Anasayfa/ Makale/ İşverenin KVKK Yükümlülükleri ve Veri İşleme Sınırları

İşverenin KVKK Yükümlülükleri ve Veri İşleme Sınırları

İş ilişkisinin bağımlı yapısı gereği işçinin kişisel verilerinin korunması, işverenin temel hukuki yükümlülüklerindendir. Makalemizde, işverenin KVKK kapsamındaki aydınlatma ve veri güvenliği borçları ile işçiyi elektronik izleme ve sağlık verilerini işleme sınırları hukuki bir perspektifle ele alınmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
KİŞİSEL VERİLERİN İŞLENMESİ ÖZEL NİTELİKLİ KİŞİSEL VERİ AYDINLATMA YÜKÜMLÜLÜĞÜ MOBBİNG İŞ SAĞLIĞI VE GÜVENLİĞİ AÇIK RIZA KVKK İŞÇİ HAKLARI

İş sözleşmesi, doğası gereği işçi ile işveren arasında bağımlılık ilişkisi kuran özel bir hukuki bağdır. Bu bağımlılık ilişkisi içerisinde işveren, işçinin kişiliğini korumak ve saygı göstermek gibi çok temel bir yükümlülük altına girmektedir. Türk Borçlar Kanunu kapsamında düzenlenen bu koruma borcu, dijitalleşen çalışma hayatında işçinin kişisel verilerinin hukuka uygun olarak işlenmesini de zorunlu kılmaktadır. İşçi, işverenin emir ve talimatlarına uygun hareket etmek mecburiyetinde olduğundan, veri işleme süreçlerinde gerçek anlamda özgür bir irade sergilemesi çoğu zaman güçtür. Bu eşitsiz konum, işverenin veri işleme faaliyetlerinde çok daha şeffaf, ölçülü ve hukuka uygun davranmasını gerektirir. İşverenin, işletme menfaatleri veya yönetim hakkı çerçevesinde işçinin kişisel verilerini işlerken sahip olduğu yetkiler sınırsız değildir. İlgili yasal düzenlemeler bir arada değerlendirildiğinde, işverenin veri sorumlusu sıfatıyla uyması gereken katı sınırlar ve yerine getirmesi gereken çeşitli prosedürel yükümlülükler bulunmaktadır.

İşverenin Temel KVKK Yükümlülükleri

İş ilişkisi süresince işveren, veri sorumlusu sıfatıyla çeşitli yasal yükümlülükleri yerine getirmek zorundadır. Bunların başında aydınlatma yükümlülüğü gelmektedir. İşveren, kişisel verilerin elde edilmesi sırasında işçiyi; verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplama yöntemi, hukuki sebebi ve işçinin hakları konusunda açıkça bilgilendirmelidir. Bu aydınlatma, iş sözleşmesinin bir maddesi arasına sıkıştırılmış genel geçer ifadelerle değil, anlaşılır ve bağımsız bir metinle yapılmalıdır. Bir diğer temel borç ise veri güvenliğini sağlama yükümlülüğüdür. İşveren, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişimi engellemek için uygun idari ve teknik tedbirleri almakla mükelleftir. Elektronik sistemlerdeki yetki kısıtlamaları ile fiziki özlük dosyalarının kilitli alanlarda saklanması bu tedbirlere örnek gösterilebilir. Ayrıca kanundaki istisnalar dışında kalan işverenler için, kişisel veri işleme faaliyetlerini şeffaf bir şekilde yürütmek amacıyla Veri Sorumluları Siciline (VERBİS) kayıt zorunluluğu bulunmaktadır.

Hukuka Uygun Veri İşleme Şartları ve Sınırları

İşverenin veri işleme faaliyetini hukuka uygun kılan temel unsur kural olarak işçinin açık rızasıdır. Ancak iş hukukunun bağımlı yapısı gereği, açık rıza her zaman hukuka uygunluk sebebi olarak tek başına yeterli görülmemektedir. Kanun'da belirtilen; sözleşmenin ifası, işverenin hukuki yükümlülüğünü yerine getirmesi veya bir hakkın tesisi gibi açık rıza aranmayan istisnai şartların varlığı halinde veri işlenmesi daha isabetli bir hukuki yoldur. Örneğin, işverenin maaş ödemesi yapabilmek için işçinin banka hesap bilgilerini işlemesi sözleşmenin ifası kapsamında değerlendirilir. Hangi hukuki şarta dayanılırsa dayanılsın, işverenin veri işleme sınırlarını belirleyen genel veri koruma ilkelerine mutlaka uyması gerekir. Veriler daima hukuka ve dürüstlük kurallarına uygun, doğru ve güncel olmalı; belirli, açık ve meşru amaçlarla toplanmalıdır. İşveren sadece işin niteliği ile doğrudan bağlantılı olan, sınırlı ve ölçülü verileri toplamalıdır. İş ilişkisi için gerekmeyen özel hayat alışkanlıklarına dair sorular sorulması ölçülülük ilkesinin açık bir ihlalidir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

İşçilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, sendika üyeliği, sağlığı ve ceza mahkûmiyetine ilişkin kayıtlar özel nitelikli kişisel veriler statüsündedir. Bu verilerin işlenmesi çok sıkı şartlara bağlanmıştır ve kural olarak ilgilinin açık rızası olmaksızın işlenmeleri yasaktır. Özellikle işçinin sağlık verileri, açık rızası bulunmadığı durumlarda ancak sır saklama yükümlülüğü altında bulunan işyeri hekimi tarafından tıbbi teşhis, tedavi ve iş sağlığı güvenliği kapsamında işlenebilir. Uygulamada sıkça yapılan bir hata olarak, işe giriş sağlık raporları veya periyodik muayene sonuçlarının işverenin doğrudan erişimine açık standart özlük dosyalarında saklanması hukuka aykırıdır. Sağlık verilerinin kilitli ve sadece sağlık personelinin erişebileceği ayrı dosyalarda tutulması yasal bir zorunluluktur. Aynı şekilde, işçinin sendika üyeliği veya ceza mahkûmiyeti gibi hassas verilerinin, işin doğasıyla ilgili olmadığı sürece işveren tarafından toplanması ayrımcılık yasağını da ihlal eden ciddi bir veri ihlalidir.

Elektronik İzleme, İletişim ve Konum Takibi

Teknolojinin gelişmesiyle birlikte işverenler, personelin verimliliğini ölçmek veya işyeri güvenliğini sağlamak amacıyla çeşitli elektronik izleme araçlarına başvurmaktadır. Ancak işverenin denetim yetkisi sınırsız değildir; özel hayata saygı hakkı ile haberleşme hürriyeti arasında adil bir menfaat dengesi kurulmalıdır. İşveren, izleme faaliyetlerine başlamadan önce personeli mutlak surette bilgilendirmeli ve uygulamanın meşru bir amaca hizmet ettiğini kanıtlayabilmelidir. İşçi izleme faaliyetlerinde işverenin uyması gereken temel sınırlar şunlardır:

  • İş sağlığı ve güvenliği veya işyeri koruması gibi amaçlarla kamera ile gözetleme yapılabilir; ancak tuvalet, soyunma veya dinlenme odaları gibi mahrem alanlarda kamera kaydı alınması mutlak surette hukuka aykırıdır.
  • Kurumsal e-posta hesapları dahi olsa, işverenin personelin yazışmalarını gizlice ve orantısız biçimde okuması iletişimin ve e-postaların denetimi sınırlarını aşarak haberleşme hürriyetinin ihlaline yol açar.
  • GPS ve araç takip sistemleri ile konum ve araç takibi yapılması, yalnızca işin organizasyonu veya can ve mal güvenliği amacı taşıdığında ve kesinlikle mesai saatleri ile sınırlı olmak koşuluyla ölçülü kabul edilmektedir.
Patronum ofiste ve soyunma odasında kamera ile bizi izleyebilir mi? expand_more
İşverenin, iş sağlığı ve güvenliği veya işyeri koruması gibi meşru amaçlarla kamera ile gözetleme yapma hakkı bulunmaktadır. Ancak teknolojinin sunduğu bu denetim yetkisi sınırsız değildir ve personelin özel hayata saygı hakkı ile adil bir menfaat dengesi kurulmalıdır. Özellikle tuvalet, soyunma veya dinlenme odaları gibi çalışanların mahrem kabul edilen alanlarında kamera kaydı alınması mutlak surette hukuka aykırıdır.
Şirket mailimden yaptığım yazışmaları patronum gizlice okuyabilir mi? expand_more
Hayır, kurumsal e-posta hesapları üzerinden yapılıyor olsa dahi işverenin personelin yazışmalarını gizlice okuması hukuka aykırıdır. İşveren, iletişim izleme faaliyetlerine başlamadan önce çalışanını mutlak surette bilgilendirmeli ve uygulamanın meşru bir amacı olduğunu kanıtlayabilmelidir. Aksi takdirde, çalışanın yazışmalarının gizlice ve orantısız biçimde okunması iletişimin denetimi sınırlarını aşarak haberleşme hürriyetinin ihlaline yol açar.
İşe girişteki sağlık raporumu herkesin görebileceği özlük dosyasına koymuşlar, bu yasal mı? expand_more
Hayır, bu uygulama yasalara açıkça aykırıdır ve ciddi bir hukuki hata teşkil eder. İşçilerin sağlık bilgileri kanun kapsamında özel nitelikli kişisel veri statüsündedir ve açık rıza aranmayan hallerde yalnızca sır saklama yükümlülüğü altındaki işyeri hekimi tarafından işlenebilir. İşe giriş sağlık raporlarının işverenin doğrudan erişimine açık standart özlük dosyalarında saklanması hukuka aykırı olup, bu belgelerin yalnızca sağlık personelinin erişebileceği kilitli ve ayrı dosyalarda tutulması zorunludur.
Patronum özel hayat alışkanlıklarımı ve sabıka kaydımı soruyor, cevaplamak zorunda mıyım? expand_more
İşvereniniz sadece işin niteliği ile doğrudan bağlantılı olan, sınırlı ve ölçülü verilerinizi toplayabilir. İş ilişkisi için gerekmeyen özel hayat alışkanlıklarınıza dair sorular sorulması kanundaki ölçülülük ilkesinin açık bir ihlalidir. Ayrıca ceza mahkûmiyetine ilişkin kayıtlar özel nitelikli kişisel veriler statüsünde olduğundan, işinizin doğasıyla ilgili olmadığı sürece işverenin bu verileri toplaması ayrımcılık yasağını da ihlal eden ciddi bir ihlaldir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir