GİRİŞ
İŞÇİNİN KİŞİSEL VERİLERİNİN İŞLENDİĞİ UYGULAMALAR
İş ilişkisi süresince işveren tarafından işçiye ait kişisel verilerin işlendiği uygulamalarda işçinin kişisel verilerinin korunması hakkında müdahale meydana gelmektedir. İş ilişkisi sonrasında da işverenin bu verileri silme, yok etme, işyeri içinde ve dışında ifşa etmeme gibi yükümlülüklerine rağmen işçinin kişisel verilerinin risk altında olabileceği durumlar ortaya çıkabilmektedir. Teknoloji ilerledikçe iş ilişkisinde işçinin kişisel verilerinin korunmasına, özel hayatın gizliliğine ve haberleşme özgürlüğüne müdahalenin düzeyi artmaktadır.
Dolayısıyla iş ilişkisinde ve sonrasında kişisel verilerin işlenmesine yönelik gerçekleşen uygulamalar da her zaman ve her koşulda iş ilişkisinin temel özellikleri çerçevesinde ve işçinin korunması ile işçi lehine yorum ilkeleri esas alınarak değerlendirilmeli ve KVKK (Kişisel Verilerin Korunması Kanunu), 108 sayılı Sözleşme, Yenilenmiş 108 sayılı Sözleşme, AİHS (Avrupa İnsan Hakları Sözleşmesi) ve GVKT (27 Nisan 2016 Tarihli ve 2016/679 Sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü) de dahil veri koruma hukukuna ilişkin tüm düzenlemeler iş ilişkisinin kendine özgü niteliklerine uygun düştüğü şekilde uygulanmalıdır.
UÇÖ (Uluslararası Çalışma Örgütü) Kişisel Veri Uygulama Kodu, UÇÖ Alkol ve Uyuşturucu Uygulama Kodu, UÖÇ HIV ve AIDS Tavsiye Kararı, UÇÖ HIV/AIDS Uygulama Kodu ve AKTK başta olmak üzere uluslararası düzenlemelerde sıkça ve açıkça vurgulandığı ve TBK başta olmak üzere ulusal düzenlemelerde yer aldığı gibi, iş ilişkisinde kişisel verilerin işlenmesinin temel dayanağı; işlemenin, işin ve/veya görev tanımının niteliğiyle yakından ilişkili olmasıdır.
İşçinin kişilik hakları işverenin yönetim hakkını sınırlandırmaktadır. Bu sebeple işveren yönetim hakkını TMK m.2 de düzenlenmiş olan dürüstlük kuralına aykırı bir şekilde işçinin kişilik hakkı içinde yer alan kişisel verilerinin hukuka aykırı olarak işlemek için kullanamaz. İşveren İK m.75/2 uyarınca adaya ve işçiye ait kişisel verileri dürüstlük kuralına ve hukuka uygun olarak işlemekle yükümlüdür. İşveren TBK m.419 uyarınca adaya ve işçiye ait kişisel verileri ancak adayın ve işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin kurulması ve ifası için zorunlu olduğu ölçüde işleyebilecektir.
İŞE ALIMDA ve/veya İŞ SÖZLEŞMESİNİN DEVAMINDA GERÇEKLEŞTİRİLEN UYGULAMALAR
İşe alımda ve iş sözleşmesi süresince işveren tarafından toplanan veriler, kişisel verilerin korunmasına ilişkin kural ve temel ilkeler ile öncelikle Anayasa m.90/5 ve TBK m.419’a uygun bir şekilde yapılmalıdır. Ayrıca belirtmek gerekir ki veri koruma hukuku bakımından işçi ile aday arasında hiçbir fark bulunmamaktadır.
1. Soru Sorulması ve Sınırları
İşveren bilgi edinme hakkının uyarınca işe alacağı kişinin işe elverişli olup olmadığını belirlemek için birtakım sorular yöneltebilmektedir. TBK m.419 uyarınca adaya yöneltilecek sorular işin ve/veya görev tanımının niteliği dikkate alınarak hazırlanmalıdır. Aday ise İK m.25/2(a) uyarınca kendine yöneltilen soruları kişisel verilerinin korunması hakkını ihlal etmediği sürece işvereni yanıltmayarak doğru ve eksiksiz cevaplamalıdır. İlgili mevzuata aşağıda yer verilmiştir.
TBK m.419
3. Kişisel verilerin kullanılmasında
İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.
Özel kanun hükümleri saklıdır.
İK m.25/2(a)
İşverenin Haklı Nedenle Derhal Fesih Hakkı
Süresi belirli olsun veya olmasın işveren, aşağıda yazılı hallerde iş sözleşmesini sürenin bitiminden önce veya bildirim süresini beklemeksizin feshedebilir:
…
II- Ahlak ve iyi niyet kurallarına uymayan haller ve benzerleri:
a) İş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek, yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işçinin işvereni yanıltması.
Adayın ve işçinin adı, soyadı, doğum tarihi ve yeri, medeni durumu, yerleşim yeri, eğitim durumu ve dereceleri, mesleki tecrübesi, telefon numarası e-posta adresi, uyruğu, askerlik durumu, yabancı dil bilgisi, özel bilgi ve yetenekleri ve daha önce çalıştığı işyeri gibi kişisel duruma ilişkin soruların sorulması mümkündür.
