KİŞİSEL VERİLERİN KORUNMASI KANUNU İLKELERİ ÇERÇEVESİNDE TÜRK BORÇLAR KANUNU MADDE 419'A GENEL BİR BAKIŞ

GİRİŞ

İş hayatının komplike yapısı sebebiyle, bu geniş alanın belli kurallara bağlanması kaçınılmaz olmuştur. Zira böylesine önemli bir yer tutan iş yaşamında bireylerin korunmasız bırakılması ise düşünülemezdi[1]. Bilgi ve iletişim teknolojisinde yaşanan gelişmeler sebebiyle bireylerin kişisel bilgilerine kolaylıkla ulaşmanın mümkün olması, bu bilgilerin istenilmeyen kişilerin ellerine geçmesi sonucunu da beraberinde getirmiştir. Zarar görme riskinin yüksekliği karşısında kişisel verilerin korunması diğer alanlarda olduğu gibi iş hukukunda da zaruri hale gelmiştir.

Bireylerin, iş hukuku kapsamında işçilerin kişisel verileri (data, bilgi) kişilik hakları kapsamındadır ve bu veriler özel yaşamın gizliliği içinde yer alırlar[2]. Bu sebeple işçilerin kişisel verileri üzerinde hukuken korunma hakları bulunmaktadır[3]. Aksi halde hukuka uygunluk nedenleri olmadan, bu verilerin işlenmesi kanuna aykırıdır ve bireyin kişilik haklarına saldırı niteliği taşır[4].

İş hukukunda kişisel veriler, işçinin özel yaşamını (mahremiyetini) da içine alan işçi ile doğrudan veya dolaylı olarak ilgili, meslek ve özel yaşamına ilişkin bilgiler, veriler, notlar ve işaretlerdir[5]. Anayasanın 20’inci maddesine göre kişisel veriler ancak kanunda belirtilen hallerde veya işçinin açık rızasıyla işlenebilir.[6] Bu hükümden çıkarılması gereken sonuç kişisel verilerin işlenmesinin yasak olduğudur.

Uluslararası düzenlemeler incelendiğinde, Uluslararası Çalışma Örgütünün (International Labour Organization – ILO) konuya ilişkin bir sözleşme kabul etmediği ancak işçinin kişisel verilerinin korunmasına dair birtakım uygulama ilkeleri belirlediği görülmektedir[7].

Türk hukuk mevzuatında, kişisel verilerin korunması bağlamında, ekonomik olarak işverene bağımlı olan işçiyi koruyucu düzeyde, yeterli düzenlemelerin yapılmadığı görülmektedir. Bu koruma, Anayasa, Türk Borçlar Kanunu, Türk Ceza Kanunu ve İş Kanunu’nda yer alan birtakım düzenlemelerle sağlanabilmektedir. 4857 sayılı İş Kanunu’nun 75’inci maddesinde işverene işçinin özlük dosyasını düzenlemesine yönelik yükümlülük getirilerek sadece bu alanda bir koruma sağlandığı görülmektedir. Bir diğer düzenleme de çalışmamızın konusunu oluşturan Türk Borçlar Kanunu madde 419 düzenlemesidir. Ancak tüm bu düzenlemeler, işçi ile işveren arasında olası uyuşmazlıkları çözecek nitelikte görülmemektedir. Ancak uzun yıllardır beklenen Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde kabul edilmesi ile kişisel veriler ilk defa özel bir kanunla koruma altına alınmıştır.

Veri koruma hukukunun uluslararası ve ulusal düzenlemelere yer alan kurallarının ve temel ilkelerinin iş ilişkisi için de uygulanacağında şüphe yoktur. Ancak bu ilke ve kuralların iş ilişkisinin kendine özgü nitelikleri dikkate alınarak uygulanması azami önem arz eder. Kişisel verilerin korunmasına dair ilke ve kurallar istisnasız herkese uygulanacaktır. Bu sebeple İş Kan.’nun alanı dışında kalan ve TBK’da düzenlenen hizmet sözleşmesi kapsamında kalan işçiler için de uygulanacaktır.

