Makale
İş ilişkisinin bağımlı yapısı gereği işçinin kişisel verilerinin korunması, işverenin temel hukuki yükümlülüklerindendir. Makalemizde, işverenin KVKK kapsamındaki aydınlatma ve veri güvenliği borçları ile işçiyi elektronik izleme ve sağlık verilerini işleme sınırları hukuki bir perspektifle ele alınmaktadır.
İşverenin KVKK Yükümlülükleri ve Veri İşleme Sınırları
İş sözleşmesi, doğası gereği işçi ile işveren arasında bağımlılık ilişkisi kuran özel bir hukuki bağdır. Bu bağımlılık ilişkisi içerisinde işveren, işçinin kişiliğini korumak ve saygı göstermek gibi çok temel bir yükümlülük altına girmektedir. Türk Borçlar Kanunu kapsamında düzenlenen bu koruma borcu, dijitalleşen çalışma hayatında işçinin kişisel verilerinin hukuka uygun olarak işlenmesini de zorunlu kılmaktadır. İşçi, işverenin emir ve talimatlarına uygun hareket etmek mecburiyetinde olduğundan, veri işleme süreçlerinde gerçek anlamda özgür bir irade sergilemesi çoğu zaman güçtür. Bu eşitsiz konum, işverenin veri işleme faaliyetlerinde çok daha şeffaf, ölçülü ve hukuka uygun davranmasını gerektirir. İşverenin, işletme menfaatleri veya yönetim hakkı çerçevesinde işçinin kişisel verilerini işlerken sahip olduğu yetkiler sınırsız değildir. İlgili yasal düzenlemeler bir arada değerlendirildiğinde, işverenin veri sorumlusu sıfatıyla uyması gereken katı sınırlar ve yerine getirmesi gereken çeşitli prosedürel yükümlülükler bulunmaktadır.
İşverenin Temel KVKK Yükümlülükleri
İş ilişkisi süresince işveren, veri sorumlusu sıfatıyla çeşitli yasal yükümlülükleri yerine getirmek zorundadır. Bunların başında aydınlatma yükümlülüğü gelmektedir. İşveren, kişisel verilerin elde edilmesi sırasında işçiyi; verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplama yöntemi, hukuki sebebi ve işçinin hakları konusunda açıkça bilgilendirmelidir. Bu aydınlatma, iş sözleşmesinin bir maddesi arasına sıkıştırılmış genel geçer ifadelerle değil, anlaşılır ve bağımsız bir metinle yapılmalıdır. Bir diğer temel borç ise veri güvenliğini sağlama yükümlülüğüdür. İşveren, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişimi engellemek için uygun idari ve teknik tedbirleri almakla mükelleftir. Elektronik sistemlerdeki yetki kısıtlamaları ile fiziki özlük dosyalarının kilitli alanlarda saklanması bu tedbirlere örnek gösterilebilir. Ayrıca kanundaki istisnalar dışında kalan işverenler için, kişisel veri işleme faaliyetlerini şeffaf bir şekilde yürütmek amacıyla Veri Sorumluları Siciline (VERBİS) kayıt zorunluluğu bulunmaktadır.
Hukuka Uygun Veri İşleme Şartları ve Sınırları
İşverenin veri işleme faaliyetini hukuka uygun kılan temel unsur kural olarak işçinin açık rızasıdır. Ancak iş hukukunun bağımlı yapısı gereği, açık rıza her zaman hukuka uygunluk sebebi olarak tek başına yeterli görülmemektedir. Kanun'da belirtilen; sözleşmenin ifası, işverenin hukuki yükümlülüğünü yerine getirmesi veya bir hakkın tesisi gibi açık rıza aranmayan istisnai şartların varlığı halinde veri işlenmesi daha isabetli bir hukuki yoldur. Örneğin, işverenin maaş ödemesi yapabilmek için işçinin banka hesap bilgilerini işlemesi sözleşmenin ifası kapsamında değerlendirilir. Hangi hukuki şarta dayanılırsa dayanılsın, işverenin veri işleme sınırlarını belirleyen genel veri koruma ilkelerine mutlaka uyması gerekir. Veriler daima hukuka ve dürüstlük kurallarına uygun, doğru ve güncel olmalı; belirli, açık ve meşru amaçlarla toplanmalıdır. İşveren sadece işin niteliği ile doğrudan bağlantılı olan, sınırlı ve ölçülü verileri toplamalıdır. İş ilişkisi için gerekmeyen özel hayat alışkanlıklarına dair sorular sorulması ölçülülük ilkesinin açık bir ihlalidir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
İşçilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, sendika üyeliği, sağlığı ve ceza mahkûmiyetine ilişkin kayıtlar özel nitelikli kişisel veriler statüsündedir. Bu verilerin işlenmesi çok sıkı şartlara bağlanmıştır ve kural olarak ilgilinin açık rızası olmaksızın işlenmeleri yasaktır. Özellikle işçinin sağlık verileri, açık rızası bulunmadığı durumlarda ancak sır saklama yükümlülüğü altında bulunan işyeri hekimi tarafından tıbbi teşhis, tedavi ve iş sağlığı güvenliği kapsamında işlenebilir. Uygulamada sıkça yapılan bir hata olarak, işe giriş sağlık raporları veya periyodik muayene sonuçlarının işverenin doğrudan erişimine açık standart özlük dosyalarında saklanması hukuka aykırıdır. Sağlık verilerinin kilitli ve sadece sağlık personelinin erişebileceği ayrı dosyalarda tutulması yasal bir zorunluluktur. Aynı şekilde, işçinin sendika üyeliği veya ceza mahkûmiyeti gibi hassas verilerinin, işin doğasıyla ilgili olmadığı sürece işveren tarafından toplanması ayrımcılık yasağını da ihlal eden ciddi bir veri ihlalidir.
Elektronik İzleme, İletişim ve Konum Takibi
Teknolojinin gelişmesiyle birlikte işverenler, personelin verimliliğini ölçmek veya işyeri güvenliğini sağlamak amacıyla çeşitli elektronik izleme araçlarına başvurmaktadır. Ancak işverenin denetim yetkisi sınırsız değildir; özel hayata saygı hakkı ile haberleşme hürriyeti arasında adil bir menfaat dengesi kurulmalıdır. İşveren, izleme faaliyetlerine başlamadan önce personeli mutlak surette bilgilendirmeli ve uygulamanın meşru bir amaca hizmet ettiğini kanıtlayabilmelidir. İşçi izleme faaliyetlerinde işverenin uyması gereken temel sınırlar şunlardır:
- İş sağlığı ve güvenliği veya işyeri koruması gibi amaçlarla kamera ile gözetleme yapılabilir; ancak tuvalet, soyunma veya dinlenme odaları gibi mahrem alanlarda kamera kaydı alınması mutlak surette hukuka aykırıdır.
- Kurumsal e-posta hesapları dahi olsa, işverenin personelin yazışmalarını gizlice ve orantısız biçimde okuması iletişimin ve e-postaların denetimi sınırlarını aşarak haberleşme hürriyetinin ihlaline yol açar.
- GPS ve araç takip sistemleri ile konum ve araç takibi yapılması, yalnızca işin organizasyonu veya can ve mal güvenliği amacı taşıdığında ve kesinlikle mesai saatleri ile sınırlı olmak koşuluyla ölçülü kabul edilmektedir.