Medeni duruma ilişkin sorular kişinin evli veya bekar oluşuna ilişkin ve varsa çocuklarının sayısını kapsar. İşin niteliği soruların sınırını oluşturan önemli bir ölçüttür. Örneğin kadın adaya yakında evlenmeyi düşünüp düşünmediği ancak bekar bir işçinin çalışmasını gerektirecek yatılı hasta veya bebek bakımı ya da yatılı temizlik işi gibi bir işe alımda söz konusu olabilir.
Sorulamayacak sorulara sevgilisi olup olmadığı, cinsel hayatı ve yönelimi, boşanmış olup olmadığı örnek verilebilir. Bu tür sorular baştan itibaren geçersiz olduğundan bu sorulara yanlış cevap verilmesi veya verilmemesi hukuki sonuç doğurmayacaktır.
Aday ve işçiden işle yakından ilgili acil ve istisnai durumlar dışında hiçbir şifresi istenemez. Kimlik numarası, işverene kişi hakkında işle ilgili olmayan pek çok kişisel veriye ulaşma olanağı tanıdığından son aşama olan adayın işe giriş bildirgesini belirtmek vb. yasal işlemlerde kullanılmak amacıyla istenilebilir. E-devlet şifresi de aynı özellikten dolayı işveren tarafından talep edilemez.
Adaya: “Başvuruda bulunduğunuz işi yapmaya engel bir hastalığınız var mı? Varsa hastalığın türü nedir?” şeklinde sorular sorulabilir. İşçi işe alım sırasında sağlığı ile ilgili soruya doğru yanıt vermez işvereni yanıltırsa ve bu hastalık iş sözleşmesi sırasında ortaya çıkarsa işveren iş sözleşmesini haklı nedenle feshedebilecektir. İK m.25/1(b)
İK m.25/2(a)
İşverenin Haklı Nedenle Derhal Fesih Hakkı
Süresi belirli olsun veya olmasın işveren, aşağıda yazılı hallerde iş sözleşmesini sürenin bitiminden önce veya bildirim süresini beklemeksizin feshedebilir:
I- Sağlık sebepleri:
…
b) İşçinin tutulduğu hastalığın tedavi edilemeyecek nitelikte olduğu ve işyerinde çalışmasında sakınca bulunduğunun Sağlık Kurulunca saptanması durumunda.
Ancak işin veya görev tanımının niteliğiyle ilgili olmayan şikayetlerinin ya da kronik olmayan eski hastalıklarının sorulması mümkün değildir. Sağlık verileri veri koruma hukukunda özel nitelikli kişisel veri kabul edilmiş olup, KVKK m.6 da sağlanan hukuka uygunluk nedenleri var olsa da, adayın ve işçinin insan hakkı niteliğindeki kişisel verilerinin korunması daha ağır bastığından görev tanımının gerektirmediği ayrıntılı soruların sorulması geçersiz olup adayın ve işçinin doğru cevap verme yükümlülüğünden bahsedilemez.
Uygulamada işe alım sırasında ve sonrasında aday ve işçi açık rıza vermiş ise adayın ve işçinin işe alınacağı veya çalışmakta olduğu pozisyona uygunluğunu tespit etme amacıyla, işverenler sağlık muayenesi talep edebilmektedir.
Kişinin engellilik durumu özel nitelikli kişisel veridir. İK m.30 uyarınca elli veya daha fazla işçi çalıştıran işyerlerinde yüzde üç, kamu işyerlerinde ise yüzde dört oranında engelli bireyin engeline uygun işlerde çalıştırılması zorunlu tutulmuştur. TBK m.419 uyarınca işveren adayın engelli olup olmadığını, öyle ise derecesini sorabilir. Aday da bu sorulara doğru yanıt vermekle yükümlüdür.
İşe alım esnasında kadın adaya yöneltilen hamile olup olmadığına ilişkin soru cinsiyet ayrımına yol açmaktadır. Alman hukukunda kadın işçinin mevcut hamileliğine rağmen gerçeği söylememiş olması kötü niyetli bir davranış olarak değerlendirilmemektedir. Ayrıca ABAD bu tarz soruların cinsiyet ayrımına yol açtığına ilişkin kararlar vermiştir. Türk hukukunda ise bu konuya ilişkin iki görüş mevcuttur. Bir görüş hamileliğin işveren için zorunlu bir külfet yaratması nedeniyle işverenin bu durumu bilmekte haklı menfaati olduğunu ve hamilelikle ilgili sorular sorabileceğini savunmaktadır. Diğer görüş ise işyerinin ve işin niteliği gerektirmediği takdirde hamilelik ile ilgili soru sorulmasının eşitlik ilkesine aykırı olduğundan geçersiz olduğunu savunmaktadır. Ancak işin niteliği adayın ve doğacak çocuğunun sağlığını etkiliyorsa, hamilelikle ilgili soruların doğru yanıtlanması gerekir. Örneğin İK m.72 uyarınca hamile işçilerin maden ocakları ile kablo döşemesi, kanalizasyon ve tünel inşaatı gibi yer altında veya su altında çalışacak işlerde çalışmasını yasaklanmıştır.
