2(f). Ancak, bu hukuka uygunluk sebebinin geçerli olabilmesi için meşru yararın varlığı tek başına yeterli değildir. Şöyle ki, veri sorumlusunun meşru yararları ilgili kişiye ait kişisel verilerin korunması hakkına üstün gelirse, o vakit bu temele dayalı veri işleme faaliyetleri hukuka uygun kabul edilir.
Varılan bu sonuç, işçi-işveren ilişkisi kapsamında gerçekleşecek veri işleme faaliyetleri açısından da geçerlidir. Bu hukuki temel gereğince, işçinin kişisel verilerinin korunması hakkı ile işverenin işçiye ait kişisel verileri işlemedeki menfaatleri arasında bir uzlaşmaya gidilmelidir.
- Hassas Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri
Hassas kişisel verilerin türü önem arz etmeksizin karşımıza çıkan en genel hukuka uygunluk sebebi, ilgili kişinin açık rızasıdır. Şu halde, işveren için işçinin açık rızası KVKK m. 6/1’ de sayılı hassas kişisel verileri işleme yönünden bir hukuka uygunluk sebebidir. Sağlık ve cinsel hayat dışında kalan hassas kişisel verilerin işlenmesinde açık rıza harici belirlenmiş diğer bir hukuka uygunluk sebebi, kanunlarda ilgili verilerin işlenmesinin öngörüldüğü hallerdir.
3)Tarafların Hak ve Yükümlülükleri
Veri işleme sürecinin hukuka uygunluğu, sadece yukarıda açıkladığımız hukuka uygunluk sebeplerine dayalı olarak sağlanamaz. Bunun yanı sıra, tarafların veri koruma hukuku bakımından sahip oldukları hak ve yükümlülüklerinin yine bu süreçte göz ardı edilmemesi gerekir.
- İşverenin Bilgilendirme Yükümlülüğü
Veri sorumlusundan beklenen yükümlülüklerden biri, veri öznesinin amaçlanan veri işleme faaliyeti hakkında bilgilendirilmesidir. Bilgilendirme talebe bağlı değildir. ‘Şeffaflık ilkesi’ nin sağlanması açısından da ilgili kişinin bilgilendirilmesi şartı mutlaka yerine getirilmelidir.
Bilgilendirme yükümlülüğü kapsamında,
a)veri sorumlusunun ve varsa temsilcisinin kimliği,
b)kişisel verilerin hangi amaçla işleneceği,
c)işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç)kişisel veri toplamanın yöntemi ve hukuki sebebi,
d)KVKK m. 11’de sayılan kişiye ait diğer haklar hususunda işçilere bilgi sağlamalıdır.
- Kişisel Verilerin İşlenmesine İlişkin Temel İlkelerin Gözetilmesi
Bir veri işleme faaliyetinin hukuka uygunluğu sorgulanırken, kişisel verilerin işlenmesine egemen olan ilkelere somut faaliyette uyulup uyulmadığı özellikle incelenir. Veri işleme süresince özellikle şu hususlara dikkat edilmelidir:
- İşveren işleme faaliyetinin amacını belirleyip sınırlandırmalı, verileri dürüstlük kuralı ve ölçülülük ilkesi çerçevesinde işlemelidir.
- Veri işleme faaliyeti esnasında esaslı nedenler olmadıkça işçileri arasında ayrım yaratacak müdahalelerden kaçınmalıdır.
- İşlenecek olan kişisel verinin tespit edilen meşru amaç yönünden bağlantılı ve elverişli olması, ayrıca aşırıya kaçmaması gereklidir.
- Kişisel verinin doğru ve güncel şekilde muhafaza edilmesi ile işleme amaçları sona erdiğinde silinmesi işverenin yükümlülükleri arasındadır.
- Veri Güvenliğine İlişkin Yükümlülükler
Bireylerin veri işleme bakımından hak ve özgürlüklerinin korunabilmesi, veri güvenliği ilkesini ve dolayısıyla yetkisiz veri işlemenin önlenmesini gerekli kılar.
KVKK m. 12/1 uyarınca, işveren,
a)kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b)kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c)kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır.
- İşçinin Erişim Hakkı
Erişim hakkının kapsamına öncelikle, ilgili kişinin kendisi hakkında veri işlenip işlenmediğinin ve eğer işleme faaliyeti varsa bunların neler olduğunun kendisine açıklanması hakkına girer. Bu hak doktrinde ‘erişim hakkı’ olarak adlandırılır. Bunun yanında, verinin eksik ya da hatalı olması durumunda ilgili kişinin bu nitelikteki verileri düzeltme ve sildirme hakkı bulunur.
