Ercüment Erdem Av. Yeşim Tokgöz

İş Hukuku Kapsamında Kişisel Verilerin Korunması

Temmuz 2017

Her yerin kameralar ile donatıldığı, bilgilerin, görüntülerin, fikirlerin çok kolay ve sınır tanımadan paylaşılabildiği teknoloji çağında, kişilerin özel hayatlarının koruma altına alınması doğal bir ihtiyaç haline gelmiştir. Bu kapsamda kişisel verilerin korunmasına ilişkin hukuki düzenlemeler, gerçek kişilerin yer aldığı hukukun her dalına nüfus ederek, çok kapsamlı bir uygulama alanına sahip olmuştur. Ülkemizde gelişmekte olan bu dal, işverenler bakımından da bir an önce gündeme alınması gereken bir konu başlığıdır. Bu makalede, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ve ilgili mevzuat çerçevesinde işverenlerin yükümlülüklerine değinilecektir.

KVKK, genel ve özel nitelikteki veriyi tanımlayarak, veri süjesi, veri sorumlusu, veri işleme koşulları ve istisnaları ile veri süjesinin haklarını detaylı olarak düzenlemiştir[1]. Anayasa m. 20 ve Uluslararası sözleşmelerden hareketle kaleme alınan KVKK[2] bir bakıma Türk Borçlar Kanunu m. 419 ve İş Kanunu m. 75.2’de düzenlenen yükümlülüklerin uygulama alanını çizmiştir. Bu kapsamda veri sorumlusu sıfatını kazanan işverenlerin, işçilerine ait bilgileri edinirken, kullanırken, saklarken, ibraz ederken aşağıda belirtilen kurallara dikkat etmesi gerekecektir.

Gizlilik Yükümlülüğü

İş Kanunu m. 75.2’de de açıkça düzenlendiği üzere, “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” KVKK, bu kurala açık rıza kuralını yerleştirmiştir ve verilerin edinilmesi, işlenebilmesi, iletilmesi konusunda açık rıza arayarak, bu rızaya büyük önem atfetmektedir[3]. Bu kapsamda işveren, edindiği verileri üçüncü kişiler ile işçinin açık rızası olmadan paylaşmamalı ve edindiği bilgileri herhangi bir sübjektif değerlendirme olmaksızın istisnasız bir şekilde saklamalıdır[4].

Aydınlatma Yükümlülüğü

KVKK m. 10 doğrultusunda, işverenler gerek işe başvuran adayların, gerekse hali hazırda çalışan işçilerinin verilerini ne amaçla edindiğini, nerede depolandığını, bu verilere kimler tarafından ulaşılabileceğini, verileri kimlere aktaracağını bildirmek, işçilerin talebi üzerine verilerin kimlere iletildiği, nerelerde kullanıldığı konusunda bilgi vermek zorundadır. Bu kapsamda veriler eksik ya da yanlış ise verileri düzeltmek ve güncel tutmak durumundadır.

Yurtdışına İletim

Yabancı ortaklı şirketlerde, yabancı ortakların şirketin veri tabanına erişimi bulunuyor ise, bu yabancı ülkelerin kişilere bildirilmesi ve kişilerden açık rıza alınması gerekmektedir. KVKK, ayrıca verilerin iletileceği ülkeler hakkında değerlendirme yapılmasını aramaktadır. Bu kapsamda ilgili ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının veri güvenliği bulunduğunu yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izni aranmaktadır. Hangi ülkelerde yeterli koruma bulunduğuna ilişkin bir liste önümüzdeki dönemde ilan edilecek olup, bahsedilen izin verme prosedürüne netlik kazandırılacaktır.

Sadece Belli Bir Amaç Doğrultusundaki Bilgileri Edinme

İşverenler, işe alacakları kişileri enine boyuna araştırma, edinilen bilgilerin daha sonra işe yarayabileceğini düşünerek saklama eğilimindedirler. Oysa KVKK’da açıkça, verilerin sadece kullanım amacı ile sınırlı miktarının edinilebileceğini, amaç kapsamında kullanılabileceğini ve saklanabileceğini düzenlemektedir. Bu nedenle işverenler, işçiye ait verileri, ancak işçinin işe yatkınlığıyla ilgili ve iş sözleşmesinin ifası için zorunlu olduğu ölçüde elinde bulundurabilecektir. İşveren kayıtlarında bulunan ancak iş ilişkisi ile ilgili olmayan bilgiler, artık işverenler için hukuki sorumluluk doğmasına neden olabilecektir.

