Genel Olarak

Kişisel Verilerin Korunması Kanunu’nda ilgili kişi, kişisel verisi işlenen gerçek kişi olarak tanımlanmış olduğundan Kanun kapsamında yalnızca gerçek kişiler korunmaktadır. Kişisel veri ise aynı Kanunda kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmiştir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ise veri sorumlusudur.
Bu doğrultuda, iş sözleşmesi kapsamında işverenin veri sorumlusu ve işçinin de ilgili kişi olarak değerlendirilmesi gerekmektedir. Zira işveren iş sözleşmesinin bir gereği olarak işçiye ait birtakım kişisel ve özel nitelikli kişisel verileri işlemek zorunda kalmaktadır.
Bu noktada önemle belirtmek gerekir ki, kişisel verilerin işlenmemesi kural, işlenmesi ise istisna olduğundan bunların işlenmesi için işlemeyi hukuka uygun kılacak bir nedenin bulunması gerekmektedir. İş ilişkisi içerisinde de sözleşme yapılmadan önce, sözleşme devam ederken ve sözleşme sona erdikten sonra veri işlenebilmesi için Kişisel Verilerin Korunması Kanunu’nun 5. veya 6.maddesinde düzenlenmiş hukuka uygunluk sebeplerinden birinin bulunması en temel şarttır. Ancak kişisel verilerin hukuka uygun işlenmesi için hukuka uygunluk sebeplerinden birinin varlığı tek başına yeterli olmayıp, Kanun’un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine de tüm kişisel veri işleme faaliyetlerinde uyulması gereklidir.

Hukuka Uygunluk Nedenleri

Hukuka uygunluk nedenleri incelenirken ikili bir ayrım yapılmasında fayda vardır. Nitekim Kanun’da da kişisel veriler ile özel nitelikli kişisel verilerin işlenmesi bakımından farklı koşullar öngörülmüştür.

Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Nedenleri

Açık Rıza
Açık rıza, Kişisel Verilerin Korunması Kanunu’nun 3. maddesinde “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.” şeklinde tanımlanmıştır.
Kişisel Verilerin Korunması Kanunu’nda açık rızaya ilişkin olarak şekil şartı öngörülmemiştir. Yazılı şekil şartı zorunlu olmadığından işçi sözlü, elektronik posta ve benzeri şekillerde de rızasını açıklayabilir. Ancak ispat kolaylığı sağlaması bakımından yazılı rıza uygulamada en çok tercih edilen yöntemdir.
Kişisel verilerin işlenmesi amacıyla açık rıza alınırken işverenlerin dikkat etmesi gereken birtakım hususlar bulunmaktadır.
Veri işlemek üzere verilen açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu işveren tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir.

İrade beyanı niteliğine haiz açık rızanın özgür bir şekilde verilebilmesi için işçinin rıza gösterdiği hususu bilmesi ve aynı zamanda rızanın sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Bilgilendirme, veri işleme ile ilgili sonuçları da içerecek şekilde bütün konularda açık ve anlaşılır bir biçimde ve mutlaka verinin işlenmesinden önce yapılmalıdır. Geçmişe yönelik olarak rıza açıklanması hukuka aykırı işlemi hukuka uygun hale getirmeyecektir.

Açık rızanın geçerlilik kazanabilmesi için gereken bir diğer koşul ise işçinin özgür iradesi ile rıza açıklamasında bulunmasıdır.

İşçi ile işveren arasındaki ilişkinin niteliği gereği işçi işveren karşısında zayıf konumdadır. Bu nedenle, rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir. Zira işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemeyecektir. İşverenin açık rıza metni imzalaması için işçiye baskı yaptığının tespit edilmesi halinde işçi tarafından verilen rıza geçerli olmayacaktır. Nitekim Kişisel Verileri Koruma Kurulu’nun 2020/404 no.lu 20.05.2020 tarihli Kararında işçilere açık rıza metninin imzalanması için mail gönderilmesi, imzalamayan çalışanlara metni imzalamaları için baskı yapılması ve işçiye rıza göstermeme imkanının etkin bir biçimde sunulmaması neticesinde rıza verildiğinin tespit edilmesi nedeniyle verilen rızanın geçerli olmadığı değerlendirilmiştir.

Aydınlatma yükümlülüğünün yerine getirilmesi ile açık rıza alınması işlemlerinin ayrı ayrı yapılması gerekmektedir. Aydınlatma yükümlülüğünün amacı kişisel verilerin işlenmesi ile ilgili olarak işçinin bilgi sahibi olmasının sağlanmasıdır. Açık rıza alınmasındaki amaç ise veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, işçi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir.



Kanunlarda Açıkça Öngörülmüş Olma
Kişisel Verilerin Korunması Kanunu m. 5/2-a uyarınca, işbu kanun dışındaki bir kanunda “açık bir düzenleme” olduğu takdirde kişisel veriler “açık rıza aranmaksızın” işlenebilecektir.
4857 sayılı İş Kanunu’nun 75. maddesi ile düzenlenen, işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlemesi ve işçilerin kimlik bilgilerinin özlük dosyası içerisinde yer alması gerekliliği kapsamında işverenin çalıştırdığı işçinin kimlik verilerini “kanunlarda açıkça öngörülme” gerekçesiyle işlemesi örnek olarak gösterilebilir.
Fiili İmkânsızlık
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan işçinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde kişisel verileri işlenebilecektir.
İşçinin “fiili imkânsızlık sebebiyle rızasını açıklayamayacak durumda olması” veya “rızasına hukuken geçerlilik tanınmaması” gerekir. Örneğin, işçinin bilincinin kapalı olması durumunda işçinin veya bir başkasının “hayat ve beden bütünlüğünün korunması için zorunlu olduğu takdirde” açık rıza aranmaksızın işçinin kişisel verileri işlenebilir.
Sözleşmenin Kurulması veya İfası İçin Gerekli Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür.
İş sözleşmesinin tarafı olan işçi iş görme edimini yerine getirmekle işveren ise ücret ödemekle yükümlüdür. İşveren iş sözleşmesinden kaynaklanan ücret ödeme yükümlülüğünü yerine getirirken işçinin rızası gerekmeksizin ilgili verileri işleyebilmelidir.
Örneğin işveren, işçilerin birbirleriyle iletişimlerini sağlayabilmeleri için tüm işçilerin telefon numaralarının kayıtlı olduğu bir veri tabanı kurabilir. Bu durum, iş sözleşmesinin ifası ile ilgili olduğundan işçinin kişisel veri niteliği taşıyan telefon numarası açık rıza aranmaksızın işlenebilecektir.
Hukuki Yükümlülüğün Yerine Getirilmesi İçin Zorunlu Olması
Kişisel Verilerin Korunması Kanunu’nun 5/2-ç maddesi “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şeklinde düzenlenmiştir.
Yani işverenin hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde işçinin kişisel verileri işlenebilecektir.
İşverenin işçiye maaş ödeyebilmesi için banka hesap numarası ve AGİ ödemesi için evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi bu duruma örnek verilebilir.
Ancak yukarıda izah edildiği üzere, verilerin işlenebilmesi için yalnızca hukuka uygunluk nedenlerinin bulunması yeterli olmadığından, hukuki yükümlülüğün yerine getirilmesi için veri işlenmesi halinde dürüstlük ve ölçülülük ilkelerinin de gözetilmesi gerekmektedir. Nitekim Kişisel Verileri Koruma Kurulu bir kararında, Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği ve Kanunun 4/1-ç maddesinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği gerekçesiyle veri sorumlu hakkında idari para cezası uygulanmasına karar verilmiştir.
İşçinin Kendisi Tarafından Alenileştirilmiş Olması
İşçinin kendisi tarafından alenileştirilen, kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Kurumsal internet sitelerinde, işçilerin işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması hali alenileştirmeye örnek olarak gösterilebilir.
Verinin aleni sayılması için herkes tarafından görülebilecek şekilde paylaşılması yeterli değildir. Alenileştirme iradesinin varlığı da gerekir. Nitekim Kişisel Verileri Koruma Kurulunun bir kararında, internet sitesinde yer alan birtakım kişisel verilerin alenileştirme amacıyla kullanılmadığı gerekçesiyle hukuka aykırı olarak verileri işleyen şirket hakkında idari para cezası uygulanmasına karar verilmiştir.
Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri işlemenin Zorunlu Olması
Kişisel Verilerin Korunması Kanunu’nu m. 5/2-e gereğince “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” durumunda veri sahibinin açık rızası alınmadan veri işlenebilir.
Madde gerekçesinde bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması örnek olarak bu duruma örnek olarak gösterilmiştir.
İşverenin Meşru Menfaatinin Olması
İşverenin meşru menfaatinin olması halinde, işçinin temel hak ve özgürlüklerine zarar vermemek kaydı ile kişisel verileri işlemesi mümkündür. İşverenin sağlayacağı faydanın meşru, işçinin temel hak ve özgürlükleri ile yarışabilecek düzeyde ve mevcut bir menfaate ilişkin olması gerekmektedir.
Örneğin işçilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işçilerin maaş zammı, terfi ve sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev dağılımında esas alınmak üzere işçilerin kişisel verilerinin işlenmesi işverenin meşru menfaati kapsamına alınmıştır. Bir şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel durumuna hakim olabilmek amacıyla içinde kişisel verilerin de bulunduğu birtakım bilgileri ölçülü ve gerekli güvenlik önlemlerini alarak incelemesi halleri de meşru menfaat kapsamında değerlendirilebilecektir.
Özel Nitelikli Kişisel Verilerin Korunmasında Hukuka Uygunluk Nedenleri
Özel nitelikli kişisel veriler Kanun’un 6. maddesinde “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde sayılmıştır.
Kanun özel nitelikte kişisel verilerin işlenmesinde ikili bir ayrıma gitmiştir. Sağlık ve cinsel hayata ilişkin veriler ile bunların dışındaki veriler için yapılan bu ayrımda ortak hukuka uygunluk sebebi yalnızca ilgilinin açık rızasıdır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
İş Kanunu’nda işverenlerin işçilerin özlük dosyasını tutma yükümlülüğü bulunmaktadır. Özlük dosyasında yer alması gereken işçilere ait bazı sağlık verilerinin işlenebilmesi Kişisel Verilerin Korunması Kanunu kapsamında yer alan hukuka uygunluk nedenleri içerisinde sayılamayacağından esasen işverenlerin hukuka uygun olarak veri işlemesi mümkün olmayacaktır.
Bu nedenle, işverenler her seferinde işçinin açık rızasına başvurabileceği gibi Kanunun açık hükmü gereği, bu nitelikteki veriler sır saklama yükümlülüğü altında bulunan iş yeri hekimleri tarafından da işlenebilecektir. Ancak iş yeri hekimleri tarafından işlenecek verinin doğrudan işverene ulaştırılması maddeye aykırılık teşkil edeceğinden iş yeri hekimi tarafından ulaştırılan bilgi yalnızca işçinin pozisyona uygun olup olmadığı, iş sağlığı ve güvenliği bakımından gerekli kontrollerin yapılıp yapılmadığı gibi genel bilgilerle sınırlı olacaktır. Yani muayene sonucu ve teşhise ilişkin bilgi içeren hiçbir sağlık verisi özlük dosyası içinde yer almamalıdır.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin ise ancak kanunlarda öngörülen hallerde işlenmesi mümkündür.
Örneğin, 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’nun 42. maddesi uyarınca toplu iş sözleşmesi yapmaya yetkili sendikanın belirlenebilmesi için kaç işçinin ilgili sendikaya üye olduğu verisinin işlenmesi gerekir.
İş Kanunu’nun 25. maddesi gereğince “İşçinin, işyerinde, yedi günden fazla hapisle cezalandırılan ve cezası ertelenmeyen bir suç işlemesi” durumunda işveren iş sözleşmesini haklı nedenle feshedebilecektir. Buna göre, işverenin işçinin ceza mahkumiyetine ilişkin verilerini işlemesi gerekir.
İşyeri hekimi bulundurmayan veya mevzuat gereği bulundurma yükümlülüğü olmayan işveren bakımından ise işçinin sağlık verisinin işlenmesi için açık rızasının alınması şarttır.
Sonuç

Kişisel Verilerin Korunması Kanunu işçi-işveren ilişkisinde de uygulama alanı bulmaktadır. Zira işveren sözleşme yapılmadan önce, sözleşme devam ederken ve sözleşme sona erdikten sonra işçiye ait kişisel verileri işlemek zorunda kalabilmektedir. Örneğin, İş Kanunu’nun 75. maddesi uyarınca işverenin çalıştırdığı her işçi için özlük dosyası düzenleme yükümlülüğü bulunmaktadır. Bu kapsamda işverenin işçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, adli sicil kaydı, sağlık ve hastalık durumu ve benzeri bilgilere ulaşması ve bu bilgileri işlemesi gerekmektedir.

Ancak bu bilgilerin işlenmesi sırasında hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun hareket edilmesinin yanında işçinin açık rızası, fiili imkânsızlık nedeniyle rızanın açıklanamaması ya da rızaya hukuken geçerlilik tanınmaması halinde işçinin kendisi ya da bir başkasının hayatı veya beden bütünlüğü için zorunlu olması, iş sözleşmesinin kurulması ya da ifasıyla ilgili olması, işverenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, işçi tarafından alenileştirilmiş olması, hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, işçinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işverenin meşru menfaatleri için veri işlenmesinin zorunlu olması şeklinde Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde sayılan hukuka uygunluk nedenlerinin de bulunması gerekmektedir.

Bu nedenle, veri sorumlusu işverenin işçiyi gözetme borcu ile işçinin kişilik haklarının korunmasının da bir gereği olarak her somut olayda hukuka uygunluk sebepleri ile kişisel verilerin işlenmesine ilişkin genel ilkeleri de gözeterek hareket etmesi gerekmektedir.
Yukarıda belirttiğimiz açıklamalarımız YASSIKAYA Hukuk Bürosu tarafından bilgilerinize sunulmuştur.

Saygılarımızla

03.11.2022

Av. Zeynep Özmen