İşveren İşçinin Kişisel Verilerini Korumak Zorunda
Kişisel veriler insanların şahsıyla, özel hayatıyla ilgili veriler olup, kişinin özel hayatı başta Anayasa ile koruma altına alınmıştır, T.C. Anayasası’nın “IV. Özel hayatın gizliliği ve korunması” başlıklı bölümünde konuya ilişkin düzenlemelere yer verilmiştir.
Anayasanın 20/3. maddesinde; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü yer almaktadır.
Bu çerçevede; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu çıkarılmış ve 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanmıştır. Bu Kanuna istinaden ayrıca Kişisel Verileri Koruma Kurumu kurulmuştur. İşverenler işçinin kişisel verilerinin korunması konusundaki görev ve sorumluluklarını, çalışanlar ise kişisel verilerinin korunması konusundaki haklarını söz konusu Kanundan öğrenebilirler.
Kişisel verilerin korunmasına ilişkin Kanun her ne kadar 2016 yılında ayrı bir Kanun çıkarılmış olsa da daha önce de mevzuatta konuyla ilgili bazı düzenlemeler yer almaktaydı. Örneğin; 12 Ekim 2004 tarihli Resmi Gazete’de yayımlanan 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Ancak, özellikle internetin hayatımıza girmesine bağlı olarak kişilerin özel hayatlarına ait bilgilerin daha kolay ve çabuk yayılma, ifşa, yetkisiz kişilerin eline geçme imkan ve riskinin ortaya çıkması, insan haklarının korunması ile ilgili bilinç ve duyarlılığın artması kişisel verilerin korunması konusunu çok önemli hale getirmiş ve buna bağlı olarak da Ülkemizde konuyla ilgili ayrı bir Kanun çıkarılmış, etkin bir denetim ve kontrol mekanizması oluşturulması için Kişisel Verileri Koruma Kurumu kurulmuştur.
Kişisel Veri Kapsamına Neler Girmektedir ?
Kişisel Verilerin Korunması Kanununun gerekçesinde kişisel veri: bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanmış, kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmiştir.
İşçinin Kişisel Verilerinin Korunması
Bütün bireyler gibi çalışanlar da kişisel verilerinin korunması hakkına sahiptir. Çünkü kişisel verilerin korunması hakkı konusunda kişiler arasında herhangi bir ayrım bulunmamaktadır. Bu çerçevede çalışanların kişisel verilerini koruma görevi işverenin işçiyi gözetme borcu kapsamına giren borçlarından biridir. (Bkz. İş Hukukuna Göre İşçi – İşverenin Birbirine Karşı Borçları)
4857 sayılı İş Kanununun “İşçi özlük dosyası” başlıklı 75 inci maddesi uyarınca; işveren çalıştırdığı her işçi için bir özlük dosyası düzenlemek, işveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.
Sadece özlük dosyası tutulması bile işverenin işçi hakkında birçok kişisel veriye sahip olması sonucunu doğurmaktadır. Bu nedenle aynı madde; “işveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” hükmüne yer verilmiştir.
İşverenin işçinin kişisel verilerine sahip olması sadece özlük dosyasıyla sınırlı da değildir. Örneğin; borcu olması nedeniyle işçinin işverenden avans istemesi, işçinin maaşına haciz gelmesi, sağlık sorunları nedeniyle işçinin aldığı raporlar, gördüğü tedaviler, işçinin izin alabilmek için işverene söyleme gereği duyduğu aile hayatına ait sorun ve problemler, işverenin işçinin özel hayatıyla ilgili birçok bilgiye sahip olabileceği durumlardan bazılarıdır.
Buradaki işveren kapsamına işveren vekili konumunda olan, işyerinde müdürlük, şeflik, amirlik gibi görevleri bulunan tüm çalışanlar da girmektedir.
Çalışanların kişisel verilerinin korunması konusunda işverenlerin dikkat etmeleri gereken hususlara gelince:
Kişisel verilerin elde edilmesi ve işlenmesi konusunda kural olarak işçinin rızası gerekmekle birlikte, kanunlarda açıkça belirtilen konularda işçinin rızası gerekmez. İş Kanununun 75 inci maddesi uyarınca işverenin tutması gereken özlük dosyası buna örnek olarak gösterilebilir. Öte yandan işveren Kanunların verdiği görev ve yetkiye dayanarak işçi hakkındaki kişisel verileri elde etme ve işleme hakkına sahip olsa bile, söz konusu madde uyarınca işveren bunu yaparken hukuka ve dürüstlük kurallarına uymak, gizli kalmasında işçinin haklı çıkarı bulunan bilgileri başkasına açıklamamakla yükümlüdür.
