İŞÇİ – İŞVEREN İLİŞKİLERİNDE KİŞİSEL VERİLERİN KORUNMASI KANUNU

4857 Sayılı İş Kanunu’nun 8’nci maddesi işçi-işveren arasındaki iş ilişkisini ve iş sözleşmesini içeriğini tanımlamıştır. İşçinin işverene bağımlı olarak iş görme görevi, işverenin işçiye ücret ödeme görevi yazılı veya sözlü iş sözleşmelerinin temel kurucu unsurudur.
6098 Sayılı Borçlar Kanunu 99’ncu maddesi kapsamında işin görülmesi ve işçilerin davranışlarıyla ilgili genel düzenlemeler ve özel talimatlar verebilmesini, işin işvereninin gözetim ve denetimi altında yapılmasını sağlamaktadır.
6331 sayılı İş Sağlığı ve Güvenliği Kanunu 4’ncü maddesinin 1’nci fıkrasında işverenin çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olduğu hüküm altına alınmıştır.
Görüldüğü üzere, İş Kanunu iş sözleşmesinin belirleyici unsuru olan bağımlılık unsurunun varlığının tespitinde işverenin gözetim ve denetimi altında işin yapılmasını, İş Sağlığı ve Güvenliği Kanunu işçinin sağlık ve güvenliğinin işveren tarafından sağlanmasını zorunlu tutmaktadır.
Yasal düzenlemeler işin ve işçinin gözetlenmesi ve denetlenmesini işverene hem hak hem görev olarak yüklemiş, görevini yerine getirmeyen işveren aleyhine yaptırımlar belirlemiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu işverenin işi ve işçiyi gözetlemesi ve denetlemesi hakkını sınırlayan düzenlemeler getirmiştir.
İşçilerin elektronik yazılı, sesli, görüntülü kayıtları, biyometrik, genetik, parmak izi, sağlık raporları, parmak izi, kişilik testleri gibi verilerinin toplanması, muhafazası, aktarılması, kullanılması gibi hususları hem İş Kanunu, hem Kişisel Verileri Koruma Kanunu hem Borçlar Kanunu kapsamında irdelemek gerekmiştir.

Kişisel Veri / Hassas Kişisel Veri / Özel Nitelikli Kişisel Veri Nedir?

Kimliği belirli veya belirlenebilir gerçek ve tüzel kişilere ilişkin bütün kişisel veri olarak ifade edilmiştir. Bilginin belirli veya belirlenebilir özel veya tüzel kişiye ait olması kişisel verinin çerçevesini ve unsurlarını oluşturmaktadır.
Tamamen veya kısmen otomatik veya herhangi bir veri sisteminin parçası olmak kaydıyla otomatik olmayan yollardan elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması suretiyle elde edilebilir hale gelmesi, sınıflandırılması, kullanılmasının engellenmesi gibi veri üzerindeki her türlü işlem kişisel verinin işlenmesi olarak tanımlanabilmektedir.
Parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tarama, DNA tanıma gibi yöntemlerle elde edilen biyometrik veriler, veri sahibinin kimliğinin tespitini sağladığından “Hassas Kişisel Veri / Özel Nitelikli Kişisel Veri” niteliğindedir ve bu verilerin işveren tarafından işlenmesi anlamına gelmektedir.

İşverenin Hassas Kişisel Veri / Özel Nitelikli Kişisel Verileri İşlemesinin Şartları Nelerdir ?

