Blog

RSS
yazı

Kişisel Verilerin Korunması Kanununun İş İlişkisine Etkisi

Yazar: Av. Nurdan Çavdaroğlu*

Ülkemiz nihayet kişisel verilerin korunmasına ilişkin bir çerçeve yasaya kavuştu. 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 günlü Resmi Gazete yayımlanarak yürürlüğe girdi.

Kanun  ile birlikte hayatımıza yeni kavramlar ve yükümlülükler giriyor. İster ticari şirketler, isterse kamu kurum ve kuruluşları için veri kullanımının gerek faaliyetlerini gerçekleştirirken, gerek operasyonlarını yürütürken, gerekse stratejilerini planlarken ve uygularken kritik önem taşıdığı şüphesiz. Bilgi her zaman çok değerli oldu. Bununla birlikte özellikle içinde bulunduğumuz dönemde gelişen teknoloji ile birlikte her saniye üretilen ve üreyen bilgi sayısı akıl almaz boyutlara ulaştı. Üstelik bu bilgilerin sadece üretiminde değil, serbest dolaşımında da baş döndürücü bir hız var. Bilgiye erişmek, bilgiyi yaymak belki de hiç bu kadar kolay olmamıştı.

Bu yüzdendir ki, bireylerin kendilerine ait verilerin nasıl ve kimler tarafından, hangi amaçlarla kullanıldığını bilme, istemediği takdirde bunu engelleme haklarının hukuki olarak tanınması ve ayrıntılı şekilde düzenlenmesi ihtiyacı dünyada çok uzun zaman önce fark edildi. Avrupa Konseyi ve OECD’nin yönerge ve ilkeleri ile başlayan süreç, Avrupa Birliği direktifleri ve tavsiye kararları ile devam etti.

Kanun Neler Getiriyor?

Şimdi sıra Türkiye de.. Kanun ile kişisel verinin ne olduğu tanımlanıyor. Buna göre bir kişiye aitse ve bu kişi belirli veya belirlenebilir bir kişi ise aklınıza gelebilecek her türlü bilgi kişisel veri olarak kabul ediliyor. Kişisel verilerin ilgili kişinin rızası olmaksızın hiçbir işleme tabi tutulması mümkün değil. Buna verileri elde etme, toplama, bir araya getirme, elektronik veya fiziksel bir ortamda kaydetme, saklama, analiz etme ve üçüncü kişilere aktarma da dahil. Tabii ki, rıza almaya gerek olmadan da kişisel verilerin işlenebileceği haller var. Ancak bunlar sınırlı şekilde sayılmış. Biz bu yazımızda özellikle “işlemenin kanunlarda açıkça öngörülmesi”  “ilgili kişinin kendisi tarafından alenileştirilmiş olması” ve “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” halleri üzerinde duracağız.

Diğer yandan Kanuna göre temel olarak kişisel verilerin işlenebilmesi için her senaryoya uygulayabileceğimiz rehber nitelikteki temel ilkeler şunlar:

  • Kişisel veriler hukuka ve dürüstlük kuralına uygun olarak işlenmeli
  • İşleme doğru ve gerekli ise güncel olmalı
  • Kişisel veriler ancak açık ve meşru amaçlar için işlenmeli
  • Kişisel veriler hangi amaçla işleniyorsa ancak bu amaçla bağlantılı olarak işlenmeli, işleme sınırlı ve ölçülü olmalı
  • Kişisel veriler ancak işlendikleri amaç için gerekli olan süre kadar veya ilgili mevzuatta özel bir süre öngörülmüş ise o kadar muhafaza edilmeli.

Kanunun İş İlişkisine Yansıması Nasıl Olacak?

Kanunda iş ilişkisi veya iş sözleşmeleri için ayrı ve açık bir istisnaya yer verilmemiş. Ancak bu kavram ve ilkeler aslında iş hukukuna hiç yabancı değil. Nitekim  4857 sayılı İş Kanununun 75. Maddesi uyarınca işverenler çalıştırdığı her işçi için bir özlük dosyası düzenlemek ve bu dosyada kimlik bilgilerinin yanında İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve istendiği zaman da bunları yetkili memur ve mercilere göstermek zorunda. Diğer bir anlatımla çalışanların kimlik bilgileri ile SGK, vergi ve sair hususlarda çalışana ilişkin olarak düzenlemek zorunda olduğu belgeler, yapmakla yükümlü olduğu bildirim ve işlemler için gerekli nitelikteki bilgilerin saklanması işverenler için kanuni bir mecburiyet.

