Kişisel Verilerin Korunması ve İş Hukuku’na Etkileri
Az sayıda ve ayrıntı barındırmayan çerçeve hükümlerden ibaret olsa da, iş hukuku bağlamında kişisel verilerin korunmasına yönelik düzenlemeler KVKK’nın yürürlüğe girdiği 7 Nisan 2016 tarihinden çok daha öncesine dayanmaktadır. Bu hükümlerden ilki genel nitelikte bir kanun olan Türk Borçlar Kanunu’nun (TBK) 419. maddesidir. Bu maddeye göre iş ilişkisi kapsamında çalışanların kişisel verileri ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde işlenebilir. 4857 sayılı İş Kanunu’ndaki 75. madde işverene, her işçi için, bunların bazı kişisel verilerinin saklandığı özlük dosyaları düzenleme yükümlülüğü ile birlikte, işçi hakkında edindiği bu bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanma ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamama yükümlülüğü de getirmektedir. Henüz KVKK ortada yokken Kanun koyucunun işçilerin kişisel verilerini koruyan bu hükümleri getirmesinin nedeni iş ilişkisinin her aşamasında işveren ile işçi arasındaki güç dengesizliği ve ekonomik anlamda işçinin işverenin karşısındaki zayıf konumudur. Bu düzenlemelerin etkisi KVKK’nın yürürlüğe girmesi ile birlikte güçlendirilmiş ve iş ilişkisinde işçinin ve işçi adaylarının kişisel verilerinin korunmasının önemi artmıştır. İşçi ve işçi adayı, KVKK çerçevesinde kişisel verileri korunan ilgili kişi konumundayken, işveren ise bu kişisel verileri işleyebilmek için kanundaki koşul ve esaslara uymakla yükümlü veri sorumlusu konumundadır. Bu nedenle işverenin bu kanun kapsamında ilk yükümlülüğü ve en önemli yükümlülüklerinden biri Veri Sorumluları Siciline kayıt yaptırmak ve bu sicilde kendisine veya temsilcisine ait kimlik ve adres bilgilerini, hangi gruptaki kişilerin kişisel verilerinin hangi amaçla ve ne kadar bir süre için işleneceğini, veri güvenliği için alınacak tedbirleri ve potansiyel veri aktarımına ilişkin bilgileri açıklamaktır.
İşe Alım Öncesinde Kişisel Verilerin İşlenmesi
İş ilişkisinin başlangıcı ve bitişi arasındaki dönemi ve sonrasını içine alan süreç bir yana, iş ilişkisi henüz başlamadan önce, daha görüşme aşamasında bireylerin kişisel verileri işverenler tarafından işlenmekte, hatta taraflar anlaşamayıp iş ilişkisine hiç başlamadıkları takdirde dahi, daha sonra aynı veya başka pozisyonlarda değerlendirilmek üzere bu veriler işlenmeye devam etmektedir. İş ilişkisinin her aşamasında işçilerin ve işçi adaylarının kişisel verilerinin en sistematik ve en yoğun biçimde işlendiği bölüm İnsan Kaynakları departmanıdır. İş görüşmeleri sırasında da işe alınması planlanan kişilerden çok daha fazla sayıda gerçek kişinin kişisel verilerinin İnsan Kaynakları bölümünde saklanması söz konusu olduğundan şirketler, ilgili mevzuatın bu sürece etkisine özel bir önem göstermeli, işe alım prosedürüne özgü veri işleme politikaları hazırlamalı ve insan kaynakları departmanlarının mevzuata uygunluğunun sağlanması için gerekli önlemleri almalıdır.
Kişisel verilerin işlenmesinde genel kural, kişisel veriler işlenmeden önce veya en geç işlenme sırasında işçi adaylarının, KVKK bağlamında diğer bir deyişle “ilgili kişilerin” açık rızalarının alınması ve kişisel verilerin yalnızca açık, belirli ve meşru amaçlar için işlenmesidir. Açık rıza alınmadan önce adaylara hangi kişisel verilerinin nasıl ve ne kadar süre için saklanacağı, ne amaçla kullanılacağı, nasıl ve ne zaman imha edileceği ve adayın bu verilerin düzeltilmesi ve silinmesi talebinde bulunabileceği, unutulma hakkı çerçevesinde açıklanarak aydınlatma yükümlülüğü yerine getirilmelidir. Açık ve anlaşılır bir biçimde hazırlanmış olan şirket gizlilik politikası hakkında adaylar bilgilendirilmeli, kişisel verilerinin -dijital veya fiziki- hangi ortamlarda kayıt altına alınacağı saklanacağı da aydınlatma görevi kapsamında açıklanmalıdır.