İşverenin işyeri giriş-çıkışı bölgelerinde veya işyeri birimlerini birbirine bağlayan veya ayıran geçitlerde hassas kişisel verilere erişimi ve kontrolü sağlayan yöntemleri uygulamasını işyerinin, işçinin denetlenmesi ve gözetlenmesi, sağlık ve güvenliğin sağlanması hak ve görevleri kapsamında değerlendirmek, işverenin bu uygulamaları yapmakta haklı menfaatinin olduğunu kabul etmek gerekmektedir. Böylelikle işverenin, işçinin işyerine giriş çıkış saatlerini, giriş çıkış saatleri arasında işyerinin hangi birimlerinde ne kadar süre ile bulunduğunu, bu birimlerde bulunmasının gerekip gerekmediği gibi hususları da denetleyebilmektedir. Ancak İşverenin işçinin sağlık ve güvenliğini sağlama, işin, işyerinin ve işçinin denetlenmesi hak ve ödevlerini yerine getirirken işçinin hassas kişisel verilerine orantısız erişim yapıp yapmadığı, kontrol uygulamalarının orantısız olup olmadığı işin, işyerinin, işçinin niteliklerine göre gerekli / zorunlu olduğu haller ve yasal düzenlemelerin işverene yüklediği yükümlülükler gözetilerek belirlenmelidir.
KVKK hassas kişisel verilerin işlenmesini ya işçinin açık rızasına ya da yasal düzenlemelerce öngörülmüş olması şartına bağlamaktadır. İşçinin açık rızası olmaksızın kişisel verileri işlenemez. .İşveren aydınlatma görevini yerine getirdikten sonra işçiden açık rıza almak suretiyle hukuka uygunluk sebebi oluşturabilmekteyse de bu uygunluk daha az hassas kişisel veriye erişim ile temin edilebilecek yöntemin varlığı halinde ölçülülük ilkesine aykırı hale gelmektedir.
KVKK 4’ncu maddesi kapsamında; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şartlarına uygun olması şartları yerine getirilmek suretiyle işveren işçinin kişisel verilerini işleyebilir.
Kanunda açıkça öngörülmesi, fiili imkansızlık halleri, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, işçinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde işçinin açık rızası olmaksızın da işçinin hassas kişisel verileri işlenebilir.
İşçilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf, sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri kapsamındadır. İşveren sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileri, kanunlarda öngörülen hallerde işçinin açık rızası olmaksızın, kurul tarafından belirlenen yeterli önlemler alınması şartıyla işleyebilir.
Görüldüğü üzere hassas kişisel veriler, özel nitelikli kişisel verilerin işveren tarafından işlenmesi; işçinin ya açık rızasına ya da yasal düzenlemelerce öngörülmüş olması şartına bağlanmıştır.

İşverenin İşçiyi Aydınlatma Yükümlülüğünün Kapsamı Nedir?

İşveren veri sorumlusu sıfatıyla işçiyi aydınlatmak zorundadır. İşveren kişisel olarak veya yetkilendirdiği temsilcileri aracılığıyla işçiyi aydınlatmalıdır. Aydınlatma yükümlülüğünün yerine getirildiğinin işverence ispat edilmesi gerektiğinden işveren tarafından “Aydınlatılmış Onay Formu”nun yazılı düzenlenmesi tercih edilmelidir. Bilgilendirme ve aydınlatma yükümlülüğü toplu bilgilendirme ve ilan yoluyla veya her bir işçiye tek tek yapılarak yerine getirilebilir. İlan yoluyla yapılan bildirimlerin belirli aralıklarla tekrarlanması aydınlatma ve bilgilendirmenin amacına ulaşması bakımından dikkat edilmesi gereken hususlardandır. İşveren her halükarda işçiyi bilgilendirmek ve aydınlatmak zorundadır. Aksi takdirde işçinin açık rızasından bahsedilemez.

Bilgilendirilmiş / Aydınlatılmış Onay Formu ‘nda bulunması gereken unsurlar şunlardır:

  • Bilgilendirme / Aydınlatma Görevini yerine getiren işverenin ve varsa işveren temsilcisinin kimliği,
  • İşverenin kişisel verileri toplama amacı (işçinin niteliklerinin işe uygun olup olmadığı, işçinin sağlığı ve güvenliği, yasal zorunluluk vb.)
  • İşverenin işlenen kişisel verileri kimlere, hangi amaçla aktarılabileceği (3.kişilere, kişisel verileri pazarlayan şirketlere, yasa gereği kamu kurumlarına, işçinin kişisel verilerin korunması vb.)
  • İşverenin kişisel verileri toplama yönteminin ne olduğu (yazı, ses, görüntü, biyometrik / genetik verileri toplamaya, kaydetmeye ve yaymaya yarayan elektrikli / elektronik cihazlar ve bu cihazların işyerinde bulunduğu yerler ile cihazların denetlediği unsurlar, cihaz veya internet üzerinden kullanılan uygulamalar, kişilik testleri, sağlık ve güvenlik kontrolleri, işçinin kişisel verilerin korunması vb.)
  • İşverenin kişisel veri toplamasının hukuka uygunluk sebebinin ne olduğu (işçinin açık onayı, yasal yükümlülükler, işin, işyerinin ve işçinin üstün yararı vb)
  • İşçinin kişisel verilerinin işlenip işlenmediğini öğrenebileceği, işlenmişse hangi verilerinin ne zaman ne oranda işlendiği bilgisini talep edebileceği, işlenen verilerin veri işleme amacına uygun kullanılıp kullanılmadığı,
  • İşçinin kişisel verilerinin işlenmesine karşı düzeltme hakkı, silme hakkı, otomatik sistemle işlenmesine itiraz hakkı, vb. hakları olduğu hakkında bilgilendirildiği,
  • Bilgilendirme ve aydınlatmanın yapıldığı tarih ve yer,
  • İşçinin bilgilendiğini ve aydınlatıldığını ve açık onayını belirten ibareler
  • İşçinin TCVK Numarası / Adı Soyadı / Adresi

