Makale
İş hukukunda işçinin kişisel verilerinin korunması, veri koruma mevzuatı uyarınca büyük önem taşımaktadır. Bu makalede, kişisel veri kavramının temel unsurları, işçilere ait verilerin işlenmesindeki genel ilkeler ve gerek genel nitelikli gerekse özel nitelikli kişisel verilerin hukuka uygunluk sebepleri hukuki bir perspektifle detaylı olarak incelenmektedir.
İş İlişkisinde Kişisel Veri Kavramı ve İşleme Şartları
Günümüzde teknolojik gelişmelerin hız kazanmasıyla birlikte iş ilişkilerinde kişisel verilerin korunması ihtiyacı giderek daha kritik bir hal almıştır. İş sözleşmesinin zayıf tarafı konumunda bulunan işçinin kişisel verileri, işe alım sürecinden iş ilişkisinin sona ermesine kadar geçen tüm aşamalarda işveren tarafından işlenebilmektedir. Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesine ilişkin temel kuralları ve standartları belirleyerek bireylerin anayasal temel hak ve özgürlüklerini güvence altına almayı amaçlar. İş hukuku bağlamında, veri sorumlusu sıfatını taşıyan işverenlerin, veri işleme faaliyetlerini gerçekleştirirken yasal sınırları doğru tespit etmesi ve mevzuata tam uyum sağlaması zorunludur. Aksi takdirde, işçinin özel hayatının gizliliği telafisi güç bir şekilde zedelenebilir. Bu makalede, alanında uzman bir hukuki bakış açısıyla kişisel verinin niteliği ve işverenlerin bu verileri hukuken hangi hukuka uygunluk sebepleri dairesinde işleyebileceği detaylı bir biçimde ele alınacaktır.
Kişisel Veri Kavramı ve Unsurları
İlgili kanun maddeleri uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. İş hukuku uygulamaları çerçevesinde bu kavram, işçinin kimliği, iletişim bilgileri, banka kayıtları gibi doğrudan tanımlayıcı mahiyetteki verileri kapsadığı gibi; fiziksel özellikleri, alışkanlıkları, hobileri veya işyeri performansı gibi dolaylı olarak onu belirlenebilir kılan tüm bilgileri de kapsamaktadır. Bir bilginin kişisel veri sayılabilmesi için temel olarak üç unsurun bir arada bulunması şarttır: Bilginin bir veri niteliği taşıması, gerçek kişiye ilişkin olması ve bu kişinin kimliğinin belirli veya belirlenebilir olması. Tüzel kişilere ait kurumsal veriler kural olarak bu koruma şemsiyesinin dışındadır; ancak tüzel kişi verisi doğrudan bir gerçek kişiyi işaret ediyorsa koruma altına alınır. Ayrıca, bilginin gizli kalmış veya kamuya açık hale gelmiş olması onun kişisel veri niteliğini etkilemez. İşverenin işçi hakkında elde ettiği her türlü kişisel bilgi, niteliği ne olursa olsun bu korumadan yararlanır.
İşçinin Kişisel Verilerinin İşlenmesinde Temel İlkeler
İşverenlerin, işçi verilerini işlerken kanunda düzenlenen genel ilkelere harfiyen uyması kanuni ve hukuki bir zorunluluktur. İlk olarak, veri işleme süreçleri hukuka ve dürüstlük kurallarına uygun yürütülmeli, işçinin sözleşmeden doğan meşru beklentileri göz ardı edilmemelidir. İkinci olarak, işlenen kayıtların doğru ve gerektiğinde güncel olması şarttır. Yanlış veya eksik tutulan bir performans ya da sağlık kaydının işlenmesi, işçi aleyhine ciddi hak kayıpları doğurabilir. Üçüncü temel ilke, verilerin belirli, açık ve meşru amaçlar için işlenmesi yönündeki yükümlülüktür. İşveren, hangi veriyi tam olarak ne sebeple topladığını somutlaştırmalı, gelecekteki olası varsayımsal ihtiyaçlar bahanesiyle belirsiz veri toplamaktan kaçınmalıdır. Dördüncü olarak, toplanan işçi verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. İşverenin yönetim hakkı amacına ulaşması için işçi mahremiyetine en az müdahale içeren yöntem tercih edilmelidir. Son olarak, işçiye ait veriler yalnızca mevzuatta öngörülen veya işlenme amacının gerektirdiği süre kadar muhafaza edilmeli, süre bitiminde yasal olarak imha edilmelidir.
