Ö Z B A Y H U K U K

İşverenin Veri Koruma Hukuku Bakımından Yükümlülükleri

Kişisel verinin özünü oluşturan “kişilik hakkı”; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ve sair alt mevzuat yanında, Anayasa’nın 20. maddesinde ve 4721 sayılı Türk Medeni Kanunu’nda da hüküm altına alınmıştır. Teknolojik gelişmelerin takip edilemez olduğu bir dönemde, bilgi ve veri akışının çok kolay ve sınır tanımadan gerçekleştirilmesi nedeniyle “kişisel verilerin korunması” önem kazanmıştır. Bu makalede, 4857 sayılı İş Kanunu m.75/2 hükmünden de hareketle 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, işverenlerin veri sorumlusu sıfatıyla işçilerine ilişkin elde ettiği kişisel verileri işlemesi ve korumasına ilişkin yükümlülüklerine değinilecektir.

4857 sayılı İş Kanunu (“İş Kanunu”)’nun 2. (ikinci) maddesinin 1. (birinci) fıkrasında  bir iş sözleşmesine dayanarak çalışan gerçek kişi “işçi”, işçi çalıştıran gerçek veya tüzel kişi yahut tüzel kişiliği olmayan kurum ve kuruluşlar “işveren”, işçi ile işveren arasında kurulan ilişki ise “iş ilişkisi” olarak tanımlanmıştır. Bir işçi, işverene ait iş organizasyonu içinde onun menfaatine dayalı bir iş yapıyorsa bir iş ilişkisinden bahsedilebilecektir.

Önemle vurgulamak gerekir ki; iş ilişkisi tanımı kişisel verilerin korunması bağlamında düşünüldüğünde işçinin İş Kanunu’na tabi olup olmadığına bakılmaksızın en geniş biçimde düşünülmesi gerekliliğidir. Bu bağlamda; stajyer, mevsimlik tarım işçileri, çırak, part-time çalışan ve aday işçilerin de iş ilişkisi kapsamında değerlendirilerek verinin konusunu oluşturacağı şüphesizdir.

İŞVERENİN VERİ KORUMA HUKUKU BAKIMINDAN YÜKÜMLÜLÜKLERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca kişisel veri, kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda, işçinin özlük dosyasında yer alacak fotoğraf, yerleşim yeri, kimlik bilgileri, telefon bilgileri gibi veriler kişisel veri ve söz konusu muhafaza işlemi de kişisel veri işleme faaliyeti olarak kabul edilecektir. Bu bağlamda, işçinin kişisel verilerinin işlenmesine ilişkin kuralların özellikle “amaçla sınırlı ve ölçülü veri işleme” ilkesi dikkate alınarak saptanması önem arz etmektedir. İş Kanunu ve KVKK birlikte ele alındığında bu verilerin işlenme kuralları dolayısıyla işverenin yükümlülüklerini aşağıdaki alt başlıklarda sıralamak mümkün olacaktır.

 

Aydınlatma Yükümlülüğü

İlgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır. KVKK’nın 10. (onuncu) maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sorumlusu; kendisinin veya varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile KVKK’nın 11. (onbirinci) maddesinde sayılan diğer haklar konusunda ilgili kişiyi aydınlatmakla yükümlüdür.

Anılan hüküm kapsamında işveren gerek işe başvuran çalışan adaylarının gerekse çalışanlarının kişisel verilerini ne amaçla edindiği, nerede ve nasıl saklandığı, kimlere hangi amaçlarla aktarılacağı ve nasıl kullanıldığı hususlarında çalışan ve/veya çalışan adaylarını aydınlatmakla mükelleftir.

 

Gizlilik Yükümlülüğü ve Açık Rıza

KVKK’nın 3. (üçüncü) maddesinin 1. (birinci) fıkrasının (a) bendi gereğince açık rıza “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup KVKK kapsamında kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü kişisel verinin aktarılması, ibrazı ve/veya paylaşılması, KVKK’daki istisnalar saklı kalmak kaydıyla, açık rıza alınmasına bağlanmıştır. Buna paralel olarak İş Kanunu 75. (yetmişbeşinci) maddesinin 2. (ikinci) fıkrasında yer alan “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” hükmü uyarınca işveren KB-VKK’ya uygun ve açık rıza ile temin ettiği bilgileri muhafaza etmekle yükümlüdür.

Öte yandan, işçinin kişisel verilerinin yurt içinde aktarılmasının söz konusu olabileceği gibi çok uluslu şirketlerde yurtdışına veri aktarımı da gerçekleştirilebilecektir. Dolayısıyla, kişisel verileri yurtdışına aktarılan işçilerin bulunduğu şirketlerde işverenler; KVKK kapsamında işçinin bu aktarıma ilişkin açık rızasını mutlak suretle almakla mükellef olacaktır. Burada dikkat çekilmesi gereken diğer bir husus ise işverenlerin, veri sorumlusu sıfatıyla, kişisel veri aktarımı yapacağı  ülkenin yeterli korumayı sağlayacağını kontrol etmekle ve aksi halde veri aktarımında bulunmamakla yükümlü olmalarıdır.

İşverenler bu yükümlülüklerini yerine getirirken 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ 5. (beşinci) maddesinin 1. (birinci) fıkrasının (b) bendi gereğince aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı gerçekleştirmelidir. Bir başka deyişle; işveren, işçi ile arasında tanzim ve imza edilen iş sözleşmesine ek olacak şekilde “Aydınlatma Metni” ve “Açık Rıza Onayı” dokümanlarını düzenleyerek işçinin ıslak imzası alınmak suretiyle özlük dosyasına eklemelidir.

Genel kural olarak veri sorumlusu sıfatıyla işverenlerin işçilerine ait kişisel verilerini işlerken ve bunları aktarırken açık rıza alması gerekmekte ise de KVKK’nın 5. (beşinci) maddesinin 2. (ikinci) fıkrasında açık rıza alınmasının gerekli olmadığı istisnai haller düzenlenmiştir. Buna göre işveren, hukuki yükümlülüğünü yerine getirebilmek açısından vergiler, sosyal güvenlik primleri ve/veya maaş ödemeleri gibi konulardaki yükümlülükleri kapsamında işçilere ait bilgileri ilgili kurumlarla paylaşabilecektir.

 

Verilerin Korunması ve Güvenlik Tedbiri

KVKK’nın veri güvenliğine ilişkin 12. (onikinci) maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu sıfatıyla işveren, anılan yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmekle yükümlüdür. Bir başka deyişle, işveren kişisel verilerin işlenmesi ve korunması politikası hazırlanması gibi idari tedbirler; virüs koruma programı, siber saldırı önleyici sistemlerin kullanılması gibi teknik tedbirleri almak suretiyle işçilere ait kişisel verilerin korunmasını temin etmekle yükümlü olacaktır.

 

Amaçla Sınırlı ve Ölçülü Olma İlkesi

Günümüz işe alımlarında ve işçi-işveren ilişkilerinde oldukça sık rastlanan bir durum olarak işçilere ait görev tanımını, işe olan yeteneği ve becerisi ve iş sözleşmesinin akdedilmesi için gerekli olan bilgilerle ilişkisi olmayan birtakım veriler talep edilmektedir. KVKK’nın 4. (dördüncü) maddesinin 2. (ikinci) fıkrasının (ç) bendi ile kişisel verilerin işlendiği amaçla bağlantılı ve sınırlı olması genel bir ilke olarak kabul edilmiştir. Bu nedenle sözleşmenin kurulması, ifa edilmesi ve iş ilişkisinin devamını mümkün kılacak; işverenin mevzuattan doğan hukuki yükümlülüklerini yerine getirmesine yetecek kişisel verilerin işlenmesi ile yetinilmesi gerekmektedir. Örneğin; işe alım süreçlerinde adaya, “evlenmeyi düşünüp düşünmediği”, “tütün ve/veya alkol kullanıp kullanmadığı” ve/veya “dini, mezhebi” sorulduğu takdirde, İş Kanunu’ndan kaynaklı yaptırımların yanı sıra, KVKK ve sair mevzuat açısından amaçla sınırlı ve ölçülü şekilde veri işleme kuralına aykırı şekilde davranan işverenin sorumluluğu gündeme gelebilecektir.

İşverenin uygun amaçla sınırlı ve ölçülü olma yükümlülüğünün bir sonucu olarak, işçilerin kişisel verileri yasal saklama süreleri kadar muhafaza edilmeli ve bu sürenin sonunda silinmeli ve/veya anonim hale getirilmelidir. Bu kapsamda özellikle işe alınmayan adayların özgeçmişleri saklanmamalı ve açık rızası bulunmadıkça başka işverenlerle paylaşılmamalıdır.

SONUÇ

İş Kanunu kapsamında işverenlerin işçi hakkında edindiği bilgileri hukuka ve dürüstlük kurallarına uygun kullanma; işçinin haklı menfaati olmadıkça açıklamama yükümlülüğü bulunmaktadır. İşçinin haklı menfaati kişisel verilerin korunması mevzuatında açık rıza ve işverenin hukuki yükümlülüğünü yerine getirmesi halleri olarak tezahür etmektedir. Bu kapsamda işveren; işçilerine ait kişisel verileri işlerken, muhafaza ederken ve/veya bir üçüncü kişiye aktarırken ilgili her durumda işçiyi aydınlatmak ve gerekmesi halinde açık rızasına başvurmak durumundadır. Bununla birlikte işveren, iş organizasyonu içerisinde kişisel verilerin işlenmesi sırasında amaçla sınırlı ve ölçülü olma ilkesini gözeterek gelecekte ihtiyaç doğması ihtimaline karşı iş ilişkisi için gerekli olmayan kişisel verileri işlememeye özen göstermelidir.

Ayrıntılı bilgi için lütfen ofisimizle iletişime geçiniz.