İşveren adayın ve işçinin sabıkasına ilişkin soruları sadece işin ve/veya görev tanımının niteliği açısından önemli ise sorabilmektedir. Örneğin banka veznedarına mali suçları, şoföre ise trafik suçları sorulabilir. İK m. 30 uyarınca eski hükümlülerin yeniden topluma kazandırılmaları çerçevesinde de aday işin niteliğiyle ilgisi olmayan sabıkalarını bildirmekle yükümlü değildir. Dolayısıyla işe girmeden önce sabıka kaydının istenmesi söz konusu olmamalıdır çünkü sabıka kaydı adayın bildirmek zorunda olmadığı eski hükümlerini de ortaya çıkarabilir.
İşe alım tamamlandıktan sonra işçinin verdiği bilgilerin doğruluğunu kanıtlayabilmek için işveren güvenlik, çocuk veya hasta bakımı/tedavisi, eğitim ve banka/finans hizmetleri gibi işler ile sınırlı olmak üzere adli sicil belgesi istenebilmelidir.
Anayasa’nın 24,25 ve 67. Maddelerine göre Din ve Vicdan hürriyeti, Düşünce ve Kanaat Hürriyeti ve Seçme, Seçilme ve Siyasi Faaliyette Bulunma Hakkı temel dayanak olduğundan işçiye yöneltilen dini, felsefi veya diğer inançları, siyasi görüşü ya da herhangi bir siyasi partiye üye olup olmadığına ilişkin sorular geçerli değildir.
Bazı koşullarda dini soru sorulabilmektedir. Örneğin işveren, farklı dinlere mensup işçilere dini bayramlarına özel izin kullandırmayı planlamışsa işçilere dini inançları hakkında soru sorabilmektedir.
Anayasa m.51 ve 6356 sayılı kanun m.25 hükümlerine göre sendika özgürlüğü çerçevesinde adaya ve işçiye sendika üyeliği hakkında soru sorulması mümkün değildir. Kişi bu soruya yanlış cevap vermiş ise bu işvereni yanıltma olarak kabul edilmez. Ayrıca işe alım sırasında adayın herhangi bir sendikaya ya da belirli bir sendikaya girmesini engelleyen veya üyesi olduğu sendikadan ayrılmaya zorlayan sözleşmelerin geçerliliği yoktur. UÇÖ Kişisel Veri Uygulama Kodu m.6/6 uyarınca işveren ancak kanun veya toplu iş sözleşmesi kapsamında yükümlü ise işçinin üye olduğu sendikaya veya sendikal faaliyetlerine ilişkin kişisel verilerini toplayabilir.
Aday ve işçiye yöneltilen sorular yeterli gelmediği zaman işveren üçüncü kişiye de soru yöneltebilmektedir. Örneğin, aday veya işçinin eski işvereni bu üçüncü kişilerin başında gelmektedir. İşçi ve adaya yöneltilen sorulardaki kısıtlamalar burada da geçerlidir.
İş başvurusunda bulunan aday eğer başvuruyu yaptığı zaman başka bir iş yerinde çalışıyorsa hali hazırdaki işvereninden bilgi edinebilmek için adayın rızası gerekmektedir. Eğer aday başvuru yaptığında bir işyerinde çalışmıyorsa eski işvereninden bilgi talep edilirken adayın rızası aranmaz. Eski işverenini referans olarak gösterdiğinde rıza verdiği anlaşılır.
Alkol ve uyuşturucu testleri kişinin işe alımı ve devamında belirli aralıklarla ya da rastlantısal bir şekilde uygulanabilen testlerdendir. İşveren işçinin çalışma performansını kötü etkileyen ya da etkileme olasılığı bulunan sebebi öğrenmek ve meydana gelen aksaklıkları ve sıkıntıları ortadan kaldırmak için bu yönteme başvurabilir.
Alkol ve uyuşturucu testlerinin hukuka uygunluğu tartışmalıdır. ABD’de yaygın bir şekilde işyerinde alkol ve uyuşturucu testi yapılmaktadır. Dayanak olarak da organize suçla müdahale ve toplumun uyuşturucudan arındırılması amacı gösterilmektedir. Bu amaçlarından dolayı da Federal Hükümet tarafından desteklenmektedirler.
Bu testler için genel kabul gören hukuka uygunluk nedeni ise işçi sağlığı ve iş güvenliğinden kaynaklanan risklerin en aza indirilmesidir. Örneğin madencilik, taşımacılık, güvenlik, savunma ve enerji gibi yüksek risk oluşturan işçilere alkol ve uyuşturucu testi uygulanması hukuka uygundur. Gereken diğer koşul ise; işçinin performansında düşüklük gözlemlenmesi ve bunun nedeninin alkol ve/veya uyuşturucudan kaynaklandığına dair somut ve kuvvetli şüphe bulunmasıdır. Belçika, Finlandiya, Almanya, Kanada ve İsveç’te alkol ve uyuşturucu testleri yalnızca işin niteliğinin gerektirdiği hallerle sınırlı olmak üzere uygulanabilmektedir.
