07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun’un (KVKK) yürürlüğe girmesi ile kişisel verilerin ve özel hayatın gizliliğinin korunması ve söz konusu kişisel verileri işleyecek olan gerçek veya tüzel kişilerin yükümlülüklerinin belirlenmesine ilişkin ilk yasal düzenleme hayata geçmiş bulunmaktadır. KVKK, iş sözleşmesi kapsamında, işçi ile işveren arasındaki ilişkinin gerektirdiği kişisel verilerin işlenmesine yönelik özel bir düzenleme öngörmemekle beraber işçi-işveren ilişkilerinde de genel ve temel KVKK düzenlemelerine başvurulması gerekmektedir.

İş sözleşmeleri tahtında söz konusu olan ‘kişisel veri’ kavramı, işçinin işe başvurusu aşamasından mevcut bir iş akdinin feshine kadar işçinin özel ve iş hayatına dair bilgileri kapsar nitelikte olabilir. Hatta bu bilgilerin önemli bir çoğu, işverenin söz konusu işçi için oluşturduğu özlük dosyasında veya elektronik ortamda iş ilişkisinin başlangıcından, sona ermesine kadar saklanır. Bazı hallerde ise bu bilgiler, iş ilişkisi sonlanmış olsa dahi işveren tarafından saklanabilmektedir. Bu bağlamda çalışanın kişisel verilerinin genel olarak, işçiye ait kimlik bilgileri, fotoğraf, ikametgah bilgileri, adli sicil kaydı, sağlık kayıtları ve benzeri bilgiler olduğu söylenebilir. Söz konusu bilgileri, 4857 sayılı İş Kanunu’nun 75. maddesi’ne göre işveren düzenlemek ve saklamak zorundadır. İlgili maddeye göre, işveren çalıştırdığı her işçi için bir özlük dosyası düzenler. Bu dosyada işçinin, kimlik bilgilerinin yanında, diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.

Açık Rıza ve Veri Sorumlusu Sıfatıyla İşverenin Yükümlülükleri

KVKK’ya göre, açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Kişisel verilerin işlenmesinde genel olarak veri sahibinin açık rızası aranır. Açık rıza ile kişisel verileri işlenecek kişi, işlenmesine izin verdiği verilerin sınırı, kapsamı, işlenme süresi, kim tarafından işleneceği hususlarında aydınlatıldığını ve bu bilgilerin işlenmesine onay verdiğini kabul eder. Bu kapsamda, açık rızanın, belirli bir konuya ilişkin, bilgilendirilme neticesinde ve özgür iradeyle açıklanması yani bilinçli olma gerekliliği açıktır. Açık rızanın yazılı olması zorunluluk arz etmese de, ispat kolaylığı açısından, verileri işlenecek kişinin yazılı şekilde rızasının alınmış olunması önem arz edecektir.

İşçinin kişisel verilerinin işlenebilmesi için de işçiden açık rıza alınmalıdır. İşçinin açık rızası iş sözleşmesi içerisinde buna dair bir hükümle alınabileceği gibi, ayrı bir belge düzenlenmek suretiyle de alınabilir. Burada dikkat edilmesi gereken, işverenin veri sorumlusu olarak işçiyi kişisel verileri ve kanun kapsamında hakları bakımından bilgilendirmiş olması ve bu aydınlatma sonrası, ilgili işçinin açık ve serbest iradesiyle kişisel verilerinin işlenmesine onayının alınmış olmasıdır. Eğer işçi eksik aydınlatılmış ise veya ilgili işçi tam olarak aydınlatılmış olsa dahi özgür iradesiyle onay vermemişse, açık rızadan bahsedilemez.

Öte yandan, KVKK madde 5/2’de belirtildiği üzere, belirli istisnai durumlarda, işçinin açık rızası aranmaksızın kişisel verileri işlenebilir. Kanunlarda açıkça işlenmesi gerekliliği öngörülen kişisel veriler için işçinin açık rızası aranmaz. Örneğin; işveren İş Kanunu madde 75’e göre, işyeri teftişleri sırasında, işçinin açık rızası olmaksızın özlük dosyasındaki kişisel verileri yetkili memurla paylaşabilecektir. Ancak burada dikkat edilmesi gereken söz konusu verilerin genel veri niteliğinde olmasıdır. Eğer, kişisel veri özel nitelikli kişisel veriyse, işçinin yine açık rızası aranacaktır. Örneğin; özel bir sağlık raporu, işçinin evlilik cüzdanı fotokopisi, varsa çocuklarının kimliklerinin fotokopisi gibi özel nitelikli kişisel veriler için işçinin açıkça ve serbest iradesiyle onay vermiş olması gerekir. Bu sebeple, kanaatimizce, işverenin ayrım yapmaksızın, gerekli görülen kişisel veriler için, işlenme sebeplerini de açıklayarak ve işçiyi tam olarak aydınlatarak, işçinin açık ve hatta bu hususta ispat kolaylığı için de yazılı onayını alması isabetli olacaktır.

