MEÇ – Hukuk & Danışmanlık

  • info@mecogalan.av.tr
  • ‎+90 216 511 58 93
Facebook Twitter Youtube Instagram
İletişim
Menu

HİZMET SÖZLEŞMELERİNDE KİŞİSEL VERİLER

I.   GENEL OLARAK KİŞİSEL VERİLER

 

Kişisel veriler 6698 sayılı Kişisel Verilerin Korunması Kanunu m.3/1-d bendinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. [1] İlgili maddenin gerekçesinde ise kişisel veri şu şekilde tanımlanmıştır:

 

“Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.”

 

Yukarıdaki kişisel verilerin tanımından yola çıkarak kişisel verilerin gerçek kişilere ait olma, gerçek kişinin kimliğinin belirli yada belirlenebilir olması, her türlü bilginin kişisel veri olabileceği ve kişisel verilerin hassas veri unsurlarının olduğu söylenebilecektir.

6698 sayılı KVKK’nın 6. Maddesinde kişisel veriler tanımına ek olarak özel nitelikteki kişisel veriler sayılmıştır. Bu maddeye göre özel nitelikteki kişisel veriler kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

 

II.   HİZMET SÖZLEŞMELERİNDE/İŞ İLİŞKİLERİNDE KİŞİSEL VERİLER

1.      Mevcut Yasal Hükümler

İç hukukumuzda hangi kanuna tabi olursa olsun iş ilişkilerinde işçilerin kişisel verilerini düzenlemeye yönelik mevzuatlar mevcuttur. Bu mevzuatların en başında T.C Anayasası, KVKK,  Sosyal Güvenlik mevzuatları ve İş Kanunu gelmektedir.

 

A-    Anayasa

Anayasamızın 20. Maddesi özel hayatın gizliliği başlığını ihtiva etmekte olup ilgili maddeye aynen şöyledir:

 

Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.

….

 Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

 

B-    6698 Sayılı Kişisel Verilerin Korunması Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel verilerin ne olduğu kişisel verilerin hangi şartlar altında işlenebileceği düzenlenmiştir. KVKK’nın sadece gerçek kişilerin kişisel verilerini korumasın ve işçinin de gerçek kişi olduğu göz önünde bulundurulduğunda işveren iş akdinin başlangıcında, devamında ve sona ermesinde kişisel verilerin hukuka uygun işlenmesini sağlamakla yükümlüdür.

C-    4857 sayılı İş Kanunu

İş ilişkisinde genellikle uygulanmakta olan İş Kanununda işverene işyeri özlük dosyası tutma yükümlülüğü getirilmiştir. İş Kanunun 75. Maddesinin hükmü aynen şöyledir:

“İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.

 İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”

İş yeri özlük dosyalarında işçinin kişisel verileri yer aldığından ötürü işverenin bu bilgileri KVKK uyarınca işlemesi gerekmektedir.

D-    6098 sayılı Türk Borçlar Kanunu

6098 sayılı Türk Borçlar Kanunun hizmet sözleşmeleri başlıklı 6. Kısımdaki kişisel verilerin kullanılması başlıklı 419. Maddesi aynen şöyledir:

“İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.

Özel kanun hükümleri saklıdır.”

Türk Borçlar Kanunu uyarınca kişisel verilerin kullanılması belirli koşullara bağlı tutulmuştur.  İşçilerin kişisel verileri ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu ise işlenebilecektir.

E-    Sosyal Güvenlik Mevzuatı

Sosyal Güvenlik mevzuatı denilince en başta 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu gelmektedir. İlgili kanunun 78. Maddesinin 2. Fıkrasında sağlık verilerinin gizli olduğu hüküm altına alınmıştır. Buna göre :

“Genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişinin sağlık bilgilerinin gizliliği esastır.”