Vurgulamak gerekir ki bu testler için kişiden alınan idrar, kan ve tükürük gibi biyolojik örnekler başka bir amaç için kullanılmamalı, kişi test öncesinde biyolojik örneğin alınma usulü, testin nasıl gerçekleştirileceği, hangi maddelerin bu test kapsamında inceleneceği, testle ilgili tıbbı riskler ce test sonuçlarının kullanımı gibi konularda bilgilendirilmelidir. Kişinin test sonucuna ulaşması ve itiraz hakkı engellenmemelidir. Son olarak da işveren bu test sonucuna dayanarak bir karar almadan önce kişiye en kısa sürede bildirilmelidir.
Hukukumuzda iş ilişkisinde işçinin kişisel verilerinin alkol ve uyuşturucu testleri ile işlenmesine yönelik doğrudan bir hüküm bulunmamaktadır.
İş Sağlığı ve Güvenliği Kanunu madde 28
Bağımlılık yapan maddeleri kullanma yasağı
(1) İşyerine, sarhoş veya uyuşturucu madde almış olarak gelmek ve işyerinde alkollü içki veya uyuşturucu madde kullanmak yasaktır.
(2) İşveren; işyeri eklentilerinden sayılan kısımlarda, ne gibi hallerde, hangi zamanda ve hangi şartlarla alkollü içki içilebileceğini belirleme yetkisine sahiptir.
İlgili hükmün aksi halinde işveren İK m.25/2(d) uyarınca iş sözleşmesini haklı nedenle derhal feshetme hakkına sahiptir.
İK m.25/2(a)
İşverenin Haklı Nedenle Derhal Fesih Hakkı
II- Ahlak ve iyi niyet kurallarına uymayan haller ve benzerleri:
…
d) İşçinin işverene yahut onun ailesi üyelerinden birine yahut işverenin başka işçisine sataşması (Değişik ibare: 20.06.2012-6331 S.K. m.32/b), işyerine sarhoş yahut uyuşturucu madde almış olarak gelmesi ya da işyerinde bu maddeleri kullanması,
Uluslararası düzenlemeler doğrultusunda bu hükümleri birlikte yorumlarsak işverenin işçi sağlığı ve iş güvenliğinin sağlanması için gereken her türlü önlemi almakla yükümlü olması, riskli görevlerde çalışan işçilerle sınırlı olarak test uygulamasını hukuka uygun hale getirmektedir. Fakat testler yalnızca yüksek risk oluşturan işçilere zor kullanmadan uygulanmalıdır. Bu kişi testi reddederse İK m. 25/2(ı): “İşçinin kendi isteği veya savsaması yüzünden işin güvenliğini tehlikeye düşürmesi,” uyarınca işveren haklı nedenle sözleşmeyi feshedebilir.
HIV vücudun bağışıklık sistemini zayıflatarak AIDS hastalığına yol açmaktadır. AIDS tedavisi mümkün olmadığından ölüme yol açsa da HIV kapan bir kişi, hiçbir AIDS belirtisi olmadan sağlıklı bir şekilde on yıl veya daha fazla yaşamını sürdürebilmektedir. Bu süreçte virüsü başkalarına bulaştırma riski vardır. Fakat havadan, besinlerden veya fiziksel temaslarla bulaşması mümkün değildir.
İşverenler işe alım ve/veya iş sözleşmesinin devamı esnasında sağlık çalışanları başta olmak üzere pek çok kişiye bu testleri yapmak istemektedirler. Gerekçe olarak da HIV taşıyıcısı olanlar için diğer işçilere bulaşabilme, AIDS hastası olanlar için de çalışma kapasitesinin düşmesi ihtimalini göstermektedirler.
Hukukumuzda bu testlerin uygulanmasına yönelik özel bir düzenleme bulunmamaktadır. TBK m. 419 uyarınca işin ve/veya görev tanımının niteliğinin gerektirebileceği istisnai haller dışında adaya ve işçiye HIV/AIDS testinin uygulanması da mümkün değildir. İK m.5 uyarınca iş ilişkisinin her aşamasında HIV taşıyıcısı veya AIDS hastası olan kişilere karşı ayrımcılık yasağı olduğu kabul edilmelidir. Ancak kişinin işe alım sırasında AIDS olduğuna yönelik somut ve kuvvetli şüphenin varlığı, işin ve/veya görev tanımının niteliği gerektiriyorsa HIV/AIDS testi istenmesini haklı kılabilir.
İşe almaya ve sözleşmenin devamına ilişkin kararların adayın ve işçinin genetik yapısına ve genetik test sonucuna göre verilmesi ve iş ilişkisinde genetik test uygulanması hukukumuz bakımından hiçbir şekilde söz konusu olamaz.
İşveren; adayın ve işçinin öğrenme yeteneği, odaklanma yetisi, zekası, becerikliği, strese dayanıklılığı, sosyal ilişkilerdeki başarısı, güvenilirliği ve dürüstlüğü gibi kişilik özellikleri hakkında bilgi sahibi olmak istemektedir. Bu bağlamda yetenek testleri, zeka testleri, ilgi ve mesleki tercih testleri, kişilik testleri ve dürüstlük testleri adı altında birtakım psikolojik testler uygulanmaktadır.
