Makale
İş ilişkilerinde kişisel verilerin korunması, işçinin bağımlı konumu sebebiyle kritik bir öneme sahiptir. Bu makalede mevzuat kapsamındaki kişisel veri, veri sorumlusu, veri işleme gibi temel kavramlar hukuki bir perspektifle analiz edilmekte ve uygulamadaki kavramsal çerçeve uzman bir bakış açısıyla incelenmektedir.
Kişisel Verilerin Korunması: Temel Normlar ve Kavramsal Çerçeve
Gelişen teknoloji ve dijitalleşme ile birlikte, kişisel verilerin korunması hukukun en dinamik ve önemli çalışma alanlarından biri haline gelmiştir. Özellikle iş hukuku bağlamında, işçinin işverene olan ekonomik ve kişisel bağımlılığı, işçiyi veri ihlallerine karşı daha savunmasız bir konuma getirmektedir. Bir işveren, işe alım sürecinden iş ilişkisinin sona ermesine kadar geçen sürede işçiye ait çok sayıda veriyi elde etmekte ve kullanmaktadır. Bu asimetrik güç dengesi, işçinin kişilik haklarının ve kişisel verilerinin daha kapsamlı bir korumaya ihtiyaç duyması sonucunu doğurmaktadır. Hukuki uygulamalarımızda sıkça karşılaştığımız veri ihlallerini önlemenin ilk adımı, veri koruma hukukunun temel normlarını ve kavramsal çerçevesini doğru bir şekilde anlamaktır. İlgili kanun kapsamında düzenlenen kişisel veri, veri sorumlusu, veri işleyen ve veri işleme gibi temel kavramların hukuki niteliğinin doğru tespiti, iş ilişkilerinde ortaya çıkabilecek uyuşmazlıkların çözümünde hayati bir öneme sahiptir. Bu makalede, veri koruma hukukunun üzerine inşa edildiği bu temel kavramlar uzman bir hukuki bakış açısıyla incelenecektir.
Kişisel Veri Kavramı ve Hukuki Unsurları
Hukuk pratiğinde en sık karşılaşılan soru, hangi bilgilerin veri koruma kanunları korumasından faydalanacağıdır. İlgili normlar kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanım gereği bir bilginin hukuken korunabilmesi için üç temel unsurun bir arada bulunması şarttır: Ortada bir verinin bulunması, bu bilginin belirli veya belirlenebilir bir kişiye ait olması ve bilginin gerçek bir kişiyle doğrudan ya da dolaylı olarak ilişkilendirilebilmesi. İfade edilen her türlü bilgi kavramı son derece geniş olup, kişinin adı, soyadı, doğum tarihi gibi doğrudan kimliğini yansıtan bilgilerin yanı sıra, özel hayatına, ekonomik, fizyolojik ve sosyal durumuna ait her nevi veriyi kapsamaktadır. Üstelik bu bilgilerin gizli olması da gerekmez; herkesçe bilinen ve alenileşmiş bilgiler dahi veri koruma hukuku bağlamında kişisel veri statüsüne sahiptir. Ancak, verilerin anonim hale getirilerek hiçbir şekilde belirli bir kişiyle ilişkilendirilemeyecek bir formata dönüştürülmesi durumunda, bu veriler hukuken kişisel veri sayılmaz ve kanun kapsamında korunmaz.
Özel Nitelikli (Hassas) Kişisel Veriler
Kişisel verilerin bir kısmı, içerdikleri bilginin doğası gereği kişilerin ayrımcılığa uğramasına veya daha büyük zararlar görmesine yol açabilecek niteliktedir. Mevzuat, bu tür verileri özel nitelikli (hassas) kişisel veri olarak adlandırmakta ve onlara çok daha katı bir koruma kalkanı sağlamaktadır. Kanunda sınırlı sayı ilkesiyle sayılan bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri içermektedir. Hukuk uygulamalarımızda önemle vurguladığımız üzere, kanunda sayılan bu alanlar dışındaki hiçbir veri, ne kadar gizli veya mahrem olursa olsun özel nitelikli kişisel veri olarak değerlendirilemez. İş ilişkilerinde işçinin sendika üyeliği veya sağlık raporları gibi hassas verilerin işlenmesi, standart verilere kıyasla her zaman çok daha ağır hukuki ve cezai yaptırımlara tabidir.
Veri İşleme Sürecindeki Temel Aktörler
Veri koruma hukukunun uygulanmasında sorumluluk rejiminin doğru kurulabilmesi, sürece dahil olan hukuki aktörlerin kesin hatlarla belirlenmesine bağlıdır. İlgili kanun sistematiğinde hukuki uyuşmazlıkların tespiti için üç ana kavramsal aktör tanımlanmıştır:
- İlgili Kişi: Ortada kişisel verisi işlenen ve kanunun koruma kalkanından yararlanan bir gerçek kişi bulunmalıdır. Tüzel kişilere ait salt ticari veriler kanun kapsamında yer almaz.
- Veri Sorumlusu: Kişisel verilerin hangi amaçla ve ne şekilde işleneceğini tayin eden, hukuki sorumluluğun asıl muhatabı olan gerçek veya tüzel kişidir. İşveren tüzel kişiliğinin bizzat kendisi bu statüdedir.
- Veri İşleyen: Veri sorumlusundan aldığı yetki sınırları içinde hareket eden ve teknik işlemleri yürüten bağımsız aktörlerdir.
Hukuk pratiğimizde en sık karşılaştığımız hata, veri sorumlusu ile veri işleyen ayrımlarının net yapılamamasıdır. Unutulmamalıdır ki, elde edilen verileri yöneten veri işleyenler, yetki sınırlarını aştıklarında bizzat hukuki ve cezai yaptırımlara maruz kalabilirler. Bu nedenle aktörler arası sınırların kesin çizgilerle belirlenmesi elzemdir.
Veri İşleme Faaliyeti ve Kayıt Sisteminin Hukuki Niteliği
Kanun kapsamında koruma sağlanabilmesi için veriler üzerinde bir veri işleme faaliyetinin icra edilmesi zorunludur. Verilerin otomatik yollarla ya da otomatik olmayan ancak bir kayıt sisteminin parçası olarak elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya imha edilmesi gibi eylemlerin tamamı işleme faaliyetidir. Elle yazılan fiziksel kayıtların, gelişigüzel bir bilgi yığını olmaktan çıkarılarak belirli bir sınıflandırma mantığına göre arşivlenmesi, onu hukuken veri kayıt sistemi haline getirir. Örneğin işverenin çalışanlarına ait özlük dosyalarını alfabetik veya departman bazlı tasnif ederek tutması, onu doğrudan yasal sorumluluk dairesine sokar. Hukuki uyumluluk projelerinde, şirketlerin bu tür yapılandırılmış fiziki arşivlerinin de dijital sistemler kadar ciddi bir denetimden geçirilmesi gerektiğini özellikle vurguluyoruz. Sistematik olmayan dağınık notlar yasa kapsamında değerlendirilmese de, belirli bir kritere bağlanan tüm veri setleri işverenler için idari yaptırım riski barındırmaktadır.