top of page
  • Stj. Avukat Öykü AKYÜZ

İŞÇİLERİN ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİNİN KORUNMASI

Güncelleme tarihi: 14 Eki 2023


İŞÇİLERİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN KORUNMASI


İçindekiler



GİRİŞ


Tüm hukuki ilişkilere kıyasla iş ilişkisi, bağımlılık unsuru içermektedir. İş ilişkisinin kurucu unsurlarındna biri olan bağımlılık, iş sözleşmesinin kuruluş anında doğmaktadır. Bu bağımlılık, işçinin özel nitelikli kişisel verilerinin korunması önemi ve gerekliliğini artırır. İş sözleşmesinin çoğu sözleşmeye nazaran süreklilik teşkil etmesi, taraflar arasında eşitlik olmaması ve bir tarafın diğerine ekonomik ve hukuki olarak bağımlı olması durumu işçinin işverene karşı korunması zorunluluğunu doğurur. İşçinin işverene karşı korunması kapsamında, işçinin kişisel verilerinin korunması da gerekmektedir.


1. İŞ HUKUKUNDA KİŞİSEL VERİ


İş hukuku kapsamında işçinin kişisel verilerinin işlenmesi ve aktarılması çoğu zaman bir gereklilik halidir. İlgili işi yapacak işçiye dair birtakım bilgilere işverence sahip olunması çoğu zaman işin niteliğinden de kaynaklanmaktadır. Öyle ki işin niteliğine göre değişmekle birlikte; işçinin kimlik numarası, yaşı, eğitim durumu, sürücü belgesi bilgileri, iş tecrübeleri, iletişim bilgileri gibi temel bilgiler iş ilişkisinin kurulması ve işçinin ilgili işe uygunluğunun test edilmesi açısından zaruridir. Ayrıca bazı hallerde yine işin niteliği sebebinden doğan bazı kanuni zorunluluklar sebebi ile; sabıka kaydı veya sağlık raporu gibi birtakım verilerin de işverence elde edilmesi gerekir.


Anlaşılmaktadır ki, iş ilişkisinde işçinin kişisel verilerinin işlenmesi; işe alım, ücretlendirme ve bazı hakların kullanımı, iş sağlığı ve güvenliği gibi konular açısından kaçınılmazdır. Bunun yanında işverence işçinin kişisel verilerinin işlenmesi durumu zaruri hallerle sayılı kalmalı ve bu veriler, kişisel verilerin işlenmesine ilişkin kanuni sınırlar çerçevesinde, bu ilkelere uygun biçimde, kişisel haklar gözetilerek işlenmelidir.


2. TÜRK HUKUKU ÇERÇEVESİNDE İŞÇİLERİN ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİNİN KORUNMASI


Her geçen gün dünya çapında önemini artıran kişisel veriler, kişilik hakkının bir parçası olarak kabul edilmektedir. Kişisel verilerin korunmasındaki amaç; verinin kendisinin değil, verinin sahibi olan gerçek kişinin korunmasıdır. Kişilik hakkının bir parçası olması sebebi ile, 4721 Sayılı Türk Medeni Kanunu m. 23-25 hükümleri de bu amaca yöneliktir.


Kişisel verilerin anayasal düzeyde kişilik hakkının korunması kapsamına alınması 07.05.2010 tarihinde 5982 Sayılı Kanun’un 2. Maddesi ile Anayasa’nın 20. Maddesine eklenen fıkra ile gerçekleşmiştir. Ardından 6698 Sayılı Kişisel Verilerin Korunması Kanunu 24.03.2016 tarihinde kabul edilerek ülkemizde yürürlüğe girmiştir. İşçinin kişisel verilerinin korunmasını özel olarak düzenleyen bir kanun bulunmamakla birlikte 6098 Sayılı Türk Borçlar Kanunu m.149’da işçinin kişisel verilerine ilişkin bir hüküm yer almaktadır. İlgili madde ile “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.” Şeklinde bir düzenleme getirilmiştir. Maddenin lafzı her ne kadar KVKK’nın terminolojisi ile uyumlu olmasa da kişisel verilerin işlenmesine ilişkin mevcut ilkelere uygundur. Bununla birlikte, işçinin kişilik haklarını koruyan bir madde olarak 6098 Sayılı Yasa’nın 417. Maddesi de ele alınabilecektir. Kişisel verilerin de kişilik hakkının bir parçası olması sebebi ile değerlendirilmesi gereken bir maddedir. Bu kapsamda, işçinin kişilik hakkı, şeref ve onuru, sağlığı, fikri ve düşüncesi işveren tarafından korunmalıdır.