Özel hayatın gizliliğine ve kişisel verilerin korunmasına karşı yoğun müdahaleler içeren kişilik testlerinin güvenilir olmadığı ve iş ilişkisinde tek başına değerlendirilmemelidir. Hukukumuz açısından da özel bir düzenleme bulunmasa da kişilik testlerinin uygulanması TBK m.419, AKTK m.119 ve UÇÖ Kişisel Veri Uygulama Kodu doğrultusunda işle yakından ilgili ve veri koruma hukukunun temel ilkelerine uygun olmasına, uzman kişiler tarafından uygulanıp değerlendirilmesine, testin amacının, yönetiminin ve kapsamının açık, net ve yeterli şekilde işçiye bildirilmiş olmasına ve test sonuçlarının güvenliğinin işverence sağlanmasına bağlıdır.
Mekanik dürüstlük testlerinde kullanılan en yaygın cihaz olan poligraf, kişinin vücudunda meydana gelen değişimleri algılayarak yorumlamaktadır. Poligrafın güvenilirliği tartışmalıdır. Hukukumuzda ise mekanik dürüstlük testlerinin kullanımını doğrudan yasaklayan veya düzenleyen bir hüküm bulunmamaktadır. Kişisel verilerin korunması hakkını ciddi seviyede ihlal eden bir niteliğe sahip mekanik dürüstlük testlerinin en yaygın kullanılan ülkelerde dahi yasaklanması göz önünde tutulursa iş ilişkisinde mekanik dürüstlük testlerine işverenler tarafından hiçbir şekilde başvurulmaması gerekir.
İşçinin çalıştığı oda, masa ve çekmece gibi yerlerin işverene ait olması, işverenin buralarda arama yapmasını hukuka uygun hale getirmemektedir. Bu konuya ilişkin Yargıtay 9. H.D. kararı da bu yöndedir. İşçinin çekmecesinden bulunan ajandadaki kayıtlara dayanışarak işçinin sözleşmesinin feshedilemeyeceği belirtilmiştir.
İşveren işyerinde güvenlik açısından tehlike yaratacak maddelerin işyerine girişinin veya işyerindeki değerli malların izinsiz dışarıya çıkarılmasının engellenmesi gibi sebeplerle işyerine giriş ve çıkışlarla işçinin üstünü aramak isteyebilir. Bu arama güvenlik görevlileri eliyle veya x-ray cihazları vasıtasıyla gerçekleştirilebilir.
İşçinin işyerine giriş ve çıkışlarda üstü ve/veya eşyaları aranmadan önce aramanın nedeni, amacı ve aramaya rıza göstermemesinin sonuçları gibi aramaya ilişkin tüm konular net, anlaşılır ve kapsamlı şekilde açıklanmalı ve ölçülülük, gereklilik, amaca bağlılık ve şeffaflık ilkeleri çerçevesinde hareket edilmelidir.
İşçinin İzlenmesi ve Gözetlenmesi
a. İşçinin Elektronik ve Biyometrik Giriş Kontrol Sistemleri Vasıtasıyla İzlenmesi
İşçinin işyerine giriş ve çıkışlarını, giriş-çıkış sıklığını ve saatini izleyip kontrol etmek ya da kaydetmek işverenin yönetim hakkı kapsamındandır. İşveren bu izlemeyi imza defteri, klasik kart sistemi veya daha pratik ve çok yönlü olan elektronik ve biyometrik giriş kontrol sistemleriyle yapabilmektedir.
İşçiye ait tanıma numarası içeren veya manyetik veya çipli kartlar, kişiye özel olup işçinin kişisel verilerinin işlenmesi suretiyle işyerinde elektronik ve biyometrik vasıtalarla kontrolü sağlamaktadır. Biyometrik giriş kontrol sisteminde işçinin parmak izi, avuç içi, el ve parmak geometrisi, iris, yüz, ayak izi, yürüme, deri, koku, ağırlık, vücut şekli, ses ve/veya retina tanıma/tarama gibi veriler toplanmaktadır. KVKK m.6/1, GVKT m.9/1 ve m.4 uyarınca biyometrik verilerin özel nitelikli kişisel veri olduğu kabul edilmiştir.
Bu biyometrik veriler aşırı müdahaleci olduğundan yüksek düzeyde güvenlik gerektiren ya da bir şirketin önemli projelerinin geliştirildiği ve/veya gizli bilgilerinin muhafaza edildiği bölümlerde örneğin, kamu güvenliği açısından tehlike arz eden atom enerjisi veya kimyasal madde üreten, bilimsel ve/veya teknolojik çalışmaların yapıldığı ya da istihbarat faaliyetinde bulunan ve benzeri nitelikteki işyerlerine biyometrik giriş kontrol sistemlerinin konulması kabul edilebilir.
