6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 2016 yılında yürürlüğe girmesinden sonra tüm hukuki ilişkilerde olduğu gibi iş hukuku yönünden de kişisel verilerin korunması mevzuatına uyum süreci hızla başlamıştır. Özellikle iş hukuku yönünden çalışanların oldukça fazla sayıdaki kişisel verisinin işveren tarafından toplanması ve uzun sürelerle muhafaza edilmesi uyum sürecinin yürütülmesindeki en büyük zorluklarından birisini oluşturmaktadır. Nitekim işveren kendi bünyesinde çalıştıracağı kişiye ilişkin yapılacak işle alakası olsun olmasın çalışanın tüm kişisel bilgilerini, sağlık bilgilerini, adli sicil kayıt bilgilerini, ailesine ve yaşantısına ilişkin bilgileri toplamak istemektedir. İşveren yanında çalıştıracağı kişinin güvenilir ve şartları sağlayan biri olduğunu analiz etmeye çalışırken topladığı olağandışı kişisel veriler, Kişisel Verilerin Korunması Kanunu’nun genel ilkelerini öngörün 4. maddesine ve kişisel verilerin işlenme şartlarını öngören 5. maddesine çoğu zaman aykırılık teşkil etmektedir. Ayrıca yalnızca yeterli, ilgili ve gerek duyulan verilerin toplanmasını öngören veri minimizasyonu olgusu da işverenlerin bu davranışı sebebiyle tamamen ortadan kalkmaktadır.
İş ilişkisinde toplanan veriler öncelikle işe başvuru ve mülakat aşamasında işverenler tarafından toplanmaktadır. Çoğu işveren bu aşamada çalışan adayına usulüne uygun aydınlatma metnini sunmayı ihmal ettiği gibi işe başvuru aşamasında T.C. Kimlik numarası, aile bireylerinin meslekleri, çocuklarının eğitim durumu, boyu, özel ilgi alanları, sigara ve alkol kullanım bilgisi ve hobileri gibi işe alım değerlendirmesi aşamasında gerekli olmayacak bilgileri toplamaktadır. Üstelik işe alım değerlendirmesi aşamasında özel nitelikli kişisel veri olarak kabul edilen sağlık bilgileri, kan grubu bilgisi, din bilgisi, adli sicil kaydı bilgisi ile üye olunan dernek ve vakıf bilgilerinin çalışan adayından talep edildiği görülmektedir. Ancak bu tür verilerin herhangi bir işleme şartının bulunmaması ve dahası özel nitelikli kişisel veri işleme şartlarına aykırı davranılması nedeniyle işverenin Kişisel Verilerin Korunması Kanunu gereğince sorumlu tutulabileceğini söylemek mümkündür. Üstelik bu tür verilerin toplanması ve işe alım değerlendirmesi aşamasında dikkate alınması halinde İş Kanunu’nun 5. maddesi gereğince eşit davranma ilkesine aykırılık hususu da gündeme gelebilecektir.
Çalışan adaylarının işveren tarafından talep edilen bu bilgileri iş başvuru formunu doldurmak suretiyle açık rıza göstererek bizzat kendisinin verdiği ve bu nedenle aykırılık olmadığı uygulamada işverenler tarafından düşünülse dahi bu düşüncenin isabetli olmadığını söylemek mümkündür. Nitekim Kişisel Verileri Koruma Kurumu’nun pek çok kararında da belirttiği üzere açık rızanın belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması esastır. Üstelik bir ürün ve/veya hizmetin sunumunun açık rıza verme ön şartına bağlanmaması gerektiği; eğer yapılan seçim sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakması halinde rızanın özgürce verilmediği de kabul edilmektedir. İşe alım süreci yönünden ise, çalışan adayının işe başvurmak için iş başvuru formunu eksiksiz doldurmak zorunda kaldığı ve doldurmaması halinde değerlendirmeye bile alınmayabileceği göz önünde tutulduğunda verilen açık rızanın usulüne uygun olmayacağı sonucu ortaya çıkmaktadır. Üstelik iş başvuru formunun çalışan adayı tarafından doldurulması belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan açık rıza şartlarını sağlamadığı da ortadadır. Dolayısıyla işverenlerin iş başvurusu süreçlerinde yalnızca ihtiyaç duydukları ve değerlendirme aşamasında dikkate alacakları verileri toplamaları ve usulüne uygun aydınlatma metnini çalışan adaylarına sunmaları gerekmektedir. Çalışan adayının işe alınmaması halinde ise saklama süreleri gözetilerek çalışan adayının verileri imha edilmeli, silinmeli veya anonim hale getirilmelidir.