3. ULUSLARARASI HUKUKTA İŞÇİNİN KİŞİSEL VERİLERİNİN KORUNMASI


3.1. İşçİlerİn Özel Nİtelİktekİ Kİşİsel Verİlerİnİn Korunması Kapsamında OECD İlkelerİ


Kişisel verilerin korunması konusunu uluslararası alanda ilk olarak Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) tarafından ele alınmıştır. 1980 yılında yayımlanan “Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler” adlı metin ile OECD, kişisel verilerin korunmasının ekonomik boyutunu öne çıkarmıştır.


3.2. Bİrleşmİş Mİlletler İnsan Hakları Evrensel Beyannamesİ


BM İnsan Hakları Evrensel Beyannamesi’nin özel yaşamın gizliliğinin düzenlendiği 12. Maddesi uyarınca, “Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi olarak karışılamaz, şeref ve adına saldırılamaz. Herkesin bu gibi karışma ve saldırılara karşı yasa tarafından korunmaya hakkı vardır.”. Bunun yanında BM Genel Kurulunca 1990 yılında “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeler” adlı belge hazırlanmıştır.


3.3. Avrupa İnsan Hakları Sözleşmesİ


Kişisel verilerin korunmasının bağımsız bir hak olarak görülmediği Avrupa İnsan Hakları Sözleşmesi’nin 8. Maddesine göre, “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir.”. Görülmektedir ki spesifik olarak ele alınmamış olmasına karşın, kişisel verilerin korunması önemi vurgulanmıştır.


3.4. 95/46 Sayılı Avrupa Parlamentosu ve Konseyİ Dİrektİfİ


24 Ekim 1995 tarihli 95/46 Sayılı Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması ve Bu Verilerin Serbest Dolaşımı Direktifi, kişisel verilerin korunmasına ilişkin en önemli düzenlemelerden biridir. Direktifin 1. Maddesi uyarınca; üye devletler bu direktifle uyumlu olarak, kişisel verilerin işlemesine saygı çerçevesinde gerçek kişilerin temel hak ve özgürlüklerini ve özellikle onların mahremiyet haklarını koruyacaktırlar.


Direktifin 2. Maddesi ise şöyledir, “Veri işleme sistemleri insana hizmet etmek üzere tasarlanır ve böyle olmalıdır; gerçek kişilerin milliyetine veya ikametgahlarına bakmaksızın, başta kişisel mahremiyet olmak üzere, temel haklarını ve özgürlüklerini korumalıdır ve bireylerin ekonomik ve sosyal ilerlemesine, refahına ve ticari genişlemeye katkıda bulunmalıdır.”


3.5. 108 Sayılı Sözleşme ve Avrupa Konseyİ Tavsİye Kararları


Avrupa Konseyi, 1981 yılında 108 Sayılı Sözleşme olarak bilinen “Otomatik Olarak İslenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme”yi kabul etmiş ve imzaya açmıştır. Sözleşmenin ilk maddesi uyarınca her akit Devlet, uyruğu veya ikametgahı ne olursa olsun tüm gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin, otomatik bilgi işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. Ülkemizce bu sözleşme imzalanmış ancak henüz onaylanmamıştır.


Diğer yandan, Tavsiye Kararları, Avrupa Konseyince kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için kabul edilmiş olan kararlardır. Konsey tarafından 1973 ve 1974 yıllarında kabul edilen iki karar ile; kişisel verilerin korunması için gerek Özel Sektördeki Elektronik Veri Bankaları Karşısında Kişilerin Durumu ile özel gerek ise Kamu Sektöründeki Elektronik Veri Bankaları Karşısında Kişilerin Durumu ile kamu sektörü kurum ve kuruluşlarında göz önünde bulundurulması gerekli olan ilkeler belirlenmiştir.


3.6. İşçİlerİn Kİşİşel Verİlerİnİn Korunması Hakkında Uygulama Kodu


Uluslararası Çalışma Örgütü’nün (ILO) işçilerle ilişkin kişisel verilerin toplanması veya işlenmesine ilişkin ya da bu bilgilerde yer alan kişilik haklarının ihlalini önleyecek kuralları içeren bir sözleşmesi yoktur ancak konuya ilişkin başka birtakım düzenlemeleri mevcuttur. Bunlara örnek olarak; 1958 tarihli ve Türkiye tarafından 1966 yılında onaylanmış olan 111 sayılı İş ve Meslek Bakımından Ayrımcılığın Önlenmesine İlişkin Sözleşmesi, 1971 tarihli ve Türkiye tarafından 1993’te onaylanan 135 sayılı İşletmelerde İşçi Temsilcilerinin Korunması ve Onlara Sağlanacak Kolaylıklar Hakkında Sözleşmesi ile 143 sayılı tavsiye kararında ve 181 sayılı Özel İstihdam Bürolarının Korunmasına İlişkin Sözleşmesinde işçilerle ilgili kişisel bilgilerin korunmasına ilişkin hükümler getirilmiştir.