İşçinin iş görme borcu işverenin denetim, gözetim ve yönetim kapsamı içinde yerine getirilmektedir[8]. İşveren yönetim hakkına dayanarak işçinin kişisel verilerini hukuka aykırı olarak toplayamaz ve depolayamaz[9]. Teknolojinin gelişmesi ile birlikte veri toplama tekniklerinin de kolaylaşmasının doğal sonucu olarak, işverenlerin maliyetlerin düşürülmesi, işçilerin performanslarının denetim altına alınması için artan oranda bu uygulamalara yer verdikleri görülmektedir. Nitekim uygulamada, plazalardan fabrikalara, manyetik kartlar veya biyometrik[10] yöntemlerle işçilerin işe giriş – çıkışların kontrol altına alındığı, çalışmalarının kameralarla veya kapalı devre televizyon kayıtları ile izlenerek kayıt altına alındığı, kurumsal casusluğun ya da hırsızlığın önlenmesi için benzer yöntemlere başvurulduğu, işçinin elektronik yazışma ve whatsaap gibi sosyal medya yazışmalarının takip edildiği, telefonlarının dinlendiği görülmektedir[11]. İşyerinde verimliliğin artırılması, hukuka aykırı eylemlerin (hırsızlık, zimmete para geçirme gibi) önlenmesi için başvurulan bu yöntemler çoğu zaman meşru bir zemine dayansa da işçinin açık rızasının alınması gerektiği aşikardır[12].

KVKK uyarınca işçinin açık rızasının alınması halinde kişisel verilerinin işverence işlenebileceği kabul edilmekle birlikte, TBK mad. 419 düzenlemesinin bir hukuka uygunluk nedeni olarak kabul edilen işçinin rızasını belli koşullar dahilinde daralttığı görülmektedir. İncelememizde bu madde düzenlemesinin önemine dikkat çekilerek, iş hukuku uygulamalarında adeta unutulmuş olan bu hükmün önemli detaylarına değinilmiştir.

I. TÜRK BORÇLAR KANUNU MADDE 419 DÜZENLEMESİ

A. Genel Olarak

İş İlişkisinin kendine özgü yapısı, veri koruma konusunda da bu ilişkinin özelliklerini esas alan veri koruma kurallarını gerekli kılmaktadır. Zira iş yaşamında bulundukları konum sebebiyle kişisel verilerin işlenmesi ve depolanması konusunda en çok ihlale uğrayan kesim işçilerdir. Türk Borçlar Kanunu madde 419 bu anlamda mevzuatımızda ilk örnektir. Kişisel verilerin korunmasına dair usul ve esasların kanunla düzenleneceğini belirten Anayasa madde 20, fıkra III’ü karşılar şekilde yapılan bir düzenlemedir[13].

İş hukuku kapsamında işçinin kişisel verilerinin toplanması, işlenmesi işverenler tarafından bazı durumlarda bir kanuni zorunluluktan kaynaklanır[14]. Kişisel verilerin işlenmesi konusundaki usul ve esaslara ilişkin genel ilkeler KVKK’da açıklanmıştır[15].

İş hukuku ile veri hukuku arasında yakın bir ilişki söz konusudur[16]. Bu yakınlık bilimsel ve teknolojik gelişmelere dayalı olarak bilgiye erişimin kolaylaşması, iktisadi değişimlerin getirdiği istihdam modellerinin çeşitlenmesi, işçi ile işveren arasındaki bağımlılığın giderek esnek yorumlanması sebebiyle ortaya çıkan atipik iş sözleşmeleri nedenleriyle giderek kuvvetlenmektedir. Zira işveren uygulamalarının büyük bölümü, işçilerin verilerinin işlenmesi yöntem ve çeşitliliğine dayanır düzeye gelmiştir[17].

Bilgisayar içinde depolanabilen ve çalışma hayatının bir parçası haline gelmiş olan verilerin işveren tarafından işlenmesinde ve kullanılmasında, işçilerin hukuksal olarak korunmaları için sınırlandırmalar yapılması elzem olmuş ve bu amaçla TBK mad. 419 düzenlemesi hayata geçirilmiştir[18]. TBK’da kişisel verilere dair bu hüküm, hizmet sözleşmesine ilişkin düzenlemeler içinde yer almaktadır[19].

