KVKK Kapsamında İşçi İşveren Arasındaki Kişisel Verilerin Korunması

Okuma Süresi: 10 Dakika

KVKK Kapsamında İşçi İşveren Arasındaki Kişisel Verilerin Korunması İlişkisi

6698 sayılı Kişisel Verilerin Korunması Kanunu ile; kişisel verilerin ve özel hayatın gizliliğinin korunmasına yönelik düzenlemeler yapılarak kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi hedeflenmiştir. Kanunda her ne kadar işçi ile işveren arasındaki kişisel verilerin korunması ve saklanması hükümleri özel olarak düzenlenmiş olmasa da işverenlerin, işçilerinin özlük dosyalarını oluşturma aşamasında; çalışanların nüfus bilgilerini, ikamet kayıtlarını, sabıka kaydını, sağlık bilgilerini ve benzeri kişisel saklamak üzere muhafaza ettiği takdir edildiğinde, bu kanun gereğince, ilgili kayıtların gizliliğinden sorumlu olacağı açıktır.

Aynı zamanda işçinin de Kişisel Verilerin Korunması Kanunu’ndan ve İş Kanunu’ndan doğan sır saklama yükümlülüğünden dolayı, çalışma hayatı içerisinde işverenin kişisel verileriyle ilgili edindiği bilgileri saklamakla yükümlü olacağı aşikardır. Bu makalede işçi ile işveren arasındaki kişisel verilerin korunması ilişkisini KVKK uyarınca değerlendireceğiz.

ANAHTAR KELİMELER: İşçi, İşveren, İş İlişkisi, Kişisel Verilerin Korunması, Amaçla Sınırlı ve Ölçülü

A. İŞVERENİN VERİ KORUMA YÜKÜMLÜLÜĞÜ

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veri, kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak tanımlanmaktadır. Bu tanım ışığında, işçinin özlük dosyasında yer alacak fotoğraf, yerleşim yeri, kimlik bilgileri, telefon bilgileri gibi veriler kişisel veri ve söz konusu muhafaza işlemi de kişisel veri işleme faaliyeti olarak kabul edilecektir.

Bunun sebebi sayılan kişisel veriler ile işçiye ait belirli nitelikte bilgiler olmasıdır. Bu kapsamda, işçinin kişisel verilerinin işlenmesine ilişkin kuralların özellikle “amaçla sınırlı ve ölçülü veri işleme” ilkesi dikkate alınarak saptanması önem arz etmektedir. İşverene ilgili hususu suistimal etmeyeceği yönde yükümlülükler getirilmiştir. İş Kanunu ve KVKK birlikte ele alındığında bu verilerin işlenme kuralları dolayısıyla işverenin birtakım yükümlülükleri bulunmaktadır. Bu kuralların çıkış noktası, işçi-işveren ilişkisindeki veri paylaşan, verileri işlenecek olan işçi konumundaki kişileri korumaya yönelik ihtiyaçtır. [1]Bunlardan biri olan “Gizlilik Yükümlülüğü ve Açık Rıza” kavramına, KVKK’ nin 3. maddesinin 1. fıkrasında değinilmiştir. “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup KVKK kapsamında kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü kişisel verinin aktarılması, ibrazı ve paylaşılması, KVKK’daki istisnalar saklı kalmak kaydıyla, açık rıza alınmasına bağlanmıştır. Aynı zamanda İş Kanunu 75. maddesinin 2. fıkrasında yer alan “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” hükmü ile işveren, KVKK’ ya uygun ve açık rıza ile temin ettiği kişisel verileri muhafaza etmekle yükümlüdür. İşverenin bu işlemleri yaparken veri sorumlusu olduğu unutulmamalıdır. 30356 sayılı Resmî Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” 5. maddesinin 1. fıkrası gereğince aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı gerçekleştirilmelidir.

