İş Hukukunda Kişisel Verilerin Korunması ve Kapsamı
Giriş
6698 Sayılı Kişisel verilerin Korunması Kanunu gerçek kişilere ait kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla veri işleyen gerçek ve tüzel kişilerin uyacakları esasları belirlemek ve uyulmadığı takdirde gerek idari yaptırım gerekse cezai takibatla söz konusu hak ihlallerinin önüne geçmeyi hedefleyerek 07.04.2016 tarihinde yürürlüğe girdi. Ancak sadece kanun yapma yetmeyeceği için her alanın kendi içinde Kişisel Verilerin Korunması Kanunu’na uyumlu hale gelmesi gerekir. Bu alanlardan biri de İş Hukukudur. Bu kapsamda iş hukukunda kişisel verilerin korunması önem arz etmektedir.
Kişisel Verilerin Korunması Kanununda Verilerin Korunması
KVKK uygulamasında kanun hükümlerinin verisi işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler tarafından gerek otomatik gerekse herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı belirtilmiştir. Kişisel veri ise tanımı kanunda ve literatürde tam olarak belirlenememekle birlikte gerek kişiye ait ve onu diğerlerinden ayırt etmeye yarayan isim,
soy isim, kimlik numarası, mail adresi, telefon numarası, banka hesap bilgileri, kan grubu, ikametgah adresi gibi tüm veriler olarak aklımıza gelebilir. Bu tanım kişisel verileri genel olarak belirtmekte olup kanun özel nitelikli kişisel veriyi ayrı olarak ele almıştır. İş hukukunda kişisel verilerin korunması anlamında bu terimler oldukça önem arz etmektedir.
Özel Nitelikli Kişisel Veriler ve İş Kanunu
Özel nitelikli kişisel veriler ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin işlenmesi ise bazı istisnalar hariç açık rıza metninin alınması şartı ile işlenebileceği belirtilmiş fakat bu işleme de kurul tarafından belirlenen yeterli önlemlerin alınması şartına bağlanmıştır.
İş Kanununda Çalışanın Kişisel Verilerinin Korunması
Kişisel verilerin Korunması Kanunda işveren ile işçi arasındaki iş ilişkisinde kişisel verilerin gizliliğine yönelik olarak bir düzenleme bulunmamakla birlikte kanunun içeriğinden anlaşılmaktadır ki işçi ile işveren arasındaki hak ve yükümlülükler işçi lehine kişisel verileri korumayı, yeri ve zamanı geldiğinde yok etmeyi de kapsamaktadır. Bu anlamdaİş Kanunu 75. Maddesinde öncelikle işverene işçi ile ilgili özlük dosyası hazırlama yükümlülüğü yüklemekte ve devamında bu özlük dosyasında işçiye ait kimlik bilgilerini ve iş kanunu ve diğer kanunlarda düzenlemek zorunda olduğu bilgileri saklama ve gereğinde yetkili mercilere gösterme yükümlülüğünü vermiştir. Diğer taraftan işveren işçiye ait bir takım bilgileri alırken açık rıza metni onayı ile almalıdır. Söz konusu rıza bazı hallerde gerekirken bazı hallerde gerekmemektedir. Örneğin iş yeri teftişi sırasında işçin özlük dosyasının incelenmesi için yetkili mercie verilmesinde açık rızaya gerek olmazken işçinin biyometrik verilerinin işlenmesi açık rızaya tabi olacaktır. O halde işveren işçiye ait özlük dosyasında kanunların izin verdiği verileri işleyebilecek ve gerekli olduğu hallerde saklayacak ve zamanı geldiğinde yok edecektir.
Yine aynı maddenin ikinci fıkrasında işveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür denerek işçiye ait verileri dürüstlük kuralları ve hukuka uygun olarak almayı işlemeyi, saklamayı ve gereğinde yok etmeyi veri sorumlusu olarak iş verene yahut işveren vekiline yüklemektedir. Ancak İş Kanunu 104. Madde ile işveren işçi için özlük dosyası düzenlemediğinde yaptırma tabi tutsa da 75. madde ile işverenin kanuna aykırı özlük dosyası düzenlemesini yahut özlük dosyasının içeriğinin, kapsamının İş Kanunu yahut diğer kanunlara aykırı düzenlenmesinin yaptırımını ve cezai sorumluluğunu düzenlememiştir.
Borçlar Kanununda Kişisel Verilerin Korunması
Borçlar Kanunu’nun işçinin kişiliğinin korunması başlığı altında işverene, işçiye ait kişisel verileri, Kişisel Verilerin Korunması Hukuku anlamında amaçla orantılılık ilkesine yönelik olarak, işçinin işe yatkınlığı ile ilgili veya hizmet sözleşmesinin ifasının zorunlu kıldığı ölçüde kullanmasına imkan tanımıştır. Bu anlamda olmak üzere hizmet ilişkisi ile işçi ile sözleşme yapan işverenin çalışana ait verileri işlerken örneğin ehliyet bilgilerini işlemesi, duruma göre amaçla orantılı olabilecekken işçinin ırki bilgilerini işlenmesi amaca uygun olmayacaktır. Aksi halde işçi işverenin idari ve cezai sorumluluğuna gidebilecektir.
İşçinin Kişisel Verilerinin KVKK’a Aykırı İşlenmesinin Cezai Sorumluluğu
Kişisel verilerin kanuna aykırı olarak toplanması saklanması veya silinmeme yahut yanlış silinmesi halinde iki türlü yaptırım öngörülmüştür. Bunlardan ilki veri güvenliğine yönelik olarak veri sorumlularınca yükümlülüklerin yerine getirilmemesi, Kurulun verdiği kararlara aykırı davranılması halinde konuya yönelik olarak işverenler ihlalin ve ihmalin boyutuna göre idari para cezaları ile karşı karşıya kalmakta bununla birlikte Kişisel verilere yönelik suçlar açısında Türk Ceza Kanunun 135-140 maddeleri arasında düzenlenen kişisel verilerin kaydedilmesi saklanması, verileri hukuka aykırı olarak verme veya ele geçirme suçlarının işlemiş olacaklardır. Ve bu düzenlemelerdeki suçların soruşturulması ve kovuşturulması şikayete tabi değildir.
Sonuç
Tüm dünyada etkili olan kişisel verilerin korunması açısında işverenlerin öncelikle işçilerine yönelik olarak farkındalık eğitimi vermesi bu konuda gerekli bilgilendirmeyi yapması yaptığı bu bilgilendirmeyi gerekli ispat araçlarına bağlaması ve yeri geldiğinde ve gerekli olduğunda işçinin özgür iradesi ile açık rızasını alması ve tüm bunları saklama
süresine bağlı kalarak saklayıp zamanı geldiğinde yok etmesi, silmesi yahut anonim hale getirmesi gerekir. Diğer taraftan işçilerin ise söz konusu verileri işlenen gerçek kişiler olarak (ilgili kişi) işveren tarafında gerekli bilgilendirmeyi aldıktan sonra kendisine ait verilerin ne şekilde işlendiğini ve süresi dolanların silinmesi gereğine yönelik olarak bilgi sahibi olup kendisine ait kişisel verileri ilgili kanunlara uygun olarak işlendiğinin ve silinmesi
gerekenlerin silindiğinin takibini yapması gerekir.
Bu konuda daha ayrıntılı yazımız için de Hukuk ve Bilişim Dergisi 7. Sayısı‘nı ziyaret edebilirsiniz.
Kahramanmaraş Barosu’na kayıtlı avukattır.
Çalışma Alanları
Kişisel Verilerin Korunması Hukuku