İşveren veri sorumlusu olarak hukuki yükümlülüğünü yerine getirirken de işçilere ait kişisel verileri açık rızaları olmadan ilgili kurumlar ile paylaşabilir. Örneğin; işçinin sosyal güvenlik primleri ödenecekse, işçinin kişisel verilerinin kurumla paylaşılması için açık rızası aranmaz. Ancak yine de, işverenler KVKK’da açık rızanın aranmadığı istisna halleri geniş yorumlamamaya ve işçinin verilerin işlenmesinde titizlikle hareket etmeye dikkat etmelidir.

Diğer taraftan, işverenin veri sorumlusu sıfatını haiz olması sebebiyle, işçinin rızasının alındığı kişisel verilerin hangi amaçla işleneceğini, verilerin kimlere ve hangi amaçla aktarılabileceğini, söz konusu bilgilerin hangi hukuki sebeplerle işlenmesi gerektiğini ve kim tarafından işleneceğini de belirtmiş olması gerekir. İşverenin işçiyi aydınlatma yükümlülüğü KVKK madde 10 kapsamında düzenlendiği gibi, işçilerin verilerinin hangi amaçla elde edildiği, kimlere ve hangi amaçlarla aktarılabileceği, bu verilerin kimler tarafından işleneceğini ve kimlerin bu verilere erişebileceğini, söz konusu kişisel verilerin nerelerde kullanılabileceği ve nerede depolanacağı bilgisinin işçiye verilmesini içerir. Söz konusu yükümlülük eksiksiz olarak yerine getirildiğinde, hukuka uygun bir kişisel veri işlemesinden bahsedilecektir.

İşveren ayrıca veri sorumlusu olarak işçinin kişisel verilerini işleme amacı dışında kullanmamakla yükümlüdür. KVKK’da açıkça verilerin sadece kullanım amacı ile sınırlı miktarının elde edilebileceği, bu amaç kapsamında kullanılıp saklanabileceği düzenlenmektedir. Bu sebeple, işverenler, işçiye ait verileri ancak söz konusu işçinin işiyle ilgili ve iş sözleşmesinin ifası için zorunlu ise işleyebilir ve bu amaçla kullanabilir. Türk Borçlar Kanunu’nun İşverenin Sorumluluğu başlığı altında düzenlenen 419. maddesine göre de, işveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Bu sebeple, işçiye ait kişisel verilerin hem işlenilmesi hem de kullanılması bakımından, işin ifası için gerekliliği şartı aranır. İşveren, işçinin işiyle ilgili olmayan ya da kanunlar tarafından işlenilmesi zorunlu tutulmayan kişisel verilerini işleyemez, aksi takdirde hukuki sorumlulukları oluşur.

İşveren, işçinin İş Kanunu madde 75 kapsamında özlük dosyasını oluşturan kişisel verileri işlediğinde, söz konusu verilerin gizliliğini sağlamakla yükümlü olacaktır. İşverenin gizlilik yükümlülüğü İş Kanunu madde 75/2’de düzenlenmiştir. Hükme göre, ‘’İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.’’ Bu kapsamda işveren, işçinin kişisel verilerini işçinin açık rızası olmaksızın üçüncü kişilerle paylaşamaz. İşveren, söz konusu verilerin gizli kalması için de gerekli özeni göstermek, tedbiri almakla yükümlüdür. Özellikle, kişisel verilerin genel olarak elektronik ortamlarda saklandığı göz önüne alındığında, işçinin kişisel verilerinin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve olası siber saldırılara karşı verileri korumak için, her türlü üst düzey tedbirler alınmalıdır.

Verileri İşlenen Çalışanın Hakları Nelerdir?

Verileri işlenen çalışan, veri sorumlusu olan işverenine başvurarak, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bununla ilgili bilgi talep etme, kişisel verilerinin amacına uygun kullanılıp kullanılmadığını öğrenme, kişisel verileri yurt içinde veya yurt dışında üçüncü kişilere aktarılmışsa bu kişilerin kim olduğunu bilme, kişisel verilerinin yanlış işlenmiş olması halinde düzeltilmesini isteme, gerekli şartlar oluştuğunda kişisel verilerinin silinmesini veya yok edilmesini talep etme haklarına sahiptir.