18 Ocak 1989’da kabul edilen Avrupa Konseyi’nin İstihdam Amacıyla Kullanılan Kişisel Verilerin Korunmasına İlişkin R(89)2 sayılı Tavsiye kararı da oldukça önemli bir kaynak teşkil etmektedir. Konuya ilişkin eksikliklerin giderilmesi amacı ile, ILO’nun 1995 tarihli 267. toplantısında bir karar alınmış ve 1-7 Ekim 1996’da yapılan toplantılarda da çalışanların özel hayatına ilişkin bilgilerin korunması ve kullanılması hakkında geliştirilen bu metin uyarınca; çalışanların özel hayatına ilişkin bilgilerin korunması yöntemleri geliştirilmeli ve kişisel bilgilerle ilgili bilgisayar kayıtları en aza indirilmeli, elde edilen kişisel verilerle, işçilerin işe alımında ve iş sözleşmesinin devamında ayrımcılık yapılmamalı, bu verilerin gizliliğinin korunması sağlanmalı, işçinin izni olmadan elde edilen bilgiler üçüncü kişilerle paylaşılmamalı, işverenin işçiye cinsel hayatı, siyasi, dini düşüncesi, inancı konusunda soru sormaması sağlanmalı, sağlıkla ilgili olarak ancak iş için önemli ise ve iş sağlığı ve güvenliği için gerekli ise soru sorulmalıdır.


4. İŞÇİNİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN KORUNAMAMASINDAN DOLAYI İŞVERENİN SORUMLULUĞU


İŞÇİLERİN ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİNİN KORUNMASI konusunda işveren; TMK, TBK ve KVKK hükümleri gereğince sorumludur. Öncelikle Türk Medeni Kanunu m.23-25 hükümleri kapsamında işçi, işverene karşı önleme, durdurma ve tespit davaları açabilir. Ayrıca işçi, kişisel verilerinin hukuka aykırı işlenmesinden dolayı elde edilen kazancın iadesini vekaletsiz iş görme hükümlerince de talep edebilecektir.


TMK hükümlerinin yanı sıra, Türk Borçlar Kanunu m. 417/3 hükmü kapsamında işverenin, kanuna ve sözleşmeye aykırı davranışı nedeni ile kişilik hakları ihlal edilen işçi, buna bağlı zararlarının tazminini sözleşmeye aykırılıktan doğan sorumluluk hükümlerine göre talep edebilecektir. İşçi, eğer isterse, TBK m.473/3 hükmü uyarınca kişilik haklarının ihlalinden doğan zararı işverenden talep edebilecektir. Ayrıca TBK’nın tazminata ilişkin hükümleri de bu bağlamda uygulama alanı bulacaktır. Özel nitelikli kişisel verilerinin işverence hukuka aykırı şekilde işlenmesi sebebi ile zarar gören işçi, bu sebeple TBK uyarınca zarar veren işverene karşı tazminat davası açabilir. Bu zararın kapsamına şeye ilişkin ve bedensel zararlar girmektedir. TBK m.54’te bedensel zararlar; tedavi giderleri, kazanç kayıpları, çalışma gücünün azalmasından ya da yitirilmesinden, ekonomik geleceğin sarsılmasından doğan kayıplar olarak sıralanmıştır. Buna göre, işçinin kişisel verilerinin hatalı, eksik, gerçeğe aykırı veya güncel olmayan şekillerde işlenmesi ya da bu verilerin açık rıza olmaksızın işlenmesi sebebi ile işçinin kazanç kaybı oluşması halinde işverenin sorumluluğu doğacaktır.


İşçinin kişilik hakkının ihlali sözleşmeden doğan sorumluluğun ihlal edilmesinden doğabileceği gibi haksız fiil hükümlerinden de doğabilecektir. Böyle bir durumda, işçi hem sözleşmeden doğan sorumluluğun ihlali hem de haksız fiil hükümlerine başvurabilir.


Kişinin ismi, haysiyeti, itibarı ve kişisel verileri gibi değerleri kişilik hakları içerisinde yer alır ve para ile ölçülemez değerlerdir. TMK m. 25/3 ile TBK m.58 hükümleri gereğince; işveren, işçinin manevi zararlarını da tazmin etmekle yükümlüdür. TBK m. 114 atfı uyarınca, manevi tazminat talepleri hem sözleşmeden hem de haksız fiilden doğan sorumlulukta geçerlidir.