5510 sayılı Kanunun 78. Maddesinin dışında 5502 sayılı Sosyal Güvenlik Kurumu Kanunun  m. 35/5 ve m. 35/6 maddelerinde ise şu hükümler yer almaktadır:

 

“Kurumca, işverenlerin, sigortalıların, genel sağlık sigortalılarının, emeklilerin, bunların hak sahipleri ile dul ve yetimlerinin ve Kurumdan aylık alan diğer kişilerin bireysel veri ve hakları, bireysel veri ve haklarından oluşan toplu veri ve hakları ile işletmelerin ticari sırları satılamaz ve paylaşılamaz. Kurum bunların dışında sahip olduğu gayri maddi haklarını Yönetim Kurulunun onayı ile satabilir veya paylaşabilir. Bu fıkranın aksine davrananlar hakkında Türk Ceza Kanununun ilgili hükümleri uygulanır.

Kurum, 2886 sayılı Devlet İhale Kanunu hükümlerine tâbi değildir. 2886 sayılı Kanun kapsamına giren işlerde uygulanacak usûl ve esaslar Kurumca çıkarılacak yönetmelikle düzenlenir.”

 

Bu kanuna göre de Sosyal Güvenlik Kurumu tarafından işveren dahil sigortalı olarak anılan işçilerin kişisel verileri hiçbir surette satılamayacaktır.

2. Kişisel Verilerin Uygulamada İşlenmeye Konu Edilmesi

İş ilişkilerinde kişisel veriler sözleşme öncesi sorumlulukta olduğu ilk defa gibi iş görüşmelerinde söz konusu olmaktadır. İşveren tarafından işçinin kişisel verileri gerek görüşme formunda yer alan bilgiler gerekse şifahen sorulan sorular ile işlenmektedir. Bu görüşmelerde işçinin kimlik bilgileri, ikameti, cep telefonu gibi sorular başta olmak üzere işçinin kişisel veriler sorulmakta ve bu bilgilerde KVKK anlamında kişisel veri teşkil etmektedir. [2]

İş görüşmelerinde işçiye daha önceki işyerinde aldığı ücret, hamile olup olmadığı, evlenmeyi düşünüp düşünmediği, mal varlığı durumu ile sorular sorulması da işçinin kişisel verilerinin işlenmesi anlamına gelmektedir. Bu soruların iş görüşmelerinde sorulması ancak işin mahiyetiyle uyuşması halinde mümkün ve hukuka uygun olabilecektir. [3]

İşçinin bilgileri yalnızca iş görüşmesi sırasında değil iş sözleşmesinin devamı süresince de işlenmektedir. İş ilişkisi devam ederken işveren işçi ile ilgili bilgileri mutlak surette gerekli olması halinde kullanabilecektir. Bunun dışındaki durumlarda işçinin işiyle ilgili zorunlu bilgiler değil de özel yaşamını ilgilendiren bilgiler söz konusu ise işveren tarafından veriler hukuka aykırı olarak işlenmiş olacaktır. [4]

3. İş İlişkisinde Kişisel Verilerin İşlenmesine Dair Temel İlkeler ve Hukuka Uygunluk Nedenleri

Kişisel verileri işlemek kural olarak yasak olduğundan bir veri işleyicisinin kişisel verileri işleyebilmesi için mutlaka hukuka uygunluk nedenlerinin olması gerekmektedir. [5] Bu durum KVVK m. 4/1’de “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” Şeklinde ifade edilmiştir. Maddenin devamındaki fıkrada ise kişisel verilerin işlenmesi sırasında uyulması gereken ilkeler sayılmıştır. İlgili fıkra aynen şöyledir:

“Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2. Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

A-    Hukuka ve Dürüstlük Kurallarına Uygun Olma

Hukuka ve dürüstlük kurallarına uygun olma ilkesi 2 parça halinde incelenmesi gerekmektedir. Bunlardan ilki kişisel verilerin hukuka uygun olması ve kişisel verilerin dürüstlük kurallarına uygun işlenmesidir.[6]

Hukuka uygun olma niteliği kişisel verilerin işlenmesinde yasalara ve diğer düzenlemelere uygun hareket edilmesini ifade etmektedir.

Kişisel veriler dürüstlük kuralına uygun olarak işlenmelidir. Dürüstlük kuralına uygun olma ilkesinden anlaşılması gereken veri denetçilerinin veri işleme amaçlarına ulaşmaya çalışırken ilgililerin çıkarlarını ve makul beklentilerini göz önünde tutmaları gerektiği olarak anlaşılabilir.[7] Bu ilkeye göre veri toplayıcısı hakkını kötüye kullanarak amacına aykırı olarak veri toplama ve işleme işlemi yapamayacaktır.

Hukuka ve dürüstlük kuralına uygun olma ilkesi tek başına değerlendirilmesi mümkün olmayıp diğer ilkeler ile birlikte kümülatif olarak değerlendirilmelidir. [8]

B-    Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin doğru olması ve gerektiğinde güncel olması gerekmektedir. Verilerin doğruluğu ve güncelliği ilkesi, kuşkusuz veri işleme faaliyetinin tüm aktörleri bakımından önem taşır. Kişisel verileri toplayan taraf bu verileri belirli bir hedefe ulaşmak için toplamaktadır.[9] Verinin yanlış olması ya da güncel olmaması, veri öznesinin, bu yanlış ya da güncel olmayan verileri işleyen ver denetleyicisinin ya da bu nitelikteki verilerin aktarıldığı üçüncü kişilerin hak ve menfaatlerini olumsuz yönde etkileyecektir. [10]   Örneğin asgari geçim indiriminin doğru hesaplanması bakımından işçinin çocuk sayısı ve eşinin çalışma durumunun güncel olması önemlidir. Bu bilgilerin hatalı olması halinde işçinin ekonomik menfaati zarar görebilir.[11]

C-    Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Verilerin toplanma amacının meşru olması gerekmektedir. Meşru olması için de toplanma amacının yasal bir temele dayanması, bütün yasak gereklilikler ile uyum içinde olması ve veri işlenmesinden kaynaklı çıkar ile dengeli olması gerekmektedir. [12]

Verilerin işlenmesi belirli bir amaca ilişkin olmalıdır. İhtimaller ve halihazırda olmayan amaçlar için veri faaliyeti yapılamayacaktır. [13]

Verilerin işlenmesi amacı ayrıca açık olmalıdır.   Amacın işlemeden önce belirli ve açık olması gereklidir. İşçi için hiçbir şekilde soru işareti kalmadan, tereddütsüz bir şekilde amaç açıklanmalıdır. Veriyi işlerken aynı zamanda bu verilerin hangi amaç ile saklandığı hukuka uygun bir şekilde belirtilmelidir. Bu durumda, söz konusu ilke ile kişisel verilerin toplanması veya işlenmesinde keyfi uygulamaların önüne geçilecektir. İşçiler de verilerinin toplanması sırasında hangi amacın esas alındığını bilerek hareket edeceklerdir. Bu durum karşılıklı güveni temin ederek çalışma düzenini ve barışını koruyacaktır.

Ek olarak, işverenin veriyi belirli, açık ve meşru amaçlarla işlemesi sadece işçiye karşı bir yükümlülüğü değildir. İşveren, Veri Sorumluları Sicil Bilgi Sistemine kayıtta da veri işleme amacını bildirmekle yükümlüdür. Aslında amacın bildirilmesi, aydınlatma yükümlülüğünün de bir parçasıdır.[14]

İş hukukunda işverenlerin kişisel veri topladıkları en belirgin alan hiç şüphesiz ki özlük dosyası tutmaktır. Yukarıda açıkladığımız nedenlerle veri sorumlusu işverenin sadece özlük dosyası tutma yükümlüsü olmasını amaç olarak göstermesinin yeterli olmamalı, hukuka ve dürüstlük kuralına uygun, muğlak ifadelerden kaçınılan ve belirgin olan bir amacın varlığının aranmalıdır.[15]

D-    İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Verilerin daha sonra işlenme amacının toplanma amacı ile uyumlu olması ilkeler ile ulaşılması amaçlanan hukuki yararın gerçekleşmesi içindir. Kişisel verilerin sonraki kullanımlarının toplanma amacına uygun kullanılmaması durumunda ilgili kişinin verileri üzerinde denetimini kaybedeceği de açıktır. [16] İşlendikleri amaç ile bağlantılı ve sınırlı olma ilkesi sadece belirlenen amaçlara uygun işleme yapılacağı anlamına gelmektedir. Bu ilkeye göre işleme amacı için gerekli olan kişisel veri dışında kişisel veri işlenmesine hukuka aykırı olacaktır. Bu duruma ise veri minimizasyonu ilkesi denilmektedir. [17]

Verilerin toplanma amacına aykırı olarak daha sonradan verilerin işlenmesi durumunda veriler hukuka aykırı olarak işlenmiş olacaktır. Örneğin işveren tarafından yapılacak tebligatlarda kullanılmak amacıyla toplanan işçilere ait adres bilgileri bir firmanın ürünlerini posta yoluyla tanıtabilmesi için işveren tarafından verilerin bu firmaya aktarılması şeklinde kullanılmamalıdır.[18]

E-    Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

AB Veri Koruma Yönergesi’nin 6/1-e hükmü uyarınca ilgili kişinin teşhis edilmesine olanak tanıyacak şekilde kişisel verilerin toplandığı veya daha sonra işlendiği amaçlar için gerekli olandan daha uzun süre tutulmaması gerekir. Konuya ilişkin pek çok metinde kabul edilmiş bu ilke kişisel verilerin korunması hukukunu teme değerleri ile yakından ilişkilidir. [19]

Bu ilke veri minimizasyonu ilkesinin zamansal görünümünün bir biçimidir. Bu ilkenin ayrıca düzenlenmesi kanun koyucunun zamansal açıdan da verilerin tutulmasına önem verdiğinin bir göstergesidir. [20]

Kişisel veriler işlendikleri amaçla sınırlı olup bu durum süre açısından da kişisel verileri kapsamaktadır. Verbis kaydı olan veri sorumlularının amaca uygun bir süre belirleyip süre sonunda da kişisel verileri imha politikası oluşturmalıdır. Kişisel verilerin azami saklama süreleri de Verbis’e bildirilmelidir. Bu süreler varsa mevzuatta öngörülen süreler ile hesaplanmakta yoksa işleme amacını göz önünde bulundurularak hesaplanmaktadır. [21]

4.      İş İlişkisinde Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri

6698 sayılı KVKK’nın 5. Maddesinde kişisel verileri hukuka uygun şekilde düzenlemenin şartları düzenlenmiştir. Aynı kanunun 6. Maddesinde ise özel nitelikteki kişisel verilerin işlenme şartları düzenlenmiştir. [22]

A-    Açık Rıza

Kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinden birincisi 6698 sayılı Kanun 5. Maddesi ve 6. Maddesinde ifade edildiği üzere rızadır.  6698 sayılı Kanun m. 5/1 göre “kişisel veriler ile ilgili kişinin açık rızası olmaksızın işlenemez.” ve m. 6/2’e göre “özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Açık rıza olmaksızın yurt içine yahut yurt dışına veri aktarımı yapmak da hukuka aykırılık teşkil edecektir. [23]

Rızanın geçerli olması için açık ve net şekilde işlenme amacına özgü olması “kişisel verilerimin işlenmesini kabul ediyorum.” Şeklinde ucu açık, belirsiz ve genel kapsamlı olmaması gerekmektedir. İşlenme amacı birden fazlaysa rıza her biri için ayrı ayrı verilmeli ve işletme faaliyetleri başlangıçta rıza verirken makul surette öngörülmeyen ve amaç değişikliğine yol açan bir şekilde artacak ve değiştirilecekse veri sahibinin rızasının yeniden istenmesi zorunludur. [24]

Açık rıza belirli bir konuya ilişkin bilgilendirmeye dayalı ve kişinin özgür iradesi ile verilmiş olmalıdır. Bunun şartlar dışında verilen rızadan açık rıza olarak bahsedilemeyecektir.

B-    Kanundaki Açık Düzenlemeler

KVKK m.5/2-a bendine göre veri işleme faaliyetleri kanunda açıkça öngörüldüğü takdirde işçinin açık rızası olmaksızın kişisel verilerinin işlenmesi hukuka uygundur. Yani istisnai bazı durumlarda işçinin açık rızası olmasa dahi kanunlarda açık düzenleme bulunduğundan işçinin bu tür kişisel verilerinin işlenmesi hukuka aykırılığı ortadan kaldıran bir sebeptir. [25]

İşverenin işçinin verilerini zorunlu olan hallerde kullanabileceğine ilişkin TBK m. 419’da da hüküm bulunmaktadır. Maddeye göre “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.”.[26]

C-    Kendisinin ve Başkasının Hayatı veya Beden Bütünlüğü İçin Zorunlu Olması

Fiili imkansızlık nedeniyle kendisinin ve başkasının hayatı ve beden bütünlüğü için veri işlenmesi zorunlu ise verilerin işlenmesi hukuka uygunluk sebebidir. Ancak bu durum sadece genel nitelikteki kişisel veriler için söz konusudur.

İşçinin kaza geçirmesi yahut kendisine ulaşılamaması durumunda hayati ve bedensel bütünlüğünün korunması için gerekli olabilecek olan sağlık verileri KVVK’da öngörülmemiş olduğundan işçinin verileri bu kapsamda işlenemeyecektir. Madde gerekçesinde de ilgili kişiye acil tıbbi müdahale yapılması sırasında kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi verilerin işlenebileceği örnek olarak bu hukuka uygunluk sebebi bakımından verilmiş olsa da hükmün özel nitelikli kişisel veriler bakımından düzenlenmemiş olması sebebi ile bu veriler bakımından uygulanması söz konusu olamayacaktır.[27]

D-    İş Sözleşmesinin Kurulması ve İfasını Doğrudan İlgilendirmesi

KVKK m. 5/2-c maddesi gereğince “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde açık rıza aranmaksızın kişisel veriler işlenebilir. [28]

İşveren bazı hallerde edimlerini yerine getirmek adına işçinin kişisel verilerini işleyebilecektir. Bu hüküm Türk Borçlar Kanununun 419. Maddesi ile eş doğrultudadır. [29]

E-    Hukuki Yükümlülüğün Yerine Getirilmesi İçin Zorunlu Olması

KVKK m. 5/2-ç maddesi gereğince veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” halinde açık rıza aranmaksızın kişisel veriler işlenebilir.[30]

İş ilişkisi açısından bakılacak olursa işveren işçinin maaş hesabı bilgilerini, AGİ ödemesi yapması için çocuk sayısını işlemesi gerekmekte olup bu verileri de dürüstlük ve ölçülülük ilkelerine uygun işlemelidir. [31]

F-     İşçinin Kendisi Tarafından Alenileştirilmesi

KVKK m. 5/2-d gereğince , “ilgili kişinin kendisi tarafından alenileştirilmiş olması” hâlinde açık rıza aranmaksızın kişisel veriler işlenebilir. Madde gerekçesinde “alenileştirme” nin , “kamuoyuna açılma” anlamında kullanıldığı belirtilmiştir. [32] Örneğin, Şirket ve kurumların internet sitelerinde çalışanlara ait ad, soyad, telefon, e-posta veya kısa bir özgeçmiş bilgisinin aleni bir şekilde paylaşıldığı görülür.[33] Bu verilerin internet sitesinde yayınlanabilmesi için ilgili çalışanın rızası gerekir. Ancak, yayınlandıktan sonra bu veriler alenileştirildiği için bu kapsamda işlenmesi mümkündür.