Sözü edilen hüküm, kişilik hakkı kapsamında olan kişisel verilerin kullanılmasında önemli düzenlemeler içermektedir. Hizmet ilişkisinin kendine özgü yapısı gereği, işveren karşısında ekonomik olarak zayıf durumda olan işçinin[20] kendisine ait bilgilerin işveren tarafından amacına aykırı işlenmesi tehlikesine sebebiyle kural olarak yasaklanmıştır. Söz konusu madde düzenlemesine göre, işveren işçiye ait verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin yerine getirilmesi için zorunlu olduğu ölçüde kullanabilecektir. Bu yasağa ilgili madde ile iki istisna getirilmiş bulunmaktadır. Buna göre işveren ancak veri kayıt işlemini işçinin yeterliliğinin değerlendirilmesi veya iş ediminin yerine getirilmesi için gerekli ise yapabilecektir[21].

B. Türk Borçlar Kanunu Madde 419 Düzenlemesinin Anlamı

İşverence işçiye ait kişisel verilerin, ancak kanunda sayılan hallerde kullanılabileceğine ve özel kanun hükümlerinin saklı olduğuna dair iki fıkradan ibaret düzenlemenin amacı işçinin kişisel verilerinin kötüye kullanılmasına dair sınırlandırmalar getirmektir[22].

Sözü edilen düzenlemede bahsedile özel kanun Kişisel Verilerin Korunması Kanunu’dur. KVKK işçileri de içine alan ve her kesim için uygulanması gereken genel bir kanundur[23]. Her ne kadar mad’nin yorumlanmasında KVKK’nın öncelikle uygulanacağı yanılsaması ihtimali olsada, burada dikkat edilmesi gereken husus TBK mad. 419 düzenlemesinin işçilerin kişisel verilerinin işlenmesinde özel hüküm niteliği taşıdığıdır. Elbette ki KVKK, Türk Medeni Kanunu (TMK mad. 23 – 25) ve Türk Borçlar Kanunu’nun (TBK mad. 58) kişilik haklarını koruyan genel hükümler karşısında özel kanun niteliği taşımaktadır. Ancak burada önem verilmesi gereken hususun işçilerin kişisel verilerinin işlenmesinde TBK mad. 419, f. 1 hükmünün KVKK karşısında dahi özel hüküm niteliği taşıdığı unutulmamalıdır[24].

TBK 419’uncu mad.’nin gerekçesinde işçilerin yalnız dijital kayıtlarına atıf yapılmış olsa da, dijital veya basılı veri ayrımı olmaksızın madde uygulanacaktır. Diğer taraftan düzenlemede verilerin işlenmesinden değil kullanılmasından bahsedilmektedir. Bu şekli ile madde korumayı sınırlandırmaktadır[25]. Ancak öğretide madde metnindeki “kullanmak” sözcüğünün lafzı ile bağlı kalınmayarak dar yorumlanmaması gerektiği ve geniş anlamda işlenmeyi[26] de içine aldığı kabul edilmektedir[27].

Belirtmek gerekir ki uluslararası düzenlemelerde Kişisel Veri Uygulama Kodu (UÇÖ) ve CM/Rec (2015) sayılı İş İlişkilerinde Kişisel Verilerin İşlenmesi Hakkında Tavsiye Kararı’nda (AKTK), iş ilişkilerinde hukuka uygunluk nedenleri olarak, işçinin yaptığı işin ve/veya görev tanımının niteliğine uygun düştüğü öçlüde veri işlemenin mümkün olduğu, sıklıkla ve açıkça dile getirilmektedir. Hukukumuzda ise, TBK mad. 419, f. 1’de belirtilen, işçinin işe yatkınlığıyla ilgili olma veya sözleşmenin kurulması ve işin ifası için zorunlu olma ölçütleri, hukuka uygunluk nedenleri olarak kabul edilmektedir. Dolayısıyla, KVKK mad. 4’te düzenlenen temel ilkeler, KVKK mad.5’te ve mad.6’da düzenlenen hukuka uygunluk nedenleri, TBK mad. 419 f. 2 çerçevesinde, iş ilişkisinin kendine has özelliklerine uygun düştüğü ölçüde, TBK mad. 419, f. 1 ve İş Kan. Mad. 75, f. 2 ışığında değerlendirilerek, uluslararası düzenlemelerde[28] yer alan temel ilke ve kurallar esas alınarak uygulanmalıdır[29].

