İşveren ve çalışan arasındaki iş ilişkisinde, işverenin yönetim hakkı vardır. Bu husus, Türk Borçlar Kanunu’nun 399. maddesinde “İşveren, işin görülmesi ve işçilerin iş yerindeki davranışlarıyla ilgili genel düzenlemeler yapabilir ve onlara özel talimat verebilir.” hükmü ile belirtilmiştir. Aynı zamanda, çalışanın işini, işverenin kontrolü ve gözetimi altında gerçekleştirmesi gerekmektedir. İşveren ve çalışan arasındaki iş ilişkisinde kontrol ve gözetim, işveren için hem bir hak hem de bir ödev oluşturmaktadır. İşveren tarafından yönetim ve denetim hakları kullanılırken, örneğin 6698 sayılı KVKK gibi belirli kanuni düzenlemelere ve kısıtlamalara uyum sağlanması gerekmektedir. Bu yazımızda, elektronik gözetleme, özlük dosyaları, şahsi cihazını getir ve şirket içi disiplin kuralları başlıkları altında, işveren ile çalışan ilişkilerinde kişisel verilerin korunmasından bahsedeceğiz.
Elektronik Gözetleme
İşveren aracılığıyla iş yerinde gerçekleştirilen elektronik gözetleme ile çalışanların kişisel verileri işleneceği için, KVKK gereğince, gerçekleştirilen elektronik gözetlemenin, işverenin gözetim ve denetim hakkı çerçevesinde, maksadına uygun ve orantılı olmalıdır. Örnek olarak, iş yerine giriş ve çıkışlarda güvenliğin sağlanması maksadıyla kullanılan kart okuma sistemlerinin, iş yeri giriş-çıkışı dışında, iş yerindeki tuvalet, bebek odası, mescit benzeri ihtiyaç odalarının giriş-çıkışlarına konumlandırılması, iş yerindeki güvenliğin sağlanması maksadına uygun ve orantılı olmayacaktır.
İşveren aracılığıyla iş yerinde elektronik gözetleme gerçekleştirebilmesi amacıyla, KVKK çerçevesinde düzenlenen kanunlarda net bir şekilde öngörülmesi, bir hakkın tesisi, kullanılması veya korunması amacıyla veri işlemenin mecburî olması benzeri işleme koşullarından birisinin bulunması ya da elektronik gözetleme çerçevesinde kişisel verilerinin işlenebilmesi maksadıyla çalışanın açık rızasının alınması gereklidir. Bu husus hem özel nitelikli olmayan hem de özel nitelikli kişisel veriler için geçerliliği bulunacaktır. Örnek olarak, iş yerinde çalışanlar aracılığıyla kullanılan bilgisayarlarda elektronik gözetleme gerçekleştirilebilmesi amacıyla, KVKK çerçevesindeki veri işleme koşullarının birinin bulunması ve çalışanların bilgisayarlarda elektronik gözetleme alakalı bir şekilde iş sözleşmesi veya şirket içi metinler ile haberdar edilmesi gerekecektir. Aksi hâlde, yapılan elektronik gözetleme, kişisel verilerin korunması yönetmeliğine aykırılık oluşturacaktır.
Elektronik gözetleme ile alakalı bir şekilde, işveren aracılığıyla çalışanlara bilgilendirme yapılarak aydınlatma yükümlülüğünün gerçekleştirilmesi gerekecektir. Aksi hâlde elektronik gözetleme, başta KVKK olmak üzere hukuka aykırı sayılacaktır. Örnek olarak, işveren aracılığıyla çalışanlara bilgilendirme yapılmadan iş yerine gizli kameraların konumlandırılması ve gizli kameralarla sağlanan verilerin işveren aracılığıyla işlenmesi, kişisel verilerin korunması ile alakalı yönetmeliğe ve bununla birlikte hukuka aykırılık oluşturacaktır.