G-   Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması

KVKK m. 5/2-e gereğince “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hâlinde açık rıza aranmaksızın kişiler veriler işlenebilir.[34] İşten ayrılan işçinin kişisel bilgilerinin zamanaşımı süresince saklanması, örnek olarak verilebilir301. İşçinin açtığı alacak davasında, işverenin yıllık izinlerin kullandırıldığını ispat etmek amacıyla izin defterlerini sunması da, bu hukuka uygunluk nedeni içerisinde değerlendirilebilir.[35]

H-   İşverenin Meşru Menfaatleri İçin Zorunlu Olmalı

KVKK m. 5/2-e  gereğince, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması” hâlinde açık rıza aranmaksızın kişisel veriler işlenebilir.

Bu bende göre işlemede işverenin meşru menfaatleri işçinin çıkarları ile çatışmadığı sürece işlenebilecektir. Meşru menfaatine örnek olarak şirket sahibi çalışanlarının haklarına zarar vermemek kaydıyla işletme gerekleri için çalışanlarının verilerini işleyebilecektir. [36]

5. Özel Nitelikteki Kişisel Verilerin İşlenmesi

Kanun koyucu kişilerin bazı verilerini daha çok koruma ihtiyacı olduğundan bahisle bazı veriler için daha sıkı şartlar getirmiştir. Bu verilere kanun koyucu“özel nitelikli kişisel veriler” adını vermiştir. Bu tür verilerin işlenmesi için KVKK m.6’daki koşulların oluşması şarttır.

KVKK m. 6/2 uyarınca özel nitelikteki kişisel verilerin işlenmesi için ilgilinin açık rızasının olması şarttır.

KVKK m. 6/3 ise açık rıza olmaksızın veri işlemede hukuka uygunluk hallerini düzenlemiştir. Buna göre işçinin veya diğer veri sahiplerinin sağlık ve cinsel yaşam dışındaki verileri kişinin açık rızası aranmaksızın işlenebilecektir.

KVKK m. 6 hükmünde sayılan veri türlerinin öngörülen kurallar gerçekleşmeden işlenmesi durumunda, bu veri türlerinin işlenmesi ayrımcılığa sebebiyet veriyorsa, aynı zamanda İK m. 5‟in de ihlali anlamına gelecektir. Önceki bölümlerde açıkladığımız üzere, işçinin sağlık verileri, cinsel yaşamına ilişkin veriler, genetik ve biyometrik veriler ve sendika üyeliğine ilişkin veriler özel nitelikli kişisel verilerdir ve KVKK m. 6 uyarınca öngörülen hukuka uygunluk nedenleri var olmadıkça işlenmeleri mümkün değildir.[37]

 

AŞIKOĞLU, Ş. İ. (2020) , Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri, İstanbul Üniversitesi Hukuk Fakültesi Dergisi, Türk Hukukunun Avrupa Birliği Hukukuna Uyumu Özel Hukuk.

DURSUN, Y. (2021), Kişisel Verilerin Korunması Kanunu Kapsamında İşçinin Korunması (1.Baskı), Ankara, Seçkin Yayınları.

ERDİR YENER, Z. (2021), İşçinin Kişisel Verilerinin Korunması, Yüksek Lisans Tezi, İstanbul Bilgi Üniversitesi Lisansüstü Programlar Enstitüsü.

EKMEKÇİ, Ö. , YİĞİT, E. (2021) , Bireysel İş Hukuku Dersleri (1. Baskı), İstanbul, Onikilevha Yayınları.

GÜLER, Y. (2022),  6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İşçinin Kişisel Verilerinin Korunması, Yüksek Lisans Tezi , İzmir Ekonomi Üniversitesi Özel Hukuk Anabilim Dalı.

GÜRSEL, İ.(2016), İşçinin Kişisel Verilerinin Korunması Hakkı, Doktora Tezi, Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü

HİSLİ, M. E. (2021) , İş İlişkisinde Kişisel Verilerin Korunması, Yüksek Lisans Tezi, Akdeniz Üniversitesi Sosyal Bilimler Enstitüsü.

