Kişisel Verilerin İş İlişkisi
Kişisel verin iş ilişkisi hukuka uygun islenmesi ve korunması özünü oluşturan “kişilik hakkı”; 6698 sayılı Kişisel Verilerin Korunması Kanunu hakkında ve sair alt mevzuat yanında, Anayasa’nın 20. maddesinde ve 4721 sayılı Türk Medeni Kanunu’nda da hüküm altına alınmıştır. Teknolojik gelişmelerin takip edilemez olduğu bir dönemde, bilgi ve veri akışının çok kolay ve sınır tanımadan gerçekleştirilmesi nedeniyle “kişisel verilerin korunması” önem kazanmıştır. Bu makalede, 4857 sayılı İş Kanunu m.75/2 hükmünden de hareketle 6698 sayılı KVKK kapsamında, işverenlerin veri sorumlusu sıfatıyla işçilerine ilişkin elde ettiği kişisel verileri işlemesi ve korumasına ilişkin yükümlülüklerine değinilecektir.
Nesil Teknoloji KVKK Danışmanlığı üzerinden ‘Kişisel Verilerin Korunması Kanunu’ konularında hukuki destek alabilirsiniz.
I. İŞ İLİŞKİSİ KAVRAMI VE KİŞİSEL VERİLER BAKIMINDAN DEĞERLENDİRİLMESİ
4857 sayılı İş Kanunu (“İş Kanunu”)’nun 2. maddesinin 1. fıkrasında iş sözleşmesine dayanarak çalışan gerçek kişi “işçi”, işçi çalıştıran gerçek veya tüzel kişi yahut tüzel kişiliği olmayan kurum ve kuruluşlar “işveren”, işçi ile işveren arasında kurulan ilişki ise “iş ilişkisi” olarak tanımlanmıştır. Bir işçi, işverene ait iş organizasyonu içinde onun menfaatine dayalı bir iş yapıyorsa bir iş ilişkisinden bahsedilebilecektir.
Önemle vurgulamak gerekir ki; iş ilişkisi tanımı kişisel verilerin korunması bağlamında düşünüldüğünde işçinin İş Kanunu’na tabi olup olmadığına bakılmaksızın en geniş biçimde düşünülmesi gerekliliğidir. Bu bağlamda; stajyer, mevsimlik tarım işçileri, çırak, part-time çalışan ve aday işçilerin de iş ilişkisi kapsamında değerlendirilerek verinin konusunu oluşturacağı şüphesizdir.
II. İŞVERENİN VERİ KORUMA HUKUKU BAKIMINDAN YÜKÜMLÜLÜKLERİ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca kişisel veri, kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda, işçinin özlük dosyasında yer alacak fotoğraf, yerleşim yeri, kimlik bilgileri, telefon bilgileri gibi veriler kişisel veri ve söz konusu muhafaza işlemi de kişisel veri işleme faaliyeti olarak kabul edilecektir. Bu bağlamda, işçinin kişisel verilerinin işlenmesine ilişkin kuralların özellikle “amaçla sınırlı ve ölçülü veri işleme” ilkesi dikkate alınarak saptanması önem arz etmektedir. İş Kanunu ve KVKK birlikte ele alındığında bu verilerin işlenme kuralları dolayısıyla işverenin yükümlülüklerini aşağıdaki alt başlıklarda sıralamak mümkün olacaktır.
Aydınlatma Yükümlülüğü
İlgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır. KVKK’nın 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sorumlusu; kendisinin veya varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile KVKK’nın 11. maddesinde sayılan diğer haklar konusunda ilgili kişiyi aydınlatmakla yükümlüdür.
Anılan hüküm kapsamında işveren gerek işe başvuran çalışan adaylarının gerekse çalışanlarının kişisel verilerini ne amaçla edindiği, nerede ve nasıl saklandığı, kimlere hangi amaçlarla aktarılacağı ve nasıl kullanıldığı hususlarında çalışan ve/veya çalışan adaylarını aydınlatmakla mükelleftir.
Gizlilik Yükümlülüğü ve Açık Rıza
KVKK’nın 3. (üçüncü) maddesinin 1. fıkrasının (a) bendi gereğince açık rıza “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup KVKK kapsamında kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü kişisel verinin aktarılması, ibrazı ve/veya paylaşılması, KVKK’daki istisnalar saklı kalmak kaydıyla, açık rıza alınmasına bağlanmıştır. Buna paralel olarak İş Kanunu 75. maddesinin 2. fıkrasında yer alan “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” hükmü uyarınca işveren KVKK’ya uygun ve açık rıza ile temin ettiği bilgileri muhafaza etmekle yükümlüdür.
Öte yandan, işçinin kişisel verilerinin yurt içinde aktarılmasının söz konusu olabileceği gibi çok uluslu şirketlerde yurtdışına veri aktarımı da gerçekleştirilebilecektir. Burada dikkat çekilmesi gereken diğer bir husus ise işverenlerin, veri sorumlusu sıfatıyla, kişisel veri aktarımı yapacağı ülkenin yeterli korumayı sağlayacağını kontrol etmekle ve aksi halde veri aktarımında bulunmamakla yükümlü olmalarıdır.
Daha fazla bilgi için iletişime geçin!
İşverenler bu yükümlülüklerini yerine getirirken 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ 5. (beşinci) maddesinin 1. fıkrasının (b) bendi gereğince aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı gerçekleştirmelidir. Bir başka deyişle; işveren, işçi ile arasında tanzim ve imza edilen iş sözleşmesine ek olacak şekilde “Aydınlatma Metni” ve “Açık Rıza Onayı” dokümanlarını düzenleyerek işçinin ıslak imzası alınmak suretiyle özlük dosyasına eklemelidir.
Genel kural olarak veri sorumlusu sıfatıyla işverenlerin işçilerine ait kişisel verilerini işlerken ve bunları aktarırken açık rıza alması gerekmekte ise de KVKK’nın 5. maddesinin 2. fıkrasında açık rıza alınmasının gerekli olmadığı istisnai haller düzenlenmiştir. Buna göre işveren, hukuki yükümlülüğünü yerine getirebilmek açısından vergiler, sosyal güvenlik primleri ve/veya maaş ödemeleri gibi konulardaki yükümlülükleri kapsamında işçilere ait bilgileri ilgili kurumlarla paylaşabilecektir.
Verilerin Korunması ve Güvenlik Tedbiri
KVKK’nın veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu sıfatıyla işveren, anılan yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmekle yükümlüdür.
Amaçla Sınırlı ve Ölçülü Olma İlkesi
Günümüz işe alımlarında ve işçi-işveren ilişkilerinde oldukça sık rastlanan bir durum olarak işçilere ait görev tanımını, işe olan yeteneği ve becerisi ve iş sözleşmesinin akdedilmesi için gerekli olan bilgilerle ilişkisi olmayan birtakım veriler talep edilmektedir. KVKK’nın 4. maddesinin 2. fıkrasının (ç) bendi ile kişisel verilerin işlendiği amaçla bağlantılı ve sınırlı olması genel bir ilke olarak kabul edilmiştir. Bu nedenle sözleşmenin kurulması, ifa edilmesi ve iş ilişkisinin devamını mümkün kılacak; işverenin mevzuattan doğan hukuki yükümlülüklerini yerine getirmesine yetecek kişisel verilerin işlenmesi ile yetinilmesi gerekmektedir. Örneğin; işe alım süreçlerinde adaya, “evlenmeyi düşünüp düşünmediği”, “tütün ve/veya alkol kullanıp kullanmadığı” ve/veya “dini, mezhebi” sorulduğu takdirde, İş Kanunu’ndan kaynaklı yaptırımların yanı sıra, KVKK ve sair mevzuat açısından amaçla sınırlı ve ölçülü şekilde veri işleme kuralına aykırı şekilde davranan işverenin sorumluluğu gündeme gelebilecektir.
İşverenin uygun amaçla sınırlı ve ölçülü olma yükümlülüğünün bir sonucu olarak, işçilerin kişisel verileri yasal saklama süreleri kadar muhafaza edilmeli ve bu sürenin sonunda silinmeli ve/veya anonim hale getirilmelidir. Bu kapsamda özellikle işe alınmayan adayların özgeçmişleri saklanmamalı ve açık rızası bulunmadıkça başka işverenlerle paylaşılmamalıdır.
Teknoloji çağının beraberinde getirdiği kişisel verilerin kolay erişilebilir, saklanabilir ve paylaşılabilir olması durumu anayasal bir hak olarak “kişisel verilen korunması” ihtiyacını doğurmuştur. İş Kanunu kapsamında işverenlerin işçi hakkında edindiği bilgileri hukuka ve dürüstlük kurallarına uygun kullanma; işçinin haklı menfaati olmadıkça açıklamama yükümlülüğü bulunmaktadır.
Hazırlayan: Hayrunnisa Orman