Teknolojideki hızlı gelişmeler ve yeniliklerle birlikte, kişilerin bilgilerinin ve kişisel verilerinin depolanması ve paylaşılma olasılığı gün geçtikçe artmaktadır. Bu nedenle kişisel bilgilerin korunma ihtiyacı giderek önem kazanmaktadır. Kişisel verilerin işlenmesi sırasında elde edilen hukuka aykırı veriler günümüzde sıkça karşılaşılan olumsuz bir durumdur. İş ilişkilerinde, işçi ve işveren arasındaki ekonomik dengesizlik nedeniyle, kişisel verilerin korunması konusunda en çok ihlale uğrayan gruplardan biri de işçilerdir.
İş ilişkisinin başından sonuna, hatta sona erdikten sonra bile, işçinin özel nitelikli kişisel verilerinin korunması gerekmektedir. Bu, işverenin işçiyi gözetme borcunun yanı sıra, işçinin kişilik haklarını koruma zorunluluğundan kaynaklanmaktadır. İşveren, işçinin özel nitelikli kişisel verilerinin hukuka veya kanuna aykırı olarak işlenmesi durumunda ortaya çıkan zararı gidermekle yükümlüdür. İşverenin, işçinin kişisel verilerini kanuna uygun bir şekilde işleme yükümlülüğü, iş ilişkisinin her aşamasında geçerlidir. Bu çerçevede, işveren, kişisel verileri işlemeye ilişkin prensiplere uygun olarak, işçinin kişilik haklarını gözeterek ve kimseyle paylaşmadan verileri işlemelidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu uzun bir süre tasarı aşamasında kalmış olsa da, son zamanlarda artan kişisel veri ihlalleri nedeniyle hızlı bir şekilde yürürlüğe girmiştir ve bu yasal düzenleme ile kişinin şahsi, mesleki ve ailevi nitelikleriyle ilgili her türlü bilginin kişisel veri olarak kabul edilmiştir. Veri koruma hukukunun temel amacı, verilerin hukuka aykırı olarak kaydedilmesini önlemek ve bu veriler üzerinde gerçekleştirilen tüm işlemlerin hukuka uygunluğunu sağlamaktır.
Kişisel verilerin işlenmesi için bir hukuki ilişkinin bulunması gerekmektedir. İşçi işveren ilişkisinde, çalışma gereksinimleri doğrultusunda üzerinde durulacak temel ilişki iş sözleşmesidir. İş sözleşmesi, doğası gereği işçi ile işveren arasında bir bağımlılık ilişkisi kurar ve bu durum, işçilere ait kişisel verilerin işverenlerin müdahalesine açık hale gelmesine neden olabilmektedir. Bu nedenle, kişisel verilerin korunması açısından en çok hak ihlaline uğrama ihtimali olan gruplardan biri, işçi ve işveren arasındaki ekonomik dengesizlik nedeniyle işçilerdir. İşverenler, çoğu zaman ekonomik güçlerinden ve bağımlılık ilişkisinden yararlanarak, kendilerine göre zayıf konumda bulunan işçilerin kişisel bilgilerini hukuka aykırı bir şekilde elde edebilir ve depolayabilirler. Bu bağımlılık, sadece ekonomik olarak değil; aynı zamanda hukuki bir üstünlük olarak da kendini gösterir. Zayıf tarafta bulunan işçinin kişisel verilerinin korunmasının önemini arttıran faktörlerden biri de budur.
TÜRK HUKUKUNDA KİŞİSEL VERİ KAVRAMI
Türk Hukukunda kişisel veri kavramına verilen önem, son dönemde fazlasıyla artmış, bu alanda yapılan çalışmalara hız verilmiştir. Kişisel veri, belirli ya da belirlenebilir nitelikteki kişiye ilişkin her türlü bilgidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile bağımsız bir düzenlemeye kavuşan kişisel veriler, Türk Hukukunda çeşitli yasal düzenlemelerde yer almaktadır. Kişisel veriler, kişilik hakkının bir parçası olarak kabul edilmektedir. Kişisel verinin korunmasının amacı verinin kendisini doğrudan korumak değil; verinin ilişkili olduğu gerçek kişinin kişilik hakkını korumak; dolayısıyla veri sahibini de bu yolla korumaktır. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesi veya silinmesi ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. 6698 sayılı Kanun kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamıştır.
