İş İlişkisinde İşçilerin Kişisel Verilerinin Korunması

Kişisel Veri Kavramı

Kişisel veri; belirli ya da belirlenebilir nitelikteki kişiye ilişkin her türlü bilgidir. Bir kimsenin kimliğine, etnik kökenine, fiziki özelliklerine, sağlık, öğrenim, iş durumuna, bireysel veya aile içi yaşantısına, yerleşim yerine ilişkin bilgiler ile, başkaları ile gerçekleştirdiği haberleşmeler, kredi kartı bilgileri, kişisel düşünce ve inancı, siyasi veya sendikal faaliyetlerine ilişkin bilgileri, mahkumiyet durumu kişisel veri olarak kabul edilir.

İş hukukunda kişisel veri kavramı, bilgisayar ortamında veya özlük dosyalarında saklanan, işçinin özel ve mesleki yaşamını kapsayan, işçiyi doğrudan veya dolaylı ilgilendiren tüm bilgiler, işaretler veya notlardır.

İşçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, tabiiyeti, mahkumiyet durumu, siyasi ya da sendikal faaliyetleri, sağlık ve hastalık durumu, e-posta yazışmaları, dini, ırkı, etnik kökeni, cinsel eğilimi vb. bilgiler korunması gereken kişisel veriler kapsamında yer almaktadır.

Günümüzde gelişen teknoloji ve iş sahası sebebiyle işverenler; işçilerini denetlemek adı altında ses ve görüntü kaydı almakta ancak bunu yaparken bazı temel hakları ihlal etmektedirler. Bunun neticesinde bazı düzenlemeler yapılmış işçilerin kişisel verileri korumaya alınmıştır.

İşçilerin Kişisel Verilerinin Korunması İçin Yapılan Düzenlemeler

Avrupa Birliği Temel Haklar Şartı kişisel verilerin korunması hakkını ayrı bir madde olarak düzenlemiştir. Şartın sekizinci maddesine göre, “Herkes kendisi hakkındaki kişisel verilerin korunması hakkına sahiptir.”

Ayrıca “Bu tür veriler açıkça belirtilmiş amaçlarla dürüst biçimde ve ilgili olduğu kişinin rızası temelinde ya da yasalarca/hukuk tarafından öngörülen diğer meşru temellerle işlenmelidir. Herkes kendisi hakkında toplanmış verilere ulaşım ve düzeltme hakkına sahiptir.”

Denilerek kişisel verilerin korunması hususunda önemli bir adım atmıştır. Keza Birleşmiş Milletler İnsan Hakları Evrensel Beyannamesi, Avrupa İnsan Hakları Sözleşmesi Avrupa Konseyi Tavsiye Kararları ve 108 Sayılı Sözleşme ile adımlar atılmıştır.

Türk hukukunda ise işçinin kişisel verilerinin korunmasının temelleri Anayasa, TMK, TBK, TCK, İŞ K. ve KVKK da atılmıştır. Bu düzenlemeler çerçevesinde işçilerin kişisel verilerinin korunması amaçlanmış olup işveren tarafından ölçüsüz biçimde uygulanabilecek  görüntü ve ses kaydının alınmasının önüne geçilmeye çalışılmıştır.

6331 Sayılı İş Sağlığı ve Güvenliği Kanunu’nun 4. maddesinde; işverenin, çalışanların iş ile ilgili sağlık ve güvenliğini sağlamakla yükümlü olduğu ve bu çerçevede iş yerinde alınan iş sağlığı ve güvenliği tedbirlerine uyulup uyulmadığını izleyeceği, denetleyeceği ve uygunsuzlukların giderilmesini sağlayacağı düzenlenmiştir.

İşverenin çalışanı denetleme hak ve yükümlülüğü çerçevesinde denetimi ne şekilde gerçekleştireceği ve denetim hakkının dayanağı ile sınırları ise Türkiye Cumhuriyeti Anayasası, 4857 sayılı İş Kanunu, 4721 sayılı Türk Medeni Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve taraflar arasında akdedilen iş sözleşmeleri ile belirlenmektedir.

Yukarıda da ifade edildiği üzere, işveren, denetim hak ve yükümlülüğünü teknik olmayan yollarla gerçekleştirebileceği gibi elektronik gözetleme yöntemlerini kullanmak suretiyle de gerçekleştirebilir. Ancak, elektronik sistemler aracılığıyla çalışanların gözetlenmesi, somut durumda gerekli hukuki mekanizmaların kurgulanmamış olması halinde, çalışanın kişilik haklarına müdahaleye sebep olabilmektedir.

Dolayısıyla, işverenin çalışanın kişilik hakkına müdahale niteliğinde olan denetim hakkı kapsamında elektronik gözetleme yapabilmesi, ancak aşağıda belirtilen hukuka uygunluk sebeplerine dayandığı sürece hukuka uygun kabul edilebilecektir.

