Makale
İş ilişkisinde kişisel verilerin korunması, işçinin işverene karşı zayıf konumu nedeniyle hassasiyet gerektirir. İşverenlerin hukuki yaptırımlarla karşılaşmaması için veri işleme faaliyetlerinde genel ilkelere ve kanunda sayılan hukuka uygunluk nedenlerine kati surette uymaları yasal bir zorunluluktur.
İş İlişkisinde Kişisel Verilerin İşlenme Şartları ve Genel İlkeler
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, iş ilişkilerinde gerçekleştirilen veri işleme süreçleri özel bir öneme sahiptir. İş sözleşmelerinin doğasında yer alan bağımlılık unsuru nedeniyle, işçiler işverenler karşısında hukuki ve ekonomik anlamda daha güçsüz bir konumda bulunmaktadır. Bu asimetrik güç dengesi, işçinin kişilik haklarının ayrılmaz bir parçası olan kişisel verilerinin çok daha sıkı bir hukuki koruma altına alınmasını zaruri kılmaktadır. İşverenler, işe alım sürecinden başlayarak iş akdinin sona ermesine kadar geçen evrede işçiye ait verileri işlerken, yalnızca yasal yükümlülüklerini yerine getirmek veya sözleşmeyi ifa etmek amacıyla hareket etmelidir. Bu kapsamda, bir veri sorumlusu sıfatıyla hareket eden işverenin, veri işleme faaliyetlerini gerçekleştirirken kanun metninde öngörülen genel ilkelere ve yasalarda açıkça düzenlenen hukuka uygunluk nedenlerine eksiksiz olarak uyması gerekmektedir. Aksi yöndeki herhangi bir tutum, işverenin ciddi idari ve cezai yaptırımlarla karşılaşmasına zemin hazırlayacaktır.
Kişisel Verilerin İşlenmesinde Hâkim Olan Genel İlkeler
Hukuk sistemimizde veri işleme faaliyetlerinin meşru ve yasal kabul edilebilmesi için veri sorumlularının uymakla mükellef olduğu temel ilkeler mevcuttur. Bu ilkeler, tüm veri işleme şartlarının altyapısını oluşturur ve veri işleme faaliyetinin insan onuruna uygun bir şekilde yürütülmesini güvence altına alır. İlgili yasal düzenlemelerdeki bu ilkelerin en başında hukuka ve dürüstlük kurallarına uygunluk ilkesi gelmektedir. İşverenler, işçilerin verilerini kaydederken veya aktarırken yalnızca yürürlükteki mevzuata değil, aynı zamanda şeffaflık ve orantılılık gerektiren dürüstlük kurallarına da harfiyen riayet etmelidir. Örneğin, performans yönetimi veya işyeri güvenliği bahanesiyle işçiden orantısız yahut amacı aşan bilgiler talep edilmesi doğrudan bu ilkenin ihlali anlamını taşır. Ayrıca, toplanan ve işlenen tüm verilerin doğru ve gerektiğinde güncel tutulması, işçinin olası maddi kayıplarını ve manevi zararlarını engellemek adına işverenin aktif özen yükümlülüğü altındadır.
Veri Minimizasyonu ve Sınırlı Saklama Prensibi
İş ilişkisinde işveren, işçinin veya işçi adayının kişisel verilerini ancak belirli, açık ve meşru amaçlar doğrultusunda işlemek zorundadır. Sınırları önceden çizilmemiş, belirsiz veya ileride lazım olabileceği varsayımıyla yürütülen veri toplama faaliyetleri yasal dayanaktan tamamen yoksundur. Bununla doğrudan bağlantılı olarak, toplanan verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekliliği, hukuk disiplininde genel kabul gören veri minimizasyonu ilkesi olarak tanımlanmaktadır. İşveren, şayet asgari düzeyde veri ile işin devamlılığını sağlayabiliyorsa, bundan daha fazlasını işçiden talep edemez. Örneğin, klasik imza veya kart sistemleriyle mesai takibi rahatlıkla yapılabilecekken, personelin parmak izi gibi biyometrik verilerinin kaydedilmesi doğrudan ölçülülük ilkesini zedeleyecektir. Son olarak, işlenen kişisel veriler, ilgili mevzuatta emredilen veya işlendikleri spesifik amaç için gerekli olan süre kadar muhafaza edilmeli; söz konusu yasal veya fiili amaç tamamen ortadan kalktığında işçinin AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı bağlamında bu veriler güvenli bir biçimde silinmeli, imha edilmeli veya anonim hale getirilmelidir.