İŞÇİNİN KİŞİSEL VERİLERİ
İşçinin kişisel verileri, özlük dosyasında ya da bilgisayar ortamında saklanan bilgi ve belgelerdir. Bu bilgi ve belgeler sadece işçinin mesleki hayatını ilgilendiren bilgi ve belgeler değil zaman zaman özel hayatını da kapsayan bilgi ve belgeler olmaktadır.
Kişisel veriler anayasal düzeyde kişilik hakkının korunması kapsamında 07/05/2010 tarihinde 5982 sayılı Kanun’un 2. maddesiyle Anayasa’nın 20. maddesine eklenen fıkra ile koruma kapsamına alınmıştır. Daha sonra 6698 sayılı Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde kabul edilmiş ve ülkemizde yürürlüğe girmiştir. İşçinin kişisel verilerinin korunması hakkında özel bir kanun bulunmamaktadır. Türk Borçlar Kanunu m. 419’da kişisel verilerin korunmasına ilişkin bir hüküm yer almaktadır. TBK md. 419 “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.” şeklinde düzenlenmiştir. Bunun yanında TBK m. 417 işçinin kişilik haklarını koruyan bir hükümdür.
6698 sayılı Kişisel Verileri Koruma Kanunu ise “kişisel veri” kavramını özel bir kanun olarak düzenlemiştir. Kanunun 1. maddesinde amaç, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak belirtilmiştir. Kanundaki bu hükümden de anlaşılacağı üzere Kanun esasen kişisel verileri korumaktan ziyade kişisel verilerin sahibi olan ilgili kişinin kişiliğini, kişilik haklarını korumayı amaç edinmiştir.
Kişisel veri -belirli veya kimliği belirlenebilir olmak şartıyla- bir kişiye ilişkin bütün bilgileri ifade etmekte olup ad, soyad, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgilerin değil telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgiler, IP adresi, e-posta adresi, alışveriş alışkanlıkları, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin kişisel veri kapsamında olduğu belirtilmektedir.
Kişisel veriler de kişilik hakkının bir parçası olduğundan ilgili madde de kişisel verilerin korunması bakımından göz önüne alınabilir. Bu kapsamda, işçinin kişilik hakkı, şeref ve onuru, sağlığı, fikri ve düşüncesi işveren tarafından korunmalıdır.
Uluslararası hukukta ise kişisel verilerin korunmasına ilişkin ilk düzenleme OECD (Ekonomik İşbirliği ve Kalkınma Örgütü (Organisation for Economic Co-operation and Development -OECD) tarafından yayınlanan “Özel Hayatın Gizliliği ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler” dir. Bu düzenleme, bağlayıcı olmamakla birlikte birçok ülkeye iç hukuk düzenlemeleri sırasında yol gösterici olmuş ve konunun önemini vurgulamak açısından fayda sağlamıştır.
İŞÇİNİN KİŞİSEL VERİLERİNİN KORUNMASI
İş sözleşmesi, işçi ile işveren arasında kişisel ilişki kuran ve güven ilişkisine dayanan bir sözleşme olması nedeniyle, işçinin işverenin ve işyerinin çıkarlarını koruması ve bu çıkarlara zarar verebilecek her türlü davranıştan kaçınması karşılığında, işverenin işçiyi koruması ve gözetmesi gerekmektedir. Verilerin korunması temelde verilerin değil, bu verilerin ilişkili olduğu gerçek kişilerin korunmasını amaçlamaktadır. İş hukukunda kişisel verilerin korunması amacıyla Uluslararası Çalışma Örgütü (ILO) tarafından, 1996 yılında “İşçilerin Kişisel Verilerinin Korunması Hakkında Uygulama Kodu” kabul edilmiştir. Bu kod kişisel verilerin korunması anlamında yol gösterici niteliktedir.
