Kişisel Verilerin Korunması Kanunu Kapsamında İş İlişkisinde; İşçinin Kişisel Verilerinin Hukuki Olarak Elde Edilmesi

İşçi gerek veriyi düzeltme hakkı gerekse veriye itiraz hakkını talep edebilir

“Veri ekonominin yeni yakıtıdır.” cümlesi ile muhtemelen son zamanlarda birçok makalede karşılaşmaktasınız. Dünya Ekonomik Forumu’nun 2010 yılından beri düzenlediği raporlarda verinin ekonominin yeni hammaddesi olduğu tespiti yapılmaktadır. Dolayısıyla veri yahut “büyük veri” bir devrim niteliğinde tüm iş alanlarını dönüştürürken bu dönüşümün kişisel verilerin korunması mevzuatı bağlamında “hukuka uygun” olarak gerçekleşmesi gerekmektedir. Bu dönüşüm, şu an üretim sürecinden yani nesnelerin interneti sürecinden çok hızlı bir şekilde işveren işçi ilişkisine de sirayet etmiş bulunmaktadır. Kişisel verinin özünü oluşturan “kişilik hakkı” TMK’ya ilişkin bir kavram olup diğer yandan T.C. 1982 Anayasasının 20. Maddesinde ifadesini bulan kişisel verilerin korunmasını talep etme hakkının varlığıyla da bir anayasal nitelik içermektedir. Yani kişisel verileri hukuka aykırı bir şekilde kullanan, işleyen bir kimse TMK’nın kişiliği koruyan hükümleri ile TCK 125 ve devam maddelerini ihlal edeceği gibi ayrıca T.C.nin taraf olduğu uluslararası sözleşmeleri de (Avrupa İnsan Hakları Sözleşmesi gibi) ihlal etmiş olacaktır. 2001 yılında kabul edilen Avrupa Konseyi 181 no’lu ek protokolle sözleşmeye taraf olmayan üçüncü ülkelere yapılacak veri transferlerine standartlar belirlenmiş ve sözleşmeyi imzalayan ülkelerde denetleyici veri koruma organlarının kurulması zorunlu hale getirilmiştir. Avrupa Konseyi 1995 yılında kişisel verilerin işlenmesi ve serbest dolaşımı bakımından bireylerin korunmasına ilişkin 95-46 sayılı direktifi kabul etmiştir. Ve son olarak Genel Veri Koruma Tüzüğü (“GDPR”) Avrupa Birliği’nin 05.05.2016 tarihli Resmi Gazetesi’nde yayımlanmış ve 2018 yılında 95-46 sayılı direktifi ilga ederek yürürlüğe girmiştir. Tüzüğün öncelikle uygulama alanı sadece AB sınırları olmayıp birlik vatandaşlarına mal ve hizmet teklif eden ve onların AB içerisindeki davranışlarını izleyen kuruluşlara da uygulanmaktadır. Tüzük kişisel verilerin işlenmesinde aranan rıza kavramının her zaman kolaylıkla geri alınabilmesine imkan vermiş ve rızada aranan ispat yükünü veri sorumlularına yüklemiştir. Bir önceki makalemizde yer verdiğimiz unutulma hakkı da bu tüzükle birlikte üye ülkeler açısından bağlayıcılık kazanmıştır. 7 Nisan 2016 tarihli Resmi Gazete ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu düzenlenmiştir. Kanunun amacı kişisel verilerin korunmasının usul ve esaslarının belirlenmesi, Anayasada öngörülen temel hak ve özgürlüklerin muhafaza edilmesi ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esası düzenlemektedir.

