Gelişen teknolojiyle birlikte kişiler hakkında oldukça fazla veriye farklı şekillerde ulaşabilmekteyiz. Bu veriler; kişisel veri tanımının altında, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak kişisel veri niteliğini haiz olabilmektedir. Kişisel verilere örnek verecek olur isek kişilerin isimleri, telefon numaraları, adresleri, banka hesap numaraları, maaş bilgileri ve özel nitelikli kişisel veri statüsünde bulunan sağlık raporları, din bilgileri, sendika veya vakıf üyelikleri vb. bilgiler olarak sıralanabilir.
Özellikle çalışma hayatında işverenlerin İş Kanunu, İş Sağlığı ve Güvenliğinin Korunması Hakkında Kanun ve diğer ilgili mevzuat gereğince çalışanlarına ilişkin birçok kişisel veriyi işlemesi, saklaması ve aktarmasına ilişkin yükümlülükleri bulunmaktadır. Bu yükümlülüklerden belki de en önemlisi işverenin özlük dosyası tutmasına ilişkin yükümlülüğüdür. İş Kanunu’nda özlük dosyalarının hangi bilgi ve belgelerden oluşması gerektiğine açıkça yer verilmemiştir. Ancak çalışma hayatını regüle eden diğer kanuni düzenlemelerden ve sektörel gerekliliklerden özlük dosyalarının çerçevesi oluşturulabilmektedir.
Örneğin kimi işyerleri bakımından özel nitelikli kişisel veri olarak değerlendirilen adli sicil kayıtlarının alınması kanunda düzenlenen bir gereklilik olmamakla birlikte kimi işyerleri bakımından da belirli suçları işlemiş kişilerin o mesleği icra edemeyeceği kanunla düzenlenmiş olduğundan adli sicil kaydının istenmesi kanuni bir zorunluluk halini almaktadır.
Her ne kadar işveren-işçi ilişkisinde mevzuattan kaynaklanan sebeplerle birçok verinin işlenmesinin hukuki dayanağı oluşturulmuş olsa da kanuni yükümlülüklerin yanında bir de işverenler tarafından işin yönetimi, işyeri uygulamaları, sektörel gereklilikler gibi sebeplerle de çalışanlara ait birçok veri işlenebilmektedir.
Bu sebeple işverenler tarafından çalışanların kişisel verilerinin kayıt altına alınmasından önce kişisel verinin niteliğine göre kişisel veri veya özel nitelikli kişisel veri işleme şartlarından birinin mevcut olup olmadığı tespit edilmelidir.
Eğer işverenin çalışanına ilişkin işleyeceği veriler KVKK’da öngörülen işleme şartlardan birine dayandırılamıyorsa bu kişisel verinin işlenmesine ilişkin çalışanlarının açık rızasını alması gerekecektir. Ancak bu noktada dikkat edilmesi gereken hususlardan biri de çalışanın açık rızası olsa dahi alınan kişisel veriyle hedeflenen amaç arasındaki dengenin iyi kurulmasıdır. Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından çalışanların açık rızası olsa dahi belirlenen hedefe kişisel veri işlenmeksizin ya da daha az kişisel verinin işlenmesiyle ulaşılabiliyorsa o işyeri uygulamasının ölçülülük ilkesine aykırılık teşkil edeceğine karar verilebilecektir.
Dikkat edilmesi gereken noktalardan bir diğeri ise kişisel verilerin işleme amaç ve vasıtalarını belirlemesi sebebiyle veri sorumlusu sıfatını kazanan işverenlerin işledikleri verilere ilişkin olarak çalışanlarını veri işleme anından önce açık bir şekilde aydınlatmasıdır.
Özellikle, Covid-19 virüsünün de hayatımıza girmesinin ardından birçok işyeri evden çalışma/uzaktan çalışma yöntemlerine başvurmaktadır ve işverenler tarafından iş takibinin sağlanması amacıyla çalışanların kurumsal e-posta hesaplarının, iş bilgisayarlarının daha sıkı takip altında tutulmak istendiği görülmektedir. İşverenler tarafından çalışanların kurumsal e-posta hesaplarının incelenmesi geçmişten günümüze her zaman tartışılagelen bir konu olmuştur.
Anayasa Mahkemesi tarafından geçtiğimiz günlerde çalışanların kurumsal e-posta hesaplarının incelenmesiyle ilgili önemli bir karar verilmiştir. Bu karar uyarınca çalışanların kurumsal e-posta hesapları da çalışanın kişisel verisi olarak değerlendirilmiş ve bu hesapların işveren tarafından önceden bilgilendirme yapılmaksızın incelenmesini Anayasa Mahkemesi kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetini ihlal ettiği sonucuna varmıştır.
Anayasa Mahkemesi’nin vermiş olduğu bu kararda işverenler tarafından çalışanların kurumsal e-posta hesaplarının incelenebilmesi ve olası bir fesihte elde edilen bulgulara dayanabilmesi için kurumsal e-posta hesaplarının incelenebilmesine ilişkin işyerinde çalışanların bilgisi dahilinde bir işyeri uygulamasının bulunması ve kurumsal e-posta hesaplarının incelenebileceğine ilişkin çalışanlara uygun bir aydınlatma yapılmasının önemine vurgu yaptığı görülmektedir.
Anayasa Mahkemesi kararına göre işverenler tarafından yapılacak aydınlatmanın Kanun’da sayılan aydınlatma yükümlülüğünde bulunması gereken hususları haiz olması gerekmektedir. Bu hususlar kararda;
- İletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları,
- Denetlemenin ve veri işlemenin kapsamı,
- Verilerin saklanacağı süre,
- Veri sahibinin hakları,
- Denetlemenin ve işlemenin sonuçları,
- Verilerin muhtemel yararlanıcıları
şeklinde sıralanmıştır. Dolayısıyla işyerinde böylesi bir uygulama var ise çalışanların muhakkak öncesinde bu uygulamaya ilişkin koşullar bakımından uygun bir şekilde aydınlatılması gerekmektedir.
Son olarak değinmekte fayda görülmektedir ki; Anayasa Mahkemesi kararında, yapılan incelemenin kapsamı ile iletişimin denetlenmesi yoluyla çalışanın mahremiyetine ne ölçüde müdahale edildiğinin gözetilmesi gerektiğini yani ölçülülük ilkesine uygun olarak ancak kurumsal e-posta hesaplarının incelenebileceğini vurgulamıştır.
Özetle, işverenler tarafından çalışana ait her türlü verinin işlenmesinden, incelenmesinden, saklanmasından veya aktarılmasından önce kişisel verileri koruma mevzuatına uygun davranıldığından emin olunması gerekmektedir. Aksi takdirde Kurul tarafından idari para cezasına karar verilebilmesi riski doğmakla birlikte işverenin, çalışanlarının kişilik haklarının ihlal edilmesi sebebiyle cezai ve hukuki sorumluluğunun da doğabileceği göz önünde bulundurulmalıdır.
Av. Sinem İLİKLİ
TARLAN – BAKSI AVUKATLIK BÜROSU
AV. AYLİN TARLAN – AV. DERYA BAKSI
Tarlan Avukatlık Bürosu Bloğu 