Özel hayatın gizliliği başlığı altında anayasanın 20. Maddesine getirilen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” ek fıkrasıyla anayasal güvenceye alınmıştır.

TANIMLAR

6698 sayılı Kişisel Verilerin Korunması Kanunu md.3’e göre açık rıza, bilgilendirilmeye dayalı özgür iradeyle açıklanan rızadır. Kişisel veri, kimliği belli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi(dini, mezhebi, ırkı, dernek veya sendika üyeliği, sabıkası, sağlık bilgileri gibi); kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. Veri sorumlusu devlete karşı sorumluluğu bulunan, idari para cezalarının muhatabı kişidir. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi; Bu durumda veri işleyen, veri sorumlusu tarafından yetkilendirilerek verileri kullanır. İşçi, çalıştığı işinden ayrılsa bile eski işveren veri sorumlusu olmaya devam eder. İşçinin şimdiki işvereni, eski işvereninden performans verileri gibi bilgileri talep edebilir.

İŞÇİNİN AÇIK RIZASI

İşveren uygulamaları, işçinin açık rızasına her zaman şüpheyle yaklaşmayı gerektirir. Çoğu zaman toplu şekilde işçilerin işe alınmama veya işten çıkarılma korkusuyla imzaladıkları yazılı beyanlardan ibarettir. İşçinin açık rızası hukuka aykırı davranış için bir gerekçe değil; işverenden beklenen ölçülü davranıştır. Ayrıca işçi, açık rızasını her zaman geri alabilir.

6698 sayılı KVKK madde 6’ya göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kişisel verinin işlenmesi, kanuni bir yükümlülükten kaynaklanıyorsa açık rızaya gerek yoktur.

İşveren, maaşları yatırmak için T.C. kimlik no. , IBAN  bilgilerine ihtiyaç duyuyorsa ayrıca açık rıza şartı aranmaz. Gelir vergisi kanunu asgari geçim indirimi uygulaması gibi kanunda açıkça kişisel veri kullanımına yer verilmişse işçinin açık rızası olmadan bilgiler kullanılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Burada İş Sağlığı ve Güvenliği Kanunu md.15/5 uyarınca sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur hükmünü hatırlatmakta fayda var. 

Biyometrik veriler ve bunlardan en önemlisi parmak izi verisi, işverenin meşru menfaatleri, işin ve işyerinin niteliği, başka çare olmaması durumunda işçinin açık rızasıyla elde edilebilir. Radyasyon riski olan bir iş yerinde, işçinin işe alınırken gebe olup olmadığı sorulabilir. Giriş-çıkışlarda veya güvenliği sağlamada söz konusu yararı başka şekilde elde etmek mümkünken; en ağır yöntemi seçmek ölçülü olmayacaktır.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sahibinin açık rızasıyla birlikte bilgilendirilme hakkı da doğar.

KVKK md.10’a göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgilendirmekle yükümlüdür. İşçi, kullanımına rıza gösterdiği verilerin hangi amaçla kullanılacağını ve bu kullanımın sınırını bilme hakkı vardır. Hukuki sebep konusunda bilgilendirme yükümlülüğü getirilerek keyfiyet önlenmeye çalışılmıştır. İşçi, toplanan bilgiler SGK başvurusu için mi? Özlük dosyası için mi? gibi sorular sorabilir.

Online alışverişlerde paylaştığımız kimlik, adres, kart bilgileri sonucunda alışverişin veya siparişin hangi aşamada olduğunu bilgilendiren mesajlar gönderilmesi de aydınlatma yükümlülüğünün bir gereğidir. Bu yükümlülüğün veri sorumlusu tarafından yerine getirilmemesi halinde bunu talep atma hakkımız bulunmakta. Talepte bulunmamıza rağmen veri sorumlusu gerekli bilgilendirme mesajını, maili, linki veya bildirimi ulaştırdığını iddia ediyorsa, bunu ispat yükümlülüğü vardır.

İŞÇİNİN ÖZLÜK DOSYASINDAKİ VERİLER

İş Kanunu md.75, işverene her işçi için özlük dosyası düzenleme sorumluluğu yükler. Dosyada kanunen gerekli her türlü bilgi ve belge bulundurulur. İşçinin menfaati gereği gizli kalması gereken bilgilerden işveren sorumludur. Bu yükümlülüklerin ihlali halinde İş Kanunu md. 104,  1.200 TL idari para cezası öngörmüş, birçok işveren için caydırıcı bir tutar olmamıştır. İş Sağlığı Ve Güvenliği kanununa göre işyeri hekimi, işçinin sağlık verilerini işler ve bu veriler, işçinin özlük dosyasında saklanamaz.

İŞLE ALAKALI OLMAYAN KİŞİSEL VERİLER

Kişinin işiyle alakalı olmayan verilerin istenmesi, dürüstlük kuralına aykırılığı da beraberinde getirir. İşin niteliğine göre iş sağlığı ve güvenliği bağlamında sorular sorulabilir ancak işçinin, yapacağı işle ilgisi olmayan kişisel verilerin elde edilmesine dair sorulara doğru cevap verme yükümlülüğü yoktur. İşveren, iş görüşmeleri esnasında hakim konumunu kullanarak özel hayatın gizliliği ilkesini ihlal edemez. Örneğin hangi sendikaya üye olduğunu soramaz aksi halde ayrımcılık yasağı da ihlal edilir. Aynı hususlar, iş akdinin devamı süresince de geçerlidir.

YAPTIRIMLAR NELER VE CAYDIRICI MI?

Aydınlatma yükümlülüğü yerine getirilmediği takdirde 5.000-100.000 TL; veri güvenliğine ilişkin hükümler yerine getirilmediğinde 15.000-1.000.000 TL; veri sorumluları siciline kayıt ve bildirim yükümlülüğü yerine getirilmezse 20.000-1.000.000 TL idari para cezaları öngörülmüştür. Çoğu şirket için 5.000 ve 100.000TL gibi yaptırımlar caydırıcı meblağlar değil. Türk Ceza Kanunu 135-139. Maddeleri arasında düzenlenen hapis cezaları ise nispeten daha etkili.

Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Kişinin unutulma hakkının da olduğunu söylemek gerekir.

Bu cezai yaptırımların, kamu görevlilerin ihlalleri halinde ne kadar işlevsel olduğu ise tartışmalıdır.

Stj. Av. Ali Eşsiz

KAYNAK

İŞ İLİŞKİSİNDE İŞÇİNİN KİŞİSEL VERİLERİNİN KORUNMASI A. Eda MANAV -GAZİ HUKUK DERG İC. XIX, Y. 2015