KUZECİ, E. (2020), Kişisel Verilerin Korunması (4. Baskı), İstanbul, On İki Levha Yayınları.

KUZECİ, E., KILIÇ Ş. (2019), 6698 Sayılı Kişisel Verilerin Korunması Kanununun İş Sözleşmesi Çerçevesinde Değerlendirilmesi: Veri Sorumlusu, Veri İşleyen ve Diğer Aktörler, Legal İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, C. 16, S. 63.

MANAV, E. (2015), İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Ankara Hacı Bayram Veli Hukuk Fakültesi Dergisi, C. 19, S.2.

Örneklerle KVKK Rehberi, s. 15, https://www.kvkk.gov.tr/Icerik/5520/Orneklerle-Kisisel-Verilerin-Korunmasi,  E.T:12.06.2022.

ÖZDEMİR, H.(2010) , İş Yerinde İşçilerin İzlenmesi ve İşçinin Kişilik Haklarının Korunması, Erzincan Üniversitesi Hukuk Fakültesi Dergisi, C.14, S.1-2.

ÖZTÜRK, B., ALTINOK ÇALIŞKAN, E., SEYHAN, S. (2022), Kişisel Verilerin Korunması Hukuku Teorik ve Pratik Çalışma Kitabı (2. Baskı), Ankara, Seçkin Yayınları.

SEVİMLİ, A. (2011), Veri Koruma İlkeleri Işığında Türk Borçlar Kanunu madde 419, Sicil İş Hukuku Dergisi, Y.6, S.24.

TOPRAK, B.(2018), 6698 Sayılı Kişisel Verilerin Korunması Kanunu Işığında İşçinin Kişisel Verilerinin Korunması, Yüksek Lisans Tezi, Ankara Üniversitesi Yıldırım Beyazıt Üniversitesi.

UNCULAR, S. (2018), İş İlişkisinde İşçilerin Kişisel Verilerinin Korunması, Ankara, Seçkin Yayınları.

YÜCEDAĞ, N. (2019), Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, Kişisel Verileri Koruma Dergisi, 2019, C.1, S.1.

 

[1] KUZECİ, E., KILIÇ Ş., 6698 Sayılı Kişisel Verilerin Korunması Kanununun İş Sözleşmesi Çerçevesinde Değerlendirilmesi: Veri Sorumlusu, Veri İşleyen ve Diğer Aktörler, Legal İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, C. 16, S. 63, 2019, s.6

[2] EKMEKÇİ, Ö. , YİĞİT, E., Bireysel İş Hukuku Dersleri, Onikilevha Yayınları, 2021,  s.300.

[3] MANAV, E., İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Ankara Hacı Bayram Veli Hukuk Fakültesi Dergisi, C. 19, S.2, 2015, s. 114.

[4] MANAV, İşçinin Kişisel Verilerinin Korunması, s. 120.

[5] UNCULAR, S., İş İlişkisinde İşçilerin Kişisel Verilerinin Korunması, Ankara, 2018, s. 131.

[6] KUZECİ, E., Kişisel Verilerin Korunması, İstanbul, 2020, s. 229.

[7] TOPRAK, B. , 6698 Sayılı Kişisel Verilerin Korunması Kanunu Işığında İşçinin Kişisel Verilerinin Korunması, Ankara Üniversitesi Yıldırım Beyazıt Üniversitesi, Özel Hukuk Anabilim Dalı Başkanlığı, Yüksek Lisans Tezi, 2018, s. 47.

[8] GÜLER, Y., , 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İşçinin Kişisel Verilerinin Korunması, , İzmir Ekonomi Üniversitesi, Özel Hukuk Anabilim Dalı Başkanlığı, Yüksek Lisans Tezi, 2022, s. 39.

[9] KUZECİ, Kişisel Verilerin Korunması, s. 243.