Bu kapsamda kural olarak işe alım aşamasında işveren, adaya örneğin daha önceki işinde aldığı ücretini, tütün veya alkol kullanıp kullanmadığını, evlenmeyi düşünüp düşünmediğini, çocuk isteyip istemediğini ve adli sicilini soramayacaktır. Fakat belirtmek gerekir ki, çalışma yeri ve işin niteliği gerektiriyor ise, örneğin kişi şoför olarak çalıştırılacaksa trafik suçunun olup olmadığı, muhasebe bölümünde çalıştırılacak ise malvarlığı hakkında soru sorulabilecektir[5] aksi takdirde bu tür sorular, KVKK’ya aykırılığın yanı sıra, ayrımcılığa sebep olması ve eşitlik ilkesine aykırılık nedeniyle de geçersiz kabul edilecektir.

Verilerin Korunması İçin Gerekli Her Türlü Tedbiri Alma

Teknolojinin getirdiği imkanlar sayesinde, şirketlerde bilgiler genelde bilgisayarlarda saklanmaktadır. İşverenler, bu verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmek zorundadır. Bu kapsamda verileri üst düzey virüs programı ile korumalı, olası siber saldırılara karşı her türlü tedbiri almalıdır. İşveren bu tedbirleri alması için üçüncü bir kişiyi görevlendirebilir ancak bu durum, KVKK m. 12.2 uyarınca, işverenin meydana gelebilecek zararlardan doğan sorumluluğunu ortadan kaldırmayacaktır.

İş Hukuku Bakımından Rıza Alınmasına Gerek Duyulmayan Haller

KVKK m. 5.2, bazı durumlarda rızaya gerek bulunmadığını düzenlemiştir. Kanunda sayılan bu istisnalar İş Hukuku bakımından sıkça uygulama alanı bulacak nitelikte olsa da işverenlerin bu istisna düzenlemelerine güvenmemesi ve verilerin sınıflandırılması konusunda çok titiz davranması gerekmektedir.

İş Hukukunda en sık rastlanılacak istisnalardan biri, işyeri teftişleri sırasında paylaşılması gereken verilerdir. Bu durumda işçilerin açık rızasına gerek duyulmadan, özlük dosyaları memurlar ile paylaşılabilecektir. Fakat dikkat edilmesi gereken en önemli nokta, paylaşılabilecek olan verilerin genel nitelikli bilgiler olmasıdır. İşçilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, sağlık, biyometrik ve genetik verileri gibi özel bilgilerin iletilebilmesi için işçilerden açık rıza alınması gerekir.

İşveren, hukuki sorumluluğunu yerine getirebilmek için, örneğin işçilerin yasal vergilerini veya sosyal güvenlik primlerini ödemek amacıyla da işçilere ilişkin verileri kurumlar ile işçinin açık rızası olmadan paylaşabilecektir. Keza, işverenin maaş ödemesini gerçekleştirmek amacıyla, çalışanların banka bilgilerinin banka ile paylaşmasında veya sigorta kaydının başlatılabilmesi için sigortalı numarasının kurum ile paylaşılmasında da rıza aranmamaktadır.

KVKK, kişinin kendisi tarafından alenileştirilmiş bilgilerinin işlenmesi için ayrıca rızasının alınmasına gerek olmadığını düzenlemiştir. Bu kapsamda işçinin internette paylaştığı kişisel verilerin işlenebileceği sonucuna ulaşılabilmektedir. Fakat kanımca, bu hükmün uygulama alanı içtihatlarla belirlenecektir. Zira, sosyal medya hesaplarının kişisel alan olarak kabul edilmesi, paylaşımların belli kişilere açık olması, işverene açık olmayan hesapların, yeni terimi ile işverenler tarafından ‘stalk’lanarak, işçiler aleyhine delil olarak kullanılabilmesi hem KVKK hükümlerine, hem de özel hayatın gizliliği ilkesine ters düşecektir.

Veri Sorumluları Siciline Kayıt Olma

KVKK, veri sorumlularının kaydolmasını zorunlu kılan bir Veri Sorumluları Sicili öngörmektedir ancak bu sicil henüz oluşturulamamıştır.

