Veri Sorumlusu ve Veri İşleyenin İş Hukuku Kapsamındaki Yükümlülükleri

Kişisel Verilerin Korunması Kanunu ile veri işleme faaliyetlerinin en yoğun kullanıldığı alanların başında İş Hukuku gelmektedir. Öyle ki işçi ve işveren arasındaki iş ilişkisi başlamadan dahi personel adayı ile işe alım sürecinde gündeme gelen ilişkiyle birlikte; veri işleme faaliyeti başlamaktadır. İş ilişkisinin başından sonuna ve hatta iş ilişkisi sona erdikten sonra dahi karşılıklı yükümlülükler kapsamında verilerin korunması hukuku varlığını sürdürmeye devam etmektedir.

11.10.2023 - 12:06 12.10.2023 - 12:51 Okunma Süresi: 7 Dk

Bu kapsamda veri sahibi sıfatındaki işçi ile veri sorumlusu olan işverenin hak, yetki ve sorumluluklarının altının çizilmesi gerekir. Kişisel Verilerin Korunması Kanunu veri sahibini diğer adıyla ilgili kişiyi; ‘’Kişisel verisi işlenen gerçek kişi’’ olarak açıklamış ve bu verileri işleme faaliyetinde bulunan veri sorumlusu; ‘’Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi’’ olarak tanımlamıştır. Bu durumda veri sorumlusunun gerçek kişi, kamu kurumları, şirketler, dernekler veya vakıflar olması mümkün olacak ve veri işleme faaliyeti kapsamında bizzat kendileri ilgili düzenlemelerde belirtilen hukuki sorumluluk altında olacaklardır. Veri işleyen ise; ‘’Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi’’ olarak tanımlanmış dolayısıyla bu kişiler veri işleme faaliyetini, kendisine verilen talimatlar çerçevesinde işleyen ve uygulamada veri sorumlusu ile arasında kişisel veri işlenmesine ilişkin sözleşme bulunan ve buna dayalı olarak yetkilendirilen gerçek veya tüzel kişidir. Eğer ki veri işleyen, veri sorumlusundan aldığı yetki ve talimatların dışına çıkarak kendisi adına veri işlemeye başlarsa bu durumda söz konusu kişisel veriler bakımından, veri işleyen statüsünden çıkarak veri sorumlusu statüsüne evrilecektir.

Aynı zamanda veri sorumlusu ve veri işleyen sıfatlarının aynı gerçek veya tüzel kişi üzerinde toplanacağı söylenebilir. İş hukuku bazında bir örnekle açıklamak gerekirse; bir muhasebe şirketinin kendi iç işleyişinde personelinin özlük bilgilerini işlediği ihtimalde veri sorumlusu sıfatındayken, aynı muhasebe şirketinin başka bir şirketin muhasebe işlerini alması durumunda veri işleyen sıfatında olacağı söylenebilir. Özetle veri işleyen veri işleme faaliyetinin teknik hususlarıyla sınırlıdır, verilerin işlenmesine dair karar alacak olan, veri işleme faaliyetinin amaç ve yöntemini belirleyen kişi her ihtimalde veri sorumlusudur. Dolayısıyla kişisel verilerin toplanması, türleri, işlenme amacı, paylaşımı, saklanma süresi ve ilgili kişinin kullanacağı hakların nasıl sağlanacağı ile bunlara ilişkin yöntemlerin ne olduğu sorusuna kimin cevap vereceği ile veri sorumlusunun tespiti yapılabilecektir. Ayrıca belirtmek gerekir ki, söz konusu hususların veri sorumlusu ve veri işleyenin ortak kararıyla belirlenmesi de aralarındaki sözleşmenin içeriğine göre mümkün olabilecektir.

Veri sorumlusunun; örneğin bir şirket bünyesinde yer alan departman ya da bu departmanda yer alan personel olmadığı önemle belirtilmelidir dolayısıyla bu departmanlarda çalışan personelin veri işleme faaliyeti kapsamındaki herhangi bir uygulaması sebebiyle gündeme gelecek kanuna aykırı bir durumda, bu ihlalden sorumlu olan TBK.m.66 uyarınca yine veri sorumlusu olacaktır. Bu durumda; bir şirketin insan kaynakları departmanının iş başvuru sürecini yönetmek üzere personel adayından topladığı verileri işlemesi durumunda, insan kaynakları departmanı değil tüzel kişiliğe haiz şirket veri sorumlusu olacak ve doğabilecek herhangi bir hukuka aykırılıkta sorumlu olacaktır. Ancak iş kanunu ve diğer mevzuatlarda yer alan şartların oluşması halinde işveren statüsündeki veri sorumlusunun, ihlal sebebiyle personele rücu etme hakkı saklıdır.

İş Hukuku’na ilişkin mevzuatlara bakıldığında, veri sahibi konumundaki işçinin; kişisel verilerinin işlenmesine ve gizliliğine ilişkin düzenlenmelerin yer aldığı görülmektedir. Kişisel Verilerin Korunması Kanunu ile birlikte söz konusu korumanın kapsamı genişletilmiş ve muhtelif kanunlarda düzenlenmeyen hususlara ilişkin boşluklar, kanunla birlikte giderilmiştir. İş Kanunu’nun 75 maddesi; veri sorumlusu konumundaki işverene, çalıştırdığı her işçi için özlük dosyası oluşturma yükümlülüğü getirmiş ve diğer kanunlarda belirtilen hususlara ilişkin bilgi ve belgeleri saklamanın yanında; işçi hakkında edindiği bu verileri hukuka uygun şekilde işlemek ve gizli tutmakla sorumlu kılınmıştır. Bu durum KVKK.m.5/2 kapsamında değerlendirilebilir zira aynı maddenin a bendi uyarınca; kanunlarda açıkça öngörülmesi halinde ve e bendi uyarınca; bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hallerinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenebilecektir. Bu durumda veri sorumlusu statüsündeki işverenin, veri sahibi olan işçinin SGK primi ödeme yükümlülüğünü yerine getirmek üzere, kurumla özlük bilgilerini paylaşması hali hukuka uygun bir veri işleme faaliyeti olacaktır.