Kişisel Verileri Ne Zamana Kadar Saklanabilir?

Bu Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilerek, anonim hâle getirilir.[1] İşverenler, yasal saklama yükümlülükleri dışında, kişisel verinin işlenmesini gerektiren sebepler ortadan kalktığında, işçinin kişisel verilerini saklayamazlar. Örneğin, bir iş başvurusunda bulunan işçi adayına ait kişisel veriler, aday işe alınmazsa derhal imha edilmelidir. Mevcut bir iş akdine dayanılarak işçi hakkında elde edilen kişisel veriler ise, iş akdi sona erdikten sonra işveren tarafından belirli bir süre saklanabilir. Burada iş akdi sona eren çalışanın, işverene karşı yürütebileceği olası bir yasal takibe karşı, işverenin meşru menfaati söz konusu olduğundan, ilgili mevzuatın öngördüğü zamanaşımı sürelerinin sonuna kadar, eski çalışana ait kişisel veriler (özlük dosyası) saklanabilir. Örneğin, işçinin sağlık muayenelerine ilişkin raporları İş Sağlığı ve Güvenliği Yönetmeliği’ne göre 15 yıl işveren tarafından saklanabilir. Ancak, dava zamanaşımı süreleri sona erdiğinde veya mevzuatın öngördüğü saklama sürelerinin sonuna gelindiğinde, işçiye ait kişisel veriler silinmeli, yok edilmeli veya anonimleştirilmelidir.

Hukuka Aykırı Veri İşleme Halinde Uygulanacak Yaptırımlar

Çalışanın kişisel verilerini hukuka aykırı olarak kaydeden işverenler için, Türk Ceza Kanunu’nun 135. maddesine göre, bir yıldan üç yıla kadar hapis cezası öngörülmektedir. Söz konusu kişisel veriler özel nitelikte ise, verilecek olan ceza yarı oranında artırılarak uygulanacaktır. Ayrıca tüzel kişiliğin ihlalde bulunması halinde, TCK 140. maddesine göre ilgili tüzel kişilik için güvenlik tedbiri uygulanacaktır. Çalışanın kişisel verilerini, gerekli koşullar oluştuğu halde yok etmeyen işverenler için ise, TCK 138. maddesine göre bir yıldan iki yıla kadar hapis cezası verilir. Ayrıca KVKK madde 18’de belirtilen aydınlatma yükümlülüğünü, veri güvenliğine ilişkin yükümlülükleri,  Kişisel Verileri Koruma Kurulu’nun verdiği kararların gereğini, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu olan işverenler, belirtilen tutarlarda idari para cezası ile cezalandırılır.

Tüm bu bilgiler neticesinde, işverenlerin iş ilişkisinin başlangıcından sona ermesine kadar, hatta bazı hallerde sona erdikten sonra da çalışanlarının kişisel verilerini işleme, kullanma, koruma ve saklama evrelerinde KVKK’da öngörülen ilkeler ve ilgili diğer hukuki düzenlemeler  dikkate alınmaktadır. İşverenlerin, işçinin kişisel verilerini kaydederken özgür ve sınırsız olmadığı açık olduğundan, kişisel verilerin korunmasına ilişkin başta KVKK olmak üzere güncel düzenlemelere ve ilgili oldukları mevzuata uygun hareket etmeleri ve bu düzenlemeleri takip etmeleri, oluşabilecek hukuki sorunların önüne geçecektir. Bu kapsamda, ister iş akdinin içerisine eklenecek konuya ilişkin bir hüküm ile ister işçinin kişisel verilerinin işlenmesine yönelik ek bir aydınlatma ve onay metni ile, işçiye istenen kişisel verilerinin neler olduğu, hangi amaçlarla istendiği, kim tarafından işleneceği, kimlerin erişebileceği, nerede depolanacağı ve ne kadar süre ile saklanacağı ve işçinin kişisel verileri üzerindeki hakları hususunda bilgi verilmeli, tam olarak aydınlatılan işçilerden açık, ispat kolaylığı için yazılı ve serbest iradelerine dayanan onayları alınmalıdır. Böylece, işverenler oluşabilecek ihlallere karşı önlem almış olacaklardır.

[1] Hasan Erdem, ‘’Çalışanın Kişisel Verilerinin Korunması’’,HRDergi, 2016.
MANAV, A.Eda,  İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Gazi Üniversitesi Hukuk Fakültesi Dergisi C. XIX, Y. 2015, Sa. 2.

Yazar: Suzan Tekin

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone