Makale
İşçi ve işveren arasındaki hukuki ilişkide kişisel verilerin korunması, 6698 sayılı KVKK ve İş Kanunu hükümleri çerçevesinde büyük bir hassasiyet taşır. Bu makalede, işyerinde kişisel verilerin işlenme şartları, genel ilkeler, özel nitelikli verilerin durumu ve işverenin hukuki yükümlülükleri uzman bir KVKK perspektifiyle incelenmektedir.
İş İlişkisinde Kişisel Verilerin Korunması ve İşleme Şartları
İş ilişkisi, doğası gereği işçinin kişisel verilerinin sürekli olarak işlenmesini zorunlu kılan dinamik bir süreçtir. İşçinin işe başvuru aşamasından başlayarak sözleşmenin sona ermesine kadar geçen sürede kimlik, iletişim, sağlık ve özlük bilgileri gibi pek çok veri işveren tarafından kayıt altına alınır. Bu süreçte, işçinin temel hak ve özgürlüklerinin ihlal edilmemesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili diğer mevzuat hükümleri titizlikle uygulanmalıdır. Bir veri sorumlusu olarak işveren, işçiye ait verileri ancak hukuka uygunluk nedenlerinden birine dayanarak ve belirli genel ilkeler çerçevesinde işleyebilir. İş hukukunda işçi ve işveren arasındaki güç dengesizliği, rızanın özgür iradeyle verilmesini zorlaştırdığından, veri işleme faaliyetlerinde açık rıza dışındaki hukuki dayanaklara öncelik verilmesi büyük önem taşımaktadır. Aşağıda, iş ilişkisi bağlamında kişisel verilerin hangi yasal zeminlerde ve ne şekilde işlenebileceği detaylıca ele alınmıştır.
İş İlişkisinde Kişisel Veri İşlemenin Genel İlkeleri
İşverenler tarafından gerçekleştirilen her türlü veri işleme faaliyeti, öncelikle KVKK'nın 4. maddesinde düzenlenen genel ilkelere uygun olmak zorundadır. Veri işleme faaliyetinin kanundaki işleme şartlarından birine dayanması tek başına yeterli değildir; aynı zamanda hukuka ve dürüstlük kurallarına uygun yürütülmesi gerekir. İşverenin, işçinin haklarını ve makul beklentilerini göz önünde bulundurarak şeffaf bir süreç izlemesi bu ilkenin temelini oluşturur. Bununla birlikte, işlenen verilerin doğru ve gerektiğinde güncel tutulması, hem işçinin menfaatlerinin zedelenmemesi hem de işverenin hukuki sorumluluklarını eksiksiz yerine getirebilmesi açısından kritik bir öneme sahiptir.
Diğer önemli ilkeler ise verilerin belirli, açık ve meşru amaçlar için işlenmesi ile bu amaçla bağlantılı, sınırlı ve ölçülü olmasıdır. İşveren, işçinin verilerini hangi amaçla topladığını işleme sürecinin en başında net bir şekilde belirlemeli ve bunu işçiye aydınlatma yükümlülüğü çerçevesinde bildirmelidir. Ölçülülük ilkesi uyarınca, amaca ulaşmak için gerekli olandan fazla verinin toplanmasından kaçınılmalı, yani veri minimizasyonu sağlanmalıdır. Son olarak, işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, bu süre dolduğunda ise silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları
KVKK'nın 5. maddesi uyarınca, özel nitelikli olmayan kişisel verilerin işlenmesi için kural olarak ilgili kişinin açık rızası aranır. Ancak kanunda sayılan istisnai hallerin varlığında açık rıza alınmaksızın da veri işlenmesi mümkündür. İş ilişkisinde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartı sıklıkla karşımıza çıkar. Örneğin, işverenin maaş ödemesini gerçekleştirebilmesi için işçinin banka hesap bilgilerini işlemesi bu kapsama girer. Ayrıca, işverenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan durumlar da açık rıza gerektirmez; işçinin sigorta girişlerinin yapılması amacıyla Sosyal Güvenlik Kurumuna bildirimde bulunulması bu duruma tipik bir örnektir.
Bu bağlamda dikkat edilmesi gereken bir diğer önemli işleme şartı ise veri sorumlusunun meşru menfaatidir. İşveren, işçinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işletmenin yeniden yapılandırılması, terfi süreçlerinin yönetilmesi veya işyeri verimliliğinin artırılması gibi haklı ve meşru menfaatleri doğrultusunda işçinin verilerini işleyebilir. Ayrıca işçi ile işveren arasındaki bağımlılık ilişkisi dikkate alındığında, Türk Borçlar Kanunu'nun 419. maddesi özel bir sınırlandırma getirir. Bu hükme göre işveren, işçiye ait verileri ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Bu sınırların aşılması halinde alınan açık rıza dahi hukuka aykırı kabul edilebilir.
İşçi ve İşveren İlişkisinde Açık Rızanın Sınırları
Kanun kapsamında açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Ancak iş hukuku pratiğinde, işçinin işverene hukuki ve ekonomik yönden bağımlı olması, iradesinin gerçekten özgür olup olmadığı sorununu doğurur. İşçinin, rıza vermemesi halinde işini kaybedeceği veya olumsuz bir muameleyle karşılaşacağı endişesi taşıdığı durumlarda geçerli bir açık rızadan söz edilemez. Kişisel Verileri Koruma Kurulu ilke kararlarında da vurgulandığı üzere, veri işleme faaliyeti kanundaki diğer hukuki sebeplere dayandırılabiliyorken işverenin sırf kolaylık olsun diye açık rıza yoluna başvurması, hakkın kötüye kullanımı olarak değerlendirilmekte ve yaptırıma tabi tutulmaktadır.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Kanunun 6. maddesinde ırk, etnik köken, siyasi düşünce, sendika üyeliği, sağlık durumu ve biyometrik veriler gibi bilgiler özel nitelikli kişisel veri olarak sınıflandırılmıştır. Bu verilerin öğrenilmesi halinde ilgili kişinin ayrımcılığa maruz kalma veya mağdur olma riski yüksek olduğundan, kanun koyucu çok daha sıkı koruma tedbirleri öngörmüştür. Kural olarak özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak kanunlarda açıkça öngörülen hallerde veya ilgili kişinin açık rızasının bulunması durumunda bu veriler işlenebilir. Özellikle sağlık verileri, ancak kamu sağlığının korunması veya koruyucu hekimlik gibi amaçlarla sır saklama yükümlülüğü altındaki kişiler ya da işyeri hekimleri tarafından işlenebilmektedir.
Ayrıca, istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması durumunda da özel nitelikli kişisel veriler işlenebilmektedir. Örneğin, İş Sağlığı ve Güvenliği Kanunu uyarınca işverenin çalışanların sağlık muayenelerini yaptırması yasal bir zorunluluktur. Tüm bu işleme faaliyetlerinde veri sorumlusu konumundaki işverenin, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri alması mutlak bir şarttır. Bu önlemler; verilerin kriptografik yöntemlerle muhafaza edilmesi, erişim yetkilerinin sınırlandırılması ve fiziksel güvenlik tedbirlerinin eksiksiz uygulanması gibi idari ve teknik gereklilikleri kapsar.
Kişisel Veri İşleme Şartları Özeti
İşçi ve işveren arasındaki ilişki bağlamında hukuka uygun bir veri işleme faaliyetinin dayandırılabileceği yasal zeminlerin doğru sınıflandırılması büyük önem taşımaktadır. 6698 sayılı Kanun, işlenen verinin türüne göre genel ve özel nitelikli olmak üzere iki temel ayrım yapmış ve her bir kategori için birbirinden farklı hukuki uygunluk nedenleri belirlemiştir. Bu ayrımların doğru tespiti, ileride doğabilecek idari para cezalarının ve hukuki uyuşmazlıkların önüne geçilmesini sağlar. İşverenlerin süreç yönetiminde kolaylık sağlaması adına, işyerinde en sık karşılaşılan kişisel veri işleme şartları aşağıdaki tabloda sistematik bir biçimde özetlenmiştir.
| Veri Türü | Temel İşleme Şartı | Sık Karşılaşılan İstisnai Haller |
|---|---|---|
| Genel Nitelikli Veriler | Açık Rıza | Sözleşmenin ifası, Hukuki yükümlülük, Meşru menfaat, Kanunlarda öngörülme |
| Özel Nitelikli Veriler | Açık Rıza | Kanunlarda açıkça öngörülme, İstihdam ve iş sağlığı yükümlülükleri, Sır saklama yükümlülüğü |