Özlük Dosyaları
KVKK gereğince, veri sorumluları, kanunda açıkça öngörülmesi durumunda, ilgili kişilerin kişisel verilerini açık rızası olmadan işleyebilmektedir. 4857 sayılı İş Kanunu gereğince, işverenler, çalıştırdığı her işçi için bir özlük dosyası hazırlamak ve bu dosyada, işçinin kimlik bilgilerinin yanı sıra, ilgili kanunlar gereğince hazırlamak mecburiyetinde olduğu her türden belge ve kayıtları muhafaza etmek ve bunları arzu edildiği zaman yetkili memur ve mercilere göstermekle görevlidir. Bununla birlikte, işverenler, açık rızası olmadan, özlük dosyasının oluşturulması maksadıyla çalışanlarının kişisel verilerini işleyebilecektir. Bunun yanında, sağlık ve cinsel hayat ile alakalı kişisel verilerin işlenebilmesi amacıyla kanunda net bir şekilde öngörülmesi yeterli olmamaktadır ve bununla birlikte çalışanların açık rızası sağlanmalıdır. Çalışana ait açık rızaya ilişkin özel nitelikli kişisel verilerin her hâlükârda işlenmesi, başka bir yol olmadığında tercih edilmelidir.
Şahsi Cihazını Getir (Bring Your Own Device)
KVKK’ya göre veri sorumluları, kişisel verilerin güvenliğini sağlamak maksadıyla idari ve teknik önlemleri alması gerekmektedir. Birtakım işverenler, iş yerinde gerçekleşecek işler için çalışanlarından şahsi cihazlarını getirmesi istenmektedir. Çalışanların şahsi cihazlarında işveren adına veri işlemesi hususunda, veri sorumlusu işveren olacaktır. Bununla birlikte her ne kadar cihazlar çalışanların şahsına ait olsa da; müşterilerin kişisel verilerinin güvenliğini garantilemek amacıyla çalışanların cihazlarında güvenlik önlemlerinin alınmasından işveren sorumlu tutulacaktır. Örnek olarak bir çalışanın iş yerinde yararlandığı şahsi cihazına siber saldırı olup müşteri bilgilerinin ele geçirilmesi sonucunda işveren çalışanının cihazında siber saldırılara engelleyebilmek ve kişisel verileri korumak amacıyla gerekli teknik önlemleri almamışsa işveren KVKK çerçevesindeki veri güvenliği ile alakalı yükümlülüklerini gerçekleştirilmiş olmayacaktır.
Bunun yanında, çalışanların kişisel cihazları üzerinde alınacak tedbirlerden birkaçı çalışanın kişisel verilerinin ihlali minvalinde olabilir. Bu nedenle çalışanlar aracılığıyla iş yerlerine şahsi bilgisayarlarının getirilmesi hususunda; işveren aracılığıyla çalışanların bilgisayarında iş yeri için ayrı bir oturum açılarak; kişisel verilerin bu oturumda işlenmesi ve kişisel verilerin korunması ile alakalı bir şekilde önlemlerin sadece bu oturum için alınması tercih edilmelidir. Bu durumda hem çalışanın günlük hayatta kullandığı oturum ile iş için kullandığı oturum ayrılmış olacak, hem de kişisel verilerin korunması ile alakalı önlemler alınacaktır.
Şirket İçi Otorite Kuralları
İşverenler, kişisel verilerin güvenliğini sağlamak maksadıyla teknik önlemlerin yanında birtakım idari önlemleri de almakla yükümlüdür. Bunlardan birisi, başta KVKK olmak üzere kişisel verilerin korunması yönetmeliğine aykırı davranan çalışanlarla ilgili olarak iş sözleşmelerine ve şirket içi otorite kurallarına hükümler eklemek ve kişisel verilerin korunması yönetmeliğine aykırı davranan çalışanlara yaptırım uygulamaktır. Örnek olarak, müşteriye ilişkin kişisel verileri internete sızdıran çalışanlar konusunda, iş sözleşmesi ve/veya disiplin kuralları gereğince öngörülen disiplin cezası gerçekleştirilmelidir.
Yazar: Zehra Betül Taşkın
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/6913/2020-40