İşçinin kişisel verilerinin işlenmesinde hukuka uygunluk nedenlerinin başında işçinin rızası gelir. İşçi, kendi özgür iradesiyle geçerli bir rıza beyanında bulunursa, işleme hukuka uygun olur. Doktrinde, işçinin rıza beyanını verirken işini kaybetme korkusu ile hür olamayacağını ve bu sebeple somut olaya göre geçersiz rıza hallerinin mümkün olduğu belirtilmektedir. Müdahalenin hukuka aykırılığını ortadan kaldıracak meşru ve gerçek bir nedenin olması gerekmektedir.
İşçinin kişisel verilerinin işlenmesinde bir diğer hukuka uygunluk nedeni “üstün yarar ilkesi” dir. Başka bir hukuka uygunluk nedeni ise sözleşmeden doğar. İşçi ve işveren arasındaki sözleşmenin ifasından dolayı işçinin kişisel verilerini işlemesi zorunlu hale gelebilir. Son olarak, işçinin birtakım haklar elde etmesi veya mevcut haklarını koruması için de işçinin kişisel verilerinin işlenmesi hukuka uygunluk sebebidir.
Sonuç olarak, işçinin kişisel verilerinin yukarıda sayılan hukuka uygunluk nedenleri uyarınca işlenmesi halinde hukuka aykırılık oluşmaz.
İŞÇİNİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN KORUNAMAMASINDAN VE HUKUKA AYKIRI İŞLENMESİNDEN DOLAYI İŞVERENİN SORUMLULUĞU
İş ilişkisinde işçi ve işveren karşılıklı hak ve borç sahibidirler. İşçinin en önemli borcu talimatlara uyma borcu iken işverenin ise işçiyi koruma ve gözetme borcudur. İşverenin talimat verme hakkının karşılığını oluşturan talimatlara uyma yükümlülüğünün sınırını işçinin kişilik haklarına müdahale oluşturmaktadır. İşçinin kişisel verileri de işçinin kişilik hakları ile iç içedir. İşçinin işverenin emir ve talimatları doğrultusunda iş görme borcunu yerine getirmesi, bu anlamda işverene kişisel bağımlılığı, işçinin kişiliğinin korunmasını gerektirir.
İşçiler, kişisel verilerin korunması açısından en çok korunması gereken gruplar arasında yer almaktadır. İşverenler, işe ihtiyaç duyan ve emeği ile geçinen işçilere karşı ekonomik güçlerini kullanarak kişisel bilgilerine hukuka aykırı yollarla ulaşabilmekte ve hatta depolayabilmektedir. Çünkü işçi ve işveren arasındaki yakın ve hiyerarşik ilişki nedeniyle işçi aleyhine ciddi bir dengesizlik söz konusudur. Bu dengesizliğin giderilmesi, yani kişisel verilerin ihlali kapsamında işçilerin işverene karşı korunması ancak işverene sorumluluklar ve yükümlülükler yüklemekle mümkündür.
6698 sayılı Kişisel Verileri Koruma Kanunu’nun yürürlüğe girmesinden sonra işverene yeni yükümlülükler yüklenmiştir. Bu yükümlülükler, veri sorumlusunun yükümlülükleridir. Kişisel Verilerin Korunması Kanunu’nun kişisel verilerin hukuka aykırı olarak işlenmesinden doğan zararlara karşı sorumluluk bakımından ayrı bir hüküm içermemesi nedeniyle bu durumda Kanunun “Kurula Şikayet” başlıklı 14.maddesinin 3.fıkrası uyarınca, “özlük hakları ihlal edilenlerin tazminat hakkı genel hükümlere göre saklıdır” hükmüne göre sorumluluk kapsamında genel hükümlere bakılmalıdır. İşveren, işçinin özel nitelikli kişisel verilerinin korunmamasından dolayı TMK, TBK ve KVKK hükümlerine göre sorumlu olur.
Kişilik hakları zedelenen işçi TMK m.24-25 hükümleri uyarınca saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. İşçi ayrıca maddi ve manevi tazminat isteyebileceği gibi, hukuka aykırı saldırı nedeniyle elde edilmiş olan kazancın vekaletsiz iş görme hükümlerine göre iadesini de isteyebilir.