İş İlişkisinde Genel Nitelikli Verilerin İşlenme Şartları
İşçiye ait genel nitelikli kişisel veriler kural olarak onun açık rızası alınarak işlenebilse de, kanunda sayılan istisnai ve meşru hallerden birinin varlığı durumunda rıza aranmaksızın veri işleme faaliyetinde bulunulabilir. Örneğin, kanunlarda açıkça öngörülmesi halinde işveren, işçiden herhangi bir ek rıza almadan personel özlük dosyası oluşturabilir ve saklayabilir. İş sözleşmesinin kurulması veya ifası için doğrudan zorunlu olan durumlarda da rızaya ihtiyaç duyulmaz; işçiye maaş ve yan haklarının ödenebilmesi için banka hesap bilgilerinin işlenmesi buna tipik bir hukuki örnektir. Ayrıca, işverenin kanundan kaynaklanan yasal yükümlülüklerini yerine getirebilmesi, örneğin zorunlu sosyal güvenlik bildirimlerini yapabilmesi amacıyla gerçekleştirilen veri işleme süreçleri de tamamen hukuka uygundur. Bunlara ek olarak, bir hakkın tesisi, kullanılması veya korunması ile işçinin anayasal temel hak ve özgürlüklerine zarar vermemek kaydıyla işverenin meşru menfaatinin zorunlu olduğu hallerde de işveren, gerekli veri işleme faaliyetini rıza şartına bağlı kalmaksızın yürütebilir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, sağlık durumu, ceza mahkûmiyeti ve biyometrik verileri, çalışma hayatında ayrımcılık riski barındırdığı için özel nitelikli kişisel veri statüsünde kabul edilir ve kural olarak izinsiz işlenmeleri kesinlikle yasaktır. Ancak mevzuatta yapılan güncel yasal değişiklikle, açık rıza ile diğer hukuka uygunluk sebepleri arasındaki mutlak hiyerarşi kaldırılarak işleme şartları pratik bir zemine oturtulmuştur. Bu hukuki kapsamda, işçinin açık rızası dışında, kanunlarda açıkça öngörülmesi durumunda veya işçinin bizzat kendisi tarafından alenileştirme iradesine uygun olarak paylaşılan hassas nitelikteki veriler artık işlenebilmektedir. İş sağlığı ve güvenliği, sosyal güvenlik ile istihdam alanlarındaki spesifik yasal yükümlülüklerin ifası amacıyla, örneğin engelli çalıştırma kotalarının takibi için zorunlu sağlık verilerinin işlenmesi yasal bir zemine ve güvenceye kavuşturulmuştur. Ayrıca, bir yargılama aşamasında savunma hakkının tesisi gibi, bir hakkın korunması için mecburi olan hallerde de özel nitelikli kişisel veriler işlenebilmektedir.
Özel Nitelikli Veriler İçin Öne Çıkan Hukuki Gerekçeler
İş hukuku pratiğinde ve yasal süreçlerde, veri sorumlusu işverenlerin hassas ve özel nitelikli kişisel verileri işlerken doğrudan dayanabileceği belli başlı hukuki dayanaklar şunlardır:
- İlgili Kişinin Açık Rızası: İşçinin hiçbir baskı altında kalmadan, tamamen özgür iradesiyle, belirli bir duruma özgü ve sonuçları hakkında aydınlatılarak verdiği hukuki onay beyanıdır.
- Kanunlarda Açıkça Öngörülme: İşçi ceza mahkûmiyeti verilerinin veya işe giriş sağlık raporlarının ilgili özel kanunlar emri gereği zorunlu olarak kayıt altına alınmasıdır.
- Hayati Menfaat Zafiyeti: Fiili imkânsızlık sebebiyle bilinci kapalı olan ve rıza veremeyen işçinin hayatını korumak için, örneğin ağır bir iş kazasında acil tıbbi müdahale adına zorunlu sağlık bilgilerinin işlenmesi halidir.
- İstihdam ve Güvenlik Yükümlülükleri: İş sağlığı ve güvenliği mevzuatı çerçevesinde işverenin yükümlülüklerini ifa edebilmesi için sağlık veya adli verilerin işlenmesinin zaruri olduğu durumlardır.
- Hakkın Tesisi veya Korunması: Olası bir mahkeme sürecinde işverenin hukuki meşruiyetini ve argümanlarını ispatlayabilmesi için zorunlu olan hassas verilerin mahkemeye sunulmasıdır.