Bir diğer deyişle; işveren, işçi ile arasında düzenlenen iş sözleşmesine ek olacak şekilde “Aydınlatma Metni” ve “Açık Rıza Onayı” dokümanlarını düzenleyerek işçinin ıslak imzası alınmak suretiyle özlük dosyasına eklemelidir. Aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yapılmasındaki ana neden; işçinin hangi verilerinin işleneceği hususunda detaylı bilgiye erişebilmesini sağlamaktır.

Öte yandan, uluslararası müşterileri olan işyerlerinde, işçinin kişisel verilerinin yurtdışına aktarılması söz konusu olabilir. Dolayısıyla, kişisel verileri yurtdışına aktarılan işçilerin bulunduğu şirketlerde işverenler; KVKK kapsamında işçinin verilerinin hangi ülkelerde hangi amaçlarla işleneceğine dair işçinin açık rızasını almakla mükellef olacaktır.

KVKK’ da açıkça verilerin sadece kullanım amacıyla sınırlı miktarının elde edilebileceği ve ancak amaç kapsamında kullanılabileceği ifade edilmiştir. Bu ifadeden anlamamız gereken şudur ki; işveren, işçiye ait verileri ancak iş ilişkisi ile doğrudan alakalı olduğu müddetçe saklayıp kullanabilir. Bu kapsamda işe alım aşamasında işveren, işçinin evli olup olmadığını, çocuk yapmayı düşünüp düşünmediğini soramamalıdır.

Fakat önemle belirtmek gerekir ki, işin niteliği gereği ilgili kişisel verinin işlenmesi önem arz ediyor ise işverene ilgili alanda bilgi edinme hakkı tanınmıştır. Örneğin muhasebe alanında çalışacak bir işçiye, malvarlığına karşı işlenen suçlardan birini işleyip işlemediği, uzun yol şoförlüğü yapacak olan kişiye trafik güvenliğini tehlikeye sokma suçunu işleyip işlemediği sorulabilecektir.

İşverenin işçiden temin ettiği bilgiler günümüz şartlarında teknolojinin gelişmesi ve kullanım kolaylığı ile birlikte genellikle bilgisayarlarda saklanmaktadır. İşverenler, ilgili verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek için çeşitli tedbirleri almış olmalıdır. Bu tedbir virüs programı indirmek, güvenli yazılımlar üretmek şeklinde olabilir. İşçinin verilerinin korunması için üçüncü bir kişinin yardımından faydalanılabilir ancak KVKK’ nin 12. maddesine göre, bu durum işverenin sorumluluğunun ortadan kalkması ile sonuçlanamaz; işverenin yükümlülüğü devam etmektedir.

İşverenin uygun amaçla sınırlı ve ölçülü olma yükümlülüğünün bir sonucu olarak, işçilerin kişisel verileri yasal saklama süreleri kadar muhafaza edilmeli ve bu sürenin sonunda silinmeli ve/veya anonim hale getirilmelidir. Bu kapsamda özellikle işe alınmayan adayların özgeçmişleri saklanmamalı ve açık rızası bulunmadıkça başka işverenlerle paylaşılmamalıdır. Günümüzde İnsan Kaynakları nezdinde kullanımı oldukça yaygın olan “CV Havuzu Oluşturma” durumu, özgeçmişlerin ne kadar süreyle işyerinde saklanacağı yönünde açık bilgi vermediğinde KVKK’ e aykırı olmaktadır.

Verileri işlenen işçi, işverene başvurarak kendisiyle ilgili olarak verilerin işlenip işlenmediğini öğrenebilir, konu ile ilgili bilgi talep edebilir, verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir, verilerinin düzeltilmesini isteyebilir, gerekli şartlar oluştuğunda kişisel verilerin silinmesini veya yok edilmesini isteyebilir.

Kişisel Verilerin Korunması ve Yüz Tanıma Sistemi

İşçinin verilerinin işveren tarafından işlendiği bir diğer uygulama alanı ise “yüz tanıma sistemi” kullanarak mesai takibi yapılmasıdır. Danıştay, personelden kişisel veri alınması kapsamında olan “yüz tanıma sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğuna, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmamasını da göz önünde bulundurarak, “yüz tanıma sistemi” ile mesai takibi uygulamasının anayasal ilkelerle bağdaşmadığına hükmetmiştir.[2]

B. İŞ HUKUKU BAKIMINDAN RIZA ALINMASINA GEREK DUYULMAYAN HALLER

  İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği de işverene, iş sağlığı ve güvenliği faaliyetlerine ilişkin kaydı ve işçilerin kişisel sağlık dosyalarını saklama yükümlülüğü getirmiştir. İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. Maddesi uyarınca, “İşveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydı, işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını, saklar.[3]

KVKK’nın 5. maddesinde bazı hallerde rıza alınmasına gerek duyulmadığı haller düzenlenmiştir. Kanunda ilgili haller sınırlı sayıda sayılmış olsa da İş Hukuku bakımından oldukça yaygın haller olması nedeniyle suistimale açık bir alandır. [4]İşverenlerin söz konusu istisnai hallere güvenmemesi ve verilerin korunması hususunda dikkatli davranması elzemdir.

İşveren Teftişi ve Kişisel Verilerin Korunması

İşveren, iş yeri teftişi sırasında genel nitelikli kişisel verileri ilgili teftiş memurları ile paylaşmaktadırlar. Ancak ırk, etnik köken, siyasi düşünce, dernek-vakıf- sendika üyeliği, cinsel kimlik, ceza mahkûmiyeti gibi özel nitelikli verilerin memurlarla paylaşılması için açık rıza aranmaktadır.[5] İşveren, işçilerin yasal vergilerini ve sosyal güvenlik primlerini ödemek amacıyla işçilere ilişkin verileri, işçinin açık rızası olmaksızın paylaşabilecektir. Ayrıca maaş ödemesi için işçinin banka bilgileri de üçüncü kişilerle paylaşılabilecek genel nitelikli veri kategorisinde yer almaktadır.

Kişisel Verileri Koruma Kurumu’nun işçi ve işveren arasındaki kişisel verilerin işlenmesi konusundaki kararları, konuyu daha sağlıklı ele almamız açısından önemlidir. “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı, ilgili konudaki önemli kararlardan biridir.

Kuruma intikal eden şikâyet dilekçesinde özetle, “İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı KVKK 11 maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, talebine yeterli cevap alamadığı, veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği,  veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılımda tutulduğunu; tüm bilgilerinin Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, aynı zamanda adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası” nda da mevcut bilgilere yer verilmediği, veri sorumlusu tarafından çalışanlarından elektronik ortamda Kişisel Verilerin Korunması Kanunu Çalışma Muvafakatnamesi alındığı,

söz konusu onayın çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, rızanın “battaniye rıza” olduğu, bu muvafakatnameye onay vermekten kaçındığı ancak onay vermek zorunda bırakıldığı, tüm çalışanların parmak izinin alındığı, çalışanların bu verileri vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği,

biyometrik verilerin üçüncü parti bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği” belirtilerek,

hukuka aykırı uygulamalarından dolayı veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.

Konuya ilişkin yapılan incelemede, KVKK’nın 20/05/2020 tarihli ve 2020/404 sayılı Kararı ile; “Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesinin

(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu, aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu,

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu, veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği, veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi’ nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde;

Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği, diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “(….) uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı mevcut kapsamda kimlere aktarım yapılacağının muğlak şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı,  “Açık rıza” kavramının Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde;

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle olması gerektiği, veri işlemek için verilen açık rızanın geçerli olması için, açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı verilmesi ve veri sorumlusu tarafından açık rıza iradesinin ve beyanının hangi konuya ilişkin olarak istenildiğinin açık ortaya konulması gerektiği, aynı zamanda;

açık rıza bir irade beyanı olduğundan, kişinin özgür şekilde rıza verebilmesi için, neye rıza gösterdiğini bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır biçimde, verinin işlenmesinden önce yapılması gerektiği,

ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin davranışının bilincinde ve kendi özgür kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,

örnek olarak işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin biçimde sunulmadığı ya da rıza göstermemenin işçi açısından muhtemel olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği değerlendirmelerinden hareketle;

aydınlatma yükümlülüğü konusunda yükümlülük için yerine getirmediği kanaatine varıldığından veri sorumlusu için KVKK 18 inci maddesinin birinci fıkrasının “a” bendi uyarınca 50.000 Türk Lirası para cezası uygulanmasına, veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği bu özel nitelikli kişisel veriler bakımından KVKK 4 üncü maddede yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri aynı şekilde çalışanlarının açık rızası olmaksızın yurtiçi ve-veya yurtdışına aktardığı görüldüğünden, KVKK 12/1’de yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında

KVKK18/1 inci maddesinin fıkrasının (b) bendi uyarınca 200.000 Türk Lirası idari para cezası uygulanmasına karar verilmiştir.” [6]

İlgili karar özellikle battaniye rızanın özel nitelikli kişisel veriler için geçerli sayılmayacağı hususunda önemli bir karardır.[7]

C. İŞÇİNİN ÖZEL NİTELİKLİ VERİSİNİN İŞLENMESİ: AŞI KARTI

KVKK mevzuatı uyarınca, sağlık verileri özel nitelikli kişisel veri olarak değerlendirilmektedir. Bu sebeple, kişilerin aşı karnesi/aşı olup olmadığı bilgisi de sağlık verisi olarak sayılmaktadır.

Sağlık verilerinin işveren tarafından işlenebilmesi için kural olarak hem çalışan adaylarının hem de çalışanların aydınlatılması ve açık rızalarının alınması gerekmektedir. Çalışan adayları seçme aşamasında, aşı bilgisi talep edilirken, bu adaylara yönelik hazırlanacak olan aydınlatma metinlerinde aşı bilgisinin nasıl elde edileceğine ve ne amaçla kullanılacağına yönelik ekleme yapılması zorunludur. [8] Çalışanların Covid-19 aşısı olup olmadığına ilişkin veriler ise, çalışanları aşı olmaya teşvik etmek ve/veya aşı hakkında bilgilendirmek amacıyla yalnızca işyeri hekimleri tarafından aydınlatma yükümlülüğü yerine getirilerek işlenebilecektir. Ayrıca aşı olmuş olan işçilerin, işverenlerce “Tüm işçilerimiz aşılıdır.” şeklinde paylaşılması ihtimalinde doğacak sorunlar akıllara gelmektedir.

Bir işyerinde çalışan işçilerin tespit edilmesi için üstün çaba gerekmemektedir; internet yardımı ile ulaşması kolay bir bilgidir. Eğer ki işveren işçilerinin hastalığı bulaştırıcılık ihtimalinin düşük olduğunu potansiyel müşterilere duyurmak amacıyla “Tüm işçilerimiz aşılıdır.” şeklinde bir açıklama paylaşırsa, işçilerin tümünün özel nitelikli verisini, belirsiz sayıda kişi ile paylaşmış sayılır.[9] Ancak Kişisel Verileri Koruma Kanunu’nun 28. Maddesinde  “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” durumu özel olarak düzenlenmiştir. [10]

Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28. Madde kapsamında değerlendirilmesi gerekecektir. [11]

D. SONUÇ

Teknoloji çağının beraberinde getirdiği kişisel verilerin kolay erişilebilir, saklanabilir ve paylaşılabilir olması durumu anayasal bir hak olarak “kişisel verilen korunması” ihtiyacını doğurmuştur. İşçi ve işveren arasındaki kişisel verilerin korunması hususu; KVKK ve İş Kanunu nazarında ayrı ayrı değerlendirilmelidir. KVKK kapsamında kişinin verilerinin işlenmesi için öngörülmüş şartlar vardır. Ancak işçi ve işveren ilişkisi özelinde düşünüldüğünde işverenin işçiden talep ettiği bilgi ve belgelerin büyük bir kısmını özel nitelikli veriler oluşturmaktadır. KVKK özel nitelikli verilerin işlenmesi yolunda farklı düzenlemelere gitmiştir.

Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği halleri farklı düzenlemiştir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir, kıyas yoluyla genişletilmesi mümkün değildir. İş Kanunu ise işçi ve işverene bazı yükümlülükleri getirerek kişisel verilerin korunmasına katkıda bulunmaktadır. Bu kapsamda işveren; işçilerine ait kişisel verileri işlerken, muhafaza ederken ve/veya bir üçüncü kişiye aktarırken ilgili her durumda işçiyi aydınlatmak ve gerekmesi halinde açık rızasına başvurmak durumundadır.

Bu konuda genel bilgileri verdiğimiz “İş Hukukunda Kişisel Verilerin Korunması” isimli yazımızı da okuyabilirsiniz.

KAYNAKÇA

 

  • Bozkurt, V. (2000). Gözetim ve İnternet: Özel Yaşamın Sonu mu?. Birikim Dergisi, (136): 75-81.
  • Erbil Beytar, İşçinin Kişiliğinin ve Kişisel Verilerinin Korunması Onikilevha Yayıncılık, 2018
  • Ertürk, Ş. (2002). İş İlişkisinde Temel Haklar. Ankara: Seçkin Yayınları.
  • Hasan Erdem, Çalışanın Kişisel Verilerinin Korunması, HR Dergi Temmuz 2016

Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberi.

  • Selen Uncular, İş İlişkisinde İşçinin Kişisel Verileri, Seçkin Yayıncılık, 2018
  • Özer Deniz, M. (2021). İŞÇİLERİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN KORUNMASI ve BUNDAN DOĞAN SORUMLULUK. Türkiye Adalet Akademisi Dergisi , (45) , 355-378.

[1] Selen Uncular, İş İlişkisinde İşçinin Kişisel Verileri, Seçkin Yayıncılık, 2018, s. 197

[2]  Danıştay 11. Daire, 2017/816, K. 2017/4906, T. 13.06.2017

[3] Hasan Erdem, Çalışanın Kişisel Verilerinin Korunması, HR Dergi Temmuz 2016,2016 Bkz: https://hrdergi.com/calisanin-kisisel-verilerinin-korunmasi

[4] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberi.  https://kvkk.gov.tr/SharedFolderServer/CMSFiles/d0fbca08-30af-41fe-a7c9-65663b9c5231.pdf adresinden 29.09.2021 tarihinde alınmıştır.

[5] Erbil Beytar, İşçinin Kişiliğinin ve Kişisel Verilerinin Korunması Onikilevha Yayıncılık, 2018, s. 171.

[6] https://kvkk.gov.tr/Icerik/6913/2020-404

[7] https://kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar

[8] Murat Volkan Dülger, Covid-19 Aşılanması ve Kişisel Verilerin Korunması Üzerine: İşverenler Tarafından Aşılanma Bilgisi İstenebilir Mi?, 2021 Bkz: https://www.hukukihaber.net/covid-19-asilanmasi-ve-kisisel-verilerin-korunmasi-uzerine-isverenler-tarafindan-asilanma-bilgisi-islenebilir-mi-makale,9165.html

[9]  The New York Times, I Shouldn’t Tell My Employer I’m Vaccinated, Right?, Erişim Tarihi: 29.09.2021, https://www.nytimes.com/2021/05/20/style/employee-vaccination-incentive-social-qs.html

[10] https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/coronavirus-recovery-data-protection-advice-for-organisations/

[11] https://www.kvkk.gov.tr/Icerik/7055/COVID-19-PCR-TEST-SONUCU-VE-ASI-BILGISI-UYGULAMALARINA-ILISKIN-KAMUOYU-DUYURUSU