Aynı şekilde İş Sağlığı ve Güvenliği Kanunu’nda işverenin sağlık gözetimine ilişkin 15. Maddenin son fıkrasında; İş Sağlığı ve Güvenliği kapsamında işçi hakkında edinilen sağlık verilerinin gizli tutulması yükümlülüğü düzenlenmiş ayrıca İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliğinin 7. Maddesi uyarınca; işverene ilgili kanun kapsamında edinilen tüm kayıtların, işçinin işten ayrılma tarihinden itibaren en az 15 yıl süreyle işçinin sağlık dosyalarının saklanması yükümlülüğü düzenlenmiştir. İşveren, talep edilmesi halinde; yetkili kamu kurum ve kuruluşları ile söz konusu bilgileri paylaşmakla da yükümlü kılınmış olup bu durum KVKK.m.5/2’de düzenlenen veri sahibinin açık rızası aranmaksızın kişisel verilerinin işlenebileceğine dair getirilen istisnalar kapsamında değerlendirilebilecektir zira aynı maddenin b bendi: ‘’ fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması’’ halinde açık rıza aranmaksızın verilerin işlenebileceğini belirtmiştir dolayısıyla iş sağlığı ve güvenliğine ilişkin edinilen bilgilerin bu kapsamda yetkili merciilerle paylaşılması kişisel verilerin işlenme şartlarından birinin sağlanması anlamına gelmektedir.

İş ilişkisi devam ettiği sürece veri sorumlusu konumundaki işveren, işçinin kişisel verilerinin hukuka uygun şekilde kullanılması ve verilerin hukuka aykırı kullanımını önlemek üzere gerekli tüm idari ve teknik tedbirleri almakla yükümlüdür. İşveren, kanunlardan doğan yeki ve yükümlülüklerini yerine getirirken, elde ettiği kişisel verilerin işlenme amacına uygun şekilde hareket etmeli ve amacın dışında herhangi bir veriyi kullanmaktan kaçınmalıdır. Aynı zamanda işlenme amacını, yöntemini ve diğer usulleri belirleyip; gereklilik ve orantılılık ilkelerine bağlı şekilde veri işleme faaliyetini sürdürmelidir. İş Hukuku’nda işverenin yönetim hakkı kapsamında, işçilerin işyerine giriş çıkışlarının denetlenmesi ve bunun manyetik kart okuma, parmak izi, retina taraması vb. yollarla yapılabildiği görülmektedir. Bu ihtimalde denetimin retina taraması veya parmak iziyle yapılması orantısız sayılabilecektir zira denetimin manyetik kart sistemiyle sağlandığı ihtimalde özel nitelikli kişisel veriler kapsamında sayılabilecek diğer yollar orantılılık ilkesine ve dolayısıyla Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil edecektir.

Sadece iş ilişkisi süresince değil; iş başvurusu sırasında işverenin personel adayının iş için uygunluğunu değerlendirmek üzere aldığı bilgi ve belgeleri saklaması; değerlendirme sonucunda verilerin saklanması ihtiyacı ve işlenme amacı ortadan kalktığında kanunda yer verilen uygun bir imha yöntemiyle söz konusu kişisel veriler ortadan kaldırılmalı aynı uygulama iş akdinin sonlanmasından sonrada yapılmalıdır.

Özetle; kişisel verilerin dahil olduğu her alanda olduğu gibi İş Hukuku kapsamında da KVKK’na uygun olarak verilerin işlenmesi zorunludur. Veri sorumlusu konumundaki işveren; işlenme amacının dışında veri işleme faaliyetinde bulunmamakla, depoladığı verilerin hukuka aykırı şekilde işlenmesini önleyecek her türlü teknik ve idari tedbirleri almakla ve buna uygun veri kayıt sistemini oluşturarak orantılılık ve gereklilik ilkelerine uygun şekilde veri işleme faaliyetinde bulunmakla yükümlüdür. İlgili kişi statüsündeki işçi, kişisel verilerin işlenmesine ilişkin kanunlardan doğan haklarını her zaman işverene karşı ileri sürebilecek ve veri işleme faaliyetinden doğan olası zararların gündeme gelmesi halinde, zararın giderilmesi için veri sorumlusuna başvurabilecektir.

Veri sorumlusu ve yerine göre veri işleyen sıfatındaki şirketin; KVKK kapsamında yerine getirmesi gereken yükümlülüklerin başında gelen KVK metinlerinin hazırlanması, işçi ile yapacağı sözleşmeye aydınlatma yükümlülüğü çerçevesinde eklemesi gereken Açık Rıza Formu ve muhtelif maddelerde yapılacak revizyon mevzuata uyum konusunda büyük önem taşımaktadır. Şirketin herhangi bir hukuka aykırılığı önlemek ve mevzuata uyumlu hale getirme yükümlülüğü altında bulunduğu söz konusu alanlarda bir KVK uzmanından ve avukattan alacağı danışmanlık desteği büyük önem taşımaktadır.