Bu doğrultuda iş ilişkisi bakımından öncelikli olarak şu iki sonuca varmak mümkün:

1- İşçilerin özlük dosyalarındaki bilgiler kişisel veridir.

2- Bu verilerin tutulması İş Kanunu icabı olduğundan Kanuna göre “işlemenin kanunlarda açıkça öngörülmesi” hali söz konusudur ve dolayısıyla bunların öngörülen amaç kapsamında işlenmesi için işçiden ayrıca rıza almaya gerek bulunmamaktadır.

Peki hepsi bu kadar mı? Tabii ki hayır.

İş Kanunu’nun mezkur maddesinde ayrıca “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”  denmektedir. Buna göre işveren, Kanunun yukarıda yer verdiğimiz ilkeleri ile de paralel olarak işçi ile ilgili verileri iş sözleşmesi ve iş ilişkisinin izin verdiği ölçüde kullanmakla yükümlüdür.

İşveren gerçekten de işçi hakkında elde ettiği bilgileri aralarındaki iş sözleşmesinin her iki tarafça ifa edilebilmesi için gerekli olduğu ölçüde kullanabilecektir. Ancak sadece bu amaç ve kapsamla sınırlı olmak üzere. Kanunda ayrıca rıza almaya gerek olmadığı öngörülen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hali kanımızca işçi-işveren arası hizmet sözleşmeleri için de geçerli. Diğer yandan; iş ilişkisi amaç ve kapsamını aşan her türlü işleme için Kanun ile getirilen pozitif yükümlülük gereği işçinin bilgilendirilmesi ve açık rızasının alınması gerekecektir.

İş İlişkisinin Kurulması ve Devamına İlişkin Süreçlerde Kanun Uyarınca Nelere Dikkat Edilmesi Gerekiyor?

Bu noktada özellikle grup şirketler arası işçilere ait bilgi paylaşımı ve aktarımı süreçlerine dikkat etmekte fayda var. Kanundan anlaşıldığı kadarıyla Türkiye’de yerleşik yurtdışı merkezli iştiraklerin, işçileri ile ilgili verileri yurt dışındaki genel merkeze veya diğer iştiraklere aktarması ise çok daha hassas bir konu, zira verilerin yurt dışına aktarılması ek bazı şartlara bağlanmış.

Kanun uyarınca dikkat edilmesi gereken bir diğer nokta ise; gerek Kişisel Verilerin Korunması Kanunu gerekse İş Kanunu hükümlerine uygun olarak işlenmiş olmasına rağmen, işlemeyi gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi zorunluluğu. Dolayısıyla iş ilişkisinin sona ermesi halinde, işçi ile ilgili derdest bir dava, inceleme, soruşturma yok ise, SGK, vergi ve sair hukuki ve mali yükümlülüklere ilişkin yasa hükümleri uyarınca da bilgilerin saklanması, kullanılması zorunluluğu sona ermiş ise, işveren işçiye ait elindeki kişisel verileri silmek, yok etmek veya anonimleştirmek zorunda.Kanuna göre bir verinin anonim hale getirilmiş sayılması için kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi gerekiyor. Yani anonim hale getirilerek tutulacaksa, bu bilgilerin kiminle ilgili olduğunu tespit edebilmek hiçbir şekilde mümkün olmamalı.

Kanun ile tüm şirketler için geçerli olmak üzere getirilen bir başka yükümlülük ise Kişisel Verilerin Korunması Kurumu gözetiminde tutulması öngörülen Veri Sorumluları Siciline kaydolma zorunluluğu. Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, verilerin yapılandırılarak işlendiği kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüm gerçek ve tüzel kişiler Kanun kapsamında veri sorumlusu olarak kabul ediliyor. Kişisel verileri işleyen tüm gerçek ve tüzel kişiler verileri işlemeye başlamadan önce Sicile kaydolmak zorunda. Şimdilik bu konuda öngörülen bir istisna yok. Ancak Kanuna göre; kişisel verinin niteliği, veri işlemenin kanundan kaynaklanması gibi belirlenecek objektif kriterlere göre kayıt zorunluluğuna daha sonra bir istisna getirilebilir. Bu kayıt esnasında veri sorumlusunun kim olduğu, kişisel verinin hangi amaçla işleneceği, veri konusu kişi grubu, kişisel verilerin aktarılabileceği taraflar, yabancı ülkelere aktarımı öngörülen kişisel verilerin bulunup bulunmadığı, veri güvenliği için alınan tedbirlerin ne olduğu, veriler hangi amaçla işleniyor ise bu amaç için gereken azami sürenin ne olduğu gibi son derece ayrıntılı hususları içeren bir bildirim yükümlülüğü var.