Ayrıca KVKK m.6/3 kapsamında biyometrik verilerin işlenmesi işçinin açık rızasına veya kanunlarda öngörülen hallerin varlığına bağlı olsa da işleme öncelikle TBK m.419 uyarınca sözleşmenin ifası için zorunlu olduğu ölçüde gerçekleştirilmelidir. İşçinin rızası tek başına hukuka uygunluğu sağlamayacaktır.
Mevzuatımızda parmak izi alma yetkisi CMK m.81 uyarınca Cumhuriyet savcısının emri üzerine yalnızca belirli sınırlar ve şartlar çerçevesinde kolluk kuvvetlerine tanınmıştır. Dolayısıyla işverenin herhangi bir yasal temele dayanmaksızın kendisini kolluk kuvvetlerinin yerine koyarak işçinin parmak izini alması kişisel verilerin korunması hakkının ihlali nedeniyle hukuk aykırıdır.
İlgili kararlara aşağıda yer verilmiştir:
• İl Sağlık Müdürlüğü bünyesinde görev yapan personelin mesai takibinde retina tarama sistemi yönteminin,
• Eğitim ve araştırma hastanesinde parmak izi sistemiyle yürütülen mesai takibi,
• Belediye başkanlığı bünyesinde görev yapan personelin parmak izi sitemiyle yürütülen giriş-çıkış kontrolü,
• Devlet hastanesinde mesai takibinin yüz tarama sistemiyle,
Uygulanmasına ilişkin işlemlerin iptali istemiyle açılan davalarda idare mahkemesi davanın reddine karar verse de Danıştay 12. Ve 5. Daireleri AİHM kararlarındaki benzer gerekçelerle bu kararları bozmuştur.
b. İşçinin İşyeri Dışında Elektronik Yer Belirleme Sistemleri ile İzlenmesi
Günümüzde pek çok işçi işyerinden uzakta çalışmaktadır. Bu gibi durumlarda işveren işçilerin bulunmaları gereken konumları belirleyebilmek ve teyit edebilmek için konum verilerinden yararlanmaktadır. Örneğin, önemli taşıt filoları ile ilgili faaliyette bulunan işverenler sıkça araç izleme teknolojilerini kullanmaktadırlar. Elektronik sistem olan GPS(Küresel Yer Belirleme Sistemi) yaygın bir şekilde kullanılmaktadır.
İşveren yer belirleme sistemiyle işçiyi izlerken aynı zamanda da işçiye ait kişisel verileri de toplamakta ve diğer işleme faaliyetlerinde de kullanabilmektedir. Bu yüzden işlemenin gerekli ve ölçülü olması gerekmektedir. Ayrıca işveren iş aracına izleme cihazının yerleştirildiğine ve aracın kullanılması esnasındaki hareketlerinin ve/veya sürüş davranışlarının kaydedildiğine ilişkin işçileri açıkça bilgilendirmekle yükümlüdür.
İzleme ana amaç değil, sadece üretimi, sağlığı ve güvenliği korumak veya işletmenin etkin faaliyet göstermesini güvence altına almak için gerekli olan eylemin dolaylı sonucu olmalıdır.
c. İşçinin İletişiminin İzlenmesi
i. İşyerinde Bilgisayar, İnternet, E-posta ve Sosyal Medya Kullanımının İzlenmesi
İşveren işyerinde elektronik iletişim araçlarıyla yapılan işi denetleyebilir. İşveren bunun için işyerinde iş e-posta adresinden sadece işle ilgili gönderilen e-postaların gönderilebileceğini veya hem iş hem de özel e-postaların gönderilebileceğini belirlemelidir. Bu kapsamda işyerinde iş e-posta adresinden sadece işle ilgili e-posta gönderilmesine yönelik açık düzenleme bulunması halinde, işçinin iş e-posta adresinden gönderilen e-postalar sadece iş ile ilgili kabul edilecek ve işveren bunların tamamını denetleme ve okuma hakkına sahip olabilecektir. Bu koşullarda dahi özel nitelikli olduğu anlaşılan e-postaların açılması, kaydedilmesi ve okunması mümkün değildir.
İş e-postasının özel kullanım için de kullanımına izin verilmişse işverenin, işçinin özel e-postalarına bakması ve kaydetmesi kural olarak yasaktır. Aksi takdirde işçinin kişisel verilerinin korunması hakkı, özel hayatın gizliliği hakkı ve haberleşme özgürlüğü başta olmak üzere birçok temel hakkı ihlal edilmiş olur. Bu açıklamalar uygun düştüğü ölçüde bilgisayardaki hızlı mesajlaşma, haberleşme ve yazışma programları için de geçerlidir.
İşyerinde işçiye tahsis edilen bilgisayara ilişkin izleme uygulamaları kullanılmaktadır. İşyerinde bilgisayarın özel amaçlı kullanımının tamamen yasaklanması işçinin temel hak ve özgürlüklerini ihlal ederek hakkaniyete aykırıdır. İşçi ayrıma dikkat çekmek için iş ve özel dosyalarını ayırmalıdır. Bilgisayarda suç oluşturacak nitelikteki bilgilerin depolandığına ilişkin somut ve kuvvetli bir şüphenin varlığı halinde, kişisel olarak adlandırılan dosyaların ve belgelerin incelenebilmesi istisnai olarak kabul edilmiştir. Ancak bu incelemenin hukuka uygun olması için de işçinin bu tür izleme uygulamalarından haberdar edilmiş olmasına bağlıdır.