TBK mad. 419, f. 1 gereğince, işveren maddede açıklanan iki ayrımdan en az birinin varlığı halinde işçiye ait kişisel verileri işleyebilecektir. Ölçütlerden biri olan işe yatkınlık ile anlatılmak istenen, işçinin istihdam edildiği işi açısından gerekli vasıflar ve aranan yetenekler ve becerileri, işe uygunluğu, yeterliliği, kapasitesine dair verilerdir[30]. Dolayısıyla işveren işçinin performans ve verimliliği ile ilgili verileri işleyebilecektir. İşlenmesi esnasında uygulanan yöntemin veri koruma hukukuna uygun hak, yükümlülük ve sınırlamalara uyulmalıdır. Örneğin, işçinin verimliliği, performansı, kapasitesi ile ilgili kişisel görüş içeren bilgilerin, hakkaniyetli ve adil bir değerlendirmeyle verilmesi, işçinin kişilik haklarına halel getirmemesi gerekir. İşçinin performansının değerlendirildiği ve görüş içeren verilere fiziki olarak ulaşılmasının, düzeltilmesinin, silinmesinin güç olduğu durumlarda mutlaka işçinin bu konu hakkında görüşlerinin alınarak ilgili verilere eklenmelidir. Konunun önemi bakımından, bu verilere bakılarak işçiler hakkında hukuki sonuçlara varılmak istenildiğinde, otomatik performans veri işleme değerlendirmeleri tek dayanak olarak kabul edilmemelidir[31].

TBK mad. 419 f. 1’de yer alan ikinci ölçüt ise; işçiden alınacak verilerin iş sözleşmesinin ifası için zorunlu olmasıdır. Burada düzenlenen hukuka uygunluk nedeni, KVKK mad. 5, f. II, c) bendinde “kişisel verilerin işlenme şartları” kenar başlığı ile düzenlenen ilgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması olarak açıklanan hukuka uygunluk nedeni ile paraleldir[32].

Buna göre örneğin iş sözleşmesi kurulduktan sonra işverenin ücret ödemek için işçinin banka hesap numarası veya sigorta numarasına, işçinin uzmanlık alanlarına göre, eğitim veya kurs sertifikasına, ruhsat, üyelik gibi verilere ulaşması ve işlemesi gerekebilir[33]. Bu durumda iş sözleşmesinin kurulması veya ifasıyla ilgili olması kaydıyla işverenin işçinin açık rızasını almadan verileri işlemesi hukuka uygun olacaktır. Burada dikkat edilmesi gereken konu, işverenin işçinin kişisel verilerini işlemeden, iş sözleşmesi gereğince yerine getirmesi gereken borçları ifa edememesidir. Ayrıca işçinin iş sözleşmesinden doğan borçlarının ifası için de bu verilerin işlenmesi gerekebilir. Örneğin işyerinde işçilerle kolay iletişim sağlanabilmesi için, işçilerin irtibat verilerinin yer aldığı bir veri tabanı oluşturulmak istenebilir Aynı şekilde işverenin personel planlaması çerçevesinde, işçilerin yabancı dil veya muhasebe bilgileri, eğitim durumları, evli veya bekar oluşları, ehliyetlerinin bulunup bulunmadığı gibi bilgilerin işlenmesi iş ilişkisi çerçevesinde gerekli görülebilir[34].

II. TÜRK BORÇLAR KANUNU MADDE 419 KARŞISINDA, AÇIK RIZASININ HUKUKİ DEĞERİ

A. Genel Olarak

Hukuka uygunluk nedenleri, Kişisel Verilerin Korunması Kanunu’nun 5’inci ve 6’ıncı maddelerinde düzenlenmiştir. Bu maddelerde Anayasa madde 20, fıkra 3 ile uyumlu olarak kişinin “açık rızası” genel hukuka uygunluk nedeni olarak kabul edilmiştir[35].