TBK.m.417/3 uyarınca işçinin kişilik haklarının ihlali nedeniyle oluşacak zararların tazmini sözleşmeden doğan sorumluluk hükümlerine tabidir. Bu bağlamda TBK.m.114’e göre işveren genel olarak her türlü kusurdan sorumludur. İşçi TBK.m.49 ve m.58 uyarınca maddi ve manevi tazminat talebinde de bulunabilir. Kişilik hakkının zedelenmesinden mustarip olan kişi, uğradığı manevi zarar için manevi tazminat adı altında bir miktar para ödenmesini talep edebilir. Zarar, ilgilinin şahsi değerlerinin değil, ilgilinin değerlerinin kaybı şeklinde meydana gelmişse, tarafından korunan hukuki değerlerden biri dahi olsa maddi zararın tazmin edilmesi mümkündür. Ortaya çıkan zarar, ilgilinin kişisel değerlerinin değil de malvarlığına ilişkin değerlerinin eksilmesi biçiminde oluşmuşsa, zarar görenin mülkiyet veya zilyetlik gibi temel koruma normları tarafından korunan hukuki değerlerinden biri ihlâl edilmiş olmasa da maddi zararın tazmini mümkündür. Zira Kişisel Verilerin Korunması Hakkında Kanun, zarar görenin malvarlığını da korumaya yönelik özel bir koruma normu olarak değerlendirilebilir. Dolayısıyla verilerinin hukuka aykırı olarak işlenmesi veya korunamaması nedeniyle müşteri kaybeden veya iş fırsatlarını kaçıran ilgililer, yoksun kaldıkları zararlarının tazminini de isteyebilirler; çünkü söz konusu eylem Borçlar Kanunu’nun 49. maddesinin birinci fıkrası anlamında haksız fiil oluşturur.
İşçi İş K.m.24/II çerçevesinde işverenin davranışı ahlak ve iyi niyet kurallarına uymayan bir fiil niteliği taşıdığı için iş sözleşmesini haklı nedenle feshedebilir. Kişisel verilerinin ihlali nedeniyle sözleşmesini haklı nedenle fesheden işçi, ayrıca tazminat da talep edebilir. İşçi sözleşmeyi fesih hakkını kullanmasa dahi, kişisel verilerinin ihlali nedeniyle uğradığı zararın tazminini iş sözleşmesinin devamında veya sonrasında talep edebilir.
İşverenin, İş Kanunu’nun 75 inci maddesi çerçevesinde kanunlar uyarınca işçi hakkında edindiği bilgileri, istendiği zaman yetkili memur ve mercilere gösterme yükümlülüğünün ihlali halinde kanunda bir yaptırım öngörülmemiştir. Ancak öğretide bir görüşe göre, ikinci fıkrada öngörülen idari para cezası yaptırımı burada da uygulanabilir.
İşçinin kişisel verilerinin işveren tarafından hukuka aykırı kullanımının cezai sonuçları da bulunmaktadır. Türk Ceza Kanunu’nun 132 vd. maddelerinde getirilen düzenlemeler ile bu durum suç olarak düzenlenmiş ve cezai yaptırımlara bağlanmıştır. Bu çerçevede haberleşmenin gizliliğinin ihlali (TCK.m.132), kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması (TCK.m.133), özel hayatın gizliliğini ihlal (TCK.m.134), kişisel verilerin kaydedilmesi (TCK.m.135), verileri yok etmeme (TCK.m.137) suçları ve hapis cezası yaptırımı düzenlenerek, işçinin kişisel verilerinin korunması amaçlanmıştır.
Özgür bir iradeyle kurulan iş sözleşmesinin işveren tarafının bir gerçek veya özel hukuk tüzel kişisi olmasıyla, kamu hukuku tüzel kişisi olması arasında fark bulunmamaktadır. İşverenin bir kamu kuruluşu olması halinde, sözleşmenin diğer tarafı olan çalışan ile yapılan sözleşmenin nitelik itibariyle iş sözleşmesi olması halinde bu çalışanın işçi olarak kabulü gerekir. Ancak iş sözleşmesinin özgür bir iradenin sonucu olarak kurulması gereği nedeniyle, ceza ve tevkif evleri gibi kamu kurumlarında çalıştırılan mahkumların bir iş görme karşılığı ücret alsalar dahi iş sözleşmesi bulunmadığından işçi olarak değerlendirilmeleri mümkün değildir.