İşyerinde özel amaçlı internet kullanımının tamamen yasaklanması da işçinin temel hak ve özgürlüklerini ihlal ederek hakkaniyete aykırıdır. İşveren işçilere işyerinde internet kullanım imkanı sağladığı için toplu kullanım sağlayıcısı kabul edilmiştir. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun 7. Maddesine göre işveren, “İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik” ile belirlenen tedbirleri almakla yükümlüdür. İlgili yönetmeliğin 4. Maddesi uyarınca işveren: suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sistemini kullanmak ve erişim kaynaklarını elektronik ortamda kendi sistemlerine kaydederek iki yıl süre ile saklamak zorunda olup suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin yanı sıra güvenli internet sistemi de alabilecektir.
İşyerinde internet kullanımıyla bağlantılı olarak sosyal medya kullanımının ve sosyal medya profillerinin izlenmesi de söz konusu olabilmektedir. Sosyal medya uygulamaları iş hayatının işleyişini de önemli ölçüde etkilemektedir. Örneğin LinkedIn gibi uygulamalar temelde mesleki nitelikli sosyal ağları oluşturmakta ve işverenlerin ürünlerini ve hizmetlerini tanıtma amacı olarak da kullanılabilmektedir.
Kamuya açık olup olmaması fark etmeksizin sosyal medya hesabındaki içeriklerin kullanıcının kişisel hesabının içinde yer aldığı ve özerk alanına ait olduğu kabul edilmelidir. Bu yüzden sosyal medyada sosyal medyada paylaşılan içerikler işverenin mülkiyetinde olmayıp bu içeriklere gizlice müdahale edilmesi adayın ve işçinin gizlilik beklentisine ve kişisel verilerin korunması hakkına aykırılık teşkil edecektir.
Bu platformlar sayesinde işverenler adayların ve işçilerin arkadaşları, fikirleri, inançları, ilgi alanları, alışkanlıkları, konumları, tavırları ve davranışları hakkında kolaylıkla bilgi toplamakta ve adayın ve işçinin özel ve aile hayatına ilişkin özel nitelikli kişisel verileri dahil pek çok veri elde etmektedir. Yapılan anketler; ABD’de işverenlerin %90’ının, Avrupa’da ise %30’unun bu verilerden işe alım sırasında yararlandığını ortaya koymaktadır.
KVKK m.28/1(a) uyarınca kişinin sosyal medya hesaplarından yaptığı başta kendisi ile ilgili olmak üzere tamamen kişisel ve ticari çıkar gütmediği paylaşımlara KVKK hükümleri uygulanmayacaktır.
KVKK m.28/1(a)
İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
KVKK m.5/2(d) ve m.28/2(b) uyarınca adayın ve işçinin kamuya açık sosyal medya hesaplarından kendisi tarafından gönüllü olarak alenileştirilmiş kişisel verileri ise açık rıza aranmaksızın işlenebilecek ve aday ve işçi buna karşı yalnızca zararın giderilmesini talep edebilecektir.
KVKK m.5/2(d)
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
…
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
…
KVKK m.28/2(b)
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
…
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
…
Türk Hukukunda işverenin elektronik iletişim araçlarını izleme uygulamalarına ilişkin bir yasal düzenleme bulunmadığından yine işverenin yönetim hakkı ve işçinin kişisel verilerinin korunması hakkı arasında adil bir denge kurulmalıdır. Ayrıca izleme sonucunda toplanan işçiye ait kişisel veriler TBK m.419 ve İK m. 75/2 uyarınca sözleşmenin kurulması ve ifası için zorunlu olduğu ölçüde dürüstlük kuralına ve hukuka uygun şekilde işlenmelidir.
Yargıtay 9. HD’nin 2010 tarihli kararı ile Yargıtay 22.HD’nin 2015 ve 2016 tarihli iki kararında; işverenin kendisine ait bilgisayar ve e-posta adresleri ile bu adreslere gelen e-postaları her zaman denetleme yetkisinin bulunduğunu hükme bağlamışsa da söz konusu denetleme yetkisinin kapsamı ve sınırları hakkında herhangi bir değerlendirme yapılmamıştır.
ii. İşyerinde Telefon Kullanımının İzlenmesi
İşyerindeki sabit telefonla yapılan aramalarda da aranan numara, arama tarihi ve saati, görüşme süresi ve hatta kısmen de ücreti görülebilmekte ve kaydedilebilmektedir. Ayrıca telefonlarda hoparlör imkanı olduğundan telefon görüşmesi karşı tarafın haberi olmadan birçok kişi tarafından dinlenilebilmektedir.
İster iş cep telefonu veya kişisel cep telefonu, isterse sabit iş telefonu olsun mesai saatleri içinde işçi tarafından yaygın kullanımları iş ilişkisinde bazı sorunlar yaratabilecek ve işyerinde telefon kullanımının izlenmesi işçinin kişisel verilerinin toplanmasına yol açacaktır.