İş ilişkisi kaynaklı kişisel verilerin ihlali sebebi ile manevi tazminat talebi birtakım şartlara bağlıdır. Bunlardan ilki, işçinin özel nitelikli kişisel verilerinin sözleşmeye aykırı biçimde veya işçinin açık rızası olmaksızın işlenmesi sebebi ile işçinin kişilik hakkının ihlal edilmesidir. İkincisi; işçinin, işveren davranışları sebebi ile manevi zarara uğramış olmasıdır. Üçüncü olarak ise; işverenin kusuru, zarar ve işverenin sözleşmeye aykırı davranması unsurları arasında uygun illiyet bağının varlığının bulunmasıdır. Bu duruma örnek; AIDS hastası olan bir işçinin hastalığının işverence diğer işçiler ile paylaşılması ve bunun sonucunda işçinin hastalığının diğer çalışma arkadaşları tarafından bilinmesi sebebi ile derin elem ve keder duymuş olması, kişiliğinin zarar görmesidir. İşçi, işini kaybetmemiştir ancak işyerinde huzuru kalmamıştır. Özel nitelikli kişisel verilerden olan cinsel sağlık verisinin açık rızası olmaksızın ve hukuka uygunluk aranmaksızın paylaşılmasından doğan manevi zararını işverenden talep edebilecektir. Ayrıca bunların yanında, KVKK m. 11/ğ ve m.14’e dayanarak tazminat davası açmak da mümkündür.


Tüm bunlara ek olarak, aday işçilerin kişisel verilerinin hukuka uygun biçimde korunmasından da yine işveren sorumludur. Yukarıda da değinildiği üzere, işveren iş sözleşmesi kurulması amacı ile aday işçilerin kişisel verilerini işler. Aday işçi ile işveren arasında herhangi bir sözleşme kurulmasa dahi, aday işçilerin kişisel verilerinin korunması ve bu sebeple bu adayların kişisel verilerinin hukuka aykırı işlenmesinden dolayı sorumluluğu gündeme gelebilir. İşbu konuda doktrinde yaygın görüş, iş sözleşmesi kurulmadan önceki dönemde elde edilmiş kişisel verilerin hukuka uygun biçimde korunmamasından dolayı meydana gelecek olan zararlardan işveren, culpa in contrahendo hükümlerince sorumlu olmalıdır.


SONUÇ


İşçinin özel kişisel verilerinin işlenmesi sırasında işverence kanunda yer alan sınırlara ve ilkelere uyulması gerekir. Bu doğrultuda işveren; hukuka uygun bir veri elde etme ve işleme politikası belirlemeli ve buna riayet etmelidir. İşverence işçinin kişisel verilerinin korunması, kişilik haklarının korunmasının bir parçasıdır. İşçinin kişisel verilerinin işlenmesi çoğunlukla yasal gerekliliklerden kaynaklanmaktadır ancak yasal dayanağı olsa dahi ilgili verilerin işlenmesi sırasında aydınlatma yükümlülüğüne uyulmalı ve asgari düzeyde veri toplanması sureti ile ilerlenmelidir. Ancak bu şekilde işçinin kişisel verileri ve işçi hakları korunabilecektir. Tam da bu sebeplerle, işverenin keyfi veri toplama ve işleme faaliyetlerinden olabildiğince sakınması ve yalnızca işin niteliği uyarınca hukuki kapsamda gerekli görülen kişisel verileri toplama yoluna gitmesi gerekmektedir. İşçinin kişisel verilerinin korunmaması halinde işverenin TMK m.23-25 arasında düzenlenen kişilik haklarının korunması, TBK m.473’te düzenlenen iş sözleşmesi hükümleri ile yine TBK’da düzenlenmiş olan tazminat hükümleri uyarınca sorumluluğu doğacaktır. İşçi zarar gören kişilik hakkına göre, maddi ve manevi tazminat talebinde bulunabilecektir. Bunun yanında, işçinin KVKK m.11 ve 14 uyarınca tazminat talep etme hakkı saklıdır.



Kaynakça



(Cevdet Yavuz, Türk Borçlar Hukuku Özel Hükümler, İstanbul 2014, s.941.).


(Handbook on European Data Protection Law, s.37.).


(Handbook on European Data Protection Law, s.41-42.).




(Sevimli, Veri Koruma, s.124).


(Ufuk Aydın, İş Hukukunda İşçinin Kişilik Hakları, Eskişehir 2002, s.222-223).

24 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

Comments


bottom of page