İşverenin Elindeki Verileri Silmesi

KVKK çerçevesinde, artık işverenler, yasal saklama yükümlülüklerinin dışında, kişisel verileri arşivleyemeyeceklerdir. Bu nedenle işe alınmayan adayların özgeçmişleri yok edilmeli ya da anonimleştirilmelidir, ileride gerekli olur düşüncesi ile saklanmamalıdır, adaydan açık onay alınmamış ise başka işverenler ile paylaşılmamalıdır. Keza işten ayrılan işçilerin verilerinin, olası yasal takiplere karşı zamanaşımı süresi sona erdikten sonra, ya da mevzuatın öngördüğü saklama süresi sonunda (örneğin sağlık muayenelerine ilişkin veriler için 15 yılın sonunda), kayıtlardan silinmeli ya da anonimleştirilmelidir. İşçilerin alışkanlıkları, duygusal, sosyal, ekonomik yapısı, kişilik özellikleri ile ilgili bilgilerin de yok edilmesi gerekir. İşçi de, amaca hizmet etmeyen verilerinin silinmesini isteme hakkını haizdir. Bu talep doktrinde kişilerin unutulma hakkı olarak tanımlanmaktadır[6].

Politika Oluşturma

KVKK Geçici m. 2 ile, yukarıda açıklanan yükümlülüklerin yerine getirilmesi için 26.03.2018 tarihine kadar süre tanımıştır. Bu süre içinde, işverenler kapsamlı bir arşiv çalışması yapmalı, sistemlerindeki bilgilerini genel ve özel nitelikli olarak gruplandırmalı, hangi verinin nasıl korunacağına ve kimlerin erişimine açık olduğuna karar vermelidir ve üst düzey güvenlik tedbirleri alarak gizli tutmalıdır. Yukarıda belirtilen ilkeler çerçevesinde ihtiyacı olmayan verileri yok etmeli, ihtiyaç duyduğu verilerin sahiplerinden KVKK’nın öngördüğü kapsamda açık onay almalıdır. Son olarak da sistemin çalıştığından emin olmak için işyerini düzenli denetimlere tabi tutmalıdır. Olası bir siber saldırı/ ihlal yaşandıktan sonra nasıl hareket edileceğine ilişkin bir tatbikat yapılmasında da fayda vardır.

Yaptırımlar

Yukarıdaki hükümlere aykırı olarak kişisel verileri kaydeden işverenler, Türk Ceza Kanunu m. 135 kapsamında bir yıldan üç yıla kadar hapis cezası ile cezalandırılabilecek olup kaydedilen verilerin, özel nitelikte olması durumunda verilecek ceza yarı oranında artırılarak uygulanacaktır. Ayrıca KVKK m. 17’de kabahatler sayılmış olup madde uyarınca; aydınlatma yükümlülüğüne aykırılık halinde 5.000-100.000 TL, veri güvenliğine aykırılık halinde 15.000-1.000.000 TL, işçilerin şikayetleri üzerine Kurul tarafından verilen kararlara aykırılık halinde 25.000-1.000.000 TL, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüklerine aykırılık (henüz uygulanamayacaktır) halinde 20.000-1.000.000 TL arasında idari para cezası uygulanacaktır. Ayrıca belirtmek gerekir ki, grup şirketler ve bağlı ortaklıklarda, verilerin işlenme amaçlarını belirleyen ve veri kayıt sisteminin tutulmasından sorumlu olan her şirket KVKK gereğince veri sorumlusu sıfatına sahip olacaktır ve yaptırımlardan bizzat sorumlu tutulacaktır.

Sonuç

İşverenlerin bir an önce sistemlerindeki verileri ayıklaması, ilgili kişilerden açık rıza alması ve bu aşamadan sonra veri edinirken amaç ile sınırlı kalmaya özen göstermesi gerekmektedir. İşverenler işyeri organizasyonunu KVKK’ya uyarlamalı, görevlendirdiği personele zaman kaybetmeden eğitim vermeli, sürekli denetimler ile sistemin mevzuata uygun çalıştığını kontrol etmelidir. Bu kapsamda işverenler refleks olarak, edinilen verilerin sözleşmenin kurulması yahut işin yerine getirilmesi ile doğrudan ilgili ve gerçekten gerekli veri olup olmadığını sorgulamalıdır. Aksi durum 26.03.2018’den itibaren yüksek meblağlı cezalara zemin hazırlayacaktır.

[1] Detaylı bilgi için bkz http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/turkiye-ve-avrupada-kisisel-verilerin-korunmasi--ii/ (son erişim tarihi 01.08.2017).

[2] Detaylı bilgi için bkz. http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/turkiye-ve-avrupada-kisisel-verilerin-korunmasi/ (son erişim tarihi 01.08.2017).

[3] Detaylı bilgi için bkz http://www.erdem-erdem.av.tr/yayinlar/hukuk-postasi/turkiye-ve-avrupada-kisisel-verilerin-korunmasi--ii/ (son erişim tarihi 01.08.2017).

[4] Başalp, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004.