Bunun yanında kişisel verilerin işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmadır. Örneğin, adayların iş başvurusu sırasında işverene sunduğu özgeçmişlerde başvurulan işin niteliğiyle ilgisi olmayan pek çok bilgi yer alabilmektedir. Bunların arasından sadece başvurulan pozisyon ile bağlantılı olan, adaylarda aranan niteliklere göre adayların yeterliliğini belirlemeye yönelik veriler saklanmalı, bu veriler dahi gözetilen amaç için gerekli olmadığı sürece işlenmemelidir.
Diğer bir deyişle, şirketin amacını, somut durumda adayların değerlendirilip işe alımın yapılması amacını gerçekleştirmek için gerekli ve yeterli asgari miktarda verinin işlenmesi KVKK kapsamında sorun yaratmaması açısından tercih edilmelidir. İş görüşmeleri sırasında elde edilen bu asgari miktardaki kişisel veriler, genel ve özel nitelikli olmalarına göre sınıflandırılmalı, ve her bir sınıftaki verilerin işlenmesinde ve transferinde KVKK’da öngörülen sınırlamalara uyulmalıdır.
Son olarak, adaylarla özel istihdam büroları veya iş arama siteleri aracılığı ile iletişim kurulması halinde, söz konusu kuruluşların faaliyetlerinin kişisel verilerin korunmasına ilişkin mevzuata uygunluğu araştırılmalıdır. Öncelikle bu büro ve siteler tarafından kayıt altına alınan kişisel verilerin şirketle paylaşımı hususunda adayın açık rızasının alınıp alınmadığı kesin olarak belirlenmeli ve her halükarda bunların ilgili kişilerin (işçi ve işçi adaylarının) kişisel verilerini hukuka aykırı olarak işleme ihtimaline karşı, bu gibi ihlallerden yalnızca bu büro ve platformların sorumlu olacağına dair anlaşma yapılmalıdır.
İş İlişkisinin Kurulması ve Devamı Sürecinde KVKK
- Şirketler, bünyelerinde çalışan işçilere ait kişisel verileri gündelik olarak işlemektedir. İşçilere ait maaş bilgileri, hastalık raporları gibi akla kolaylıkla gelebilecek bilgiler dışında, iş yeri kamera görüntüleri, dijital yazılımlarla işçilerin iş yerinde internet kullanım sürelerinin, iş yerine özel e-posta ve telefon trafiğinin gözlemlenmesi de kişisel verilerin işlenmesi kapsamındadır. Bu verilerin işlenebilmesi için KVKK madde 5 uyarınca aşağıdaki hukuki dayanaklardan en az birinin bulunması gerekir:İşçinin kişisel verilerinin işlenmesi hususunda aydınlatılmış ve açık rızasının alınmış olması (Aydınlatma yükümlülüğünün yerine getirilmiş sayılabilmesi için işçiye hangi kişisel verilerinin, ne şekilde, nerede/hangi ortamda, ne kadar süre için ve ne amaçla işleneceğinin açıklanmış olması ve işçinin kendisine ait kişisel verilerin düzeltilmesini, eksik ise tamamlanmasını ve buna ilişkin yasal şartların gerçekleşmesi halinde silinmesini talep etme hakkına sahip olduğu hususunda bilgilendirilmiş olması gerekir.)
- Kişisel verilerin işlenmesinin işveren ve işçi arasındaki iş sözleşmesinin kurulması ve/veya ifası için zorunlu olması
- Belirli kişisel verilerin işlenmesinin kanunlarda işveren açısından açıkça yükümlülük olarak öngörülmesi veya işverenin hukuki yükümlülüklerini yerine getirebilmesi için bu verileri işlemesinin zorunlu olması
- Kişisel verinin işlenmesinin işçinin haklı menfaati veya işçiye ait bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
- Bir işçiye ait kişisel verinin yine o işçi tarafından alenileştirilmiş olması
- İşçinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kişisel verinin şirketin meşru menfaatleri için işlenmesinin zorunlu olması
İş ilişkisinin doğası gereği işçi ve işveren arasındaki güç dengesizliği ve işçinin işverene ekonomik olarak bağımlı olması, çoğu durumda kişisel verilerin işlenmesinde açık rızanın geçerliliği hususunda şüphe uyandıracağından ve etkisini azaltacağından, işverenlerin işçilerin kişisel verilerini mümkünse yukarıda belirtilen diğer hukuki nedenlere dayanarak işlemeleri daha tercih edilebilir bir seçenek olacaktır. Özellikle de işçilerin kamera ile ses ve/veya görüntülerinin kaydedilmesi, e-posta ve telefon trafiğinin kontrol edilmesi konusunda işçilerin özgür iradeleriyle rıza gösterdiklerini kabul etmek pek mümkün değildir. Ayrıca bu tür tedibirler amaca uygunluk, sınırlılık ve ölçülülük ilkeleri gereği başvurulabilecek son tedbirler olmalıdır. Bu verilerin işlenmesinde güdülen amacın gerçekleştirilebilmesi için başka elverişli yöntemlerin bulunması halinde bu tarz kişisel verilerin işlenmesi, ölçülülük ilkesi gereği hukuka aykırılık teşkil edecektir.
