GİRİŞ

Bilindiği üzere Avrupa Birliği uyum yasaları çerçevesinde hazırlanan ‘’6698 Sayılı Kişisel Verilerin Korunması Kanunu’’ 07.04.2016 tarihi itibarıyla yürürlüğe girmişti. Yani 2 yıldır yürürlükte olan kanun ile ilgili özellikle son 6-7 aydır şirketler yoğun bir çalışma içerisinde. Bunun sebebi kanunun geçiş hükümlerini içeren geçici madde 1’in 3’üncü fıkrasında ‘’ Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir’’ hükmü yer almaktadır. Dolayısıyla veri sorumluları yani işverenler, 07.04.2018 tarihine kadar ellerindeki bütün kişisel verileri kanuna uygun hale getirmeleri gerekmektedir. 

Son dönemde kanunun bu denli ön planda olmasının sebebi budur. Kanunun aykırılıklara ilişkin cezai hükümlerinin oldukça ağır olması (5.000 – 1.000.000 TL arası değişen idari para cezaları), ayrıca Türk Ceza Kanunu’nda konuya ilişkin 6 aydan 4 yıla kadar hapis cezası öngörülmesi firmaların bu hususa daha dikkatli ve ilgili yaklaşmasını sağlamaktadır.

Öncelikle şunu belirtmek gerekir ki, bu yazıda 6698 sayılı KVKK’dan genel olarak bahsedilip (Kapsam, tanımları, kişisel verilerin işlenmesi-aktarılması, yükümlülükler, cezai hükümler), buna binaen iş hukuku ve işçi-işveren ilişkisi açısından kanun kapsamında işverenler tarafından işçilerin kişisel verilerinin işlenmesi ve korunması hususu ele alınmıştır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU VE İLGİLİ YASAL DÜZENLEMELER

Kişisel verilerin korunması hususu çalışma hayatına ilk defa 6698 sayılı KVKK ile girmemiştir. Zira 2003 yılında yayınlanan ve halen yürürlükte olan 4857 sayılı İş Kanunu’nun 75’inci maddesisin 2’nci fıkrasında ‘’ İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür’’ denilmektedir. Yine 2011 yılında yayınlanan 6098 sayılı Türk Borçlar Kanunu’nun 419’uncu maddesinde ‘’ işverenin işçiye ait kişisel verileri ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanılabilir’’ denilerek işverenin çalışanlara ait kişisel verileri kullanmasında sınırlamalar getirmiş ve bu verilerin korunmasına ilişkin işverene sorumluluk yüklemiştir. 

Yukarıda bahsedilen kanun hükümleri dışında başka yasal düzenlemelerde ve Avrupa Birliği direktiflerinde kişisel verilerin korunmasına ilişkin hükümler mevcuttur. 6698 sayılı KVKK ile konu ayrı bir kanunla düzenlenmiştir. Bilinmelidir ki 6698 sayılı kanun kişisel verilerle ilgili salt çalışma hayatına ilişkin hükümleri içermez. Genel bir kanun olup iş, ticaret, çalışma hayatı, sosyal yaşam vb. gibi insan hayatının hemen hemen tüm alanlarını kapsayan hükümler içermektedir.

KVKK KAPSAMI VE KAVRAMLAR

6698 sayılı KVKK hükümleri; Kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanuna göre kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Görüldüğü üzere kişisel verinin tanımı son derece geniştir. Kişinin e-posta adresinden çocuğunun ayakkabı numarasına kadar her türlü bilgi kişisel veri kabul edilmekte ve bu kanun kapsamında değerlendirilmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri” olarak tanımlanmıştır.

Kişisel verilerin işlenmesi ise; Kişisel verilerin;  tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. İşverenler, iş ilişkisinin başlangıcından sona ermesine kadar geçen süreçte, bazı durumlarda sona ermesinden sonra hatta bazı durumlarda ise ortada bir iş ilişkisi yokken bile, çeşitli nedenlerle işçiler hakkındaki verileri işlemektedir. Çalışanların kimlik bilgileri, fotoğraf, ikametgah belgesi, adli sicil kaydı, eğitim durumuna ilişkin belge, sosyal güvenlik kayıtları, sağlık raporları, iletişim bilgileri, aile durumları, biyometrik bilgileri (parmak izi vb.), gibi örnekleri çoğaltabileceğimiz birçok kişisel verisini işverenler işlemektedir. Bunların bir kısmı çeşitli yasal düzenlemelerden (5510, 4857, 6331 sayılı Kanunlar vb.) bir kısmı şirket prosedürlerinden ve yapılan toplu iş sözleşmelerinden kaynaklanabilmektedir. Dolayısıyla işverenler çeşitli yollarla elde ettikleri bu verileri işlerken son derece dikkat etmelidir.

Özellikle firmaların insan kaynakları birimleri çalışanların veya çalışmak üzere başvuruda bulunan adayların kişisel verilerini en çok işleyen birimdir. Bu kişilerin (veri işleyenler) konuyla ilgili iyi eğitimli olmaları önemlidir. 

Tekrar hatırlatmak gerekir ki verinin işlenmesi; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması gibi her çeşit işlemi ifade eder.  Dolayısıyla KVKK ile ilgili hususlar daha kişi işe başlamadan, işe alım sürecinden itibaren başlamaktadır. Öyle ki hiç görüşülmemiş ancak özgeçmişi bir şekilde firmaya ulaşmış kişi için dahi KVKK hükümleri uygulanmaktadır. İşe alım sürecinde elde edilen kişisel verinin yalnızca işe alım ve değerlendirme amacıyla kullanılması gerekir. Adaylardan ihtiyaç duyulandan daha fazla bilgi talep edilmemelidir. Kişisel verilerin amaçla bağlantılı ve sınırlı olması gerekmektedir. İş başvuru formları bu hususa dikkat edilerek hazırlanmalıdır.