  • İstihdam Sürecinde Kişisel Verilerin Hukuka Uygun Elde Edilmesi

Kişisel verilerin korunması ve daha geniş tanımlamayla veri koruma hukukunun iş ilişkisi içinde de geçerli olacağı şüphesizdir. Ancak dikkat çekilmesi gereken husus iş ilişkisi tanımının kişisel verilerin korunması bağlamında düşünüldüğünde işçinin İş Kanununa tabi olup olmadığına bakılmaksızın çırak, part-time ve stajyerleri ve mevsimlik tarım işçileri gibi en geniş biçimde düşünülmesini gerekli kılmasıdır. Şayet bir işçi, işverene ait iş organizasyonu içinde onun menfaatine dayalı bir iş yapıyorsa bir iş ilişkisinden bahsedebiliriz. Bu bilgiler ışığı altında işverenin işçinin kişisel verilerinin toplanması ile ilgili işçi işveren ilişkisi kurulmadan önce işveren sadece veri saklama politikası oluşturmamalı, veri strateji politikası oluşturmalıdır. Zira her zaman KVKK tarafından denetleneceğinin işveren tarafından bilinmesi gerekir. İşçiye ait kişisel veriler sadece depolanmak üzere kendisinden temin edilmemeli, toplanma amacında kendisi açısından da menfaati olduğu kendisine ayrıntılı bir şekilde bildirilmeli ve elde edilen kişisel bilgilerin işçinin işinin ve görev tanımının bir niteliğinin olup olmadığına dikkat edilmelidir. Birazdan aşağıda daha detaylı yer vereceğimiz şekilde insan kaynakları departmanı tarafından aday işçiyle yapacağı ilk görüşmede kendisinden temin edeceği veriler asgari düzeyde ve orantılı bir şekilde toplanmalıdır. Bu bağlamda, iş görüşmelerinde işçiden temin edilecek veri, kimlik teşhisinin ötesine geçmemelidir. Kendisinden bu bilgilerin bu görüşme ile ilgili sınırlı olarak alındığının saklanmasına izin verip vermeyeceğinin açık rızası alınmalıdır. İşe alım sürecinin işçi açısından geri bildiriminin olumsuz olduğu durumlarda kendisine saklanan bilgilerin imha edildiği bilgisinin verilmesi gerekmektedir. İşe alım süreci tamamlandıktan sonra istihdam amaçlı kişisel verilerin korunmasında ise toplanan kişisel verilerin işveren tarafından yalnızca bu amaçla işlenmesi gerekmektedir. Veri koruma hukuku bakımından işçi ile aday işçi arasında hiçbir fark bulunmamaktadır. Bu nedenle adaya kişisel verilerini ihlal edecek soruların sorulmaması, ihlal oluşturacak testlerin yapılmaması gerekmektedir. Elbette işverenin istihdam edeceği adaya bilgi edinme hakkı kapsamında doğru pozisyona doğru adayı yerleştirmek amacıyla soru sorma hakkı vardır. Ancak adayın çalışacağı işle somut ilişkisi ve objektif olarak bağlantısı bulunmayan yahut özel yaşamıyla ilgili sorular sorulmamalıdır. Sorular dürüstlük kuralı ve güven ilkesi çerçevesinde işçiye yöneltilirken asgari biçimde iş odaklı soruların sorulması gerekmektedir. Örneğin bir kadın adaya yakında boşanıp boşanmadığını, aile bireyleri ve yakınlarını, siyasi partiye aday olup olmadığını, son seçimde kime oy verdiğini, sigara veya alkol kullanıp kullanmadığını, evlenip evlenmediğini, bir sevgilisi olup olmadığını yahut cinsel tercihlerini sormak hukuki sonuç doğurmayacağı gibi işveren açısından tehlike teşkil edecektir. Diğer yandan işçinin malvarlığı, ekonomik durumu hakkında sorular sormak, bankadan kredi kullanıp kullanmadığı, bankalara veya üçüncü şahıslara borcu olup olmadığı da sorulmamalıdır. Diğer yandan bu tür sorular işçi ve işveren arasındaki güven duygusunun en üst seviyede olduğu muhasebe, satın alma gibi departmanlarda çalışacak adaylara sorulabilecek sorulardır. Kısaca işveren tarafından çalışma yeri ve işin niteliği gerektirmediği takdirde eşitlik, dürüstlük ilkelerine aykırılık teşkil edecek ve ayrımcılık doğuracak sorulardan kaçınılması gerekir. İşverenin işçinin açık rızası olmadan adaya yönelttiği soruları üçüncü kişilerden de teyit amaçlı bilgi edinmek için elde etmesi kişisel verilerin ihlalini oluşturacaktır. Bu nedenle işverenin mutlaka üçüncü kişilerden teyit alması gerekiyorsa adayın açık rızasını almasının kendisi açısından önemi bulunmaktadır. Diğer yandan işe alım sürecinde şayet psikolojik yahut karakterle ilgili işçiye testler uygulanacak ise bu testlerden elde edilecek bilgilerin somut işin özellikleriyle objektif açıdan ilişkili olmasına ve işçinin işçilik haklarını ihlal etmemesine dikkat edilmesi gerekmektedir. Bu bağlamda, işe alım sürecinde veya devamında genetik testlerin, biyometrik verilerin ve testlerin hassas veri grubuna girdiği ve çok istisnai durumlarda işverenin üstün menfaati gereği o iş pozisyonunun gereği doğrultusunda testlere başvurulabileceği ve yine tüm bu testler öncesinde de işçinin mutlaka açık rızasının alınmasının gerekli olduğu açıktır.