İş Kanunu madde 75 uyarınca işverenin her bir işçisi için özlük dosyası hazırlamakla yükümlü tutulması, kanunlarda işveren için öngörülen kişisel veri işleme yükümlülüğüne güzel bir örnektir. Bununla birlikte özlük dosyalarında yer alması gereken kişisel veriler mevzuatta sınırlı olarak sayılmadığından, yani bunlarla ilgili kesin bir sınır çizilmediğinden, bu dosyalar kapsamında işlenecek kişisel veriler belirlenirken KVKK madde 4’teki genel ilkeler göz ardı edilmemeli ve belirsizlik halinde her ihtimale karşı kişisel verileri işlenen işçinin rızası alınmalıdır.
Uygulamada kişisel verilerin işlenmesine ilişkin açık rızanın iş sözleşmesinin kurulduğu sırada ve/veya sözleşmeye dahil edilerek alınması düşünülebilirse de, açık rızanın en önemli özelliği özgür iradeyle verilmesi olduğundan, işveren ve işçi arasındaki güç dengesizliğinin en belirgin olduğu aşama olan sözleşme kurulma aşamasında ve sözleşme içeriğinin belirlendiği süreçte işçiden alınan rızanın açık rıza olarak kabul edilebilmesi güçtür.
Ayrıca, kişisel verilerin yurt dışına aktarılması KVKK kapsamında daha sıkı ve özel şartlara tabi olduğundan, yabancı menşeili şirketlerin Türkiye’deki merkezlerinin işçilere ait kişisel verileri yurt dışındaki merkeze aktarabilmeleri için ayrıca işçinin buna ilişkin açık rızasını almaları veya açık rıza dışında verilerin işlenebilmesi için KVKK’da gösterilen diğer hukuki sebeplere dayanıyorlarsa, verinin aktarılacağı ülkede kişisel verilere ilişkin yeterli korumanın bulunup bulunmadığını gözetmeleri ve bulunmaması halinde verinin aktarılacağı merkezden yazılı taahhüt almaları gerekecektir.
İş İlişkisinin Sona Ermesi
İş ilişkisi sona erdikten sonra da ayrılan işçiden alınacak açık rızaya veya yukarıda belirtilen diğer hukuki sebeplere dayanarak işten ayrılmış olan kişilerin bazı kişisel verilerinin belli bir süre için saklanmasına devam edilmesi söz konusu olabilir. Örnek olarak, işten ayrılan kişiyle rekabet yasağı sözleşmesi yapılabilir ve bu kapsamda sözleşmenin ifası için gerekli kişisel verilerin işlenmesine devam edilebilir. Bununla birlikte, iş ilişkisi sona erdikten sonra işçi ve işveren arasındaki bir uyuşmazlık sonucu açılan bir dava söz konusu olabileceğinden, işverenin eski işçisine ait kişisel verileri belli bir süre, özellikle zamanaşımı veya hak düşürücü süreler geçene kadar saklamasında meşru menfaati bulunmaktadır. Ayrıca, kanunlarda iş ilişkisi sona erse dahi işveren için eski işçisine ait kimi bilgileri belli bir süre saklama zorunluluğu öngörülmüş olabilir.
Ancak bu gibi haklı sebepler ve yasal zorunlulukların ortadan kalkmasıyla, kişisel verinin işlenmesini gerektiren sebepler de ortadan kalkmış olacağından, KVKK madde 7 uyarınca işveren, bu verileri re’sen ya da eski çalışanının talebi üzerine silmek, imha etmek veya anonim hale getirmekle yükümlüdür. Bir kişisel verinin anonim hale getirildiğinin kabul edilebilmesi için o kişisel verinin tek başına veya diğer verilerle birleştirildiğinde kişisel verilerin ait olduğu kişiyi belirlemeye elverişsiz olacak şekilde değiştirilmiş olması gerekmektedir.
KVKK madde 7 uyarınca kişisel verilerin işlenmesini gerektiren durumlar ortadan kalktıktan sonra işçiye ait kişisel verileri silmeyen veya anonim hale getirmeyen işverenler hakkında, iki yıla kadar hapis cezası öngören TCK madde 138 kapsamında cezai işlem yapılabilecektir.
İşçinin açık rızasının alınması gereken durumlarda aydınlatma yükümlülüğünün, işçiye ait kişisel verilerin güvenliğini/gizliliğini sağlama ve Veri Sorumluları Siciline kayıt yaptırma yükümlülüklerinin yerine getirilmemesi ise KVKK madde 18 uyarınca kabahat olarak değerlendirilmiş olup, aydınlatma yükümlülüğünün ihlali halinde 5.000 TL ila 100.000 TL; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırılık halinde 20.000 TL ila 1.000.000 TL; veri güvenliğine ilişkin yükümlülüklere aykırılık durumunda ise 15.000 TL ila 1.000.000 TL idari para cezası öngörülmüştür.