Kanun;  Özgeçmiş ve İş Arama Sitelerine Yükümlülük Getirecek Mi?

Bu yüzden de işçi-işveren ilişkisi bir yana; bilhassa ellerinde hatırı sayılır bir bilgi havuzu bulunduran özel istihdam bürolarının ve özgeçmiş sitelerinin Kanun kapsamında kişisel veri elde ettikleri, topladıkları, bunları analiz ettikleri, sakladıkları, kullandıkları ve ilgili taraflarla paylaştıkları operasyon ve süreçlerini topyekûn gözden geçirmesi kaçınılmaz. Peki CV’lerini bir internet sitesine yükleyen kişilerin bu bilgileri “bizzat alenileştirdiği” dolayısıyla ayrıca rıza aranmayacağı acaba ileri sürülebilir mi? Yoksa bilakis gerek özgeçmişlerini paylaşan kişiler ile, gerekse bu CV’lerin iletileceği iş yerleri ile çok daha ayrıntılı ve açık sözleşmeler mi imzalamak gerekir?

Şu kadarını şimdiden rahatça söyleyebiliriz: kişi bizzat kendisi vermişse dahi, bilgiler sadece “başvuru” amacı ile sınırlı olmak üzere kullanılabilir. Bu amacı aşacak şekilde verilerin kullanılması, üçüncü kişiler ile bu verilerin ticari bir ürün olarak paylaşılması gibi işlemler gerçekleştirebilmek için, ilgili kişinin verisinin hangi amaçla, ne kapsamda ve ne kadar süre ile işleneceği, nasıl kullanılacağı, kimlerle paylaşılabileceği hususlarında bilgilendirilmesi ve açık rızasının alınması gerekir. Bu bakımdan, özellikle de verilerin tutulduğu serverların yurtdışında bulunması söz konusu ise,  özgeçmiş ve işbulma sitelerinin kullanıcı sözleşmelerini, gizlilik politikası ve sair koşullarını, kullanıcılarından aldıkları kabul ve onay yöntemlerini, izinli veri tabanı yönetme yeterliliklerini, Kanun  hükümlerini dikkate alarak elden geçirmesi yerinde olacak.

İster işçi bilgilerini elinde bulunduran işveren, isterse özgeçmiş ve işbulma sitesi veya özel istihdam bürosu olarak faaliyet gösteren bir şirket olsun; veri sorumluları kişisel verilerin elde edilmesi sırasında ilgili kişilere kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve haklarının neler olduğu konusunda bilgi vermekle yükümlü olacak. İşçiler ve kişisel verilerini bahse konu özgeçmiş ve iş arama siteleri ve özel istihdam şirketleriyle paylaşan kişiler ise her zaman veri sorumlusuna başvurarak kişisel verilerin işlenip işlenmediğini öğrenme, kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, işlenen verileri münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme haklarını kullanabilecek.

Kanuna aykırı fiillerin yaptırımı neler?

Kanun hukuka aykırı olarak kişisel verilerin işlenmesi ve öngörülen hükümlerin ihlali halinde Türk Ceza Kanununda öngörülen suçlara atıf yapmaya ek olarak ciddi idari yaptırımlar da öngörüyor. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan kişiler ise ayrıca zararlarının giderilmesini talep edebilecek. Dolayısıyla tüm tarafların bu yazımızda işaret ettiğimiz hususları sıkı şekilde gözden geçirerek, ilgili iş ve süreçlerin uyumlu hale getirilmesi ve öngörülen yükümlülüklerin yerine getirilebilmesi için tedbir almak üzere bir an önce hazırlık çalışmalarına başlamasında fayda olduğu muhakkak.

*Avukat, İstanbul Barosu

1 - Kişi bu yazıyı beğendi!

Yorum Yaz

Please correct form

zorunlu alan*