[10] GÜRSEL, İ., İşçinin Kişisel Verilerinin Korunması Hakkı, Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü, Özel Hukuk Ana Bilim Dalı Başkanlığı , Doktora Tezi, 2016, s.227.

[11] ERDİR YENER, Z., İşçinin Kişisel Verilerinin Korunması, İstanbul Bilgi Üniversitesi, Lisansüstü Programlar Enstitüsü, Hukuk Yüksek Lisans Programı, Yüksek Lisans Tezi, 2021, s. 57

[12] KUZECİ, Kişisel Verilerin Korunması, s. 232.

[13] TOPRAK, Kişisel Verilerinin Korunması, s. 49.

[14] YÜCEDAĞ, N., Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, Kişisel Verileri Koruma Dergisi, 2019, C.1, S.1, s. 52-53.

[15] TOPRAK, Kişisel Verilerinin Korunması, s. 51.

[16] KUZECİ, Kişisel Verilerin Korunması, s. 235.

[17] ERDİR YENER, İşçinin Kişisel Verilerinin Korunması, s. 76.

[18] GÜRSEL, İşçinin Kişisel Verilerinin Korunması Hakkı, s.227; ÖZDEMİR, H., İş Yerinde İşçilerin İzlenmesi ve İşçinin Kişilik Haklarının Korunması, Erzincan Üniversitesi Hukuk Fakültesi Dergisi, C.14, S.1-2, 2010, s.233 vd.

[19] KUZECİ, Kişisel Verilerin Korunması, s. 245.

[20] YÜCEDAĞ, Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, s. 60.

[21] ERDİR YENER, İşçinin Kişisel Verilerinin Korunması, s. 63.

[22] DURSUN, Y. Kişisel Verilerin Korunması Kanunu Kapsamında İşçinin Korunması, Ankara, 2021, s. 69. ;ERDİR YENER, İşçinin Kişisel Verilerinin Korunması, s. 80.

[23] ÖZTÜRK, B., ALTINOK ÇALIŞKAN, E., SEYHAN, S., Kişisel Verilerin Korunması Hukuku Teorik ve Pratik Çalışma Kitabı, Ankara, 2022, s. 67.

[24] UNCULAR, İş İlişkisinde İşçilerin Kişisel Verilerinin Korunması, s. 144.

[25] DURSUN, Kişisel Verilerin Korunması Kanunu Kapsamında İşçinin Korunması, s. 72.

[26] SEVİMLİ, A., Veri Koruma İlkeleri Işığında Türk Borçlar Kanunu madde 419, Sicil İş Hukuku Dergisi, Y.6, S.24, 2011, s. 134.

[27] AŞIKOĞLU, Ş. İ., Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri, İstanbul Üniversitesi Hukuk Fakültesi Dergisi, Türk Hukukunun Avrupa Birliği Hukukuna Uyumu Özel Hukuk, s. 1071.

[28] Madde gerekçesinde, “Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir.” açıklaması mevcuttur.

[29] HİSLİ, M. E., İş İlişkisinde Kişisel Verilerin Korunması, Akdeniz Üniversitesi Sosyal Bilimler Enstitüsü, Özel Hukuk Ana Bilim Dalı, Yüksek Lisans Tezi, 2021, s.50.

[30] Madde gerekçesinde, “Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirket çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.” açıklaması mevcuttur.

[31] HİSLİ,  İş İlişkisinde Kişisel Verilerin Korunması, s.50.

[32] Madde gerekçesinde, “Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.” açıklaması yapılmıştır.

[33] Örneklerle KVKK Rehberi, s. 15, https://www.kvkk.gov.tr/Icerik/5520/Orneklerle-Kisisel-Verilerin-Korunmasi,  E.T:12.06.2022.

[34]Madde gerekçesinde bu bent için, “Bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.” örneği verilmiştir.

[35] HİSLİ,  İş İlişkisinde Kişisel Verilerin Korunması, s.51.

[36] Madde gerekçesine göre, “Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.”.

[37] HİSLİ,  İş İlişkisinde Kişisel Verilerin Korunması, s.53.