İŞÇİNİN KİŞİSEL VERİLERİNİN KULLANILMASI
1.GİRİŞ.
Hızla ilerleyen bilişim teknolojileri gelişmeleri iş hayatına da etki etmekte ve işverenlerin yönetim hakkı ve kullanımı genişlemektedir. Bu genişlemenin de etkisiyle işverenlerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında en çok veri temasında bulunduğu gerçek kişiler, işçiler haline gelmiştir. Uygulamada iş ilişkisinin zayıf tarafı olan işçiler, maruz kaldıkları çalışma koşullarının Kişisel Verilerin Korunması Kanunu’na uygun olup olmadığını bilmemekte ve iş ilişkisinin devamı açısından işveren tarafından başvurulan uygulamaları çoğunlukla koşulsuz olarak kabul etmektedir. Kişisel veri, kişilerin isimleri, adresleri, telefon numaraları, hastalıkları, banka hesap numaraları, kredi kartları, şifreleri, mali kayıtları, aldığı cezalar, arkadaşları, akrabaları gibi belirli veya belirlenebilir bir kişiyle ilgili tüm bilgiler olarak tanımlanabilir. Bu veriler, günümüzde hayatın her alanında gerek kamu gerek özel sektör tarafından yaygın olarak kaydedilmekte, başkalarına transfer edilmekte ve özellikle bilgisayar ve internet aracılığıyla paylaşılmaktadır. Veri hukukunun ve bu anlamda kişisel verilerin korunmasının temel amacı, verilerin hukuka aykırı olarak kaydedilmesini önlemek ve bu veriler üzerinde gerçekleştirilen bütün işlemlerin hukuka uygunluğunu sağlamaktır. İşçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, tabiiyeti, mahkumiyet durumu, siyasi ya da sendikal faaliyetleri, sağlık ve hastalık durumu, e-posta yazışmaları, dini, ırkı, etnik kökeni, cinsel eğilimi vb. bilgiler korunması gereken kişisel veriler kapsamında yer almakta ve korunması gereken bilgiler olarak kabul edilmektedir. Benzer şekilde, çalışanın da, Kişisel Verilerin Korunması Hakkındaki Kanun’dan dolayı, çalışma hayatı içerisinde işverenin kişisel verileriyle ilgili edindiği bilgileri saklamakla yükümlü olacağı açıktır. 4857 sayılı İş Kanunu'nda kişisel verilerin korunmasına ilişkin yeterli düzenleme olmamasına karşın, 6098 sayılı Türk Borçlar Kanunu'nun 419. maddesindeki düzenleme kişisel verilerin korunmasında temel hüküm olarak yer almakta ve iş ilişkilerinde de uygulanmakta olup 20.03.2016 tarihli 6698 sayılı Kişisel Verileri Korunması Kanunu çalışmamızın esas mevzuatı olmaktadır.
-----------------------------------------------------------------------------------------------------------------
Kişisel Veri Nedir?
Kişisel veri, kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak tanımlanmakta olup, tanımın oldukça geniş olduğu görülmektedir. Bu kapsamda, kişilerin kimlik bilgileri, kredi kartı ve banka hesap bilgileri, telefon görüşmeleri ve mesaj bilgileri kişisel veri olarak kabul edilebilir. Özel Nitelikli Kişisel Veriler Nelerdir? Kanundaki, kişisel veriye ilişkin genel tanımın yanı sıra, özel nitelikli kişisel veriler ayrıca tanımlanmıştır. Bunlar ırk, etnik köken, siyasi düşünce, felsefi inanç, dini, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, sabıka kaydı ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler olarak sayılmıştır. Kişisel Veriler Nasıl İşlenebilir? İşlenme işlemi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, olarak geniş bir şekilde tanımlanmıştır. İşlenme işleminin hukuka ve dürüstlük kurallarına uygun, doğru ve güncel olarak, belirli, açık ve meşru amaçlar için ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak gerçekleştirilmesi gerekir. Ayrıca işlenen veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilirler sonrasında silinmeleri gerekir. Kişisel Verilerin İşlenme Şartları Nelerdir? Öncelikle genel kural ilgili kişinin açık rızasının alınmasının gerekliliğidir. Açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Kişisel verilerin işlenmesi için kişinin açık rızasının aranmadığı istisnai durumlar, belirtilmiştir. Kanunda açıkça bir durumun öngörülmesi, fiili imkansızlık nedeniyle rızanın açıklanamaması sözleşmenin korunması veya ifasıyla ilgili doğrudan bir gerekliliğin bulunması, veri sorumlusunun hukuki yükümlülüğü verinin ilgili kişi tarafından alenileştirilmiş olması gibi durumlarda açık rıza aranmayabilir. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik gibi kamu düzenine ilişkin sınırlı durumlarda açık rıza aranmaksızın işlenebilir.
Açık Rıza Nedir?
Açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak yasada tanımlanmıştır. Genel olarak açık rıza olmaksızın kişisel veriler sağlanamaz, işlenemez, başka bir veri tabanına veya yurtdışına aktarılamaz. Açık rızanın varlığından söz edebilmek için öncelikle, kişisel veri konusu ile ilgili olarak kişinin bilgilendirilmesi gerekmekte olup, bilgilendirme sonrası kişinin açık ve serbest iradesi ile işleme onay vermesi Gerekmektedir. Bilgilendirmenin eksik olması veya yeterli bilgilendirme bulunmasına rağmen serbest iradenin bulunmaması halinde açık rızadan söz edilemez. Çalışma hayatı içerisinde işçi işveren açısından açık rıza önemlidir. Verileri İşlenen Çalışanın Hakları Nelerdir? Verileri işlenen çalışan, veri sorumlusuna başvurarak kendisiyle ilgili olarak verilerin işlenip işlenmediğini öğrenebilir, konu ile ilgili bilgi talep edebilir, verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir, verilerinin düzeltilmesini isteyebilir, gerekli şartlar oluştuğunda kişisel verilerin silinmesini veya yok edilmesini isteyebilir. Çalışan veri sorumlusuna başvurmasına karşın en kısa sürede ve en geç otuz gün içinde cevap alamaz, eksik cevap verilir veya talebi reddedilir ise veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Bunun dışında kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakları olduğu gibi, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep edebilirler.
İşyerinde Veri Sorumlusu Kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, veri sorumlusu olarak tanımlanmıştır. Bu durumda işveren ve/veya işveren vekili yükümlülükleri açısından veri sorumlusu olarak tanımlanmaktadır. Bunun yanı sıra veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi de veri işleyen olarak tanımlanmaktadır. Veri sorumlusu veya yetkilendirdiği kişi verileri elde ederken kişisel verilerin hangi amaçla işleneceği, verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi gibi konularda bilgi vermekle yükümlüdür. Ayrıca veri güvenliğini sağlamak, gerekli her türlü teknik ve idari tedbirleri almak zorundadır. İşyeri Veri Sorumlusunun Yükümlülükleri Nelerdir? 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun’da iş sözleşmesi kapsamında işveren ile işçi arasındaki ilişkide, kişisel verilerin gizliliğine ilişkin olarak özel bir düzenleme yer almamakla birlikte, bu kanun, işveren ile işçi arasındaki ilişki bakımından da özellik arz edecektir. Veri sorumlusu olarak yükümlülüğü bulunan işverenin veya işveren vekilinin kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte müştereken sorumluluğu bulunduğu gibi, veri sorumlusu, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ayrıca kişisel verileri açıklamamak ve işleme amacı dışında kullanamamakla yükümlüdürler. Kişisel Verilerin Gizli Tutulmasına Aykırılığın Yaptırımı Kişisel Verilerin Korunması Hakkındaki Kanun’a aykırılık halinde, iki türlü ceza öngörülmüştür. Birincisi idari para cezası olup, bilgilendirme, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi ve Kurul tarafından verilen kararların yerine getirmemesi ile, veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket halinde idari para cezası verilir. Bunun yanı sıra kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı maddeleri uyarınca, kişisel verilerin kaydedilmesi, verilerin hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme suçlarına ilişkin hükümler uygulanır. Bu suçların soruşturulması ve kovuşturulması şikâyete bağlı değildir. Kişisel verileri silmeyen veya anonim hâle getirmeyenler ise 5237 sayılı Kanunun 138. maddesi uyarınca “verileri yok etmeme” suçu kapsamında cezalandırılır.
Borçlar Kanunu Uyarınca Çalışanın Kişisel Verilerin Gizliliğinin Kapsamı Nedir?
Türk Borçlar Kanunu’nun Hizmet Sözleşmesi’ne ilişkin hükümlerinde “İşverenin Sorumluluğu” başlığı altında 419. maddede “Kişisel Verilerin Kullanılması” düzenlenmiştir. İlgili düzenleme uyarınca, işveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Bu doğrultuda, işverenin işçinin kişisel verilerini kullanması belli koşullara bağlanmıştır. İşveren işçinin kişisel verilerini ancak işçinin işe yatkınlığıyla ilgili veya iş sözleşmesinin yerine getirilmesi için zorunlu olduğu ölçüde kullanabilir. İş Kanunu Uyarınca Çalışanın Kişisel Verilerinin Gizliliğinin Kapsamı Nedir? İşçinin kişisel verilerinin gizliliğine ilişkin düzenlemeler, İş Kanunu’nun “İşçi Özlük Dosyası” başlıklı 75. maddesinde yer almaktadır. İlgili düzenleme uyarınca “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” İş Kanunu’ndaki düzenleme incelendiğinde, işverenin çalışma mevzuatı kapsamında tutmakla yükümlü olduğu işçi özlük dosyasındaki bilgilerin gizliliğinden sorumlu olduğunun düzenlenerek, işverene bu bilgileri saklayarak ancak yetkili kişilere ve mercilere gösterme yetkisi verdiği görülmektedir. Bu kapsamda, İş Kanunu da işverene, işçi hakkında edindiği bilgileri dürüstlük kurallarını gözeterek hukuka uygun şekilde saklama yükümlülüğü getirerek, söz konusu bilgilerin gizli kalması konusunda işverene sorumluluk yüklemektedir. İş Kanunu’nda işverenin işçinin özlük dosyasını düzenlememesi halinde, işveren hakkında uygulanacak olan yaptırım, İş Kanunu’nun 104/I maddesinde düzenlenmekle birlikte, işverenin işçinin kişisel verilerinin gizliliği ilkesine aykırı hareket etmesi halinde uygulanacak yaptırım düzenlenmemiştir. Buna karşın işçinin işverenin kişisel verilerinin gizliliğine aykırı olarak hareket ettiği gerekçesiyle, iş akdini İş Kanunu’nun m.24/II uyarınca haklı nedenle feshetme hakkı olduğu kabul edilebilir.