- İşçinin Kendi Verilerine Erişim Hakkı
Her bir veri öznesine kişisel verilerine ulaşım hakkı sağlanmalıdır. Bu hak sayesinde işçi kendisi hakkında hangi verilerin, ne zaman, kimin tarafından, hangi nedenle işlendiğini öğrenme fırsatına kavuşacaktır. Kişisel verilere erişim hakkının kullanımı, işçi tarafından işverene yöneltilecek talebe bağlıdır.
Erişim hakkının hangi konuları içerdiği KVKK m.11 (a-ç) düzenlenmiştir.
a)Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme yönündeki haklara sahiptir.
- İşçinin Verilerini Düzeltme ve Sildirme Hakkı
İşçi veri işleme faaliyetinin veri koruma kurallarına aykırı olduğunu, özellikle de işlenen verilerin yanlış veya eksik olduğunu düşünüyorsa, işvereninden ilgili verilerin duruma göre düzeltilmesini ya da silinmesini talep edebilir.
- İşçinin İtiraz Hakkı
Hukukumuzda ‘işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme’ hakkı şeklinde düzenlenmiştir. Belirtmek gerekir ki yalnızca otomatik yöntemler kullanılarak alınan kararlar bu itiraz hakkının konusu yapılabilir.
UYGULAMADA İŞVERENİN İŞÇİYE AİT KİŞİSEL VERİLERİ İŞLERKEN BAŞVURDUĞU BELLİ BAŞLI YÖNTEMLERİN DEĞERLENDİRİLMESİ
A. Aday/İşçi Hakkında Sorular ve Testler Yoluyla Bilgi Toplanması
İşe alım sürecinde yöneltilen soruların ve yaptırılan testlerin çeşitliliği ve kapsamı göz önüne alınırsa, en az işçilerinki kadar iş başvurusunda bulunan adaylara ait kişisel verilerin de işveren müdahalesine açık konumda olduğu anlaşılır.Bu doğrultuda , başvurulan pozisyonla ilgili olmayan ya da adayın yatkınlığını değerlendirmeyen soruların yöneltilmesinde veya testlerin yaptırılmasında işverenin haklı menfaati bulunmaz. Bu sebeple başvurulan pozisyonla ya da mesleki uygunluğun değerlendirilmesiyle doğrudan bağlantılı olmayan ve bunun için gereklilik göstermeyen bilgiler adaylardan talep edilmemelidir.
1.Adaya/İşçiye Yöneltilebilecek Sorular
a.Kişisel Kimlik, Medeni Durum, Eğitim ve Mesleki Gelişim ile Ekonomik Duruma Yönelik Sorular
b.Sağlık Durumu, Engellilik ve Hamilelik
c. Ceza Mahkumiyeti, Sendika Üyeliği, Dini İnanış ve Politik Görüşler Hakkında Sorular
Hassas kişisel veriler kapsamında korunmaktadır.
2.Adaya/İşçiye Yapılabilecek Testler
Uygulamada uyuşturucu ve alkol testleri, genetik testler, psikolojik testler ve HIV/AIDS testleri ile karşılaşılmaktadır. İşin ifa tarzı ile ciddi sağlık ve güvenlik tehlikeleri arasında bağlantı kurulabiliyorsa, işyerinde ki tüm işçi gruplarını kapsamına almayacak şekilde ilgili işçilere alkol ve uyuşturucu testleri uygulanabileceği kabul edilir.
B. İşveren Tarafından Gerçekleştirilen Elektronik Gözetleme Uygulamaları
Gözetleme uygulamalarına bireylerin veya eşyaların korunması, kamu yararı, suçun tespiti, önlenmesi ve kontrolü yahut delil elde etme gibi çeşitli gerekçelerle başvurulmaktadır.
1.Biyometrik Kontrol Sistemleri İle Gözetleme
Biyometrik kontrol sistemlerinde işçilere ait biyometrik veriler yardımıyla kimlik doğrulaması yapılmakta, işçilerin işe giriş-çıkış saatleri,gün içinde gidip gelinen işyeri bölümleri, bu bölümlerde ne kadar süreyle kalındığı gibi bilgilere ulaşılmaktadır.
2.Video Kamera İle Gözetleme
İşverenlerin bu kontrol sistemine başvurmalarında bazı meşru dayanak noktaları olmakla birlikte, video kamera ile gözetleme doğası gereği ağır kişilik hakkı ihlallerine yol açma tehlikesini barındırır. Ölçülülük ilkesi, kamera ile gözetleme sistemlerinin hukuka uygunluğunu değerlendirirken dikkate alınan kilit öğelerden biridir. Kamera ile gözetleme uygulamasında, eşit davranma ilkesine de uygun hareket edilmelidir. Bir başka koşul, işverenin bilgilendirme yükümlülüğüne yöneliktir. Kesintisiz olarak gözetleme faaliyetleri kural olarak hukuka uygun değildir. Ayrıca gizli gözetlemenin de kural olarak hukuka aykırı kabul edildiği söylenmelidir.