Kişisel Verileri Koruma Kurulu tarafından yayımlanmış olan 10.03.2018 tarih ve 30356 sayılı Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe göreKişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.”

İşçiye Ait Hassas Kişisel Veriler / Özel Nitelikli Kişisel Veriler Nasıl Korunmalıdır?

Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı kararına göre işverenin işçiye ait verilere ilişkin alması gereken önlemler şunlardır :

  • İşveren, özel nitelikli veriler ve hassas kişisel verilerin güvenliğini, kuralları net belirlenmiş, yönetilebilir, sürdürülebilir, sistemli kurallar ve usuller belirleyerek sağlamalıdır.
  • İşveren özel nitelikli hassas kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlarına KVKK ve bağlı yönetmelikler ve yasal düzenlemelere ilişkin düzenli eğitimler vermeli, bu birimde çalışanlarla verilere erişim yetkilerinin süresini ve kapsamını belirleyen gizlilik sözleşmeleri yapmalı, yetkilerin usulüne uygun kullanılıp kullanılmadığı ve yetkileri sona eren veya kapsamı değişenlerin erişim yetkilerini derhal kaldıracak kontroller ile tahsis edilen envanterin iadesini sağlayacak işleyişi oluşturmalıdır.
  • İşveren özel nitelikli hassas kişisel verilerin işlendiği, muhafaza edildiği, erişildiği elektronik ortamların fiziki ve kriptografik yöntemlerle muhafaza edilmesini sağlayacak sistemleri oluşturmalı, kriptografik anahtarların güvenli ve farklı bir alanda tutulmasını, veriler üzerinde gerçekleşen tüm işlemlerin güvenli loglanmasını sağlamalı, güvenlik güncellemelerini oluşturmalı, takip etmeli ve güncelleme sonuçlarını kayıt altına almalı, verilere uzaktan veya fiziken erişimi sağlayan yazılım veya uygulamaların kullanıcı yetkilendirmelerini ve en az iki kademeli kimlik doğrulama sistemlerini oluşturmalı ve kontrol etmelidir.
  • İşveren özel nitelikli hassas kişisel verilerin toplandığı, işlendiği, erişildiği, muhafaza edildiği fiziksel ortamların niteliğine göre yangın kontrolleri düzenli yapılmalıdır. Ayrıca; su baskını, seylap, hırsızlık konularında fiziki güvenlik önlemlerinin alınması da önemlidir. Ek olarak; yetkisiz kişilerin girişleri engellenmelidir ve fiziki koruyucu önlemlerin alındığının kontrolleri düzenli yapılmalıdır.
  • İşveren özel nitelikli hassas kişisel verileri elektronik ortamda aktaracaksa işverenin kurumsal e-Posta adresi veya Kayıtlı Elektronik Posta (KEP) üzerinden aktarmalıdır. Ek olarak; kriptografik anahtarın farklı ortamda muhafazası sağlanarak, farklı fiziksel ortamlardaki sunucular arasında aktarılacaksa da sunucular arasında VPN kurularak yapılmalıdır. Başkaca; sFTP yöntemiyle kağıt ortamında aktarılacaksa çalınma, kaybolma, yetkisiz kişilerce görülme risklerine karşı önlemler alınarak ve “gizlilik dereceli belgeler” formatında aktarılmalıdır.

Bir Sorunuz Var Mı?