Elektronik Gözetlemeye İlişkin Hukuka Uygunluk Nedenleri

İşçinin Elektronik Gözetleme İçin Verdiği Rıza

İşverenin işçiyi elektronik gözetlemesine olanak veren hukuka uygunluk sebeplerinden ilki, işçinin elektronik gözetlemeye verdiği rızadır. Anayasa’nın 20. maddesi başta olmak üzere TMK, KVKK ve ilgili mevzuatta kişisel verilerin ancak ilgili Kanunda öngörülen hallerde veya kişinin açık rızası ile işlenebileceği belirtilmiştir.

Herhangi bir şekle bağlı olmayan bu irade açıklaması, açık ve anlaşılır şekilde yapılmalıdır.  Bununla birlikte, işçinin elektronik gözetlemeye geçerli bir şekilde rıza gösterebilmesi için işçinin neyi onayladığı hakkında bilgi sahibi olması ve işverenin bu konuda aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.

Mevzuat İle Verilen Yetkinin Kullanılması

Elektronik gözetlemeyi meşru kılan bir diğer durum, ilgili mevzuat ile işverene verilen hak ve yetkinin kullanılmasıdır. Bu durumda, ilgili mevzuat, işverenin işçiyi denetlemesini bir yükümlülük olarak zorunlu kılmaktadır.

İşverenin Üstün Menfaati

Bir diğer hukuka uygunluk sebebi ise, işverenin üstün menfaatidir. Ancak işverenin işçiyi gözetlemesine ilişkin menfaatinin üstün nitelikli sayılması ve hukuken koruma altında olabilmesi için gözetleme kapsamında belirlenen amaca ve ilgili sınırlara uyulması gerekmektedir.

İşçilerin Görüntü ve Ses Kaydına Alınması

Kişi temel hak ve özgürlüklerine müdahale niteliğinde olan kamera ile gözetleme yöntemi, ölçülülük ilkesine uygun olacak şekilde uygulanmalıdır ve bahsi geçen ilke çerçevesinde, kamera vasıtası ile gözetlemenin işveren tarafından ulaşılmak istenen amaca uygun nitelikle bir önlem olması şarttır.

Bu anlamda ulaşılmak istenen amaca hizmet eden ve temel haklar ile özgürlükler bakımından işçi nezdinde bir ihlale neden olmayan bir yöntemin olması halinde en az müdahaleye sebep olan yöntemin seçilmesi uygun olacaktır.

Bununla birlikte, işverenin denetim hakkı çerçevesinde yapacağı elektronik gözetlemenin TMK ile düzenlenen dürüstlük kurallarına uygun olarak şeffaf olacak şekilde yapılması gerekmekte, yani gizli gözetleme yapılmaması gerekmektedir.

Sürekli ve kesintisiz olarak gerçekleştirilen kamera ile gözetleme uygulaması sebebiyle çalışanlar üzerinde oluşan stres ve baskı oluşabilmekte; dolayısıyla işçinin ruh sağlığının tehlikeye girmesi ve/veya kişinin hareket etme özgürlüğünün kısıtlanması söz konusu olabilmektedir. Bu kapsamda ILO İşçilerin Kişisel Verilerinin Korunması Hakkındaki Uygulama Kodu m.6.14/III’te de işçinin sürekli gözetlenmesinin yasak olduğu vurgulanmıştır. Nitekim buna ilişkin olarak Diyarbakır 1. İdare Mahkemesi tarafından verilen karar uyarınca, Siirt Valiliği’nin çıkarmış olduğu, iş yerlerinin güvenliğinin sağlanmasına ilişkin genelge çerçevesinde Siirt Defterdarlığı tarafından gerçekleştirilen, çalışan memurları direkt ve sürekli gözetleyen kamera sistemi uygulamasının, işçinin özel yaşamının ihlal edildiği gerekçesi ile iptaline karar verilmiştir.

Ancak bu konuyla alakalı en önemli düzenlemeler KVKK da yapılmıştır. KVKK m.4 te kişisel verilerin işlenebilmesi için bazı ilkeler sayılmış ve bu ilkelere uyulma zorunluluğu getirilmiştir. Şöyle ki :

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bunun akabinde KVKK m.11 kapsamında kişisel verileri kaydedilen tarafa bu konuyla alakalı kendisiyle ilgili ;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

hakları da tanınmıştır.

İlgili kişi bu kanunun uygulanması ile ilgili taleplerini yazılı olarak veri sorumlasına iletebilir. Veri sorumlusu başvuruda bulunulan talepleri en geç 30 gün içinde sonuçlandırmakla yükümlüdür.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Ancak önemle belirtmek gerekir ki kurula şikayet yolunu işletebilmek için öncelikle veri sorumlusuna başvurulmalıdır. Bunun yanı sıra bir kişilik hakkı ihlali sebebiyle şikayet yolundan ayrı genel hükümlere göre tazminat davası açılabilir.