Uluslararası düzenlemelerde rızanın tanımında, kuşkuya yer bırakmayacak şekilde, kişinin kendine ilişkin kişisel verilerin işlenmesini kabul ettiği, ancak bu kabulün özgürce verilmiş olduğu, verinin ancak amacına uygun olarak işlendiği ve bunlarla sınırlı olduğu, önceden yeterli bilgilendirmenin yapıldığı irade açıklaması olduğuna değinilmiştir[36]. KVKK mad. 3, f. 1 (a)’da da, aynı yönde bir ifadeyle, özgür iradeyle açıklanan belirli bir konuya ilişkin bilgilendirme olarak ifade edilmiştir. Kişinin açık rızası KVKK kapsamında geniş bir uygulama alanı bulunmaktadır[37].

Kişisel verilerin işlenmesinin kabul edildiği şeklinde, genel bir ifadeyle, açık uçlu ve belirsiz olarak açık rızanın verilemeyeceği, sadece konu üzerinde değil, rızanın sonuçları üzerinde de bilgilendirmenin yapılmış olması gerektiği kabul edilmektedir. Açık rızanın yasal düzenlemeler saklı kalmak kaydıyla, yazılı şekilde verilmesi zorunlu olmayıp, elektronik ortamda alınması mümkündür[38].

B. Kişisel Verilerin İşlenmesine Yönelik İşçinin Rızası

İş ilişkisi gibi tarafların eşit konumda olmadığı, hiyerarşik bir yapının olduğu ilişkilerde, işçinin işe girmek için veya işini kaybetmemek için kişisel verilerinin işlenmesi için verdiği rızaya kuşkuyla yaklaşmak gerekir. Bu ilişkilerde işçinin onayının herhangi bir baskı altında verilip verilmediğinin itinayla araştırılması gerekir. İşçiye rıza göstermeme seçeneğinin sunulmadığı, rıza gösterilmediğinde kendisi için bir olumsuzluk ihtimalinin bulunduğu hallerde işçinin serbest ve özgür iradesinden bahsedilemeyecektir[39].

Uluslararası düzenlemelerde, iş ilişkisi içinde işçinin onay vermemesi veya vazgeçmesi durumunda, hiçbir olumsuzlukla karşılaşmayacağının kabul edildiği hallerde özgür iradeden bahsedilmektedir[40].

İşverenin ancak iki halde, yani işçinin istihdam edilmek istenen alanda gerekli vasıfları taşıması ile ilgili veya işçinin işini yerine getirmesi için gerekli olduğu durumlarda kişisel verilerinin işlenebileceğine dair TBK mad. 419, f. 1’de düzenlenen bu özel hükmün, iş ilişkilerinde bir hukuka uygunluk nedeni olarak kabul edilen işçinin rızasının uygulama alanını oldukça daraltmış olduğu görülmektedir. İşverenlerin kolaycılığa kaçarak, işçinin rızasını almak suretiyle, veri işleme faaliyetine girişerek bir hukuka uygunluk durumu yaratmaya çalıştıkları gözlemlenmektedir. Ancak bu hiyerarşik yapıda, güç dengesizliği nedeniyle pek çok durum ve koşulda işçinin onay verdiğine dair iradesine hukuki değer atfetmek mümkün görünmez[41]. Nitekim işçinin açık rızasına rağmen, işverence işlenmek istenen veri iş ilişkisi ile bağlantılı değilse, yine işlenemeyecektir. İşçinin açık rızasına şüpheyle yaklaşılan iş ilişkileri için, işverenler KVKK mad. 5, f. 2 ve mad. 6, f. 2’de sayılan diğer hukuka uygunluk sebeplerine dayanabilirler. Bu hukuka uygunluk nedenlerine de ancak TBK mad. 419, f. I çerçevesinde, işçinin işe yatkınlığıyla ilgili olma veya sözleşmenin yerine getirilmesi için gereklilik ölçütleriyle bağdaştıkları düzeyde başvurabileceklerdir.