3.İşçilere Ait İletişimin Gözetlenmesi
İşveren bu kapsamda işçinin bilgisayar, e-posta, internet ve telefon kullanımını denetim altında tutmayı planlar.
a.Bilgisayar, İnternet ve E-posta Kullanımının Gözetlenmesi
İşveren yönetim hakkı çerçevesinde elektronik iletişim araçlarını işyerinde hangi kapsamda kullanılacağına karar verebilir ve belirlediği sınırlara işçiler tarafından uyulup uyulmadığını kontrol edebilir. İşverence tahsis edilen bilgisayar üzerinde işverenin denetim hakkı bulunur.
b.Telefon Kullanımının Gözetlenmesi
İşçiye sağlanan telefon üzerinde işverenin mülkiyet hakkı olduğundan, telefonun amaca uygun şekilde kullanıp kullanmadığını denetleme hususunda işverenin haklı yararı bulunur. İşverenin telefon görüşmeleri üzerinde gerçekleştireceği denetim, telefon görüşmelerinin dış bağlantı bilgileri ile sınırlı olmalıdır.
KİŞİSEL VERİLERİ HUKUKA AYKIRI OLARAK İŞLEYEN İŞVERENE KARŞI UYGULANACAK YAPTIRIMLAR
A.Hukuki Yaptırımlar
- Türk Medeni Kanunu çerçevesinde, hukuka aykırı olarak kişilik hakkına saldırılan kimse, hakimden, saldırıda bulunanlara karşı korunmasını isteyebilir (TMK m. 24).
- Yine, TMK m. 25/1’de davacının sürmekte olan saldırıya son verilmesini hakimden talep edebileceği yönündeki hüküm ile saldırının durdurulması davasının varlığına işaret edilmiştir.
- Sona ermiş olsa bile etkileri devam eden bu saldırının hukuka aykırılığının tespitini talep edebilir. Bu davalarla birlikte mahkemeden kararın üçüncü kişilere bildirilmesi ya da yayımlanması isteminde de bulunulabilir.
- Hukuka aykırı veri işleme faaliyeti nedeniyle kişilik haklarının ihlal edildiğini düşünen işçi, işverenin borca aykırı davranışına binaen bu ihlalden doğan maddi zararını talep edebilecektir.
- İşverenin kusursuz sorumlu kabul edildiği bazı durumlarda vardır.
- Hukuki yaptırımlardan bir diğeri, işçinin iş sözleşmesini haklı nedenle feshedebilmesidir.
B.İdari ve Cezai Yaptırımlar
Kişisel verilerin hukuka aykırı şekilde işlenmesi durumunda gündeme gelebilecek idari yaptırım, idari para cezalarıdır.
- İK m.75’de öngörülen işçi özlük dosyasını düzenlemeyen işveren veya işveren vekiline (2016 yılı için) 1.560 Türk Lirası idari para cezası verilir
.
- İK m.28’e aykırı olarak çalışma belgesi düzenleme yükümlülüğüne aykırı davranan veya bu belgeye gerçeğe aykırı bilgi yazan işveren veya işveren vekiline bu durumdaki her işçi için (2016 yılı için) 141 Türk Lirası idari para cezası verilecektir.
- Veri güvenliğine ilişkin yükümlülükleri, aydınlatma yükümlülüğü, kişisel verileri koruma kurulunun verdiği kararlar, veri sorumluları siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenlere karşı yüklü miktarda idari para cezaları öngörülmüştür.
Hukuka aykırı veri işleme faaliyetleriyle işçilere ait temel haklara ya da kişilik haklarına yapılan haksız işveren müdahaleleri genel olarak 5237 sayılı Türk Ceza Kanununun Dokuzuncu Bölümünün 132 vd. maddelerinde düzenlenen ‘Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar’ ı akla getirmektedir. O halde, işverenin hukuka aykırı müdahalelerinin bu hükümlerde yer alan suç tiplerinden birinin veya birkaçının kapsamına girmesi durumunda, ilgili hükümde belirtilen cezai müeyyidelere maruz kalması olası hale gelecektir. Dokuzuncu Bölümde, haberleşmenin gizliliği, kişiler arasındaki konuşmaların korunması, özel hayatın gizliliği ve bireylere ait kişisel verilerin korunması gibi temel değerler cezai yaptırımlarla güvence altına alınmıştır.