Makale
Kişisel verilerin korunması hukuku, işçi ve işveren ilişkilerinde büyük bir öneme sahiptir. Bu makalede, veri sorumlusu, ilgili kişi ve veri işleyen gibi temel KVKK kavramları ile kişisel verilerin hukuka uygun işlenmesi için gereken genel ilkeler, açık rıza ve özel nitelikli verilerin işlenme şartları hukuki bir perspektifle incelenmektedir.
KVKK Kapsamında Temel Kavramlar ve Kişisel Veri İşleme Şartları
İş hukukunda teknolojik gelişmelerin hız kazanması ve uzaktan çalışma gibi esnek çalışma modellerinin yaygınlaşması, kişisel verilerin korunması ihtiyacını her zamankinden daha önemli bir noktaya taşımıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işçi ve işveren arasındaki temel hakların dengelenmesinde ana hukuki dayanak görevini üstlenmektedir. İş sözleşmesinin doğası gereği var olan bağımlılık unsuru, işçinin kişisel verilerini işverenin hukuki ve fiili müdahalesine açık hale getirmektedir. Bu nedenle, iş ilişkisi kapsamında kişisel verilerin hukuka uygun işlenmesi, yalnızca kanuni bir zorunluluk değil, aynı zamanda işçinin kişilik haklarının korunması ilkesinin de vazgeçilmez bir parçasıdır. İş hukuku mevzuatımız ve KVKK, veri akışının sağlanması ile bireyin temel hak ve özgürlükleri arasında adil bir koruma kalkanı oluşturmayı amaçlamaktadır. İş ilişkisinin kuruluş aşamasından sona ermesine kadar geçen süreçte, işverenin veri işleme faaliyetlerinde dayanabileceği işleme şartları ve bu sürecin yürütüleceği yasal zemin uzman bir hukuki yaklaşımla yapılandırılmalıdır.
Kişisel Veri Koruma Hukukunda Temel Kavramlar
KVKK sistematiğinin doğru yorumlanabilmesi için öncelikle kanunda yer alan kavramların iş hukuku perspektifiyle tanımlanması elzemdir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder. İş ilişkilerinde sıklıkla karşılaşılan özlük dosyası kayıtları, ücret bordroları, e-posta yazışmaları ve performans değerlendirme sonuçları kişisel veri niteliğindedir. Kanun uyarınca kişisel verisi işlenen gerçek kişiye ilgili kişi denilmektedir ve iş hukuku uygulamasında bu kişi kural olarak işçidir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan hukuki özne ise veri sorumlusu sıfatını taşır. İş ilişkisi süresince kişisel verilerin hukuka uygun işlenmesinden asli olarak sorumlu olan taraf işverendir. Asıl işveren-alt işveren ilişkilerinde dahi, her bir işveren kendi işçilerine karşı ayrı bir veri sorumlusu konumundadır. Öte yandan, veri sorumlusunun verdiği yetkiye dayanarak onun adına işlem yapanlara veri işleyen denir; ancak işverenin kendi organizasyonu içindeki bağımlı çalışanları hukuken veri işleyen sayılamazlar.
Kişisel Verilerin İşlenmesinde Hâkim Genel İlkeler
Bir işleme faaliyetinin hukuka uygun kabul edilebilmesi için KVKK'nin 4. maddesinde emredici olarak düzenlenen temel ilkelere mutlak surette uyulması şarttır. Bu ilkelerden ilki, tüm veri süreçlerinin hukuka ve dürüstlük kuralına uygun yürütülmesidir. İşveren, verileri işlerken kanuni sınırların yanı sıra çalışanın makul beklentilerini ve şeffaflık ilkelerini de gözetmek zorundadır. İkinci temel ilke, işlenen verilerin doğru ve gerektiğinde güncel tutulmasıdır; asgari geçim indiriminin hesaplanması gibi hukuki sonuç doğuran işlemlerde verilerin doğruluğu işverene aktif bir özen yükümlülüğü yükler. Üçüncü olarak, kişisel veriler mutlaka belirli, açık ve meşru amaçlar için işlenmelidir. İşverenin ileride lazım olabileceği varsayımıyla sınırsız veri toplaması hukuka aykırıdır. Dördüncü ilke bağlamında veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. İşçiden yalnızca iş ilişkisinin gerektirdiği kadar veri talep edilebilir. Son olarak veriler, ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan süre kadar muhafaza edilmeli, süre bitiminde yasal olarak imha edilmelidir.
Kişisel Verileri İşleme Şartları ve Açık Rıza
İşçinin kişisel verilerinin hukuka uygun olarak işlenebilmesi için temel kural, işçinin açık rızasının usulüne uygun şekilde alınmasıdır. KVKK sistematiğinde açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve hiçbir baskı altında kalmadan özgür iradeyle açıklanan onayı ifade eder. İş hukukundaki işçi ve işveren arasındaki bağımlılık ilişkisi, işçinin iradesinin sakatlanıp sakatlanmadığı konusunda hukuki şüpheler barındırır. Bu sebeple işçiye rıza vermeme opsiyonu etkin bir şekilde sunulmalı ve rıza vermemesi halinde dezavantajlı bir duruma düşürülmeyeceği teminat altına alınmalıdır. Tüm bunlarla birlikte, açık rıza bulunmasa dahi KVKK'nin 5. maddesi uyarınca özel nitelikli olmayan kişisel verilerin yasal olarak işlenebileceği alternatif hukuka uygunluk sebepleri mevcuttur:
- Kanunlarda açıkça öngörülmesi (Örneğin, İş Kanunu uyarınca özlük dosyası tutma zorunluluğu).
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması.
- Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması (Ücret ödemesi için banka bilgisinin işlenmesi).
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (Sosyal Güvenlik Kurumu bildirimleri).
- İlgili kişinin kendisi tarafından verinin alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin mecburi olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için işlemenin zorunlu olması.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kanun koyucu, bireylerin toplum içinde ayrımcılığa uğrama riski taşıyan verilerini özel nitelikli kişisel veri statüsünde değerlendirerek daha sıkı bir hukuki koruma rejimine tabi tutmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, kılık ve kıyafeti, sendika üyeliği, sağlığı, ceza mahkûmiyeti ile biyometrik ve genetik verileri bu hassas kapsamdadır. 2024 yılında 7499 sayılı Kanun ile KVKK'nin 6. maddesinde yapılan güncel reform neticesinde, sağlık verileri ile diğer özel nitelikli veriler arasındaki ikili ayrım kaldırılarak işleme şartları genişletilmiştir. Yeni yasal düzenlemeye göre, açık rıza şartı haricinde; kanunlarda açıkça öngörülmesi, fiili imkânsızlık halleri, alenileştirme iradesine uygun olması ve bir hakkın tesisi, kullanılması veya korunması amaçlarıyla da bu veriler işlenebilecektir. İş hukuku pratiği açısından en kritik yenilik ise, veri sorumlusu olan işverenin istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerini yerine getirebilmesi adına özel nitelikli kişisel verileri işleyebilmesine olanak tanınmasıdır.