Yine İş Sağlığı ve Güvenliği Kanununun 15/5. maddesi uyarınca; sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgilerinin gizli tutulması gerekir.
İşverenin ayrıca;
• Başta İş Kanunu ile İş Sağlığı ve Güvenliği Kanunu olmak üzere, sadece mevzuatta belirtilen konularla, işyerinde yapılan – yürütülen işin gerektiği konularla ilgili olarak işçi hakkında bilgi – belge temin edilmesi, işçiden bilgi – belge istenmesi,
• Temin edilen bilgi ve belgelerin yine mevzuatta belirtilen sürelerle sınırlı olarak saklanması,
• Çalışanlar hakkında temin edilen bilgi ve belgelerin muhafaza altında tutulması, görevli personel dışındaki çalışanların işçilerle ilgili bilgi ve belgelere ulaşmasının önlenmesi, görevli personelin de bu konuda denetim ve kontrolü,
konularında gerekli dikkat ve özeni göstermesi gerekir.
İşçinin Hakları
İşçi:
• 6698 sayılı Kişisel Verilerin Korunması Kanununun;
– 11 inci maddesi uyarınca işçi veri sorumlusuna (işverene veya işyeri yetkilisine) başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi başlıklı 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
– Talepleri reddedilen işçi Kişisel Verileri Koruma Kuruluna başvurabileceği gibi aynı Kanunun 14/3. maddesi uyarınca kişilik hakları ihlal edilmişse, genel hükümlere (Borçlar Kanunu hükümleri) göre işverenden tazminat isteme hakkına da sahiptir.
İşçinin Fesih Hakkı
Kişisel verilerinin korunması konusunda işverenin kanun hükümlerine aykırı hareket etmesi halinde işçi 4857 sayılı İş Kanununun 24/II/f maddesine istinaden ihbar süresine uymadan haklı nedenle iş akdini feshedebilir ve en az bir yıllık çalışma süresini de doldurmuşsa işverenden kıdem tazminatı talep edebilir. İşçinin yukarıda belirtilen tazminat hakkı ise bundan ayrı bir konudur.
Yargıtay’ın ve Kişisel Verileri Koruma Kurumu’nun Konuya Bakışı
Temyiz aşamasında Yargıtay’a intikal eden somut olayda önceki işvereni işçinin işyeri özlük dosyasını yeni işverenine göndermiş, Yargıtay 9. Hukuk Dairesi konuyla ilgili olarak; “somut olay, yargılama sırasında dinlenen tanıklar ve sunulan deliller değerlendirildiğinde, içerisinde özel yazışmaların, davacının (işçinin) bir kısım senede bağlı tutarları eski işyerine ödeyeceğine dair taahhüdünü içeren işten ayrılma dilekçesi ve ödeme dekontlarının olduğu işyeri özlük dosyasının yeni çalıştığı işverenine gönderilmesi eyleminin davacıyı (işçiyi) rahatsız etme, onu doğruları söylemeyen bir kişi olarak gösterme amacı taşıdığı, bu olay sonrası davacının (işçinin) iş sözleşmesinin feshinin gündeme geldiği ancak buna engel olunduğu, yaşanan olay nedeniyle davacının (işçinin) manevi yönden etkileneceği açık olup bu nedenle manevi tazminata hak kazandığının kabulü gerekirken reddi hatalıdır.” şeklinde karar vermiştir. (T.C. Yargıtay Dokuzuncu Hukuk Dairesi Esas : 2014/37215 Karar : 2016/9418 – Tarih : 14.04.2016)
Her ne kadar memurlarla ilgili olsa da kişisel verilerin korunması kişilik haklarıyla ilgili bir konu olup, dolayısıyla bu konuda memurlarla işçiler arasında bir ayrım olmadığından; memurun dilekçesine verilen cevabı yeni kurumuna göndermek suretiyle, bilgilerin yetkisi olmayan kişilerin erişimine açıldığı gerekçesiyle Kişisel Verileri Koruma Kurumu 05/05/2020 tarihli ve 2020/336 sayılı kararında veri sorumlusu hakkında disiplin işlemlerinin uygulanmasını istemiştir.
Her iki karardan da işverenin çalışana ait kişisel verileri korumak ve muhafaza etmek, başkalarının eline geçmesini önlemek için gerekli tedbirleri almak zorunda olduğu, çalışanın kişisel verilerini ifşa edemeyeceği ve başkalarıyla paylaşamayacağı sonucu ortaya çıkmaktadır. (isvesosyalguvenlik.com)
YORUMLAR