Kişisel veri, KVKK “Tanımlar” başlıklı 3. maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.
Veri sorumlusu ise yine kanunun 3. maddesinde "Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi" olarak ifade edilmiştir.
Bu tanımdan anlaşılacağı üzere ilgili kişi, işçi olarak kabul edilmektedir. Bu çerçevede iş ilişkisinde veri sorumlusu ise işverendir.
İşveren, işçilerinin verilerini işlemesi açısından veri sorumlusu kabul edildiği için, kanun ile veri sorumlusuna yüklenen yükümlülüklere dikkat etmeli ve işçilerin kişisel verilerini işlerken kanunda aranan şartları yerine getirmeye özen göstermelidir.
İşçinin kişisel verilerinin korunması bakımından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Türk Borçlar Kanunu’ndaki hizmet sözleşmesi ve Türk Medeni Kanunu’nun kişilik haklarını koruyan hükümleri dikkate alınmalıdır.
İşverenlerler işçilere ait kişisel verileri çoğu zaman kanuni bir yükümlülük olarak işlemektedir.Çeşitli kanun hükümlerine göre, işverenin işçinin bazı kişisel verilerini işlemesi gerekir. Bu gibi hallerde işçilerden ayrıca bir açık rıza alma zorunluluğu yoktur.
Kanuna dayanan veri işleme faaliyetlerine örnek vermek gerekir ise ;
Bunlardan ilki İş Kanunu’nun 75. maddesidir. Anılan madde hükmü “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” ifadelerine haizdir.
Bu madde ile işverene, işçinin kişisel verilerini içeren bir özlük dosyası oluşturma zorunluluğu öngörmüştür. İşveren, kanuni bir yükümlülük olarak, doğru bir şekilde işçiye ait kişisel verileri bu belgede işlemek zorundadır. İşverenin çalışma belgesi düzenleme yükümlülüğünü yerine getirebilmesi için işçinin kişisel verilerini işlemesi gerekir.
Benzer düzenleme, TBK m. 426’da mevcuttur. Her iki kanuni düzenlemede adı geçen çalışma belgesi, işçinin kişisel verisidir.Bu sebeple, işverenin bu belgeyi hazırlarken işleme ilkelerine uygun olarak verilerin doğruluğu kontrol etmesi gerekir.
İSGK 14. maddesine göre ;
İşveren; Bütün iş kazalarının ve meslek hastalıklarının kaydını tutar, gerekli incelemeleri yaparak bunlar ile ilgili raporları düzenler.
Ayrıca İSGK m. 15’e göre işverenler, çalışanların işe girişlerinde, iş değişikliğinde, iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde ve Bakanlıkça belirlenen düzenli aralıklarla sağlık muayenelerinin yapılmasını sağlamak zorundadır.
İşverenin kanuna dayanan veri işleme faaliyetinin yanında sözleşmeden doğan yükümlülüklerini yerine getirmek için veri işlediği durumlar mevcuttur. Bu hallerde de işçiden ayrıca bir açık rıza alma şartı bulunmamaktadır.
Örneğin, işverenin işçiye maaş ödemesi için işçinin banka ve kimlik bilgilerini ya da işyerine ulaşım servisi sağlaması için işçinin açık adresini öğrenmesi durumu bu duruma örnek gösterilebilir.
Bir veri işleme faaliyeti , Kişisel Verilerin Korunması Kanunu 5.maddesinde sayılan açık rıza dışındaki şartları taşımıyorsa işte burada işçinin açık rızasına başvurmak gerekecektir.
Bu sebeple işçiye ait özel nitelikli kişisel veriler ( Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) işlenirken bu durumunun titizlikle incelenmesi, veri işleme faaliyeti kanuna veya açık rıza dışındaki hallere dayanmıyorsa işçiden açık rıza alınması gerekmektedir.
Ancak burada dikkat edilmesi gereken en önemli hussulardan biri de işçilerden alınacak açık rızaların kanunun aradığı şartlara haiz bir açık rıza olması gerektiğidir.
Açık rıza, Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlanmaktadır. Buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerekmektedir. Rızanın özgür iradeyle verilmiş olması için kişilerin verileri üzerinde kontrol hakkına sahip olması ve bireylere gerçek bir seçim hakkının tanınmış olması gerekmektedir.Birey rıza vermemenin sonucunda hizmetten yararlanamıyor ise yani reddin bir yaptırımı var ise bu bireyin karar verme mekanizmasını etkileyecek bir duruma sebebiyet vereceğinden rızanın varlığından bahsedilemez.
İşçiler açısından da rıza vermemeleri iş ilişkisinin devamını etkiler nitelikteyse, rıza veremenin alternatifi yok ise burada açık rıza alındığından bahsedilemeyeceği için, veri işleme faaliyeti hukuka aykırı olacaktır.
İşverenlerin işçilerine ait verileri işlerken dikkat etmesi gereken önemli bir diğer husus ise "aydınlatma yükümlülüğüdür".
Bu kapsamda hangi veri işleme şartına dayanılırsa dayanılsın işverenler tüm veri işleme faaliyeti öncesinde aydınlatma yapmak zorundadır. Elbetteki yapılan aydınlatma kanunun aradığı şartlara haiz olmalıdır.
İşverenler ayrıca işledikleri verilere ilişkin olarak gerekli güvenlik ve gizlilik önlemlerini de titizlikle almalıdırlar.Ayrıca yasal düzenlemelere uygun bir veri elde etme politikası belirlemeli ve buna riayet etmelidirler.
Peki, işverenlerin kanunda aranan söz konusu yükümlülükleri yerine getirmemesinin yaptırımı nedir?
Bu durumda işveren öncelikle TMK m. 23-25 arasında düzenlenen kişilik haklarının korunması ve TBK m. 473’teki iş sözleşmesi hükümlerine göre sorumlu olur.
Bunun yanında işçi, zarara uğraması halinde genel tazminat hükümlerine göre tazminat talebinde bulunabilir.
Ayrıca veri sorumlusu işverenler, Kişisel Verilerin Korunması Kanunu hükümlerine aykırılık sebebiyle 29.852-TL'den 5.971.989-TL'ye kadar idari para cezası ile cezalandırılabilirler.
Bu itibarla işverenler, kişisel verileri hem elde ederken hem de bu verileri muhafaza ve imha ederken kanunun aradığı şartlara uyum sağlamaya özen göstemelidirler.
Av. Esra Ülkü BAYRAM