İş ilişkilerinde kişisel verilerin ihlalinden kaynaklı manevi tazminat talep edilebilmesi için birtakım şartlar gerekir. Bunlardan ilki, işçinin özel nitelikli kişisel verilerinin sözleşmeye veya işçinin açık rızası olmaksızın işlenmesi sebebiyle kişilik hakkının ihlal edilmesidir. İkinci olarak işçinin, işverenin davranışı sebebiyle manen zarara uğraması gerekir. Üçüncü olarak, işverenin kusurlu olması ile zarar ve işverenin sözleşmeye aykırı davranışı arasında uygun illiyet bağının bulunması gerekir. Örneğin, AIDS hastalığına yakalanmasının işveren tarafından iş arkadaşlarıyla paylaşılması işçide ruhsal üzüntü ve depresyona sebep olmuştur. İşçi, hastalığının bilinmesinden derin elem ve keder duymuş ve kişiliği zarar görmüştür. İşini kaybetmemiş ancak işyerinde huzuru kalmamıştır. İşçi, sağlık ve cinsel sağlık verisinin açık rızası veya hukuka uygunluk nedeni olmaksızın paylaşılmasından doğan bu manevi zararını işverenden talep edebilir. Tüm bunların yanında, KVKK m. 11/ğ (m.11/ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.) ve m.14’e (Kurula şikâyet MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.) dayanarak tazminat davası açmak mümkündür.
Av. Meltem SEDEFOĞLU
KAYNAKLAR
1. BAŞALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004.
2. BEYTAR, E., İşçinin Kişiliğinin ve Kişisel Verilerinin Korunması, OnikiLevha ,İstanbul;2.baskı,2018.
3. ERMUMCU, Senem Değer, Kişisel Verilerin Korunması Kanununun İşverene Yüklediği Sorumluluklar, PAMUKKALE ÜNİVERSİTESİ İŞLETME ARAŞTIRMALARI DERGİSİ (PIAR),2021.
4. GÜRPINAR, Damla, Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk, D.E.Ü. Hukuk Fakültesi Dergisi, Prof. Dr. Şeref ERTAŞ’a Armağan, C. 19, Özel Sayı-2017.
5. KAPLAN TUNCAY, Emine, İş Hukukunda Kişilik Hakları ; AYDINLI, İbrahim, İşverenin Sosyal Temas ve İş İlişkisinden Doğan Edimden Bağımsız Koruma Yükümlülükleri ve Sonuçları, Ankara 2004.
6. KÜZECİ, Elif, Kişisel Verilerin Korunması, Turhan Kitapevi, Ankara 2018.
7. MANAV, A. Eda, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Gazi Üniversitesi Hukuk Fakültesi Dergisi, C. 19, 2015.
8. MANAV, A. Eda ; UNCULAR, Selen: İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Ankara 2014.
9. OKUR, Zeki ; Sevimli Ahmet, İşçinin Özel Yaşamına Müdahalenin Sınırları, Legal Yayınları, İstanbul 2006.
10. OKUR, Zeki: “Türk İş Hukukunda İşçinin Kişisel Verilerinin Korunması Hakkı”, İş Dünyası ve Hukuk-Prof. Dr. Tankut Centel’e Armağan, İstanbul 2011.
11. ÖZER DENİZ, Miray, İşçilerin Özel Nitelikli Kişisel Verilerinin Korunması ve Bundan Doğan Sorumluluk, TAAD, c. 12, 2021.
12. SEVİMLİ, Ahmet, Veri Koruma İlkeleri Işığında Türk Borçlar Kanunu Madde 419, Sicil İş Hukuku Dergisi , 2011.
13. SEVİMLİ, Ahmet, “İşçinin Özel Yaşam Hakkı Bağlamında İşçi-İşveren İlişkisi”, MESS Sicil İş Hukuku Dergisi, Haziran 2008.