İş Sağlığı ve Güvenliği Kanunu Uyarınca Çalışanın Kişisel Verilerin Gizliliğinin Kapsamı Nedir?
6331 sayılı İş Sağlığı ve Güvenliği Kanununu da, işçinin kişisel veri kapsamındaki sağlık bilgilerinin gizli tutulması konusunda işverene yükümlülük getirilmiştir. Kanunu’nun Sağlık Gözetimi başlıklı 15. maddesinin son bendi uyarınca işveren, sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgilerini gizli tutmakla yükümlüdür. İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği de işverene, iş sağlığı ve güvenliği faaliyetlerine ilişkin kaydı ve işçilerin kişisel sağlık dosyalarını saklama yükümlülüğü getirmiştir. İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. Maddesi uyarınca, “İşveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydı, işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını, saklar. Çalışanın işyerinden ayrılarak başka bir işyerinde çalışmaya başlaması halinde, yeni işveren çalışanın kişisel sağlık dosyasını yazılı olarak talep eder, önceki işveren dosyanın bir örneğini onaylayarak bir ay içerisinde gönderir. Onaylı defterin asıl sureti işveren, diğer suretleri ise iş güvenliği uzmanı ve işyeri hekimi tarafından saklanır. Defterin imzalanması ve düzenli tutulmasından işveren sorumludur. Teftişe yetkili iş müfettişlerinin her istediğinde işveren onaylı defteri göstermek zorundadır.”
Kişisel Veriler Ne Zamana Kadar Saklanır?
Bu Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilerek, anonim hâle getirilir. İşyeri E-postalarındaki Veriler Kişisel midir? Anayasa Mahkemesi tarafından, 24.03.2016 tarihli ve 2013/4852 başvuru numaralı karar ile; çalışanların mahremiyetini içeren kurumsal e-postaların işverenler tarafından okunabileceğine karar verilmiştir. Anayasa Mahkemesine müracaat eden başvurucular, özel bir şirket bünyesinde çalıştıklarını, mahremiyetlerine ilişkin özel bilgiler içeren kurumsal e-postaların işverenleri tarafından incelendiğini ve içeriklerinin okunduğunu; bu sebeple özel hayata saygı ve haberleşmenin gizliliği ilkelerinin ihlal edildiğini ileri sürmüşlerdir. Anayasa Mahkemesi, söz konusu yazışmaların; işveren şirket tarafından çalışanlar adına açılmış kurumsal e-posta üzerinden yapıldığını, iş sözleşmesi ile şirket kaynaklarının kişisel amaçlar doğrultusunda yasaklandığı hususunda çalışanlara gerekli bildirimlerin yapıldığını, bu sebeple şirket tarafından e-postaların okunmasının Anayasa ile güvence altına alınan hakları zedelemeyeceğine karar vermiştir. Söz konusu kararda bilgilendirme sonrası açık rızanın varlığına bağlı olarak çalışanın işyeri Kurumsal postalarını hangi şekilde kullanabileceği konusunda gerekli şekilde bilgilendirildiği, bilgilendirme formlarında imzasının bulunduğu ve bunların veri olarak kullanabileceğine ilişkin açık rızasının bulunduğu gerekçeleri ile söz konusu verilerin kullanılabileceği ifade edilmiştir.
İşyerinde Veri Sorumlusu Nasıl Davranmalıdır?
Tüm bu açıklamalara bağlı olarak işverenin veri sorumlusu sıfatıyla öncelikle çalışanlarını açık bir şekilde bilgilendirmesi ve bilgilendirme işlemine yönelik ispat yükümlülüğüne yerine getirmesi açısından, bunu yazılı yapması ve çalışanın “serbest” iradesi ile açık rızasını alması gerekir. Bunların yanı sıra, elde etiği bilgileri çalışanın kişisel ve özel hayatının dokunulmazlığı kapsamında gereken özenle korumak ve gerektiğinde tedbirli bir şekilde aktarmak ve verileri saklamaya ilişkin yükümlülük sona erdiğinde silmekle yükümlüdür.