İşçinin Kişisel Verilerinin İşlenme Şartları
Kişisel verilerin herhangi bir platformda işlenebilmesi için kural olarak ilgili kişinin açık rızası mutlak surette aranır. İşçinin vereceği açık rıza; sadece belirli bir konuya özgülenmiş, öncesinde detaylı bir aydınlatmaya dayandırılmış ve hiçbir baskı altında kalmaksızın özgür iradeyle verilmiş olmalıdır. Ancak iş ilişkisinin temelini oluşturan ekonomik bağımlılık unsuru sebebiyle, işçinin rıza gösterirken gerçekten hür bir irade yansıtıp yansıtmadığı her somut olayın özelliklerine göre dikkatle incelenmelidir. Yasa koyucu, yalnızca rıza unsurunun tek başına yeterli ve her koşulda adil olamayacağını öngörerek işverenler lehine birtakım istisnai hukuka uygunluk sebepleri düzenlemiştir. Bu meşru hallerin varlığında işverenin veri işlemek için ayrıca bir açık rıza almasına gerek duyulmaz. İşverenler, veri işleme faaliyetlerini sağlam bir hukuki temele oturturken her zaman öncelikle kanundaki diğer nesnel şartların varlığını sorgulamalı, rıza unsurunu ise ancak son çare olarak işleme almalıdır.
Açık Rıza Dışındaki Hukuka Uygunluk Halleri
İşçinin kişisel verilerinin, rızası dahi aranmaksızın yasal olarak işlenebileceği istisnai durumlar ilgili mevzuatta tahdidi olarak sayılmıştır. Bu haller, sözleşmeden doğan karşılıklı yükümlülüklerin ifa edilmesinden, işverenin organizasyonel ve idari çıkarlarına kadar uzanan oldukça geniş bir yelpazeyi kapsar. Bu şartların her biri, kendi içinde sınırları net olarak çizilen ve hiçbir surette işçinin temel hak ve özgürlüklerini ihlal etmemesi gereken katı kriterlere bağlanmıştır. İşverenin kanundaki bu istisnai nedenlere güvenebilmesi için, gerçekleştirdiği güncel veri işleme amacının söz konusu yasal şartın dar kapsamıyla birebir örtüşmesi yasal bir gerekliliktir. Aşağıda, kuralın istisnası niteliğinde olan ve açık rıza olmaksızın kişisel veri işlenmesine imkân tanıyan yasal işleme şartları sırasıyla listelenmiştir:
- Kanunlarda açıkça öngörülme ve işverenin bundan doğan hukuki yükümlülükleri.
- Bir sözleşmenin kurulması veya doğrudan doğruya ifasıyla ilgili olma.
- İşçi veya üçüncü bir kişinin hayatının ve beden bütünlüğünün korunması zorunluluğu.
- Herhangi bir hakkın tesisi, kullanılması veya mahkemeler nezdinde korunması.
- İşçinin temel hak ve özgürlüklerine zarar vermemek kaydıyla işverenin meşru menfaati.
- İlgili işçinin işlenen veriyi daha önce bizzat kendisinin alenileştirmiş olması.
Özel Nitelikli Kişisel Verilerin İşlenme Rejimi
İşçinin veya adayın ırkı, siyasi düşüncesi, felsefi inancı, dernek veya sendika üyeliği, sağlık durumu, ceza mahkûmiyeti ve kimlik doğrulamada kullanılan biyometrik verileri hukukumuzda özel nitelikli kişisel veri olarak tasnif edilmektedir. Bu kategorideki verilerin hukuka aykırı şekilde işlenmesi, işçinin çalışma ortamında ayrımcılığa uğramasına ve ağır mağduriyetler yaşamasına yol açabileceğinden çok daha sıkı bir koruma rejimi öngörülmüştür. Genel kural olarak bu hassas veriler ancak ve ancak işçinin açık rızasıyla işlenebilir. Bununla birlikte, sağlık ve cinsel hayat dışındaki özel nitelikli veriler, kanunlarda öngörülen hallerde açık rıza koşulu aranmaksızın da işlenebilmektedir. Sağlık verileri ise ancak kamu sağlığının korunması gibi spesifik ve meşru amaçlar doğrultusunda, sır saklama yükümlülüğü altındaki kişiler tarafından yasal sınırlar dahilinde işlenebilmektedir. Ek olarak, işverenlerin bu türden hassas verileri işlerken veri koruma otoriteleri tarafından resmi olarak belirlenen yeterli güvenlik önlemlerini eksiksiz ve sürekli biçimde almaları kesin bir zorunluluktur.