  • Yönetim Hakkı

Yönetim hakkı işverenin talimatlarıyla somutlaşır. Bu talimatlara işçi tarafından uyulmaması iş görme borcunun ihlaline yol açar. İşçinin işyerindeki davranışlarına ilişkin düzen ve talimatlar da yönetim hakkı kapsamı içindedir. İşe giriş ve çıkışlar, işyerinde uygulanacak kurallar, yemekhane, dinlenme, park yerlerinin kullanım gibi. Genel olarak bu açıklamalar ışığında yönetim hakkı işyerinde işin görülmesi için işyeri düzen ve güvenliğinin sağlanması amacından ibarettir. İşçinin işyerine giriş ve çıkışlarının sıklığı, saatleri, bu giriş ve çıkışlar sırasında parmak izi, imza defteri, akıllı kart veya retina taraması gibi yöntemlere başvurulmaktadır. KVKK bağlamında işçinin kişisel verilerinin korunması ile işverenin yönetim hakkı arasındaki dengenin sağlanması gerekmektedir. İş Kanunu madde 75’te düzenlenen işçinin özlük dosyasının tutulması vergi ve sosyal güvenlik hukukuyla ilgili işçinin kişisel verilerinin istihdam edende tutulması hukukun gereğidir. Yukarıda bahsettiğimiz gibi işçinin teşhis edilebilir açıdan asgari düzeydeki bilgileri kişisel verileri koruma kanunu bünyesinden asgari veri sınırını oluşturmaktadır. Bu sınırın üstünde mutlaka ve mutlaka işveren  “üstün özel yarara” dikkat etmelidir. Üstün özel yararın kapsamına işverenin işini verimli şekilde yürütme yararının girip girmediği hususu tartışma konusudur. Örneğin bir işyerinde verimliliğin arttırılması, maliyetlerin düşürülmesi yahut hırsızlığın önlenmesi gibi amaçlar için işçilerin kişisel veri işleme yoluna gidebilmektedir. Bu noktada eğer ekonomik yarar açık, dikkate değer ve kamu yararıyla bağlantılı ise üstün özel bir yarardan söz edilebilir. İşçinin rıza beyanı doğrultusunda işveren tarafından verilerin işlenmesi olağandır. Ancak işçiye ait kişisel verilerin hukuka uygun olarak işlenmesi mutlaka işçinin kuşkuya yer bırakmayacak şekilde rızasının alınmasına bağlıdır. Bu noktada en önemli husus işçi tarafından rızanın her zaman geri alınabilmesinin ve geri alma hakkının olduğunun bildirilmesidir. Bu noktada da işveren böyle bir rızanın işçi tarafından geri alındığı takdirde iş akdinin tek taraflı feshedilmeyeceği taahhüdünün de baştan verilmesi gerekmektedir. Yönetim hakkı kapsamına işçinin izlenmesi ve gözlemlenmesi de dahildir. KVKK doğrultusunda prensibimiz izleme ve gözetlemenin haklı ve üstün menfaati gereği ve dürüstlük ve eşitlik kuralları doğrultusunda uygulanması gerektiğidir. Ancak öğretide gizli izleme ve gözetlemenin kişisel verilere bir ihlal oluşturduğu kabul edilmektedir. Zira tüm izleme ve gözetlemeler öncesinde işçinin bilgilendirmesi arandığına ve söz konusu izleme ve gözetlemenin neden ve ne amaçla yapıldığı işçiye ayrıntılı bir şekilde açıklandığına göre işyerinde işçiye karşı gizli izleme imkanlarının ortadan kaldırılması asıldır. İnternet, bilgisayar, e-posta gibi iletişim araçlarının işveren tarafından denetlenmesinde işçi ve işverenin çatışan menfaatleri dengelenmelidir. Buradan kastımız bu tür bir denetimin işveren tarafından işçiye karşı orantılılık ilkesi çerçevesinde yapılmasıdır. Uygulamada işyerlerinde, işyeri ile uzantılı özel e-postaların yani iş amacıyla sınırlı e-posta adreslerinin kullanıldığı yahut özel internet sağlayıcılarından firmanın hizmet aldığı düşünüldüğünde işçinin kendi isim ve soyadından veyahut kendi özel veya sosyal hayatıyla ilgili kullandığı e-postalara işverenin müdahale etmemesi, hiçbir şekilde gözetlememesi ve bunları elde etse dahi saklamaması