6698 Kişisel Verilerin Korunması Kanunu uyarınca kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. İşçi ile işveren aralarında akdetmiş oldukları iş sözleşmesi ile bağlıdır. Bu sözleşme gereğince işveren, işçinin bazı kişisel verilerini işlemektedir.
6698 Kişisel Verilerin Korunması Kanunu gereğince “Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir.
İşveren, işçinin kişisel verilerini işlerken sınırsız bir şekilde işleyemeyecek hukuka ve kanuna bağlı olacaktır.
İş Kanunu ve KVKK hükümleri dikkate alınarak bu yazımızda işverenin KVKK sorumluluğu ele alınacaktır.
İşverenin KVKK sorumluluğu şu başlıklar altında incelenecektir: İşverenin İşçiye Karşı Aydınlatma Yükümlülüğü, Gizlilik Yükümlülüğü ve Açık Rıza, İşverenin İşçinin Verilerini Koruması, İşverenin İşçinin Verilerini Amaçla Sınırlı ve Ölçülü Olarak İşlemesi
İşverenin İşçiye Karşı Aydınlatma Yükümlülüğü
İşveren, işçinin kişisel verilerini işlerken işçiyi veri işleme durumuna yönelik açıkça aydınlatmalıdır. Bu aydınlatma kişisel verilerin işlenmesine yönelik detaylı, açık ve belirli bir aydınlatma olmalıdır.
Bu hususta 6698 Kişisel Verilerin Korunması Kanunu “veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10.maddesine ve “İlgili kişinin hakları” başlıklı 11.maddesine bakmakta yarar vardır.
MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Bu maddeler de göz önüne alındığında işveren veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işlendiğini, bu verilerin kimlere ve hangi amaçla aktarılacağı, toplama yöntemi ve sebebi, 11 inci maddede sayılan diğer haklar konusunda bilgi vererek aydınlatma yükümlülüğünü yerine getirmelidir.
Gizlilik Yükümlülüğü ve Açık Rıza
İşverenin gizlilik yükümlülüğü ve açık rızaya ilişkin sorumluluğu İş Kanunu ve KVKK hükümlerinde belirtilmiştir. KVKK 3. Madde de “Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” şeklinde tanımlanmıştır. KVKK da kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü kişisel veriler KVKK’daki istisnalar saklı kalmak koşuluyla açık rızaya bağlanmıştır.
İş Kanunu’nun 75.maddesinin 2.fıkrası gereğince “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”
Dolayısıyla İşveren kanunlara uygun ve açık rıza ile elde ettiği bilgileri muhafaza etmelidir.
İşverenin İşçinin Verilerini Koruması
Bu başlık altında KVKK’nın “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12.maddesine bakmakta yarar vardır.
MADDE 12- (1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Bu maddeden de anlaşılacağı üzere işveren kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile sorumlu olmaktadır.
İşverenin İşçinin Verilerini Amaçla Sınırlı ve Ölçülü Olarak İşlemesi
İşveren hem iş sözleşmesi öncesi hem de iş ilişkisi devam ederken işçinin kişisel verilerini işlemektedir. İşveren genellikle iş sözleşmesi öncesinde işçinin işe uygunluğunu ölçmek adına birtakım kişisel veriler talep etmektedir. İş ilişkisi devam ederken de işveren işe giriş çıkış kayıtları, yerleşim yeri, kimlik bilgileri gibi kişisel verileri işlemektedir.
İşverenin işçiye yönelik işlediği tüm verileri amaçla sınırlı ve ölçülü olarak işlemesi gerekmektedir.
Bu kapsamda KVKK’nın “Genel ilkeler” başlıklı 4. Maddesine bakmakta yarar vardır.
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu kapsamda işveren işçinin kişisel verilerini işlerken; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyması gerekmektedir.