 Çalışanların kişisel verilerinin işlenebilmesi için öncelikle ilgili kişilerin açık rızası bulunması gerekir. Kişilerin açık rızasının illa yazılı olarak alınması şart değildir. Kişisel Verileri Koruma Kurulu; açık rızanın elektronik ortamda, e-posta ile vb. şekillerde de alınabileceğini kanunun uygulama rehberinde belirtmektedir. İşverenler ayrıca, iş sözleşmelerine buna ilişkin hükümler koyarak da işçinin açık rızasını alabilir. Sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Çalışanlara ilişkin kişisel veriler güvende tutulmalı, basılı evraklar kilit altında, bilgisayar üzerindeki bilgiler ise şifrelenmelidir. Bu bilgilere yalnızca yetkilendirilmiş personelin erişimi sağlanmalıdır.

Uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu(İşveren) tarafından silinir, yok edilir veya anonim hâle getirilir. İşten ayrılmış olan kişilerin işveren ile yapmış olduğu iş sözleşmesi kapsamında belirli hususları iş davalarına konu olabileceğinden ve çeşitli kanunlarda (4857, 5510, 6331 vb.) işçilerle ilgili bazı evrakların saklanma süresi boyunca, eski çalışanların kişisel verilerinin saklanmasında işverenin meşru menfaati mevcuttur. Ancak söz konusu zamanaşımı süresinin sonuna gelinmesi ile ilgili kişilere ait kişisel verilerin silinmesi gerekmektedir.

İŞVERENİN VERİ SORUMLUSU SIFATI VE YÜKÜMLÜLÜKLERİ

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanan veri sorumlusu işverendir.

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c)İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) Kişisel veri sahibinin hakları konusunda bilgi vermekle yükümlüdür.

İşverenler,

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
  4. İşveren, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
  5. İşverenler ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
  6. Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

İŞÇİLERİN (VERİ SAHİBİNİN) HAKLARI

İşçiler

  1. Kişisel verilerin silinmesini veya yok edilmesini isteme,
  2. Düzeltme ve silme işlemleriyle ilgili olarak kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteme,
  3. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  4. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

İşçiler Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun (Kişisel Verilerin Korunması Kurulu) belirleyeceği diğer yöntemlerle veri sorumlusuna (İşveren) iletebilir. İşveren başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde;  İşçi, işverenin cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. İşverene başvurulmadan Kurula şikâyet yoluna başvurulamaz.

CEZAİ MÜEYYİDELER

Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Özetle ilgili ceza maddelerinde, Kanuna aykırı olarak kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme gibi suçlardan 6 aydan 4 yıla kadar hapis cezası öngörülmektedir.

6698 sayılı KVKK’da ise aşağıdaki durumlarla ilgili idari para cezaları öngörülmüştür;

  1. Veri Sorumlularından aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000TL’den 100.000 TL’ye kadar,
  2. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar,
  3. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ye kadar,
  4. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar.

SONUÇ

İşverenlerin iş ilişkisinin başlangıcından sonuna kadar hatta sona erdikten sonra dahi çalışanlarının kişisel verilerini işlemekte ve bu işlemlerin her safhası KVKK kapsamında yer almaktadır. KVKK’da öngörülen genel ilkeler ve çalışanın kişisel verilerinin işlenmesine önceden açık rıza gösterip göstermediği bu safhalarda oldukça önem arz etmektedir. 

Veri güvenliğinden sorumlu olanlara sorumluluklarını hatırlatıcı eğitimler verilmelidir. Çalışan verilerine erişimi olan bütün ilgili kişilerle gizlilik hükümlerinin konulması gereklidir. Bilgilerin laptop ya da flashdisk gibi offline ortamlara aktarılmasının sınırlandırılması gereklidir. Sistemde, online ortamda erişilebilen verilerin korunmasıyla ilgili bütün teknik tedbirlerin (güvenlik duvarları, anti virüs vb. yazılımlar) alınması gerekmektedir.

Ülkemizde kişisel verilerin korunması konusundaki çalışmalar oldukça yenidir ve gelişmekte olan bir alandır. Dolayısıyla işverenler tarafından, kişisel verilerin korunmasına ilişkin güncel düzenlemelerin, Kurul kararlarının, tebliğ-yönetmelik gibi ek mevzuatların yakından takip edilmesi gerekmektedir.

 

Rasim ÇETİN

Marmara Üniversitesi Sosyal Bilimler Enstitüsü Çalışma Ekonomisi ve Endüstri İlişkileri Bölümü Yüksek Lisans Öğrencisi, İş ve Sosyal Güvenlik Hukuku Uzmanı

 

KAYNAKÇA

Naz Çağıl OKUTAN; Nur Melodi YAMAN, ‘’ Kişisel Verilerin Korunması Kanunu’nun İş Hukuku ve İşçi – İşveren İlişkisi Açısından Değerlendirilmesi’’,  GSI Articletter, Kış 2018, s.91-104

Ayşe Merve BELGE, ‘’Özellikle Kişisel Verilerin Korunması Kanunu Çerçevesinde İşçilerin Kişisel Verilerinin İhlâli Ve Korunması Yolları’’, D.E.Ü. Hukuk Fakültesi Dergisi, Prof. Dr. Şeref Ertaş’a Armağan, C. 19, Özel Sayı-2017, s. 1025-1051

Gökhan ERBAŞ, ‘’ 6698 sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İşçinin Elektronik Ortamda Gözetlenmesi’’ Hacettepe Üniversitesi Hukuk Fakültesi Dergisi, C.7, Sayı-1, 2017, s.97-108