asıldır. Aksi bir durum işçinin hem kişisel verilerini hem de haberleşme özgürlüğünü ihlal etmiş sayılır. Son olarak da işçinin ziyaret ettiği internet sayfalarının işveren tarafından denetlenmesi durumunda kişisel verileri ihlal edip etmeyeceği hususunda ise yine AB mevzuatı bize yol göstermektedir. Bu doğrultuda, işveren tarafından bu tür bir izlemenin haklı ve hukuka uygun olması için gereklilik, amaçsallık, şeffaflık, meşruluk, ölçülülük, kesinlik ve verilerin saklanmasının güvenliği belirleyici olmaktadır. İşçinin kişisel verilerini ihlal edebilecek nitelikteki kontrol uygulamaları açısından işçinin rızasının sadakat borcunun bir gereği olduğu kabul edilemez. Ancak parmak izi ve retina taraması bu kontrol biçimleri arasında farklılık arz etmektedir Bu iki verinin hassas veri olduğu açıktır. Dolayısıyla bu iki verinin çok istisnai şekilde açık rıza dahilinde ve işlerinin üstün yararı doğrultusunda elde edilmelidir. Diğer bir konu da işveren işyerinde tehlike yaratacak maddelerin işyerine girişini veya işyerinde üretilen malların izinsiz dışarı çıkarılmasını önlemek amacıyla işçileri mesai bitiminde aramasıdır. İşçinin işyerinde örneğin çalıştığı masanın kilitli çekmecesinin işveren tarafından zorla açılması ve burada işçiye ait özel deftere el konulması ve incelenmesi Yargıtay kararlarına göre hem hukuki değildir hem de hukuka uygun olmayan şekilde kişisel verilerin elde edilmesi sonucunu doğuracaktır. Diğer bir konu da performans izleme sisteminin özellikle son yıllarda işçilerin performansının denetlenmesi amacıyla teknolojinin de imkanlarının artmasıyla beraber iş süreçlerine dahil olmasıdır. Örneğin, kelime işlemcileri, veri girişi yapan görevliler, müşteri temsilcileri, kafe yahut süpermarket kasa görevlileri, banka çalışanları çeşitli teknolojik aygıtlarla denetlenmekte ve işçilerden alınan veriler bir sistem tarafından denetlenmektedir. Ancak bu tür gözetleme sistemlerinin hem kişisel verilerin ihlaline yol açtığı hem de bir mobbing oluşturduğu konusu uzun bir süredir tartışılmaktadır. Her ne kadar işverenin yönetim hakkı çerçevesinde işçinin performansını izleme hakkı bulunmaktaysa da böyle bir gözetlemenin işçinin açık rızası olsa dahi mobbing seviyesine ulaşacak seviyede stres ve kaygıya yol açmamalıdır. İş Kanunu 28. Madde gereğince işverenin işten ayrılan işçiye çalıştığı işin süresi, türü, nitelikleri ve ayrılma sebebini içeren bonservis niteliğinde belge vermesi öngörülmüştür. Sonuç olarak, işçi işveren ilişkisinde öncelikle işçinin bilgilendirilmesinin kişisel verilerin işlenmesinde dürüstlük ilkesine uyulmasının bir sonucudur. Bilgilendirme, işçinin rıza vermekten kaçındığı takdirde karşılaşacağı sonuçları da içermelidir. Veri işleme sürecinin şeffaflığı açısından genel bilgilendirmenin de belirli aralıklarla tekrarlanması gerekmektedir. Diğer yandan işçinin kendisi hakkındaki kişisel veriye ulaşabilmesi KVKK kapsamında diğer bir haktır. Nitekim işverenin bilgilendirme yükümlülüğünün tamamlayıcısı olan söz konusu hak sayesinde işçi kendisi hakkındaki kişisel verinin doğruluğunu ve ihlal edilip edilmediğini kontrol etmek ve gerektiğinde bu ihlallere karşı savunma yollarına başvurma hakkına sahiptir. İşçinin bu hakkını işveren nezdinde kullanabilmesine dönük mekanizmalar mevcut olmalıdır. İşçini gerek veriyi düzeltme hakkı gerekse veriye itiraz hakkını talep edebileceğini bilmesi ve bu haklarının kağıt üzerinde kalmadan uygulamaya açık ve denetlenebilir olması önemlidir.