Nitekim Yargıtay’ın bir kararında; iş akdi işverence İş Kan. mad. 25, f. 2. uyarınca feshedilen işçinin feshin haklı nedene dayanmadığı iddiaları üzerine açmış olduğu davada, işveren savunmasında; işçi ile işveren arasında gizlilik sözleşmesi yapıldığı, bu sözleşme gereğince işçinin şirkete ait iş sırrı niteliğindeki bilgi ve belgeleri sözlü veya yazılı olarak başkaları ile paylaşamayacağı, işyerinde internet kullanımının iş ile sınırlı olduğu, iş haricinde mesajlaşma sitelerine girilmesi halinde şirketin ilgili personelinin haberdar edilmesi gerektiği gibi kuralların işçi tarafından kabul edildiği, ancak işçinin bu kurallara riayet etmeyerek, internet ortamında rakip firmalarla görüştüğü, iş bulma sitelerine girerek iş başvuruları yaptığı, sohbet programlarında zaman harcadığı, bu sebeple işini gerektiği gibi yapmadığı, iş kaynaklarını şirkete yakışır şekilde kullanmadığı, mesai saatlerine riayet etmediği, iş barışını bozduğu, işçiye kullanımı için verilen araç içinde bulunan usb cihazının araç yıkama şirketince bulunduğu, incelendiğinde içinde şirkete ve işçiye ait şahsi bilgilere ulaşıldığı, iş arkadaşlarına şirketi kötüleyerek işinden memnun olmadığına dair bilgilerin yer aldığını, tedbir amaçlı olarak davacını bilgisayarının takip edildiğini ifadelerine yer verilmiştir.

Yargıtay’ın yaptığı incelemelerde ise, TBK mad. 419 hükümleri gerekçe gösterilerek; işverenin savunmaları dosya kapsamında sabit olsa dahi, elde edilen bilgilerin işçinin bilgisayarına yerleştirilen ve klavye yakalayıcı adı verilen özel bir takip programı ile elde edildiğinin anlaşıldığı, işçinin bu izlemeden haberdar olduğu veya bilgilendirildiğine dair somut bir delilin işverence sunulmadığı, davacının rızası hilafına özel veya işe ilişkin olup olmadığına bakılmaksın tüm bilgisayar kayıtlarına günlük olarak ulaşıldığı, davacı işçinin ise kendisine ait kaybolan usb’nin yasaya aykırı olarak ele geçirildiği, bilgisayar ortamında yapmış olduğu tüm haberleşme ve iletişimin bilgisi haricinde kayda alındığı gerekçeleri ile savcılığa suç duyurusunda bulunduğu, işverenin hukuka aykırı olarak elde edilen bilgilerin fesih gerekçesi yapılamayacağı, işverenin yönetim hakkı çerçevesinde işçiyi elektronik ortamda izlemesi ve takip etmesi mümkün olmakla birlikte, bunun için işçinin önceden bilgilendirilmesinin şart olduğu gerekçeleri ile işverenin feshinin haklı sebebe dayanmadığı hükmünü vermiştir[42].

SONUÇ

Türk Borçlar Kanunu’nda hizmet sözleşmesi içinde yer verilen 419’uncu madde hükümleri, hiyerarşik bir yapı içinde çalışan işçi için, veri koruma hukuku açısından son derece önemli düzenlemeler içermektedir.

Her ne kadar Türk Medeni Kanunu (madde 23 – 25) ve Türk Borçlar Kanunu’nunda (madde 58) kişiliği koruyan genel hükümleri karşısında, Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması konusunda özel kanun niteliğinde olsa da, sadece işçileri kapsayan TBK 419 mad. düzenlemeleri KVKK karşısında dahi özel hüküm olma niteliği taşıması açısından önemlidir.

İşverenin işçinin açık rızasına rağmen, işçiye ait kişisel verileri sadece işçinin işe yatkınlığı ile ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabileceği (aynı zamanda işleyebileceği) gerçeği karşısında, KVKK’da genel bir hukuka uygunluk sebebi olan ve uygulama alanı son derece geniş olan işçinin rızasını önemli ölçüde daralttığı görülmektedir.

Nitekim işveren işçinin açık rızası olsa dahi, işçinin kişisel verilerini sadece işe yatkınlığı veya işin ifası ile ilişkilendirdiği ölçüde işleyip kullanabilecektir.

KAYNAKÇA