İşveren yönetim hakkı çerçevesinde işyerinde sabit iş telefonu, iş cep telefonu ve kişisel cep telefonu kullanılmasının kapsamına ve sınırlarına karar verme yetkisine sahiptir.
Hukukumuz açısından işçinin işyerinde telefon kullanımının izlenmesine yönelik herhangi bir hüküm mevcut olmamakla birlikte, işverenin yönetim hakkı ve işçinin kişisel verilerinin korunması hakkı arasında adil bir dengenin kurulması zorunlu olup işyerinde bilgisayar, internet, e-posta ve sosyal medya kullanımının izlenmesine ilişkin daha önce yapılan açıklamalar burada da geçerlidir.
Teknolojik gelişmelerle birçok kapsamlı izleme araçları ortaya çıkmaktadır. Örneğin, işçinin bilgisayar tuşlarına her dokunuşu kaydedilerek bilgisayarın başında kaldığı süre ve verdiği molalar kolaylıkla anlaşılabilmektedir.
Söz konusu gözetleme uygulaması işçilerin kişilik haklarını en ciddi ve ağır şekilde ihlal etmektedir. Kamera ile gözetleme işçinin davranışlarını görüntülü ve sesli olarak sürekli yakalama imkanına sahip olduğundan işçinin özel hayatının gizliliği ve kişisel verilerinin korunması ile yakından ilişkilidir. Bu itibarla işyerinde kamera ile gözetlemeye dayanan denetim yönetim hakkı kötüye kullanılmadan gerçekleştirilmelidir. Örneğin, mağaza, market, banka gibi işyerlerinde güvenlik ve suç tespiti gibi sebeplerle yerleştirilen kameraların işçiyi en az gören ve kişilik haklarını en az ihlal eden şekilde -örneğin kasa veya vezne ile sınırlı olarak- ayarlanmalıdır.
Ölçülülük ilkesi gereğince gözetlemenin amacı ile gözetleme yönteminin orantılı olması gerekmekte olup her zaman işçinin kişilik haklarına ve kişisel verilerine en az müdahale edecek yöntem seçilmek zorundadır. Ayrıca sürekli ve gizli gözetleme ise çok istisnai hallerin ve belirli koşulların varlığı dışında yasaktır.
Gözetlemenin hukuka uygun olabilmesi için amacının belirli olması, meşru bir nedene dayanması, yeterli, net ve anlaşılır bir bilgilendirmeye dayanması, ölçülülük ve şeffaflık ilkeleri doğrultusunda sınırlı sayıda kişiye uygulanması ve uygun güvenlik önlemleri ile desteklenmiş olması gerekmektedir. İşçilere her zaman toplanan görüntülerin içeriklerini kullanarak savunma yapabilme imkanı sağlanmalıdır. Ayrıca işyerinde çalışan herkes bilgilendirilmeli ve bu bilgilendirme veri sorumlusunun kimliği, gözetlemenin amacı ve hangi durumlarda şirketin şirketin yönetimi tarafından kayıtların inceleneceği, kayıt süresi ve kayıtların kamu makamlarına ne zaman ifşa edileceği gibi adil bir işlemeyi garanti altına alacak gerekli bilgileri içermelidir.
SONUÇ
Teknoloji geliştikçe iş ilişkisinde iş ilişkisinde işçinin kişisel verilerinin korunmasına, özel hayatın gizliliğine ve haberleşme özgürlüğüne müdahalenin düzeyi artmaktadır. İşçiye ait kişisel verilerin işveren tarafından işlenebilmesi ise belirli koşullara dayanmaktadır. Öncelikle iş ilişkisinin temel özellikleri çerçevesinde, işçinin korunması ile işçi lehine yorum ilkeleri esas alınmaktadır. Ayrıca mevzuat olarak da KVKK, 108 sayılı Sözleşme, Yenilenmiş 108 sayılı Sözleşme, AİHS ve GVKT de dahil veri koruma hukukuna ilişkin tüm düzenlemeler iş ilişkisinin kendine özgü niteliklerine uygun düştüğü şekilde uygulanmaktadır.
Uluslararası düzenlemelerde ve TBK da sıkça vurgulanan husus; iş ilişkisinde kişisel verilerin işlenmesinin temel dayanağının; işlemenin, işin ve/veya görev tanımının niteliğiyle yakından ilişkili olmasıdır. İşçinin kişilik hakları işverenin yönetim hakkından kısıtlamaktadır. İşveren İK m.75/2 uyarınca adaya ve işçiye ait kişisel verileri dürüstlük kuralına ve hukuka uygun olarak işlemekle yükümlüdür. İşveren TBK m.419 uyarınca adaya ve işçiye ait kişisel verileri ancak adayın ve işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin kurulması ve ifası için zorunlu olduğu ölçüde işleyebilecektir. Bu genel tanımlara ve düzenlemelere aykırı olarak yapılacak her türlü uygulamanın işçinin kişisel verilerine ve özel hayatına açık bir müdahale oluşturacağı açıktır.
Beril BİLGİLİ
ANKARA
2019
Kaynak:
Kitap: İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Selen Uncular