Çalışan adayının mülakat aşamasını geçmesinden sonra ise özlük dosyasının oluşturulması sırasında nüfus cüzdanı, ikametgah belgesi, diploma fotokopisi, fotoğraf ve aile durum bildirgesi gibi pek çok bilgi işveren tarafından talep edilmektedir. Ancak bu aşamada da zaman zaman işverenlerin olağan dışı ve aslında gerek dahi bulunmayan veriler topladığı görülmektedir. Örneğin aile durum bildirgesi yönünden bakmakla yükümlü olunan kişilerin T.C. Kimlik fotokopileri, çocuk doğum sertifikaları gibi bilgilerin işverenler tarafından toplandığı görülmektedir. Yine yapılan işe bağlantısı olmamasına rağmen sigara ve alkol kullanım bilgisi, malvarlığı bilgisi, üye olunan dernek ve sendika üyeliği bilgisi, din bilgisi, sürekli takip edilen gazete veya dergilerin bilgisi gibi bilgiler işverenler tarafından toplanmaktadır. Ancak iş ilişkisi ile alakalı olmayan bilgilerin toplanması ve işlenmesi Kişisel Verilerin Korunması Kanunu’nun 4. 5. ve 6. maddelerine aykırılık teşkil ederek işverenin sorumlu olmasına ve idari para cezası ile karşılaşmasına neden olabilecekken toplanan veri sayısının fazlalığı veri ihlali riskinin de artmasına neden olacaktır. Bu haliyle de olası bir veri ihlalinde işveren hem kişisel veri işleme şartlarına hem de kişisel veri güvenliğine ilişkin yükümlülüklerine uymaması sebebiyle çok daha yüksek idari para cezaları ile karşılaşabilecektir. Bu noktada çalışanların özel nitelikli kişisel verisi olarak kabul edilen adli sicil kaydı ve sağlık verisi yönünden ayrı bir parantez açılması gerekir.
Çalışanın adli sicil kaydı bilgisi:
Hemen hemen tüm işverenler tarafından çalışanlardan adli sicil kayıt bilgisi talep edildiği görülmektedir. Kişisel Verilerin Korunması Kanunu’nun 6. maddesi gereğince özel nitelikli kişisel veri olarak kabul edilen adli sicil kayıt bilgisi ancak kanunlarda öngörülen hallerde çalışanın açık rızası olmaksın işlenebilecektir. Bir diğer ifadeyle kanunda açıkça öngörülen haller dışında adli sicil kaydı bilgisi çalışanın açık rızası olmaksızın işlenmesi mümkün değildir. Özel öğretim kurumlarında çalışacak personel yönünden Özel Öğretim Kurumları Kanunu, özel güvenlik firmalarının istihdam edeceği güvenlik personeli yönünden ise Özel Güvenlik Hizmetlerine Dair Kanun gözetilerek veyahut da işe alım sürecinde güvenlik soruşturmasına tabi tutulması gereken kişiler yönünden adli sicil kaydı bilgisinin açık rıza olmaksızın işlenmesi mümkün olabilecektir. Ancak kanunlarda özel olarak belirtilmediği hallerde çalışanın açık rızası olmaksızın adli sicil kaydı bilgisinin işlenmesi mümkün olmayıp bu yöndeki bir faaliyet hukuka aykırı olacaktır. Uygulamada işverenler adli sicil kayıt bilgisini işyerinin güvenliği ve diğer çalışanların korunması yükümlülüğünü yerine getirmek amacıyla toplandığı belirtilse de bu uygulamanın isabetli olmadığını söylemek mümkündür. Nitekim yukarıda da belirtildiği üzere adli sicil kayıt bilgisi kanunlarda öngörülmediği hallerde çalışanın açık rızası olmaksızın işlenemeyecektir. Kaldı ki adli sicil kaydı değerlendirilmesi sonucunda çalışan hakkında yargıya varılması ve adli sicil kaydı bulunan kişinin iş hayatından uzak kalmasına sebebiyet verecek şekilde ayrımcılığa uğraması söz konusu olabilecektir. Bu durum adli sicil kaydı bulunan kişilerin topluma yeniden kazandırılmasını da engelleyecektir. Gerçekten de geçmişte işlediği bir suçtan dolayı kişi ömür boyu mahkum edilmemeli ve insanca yaşamasını sürdürebilmesi açısından ayrımcılığa tabi tutulmadan istihdam edilmelidir. Sonuç itibariyle neredeyse Türkiye’deki tüm işverenler tarafından işe giriş aşamasında çalışandan açık rıza alınmaksızın adli sicil kayıt bilgisi talep edilmesi istisna haller dışında Kişisel Verilerin Korunması Kanunu ve İş Kanunu açısından hukuka aykırılık teşkil etmektedir.
Çalışanın sağlık bilgisi:
İş Kanunu ve diğer ilgili mevzuat gereğince işverenin çalışanın sağlığını gözetmek, sağlık dosyası oluşturmak ve bunları saklamakla yükümlülüğü olduğu görülmektedir. Nitekim İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 13. maddesi gereğince çalışanların yürüttüğü işler, işyerinde yapılan risk değerlendirmesi sonuçları ve maruziyet bilgileri ile işe giriş ve periyodik sağlık sonuçları, iş kazaları ile meslek hastalıkları kayıtlarının, işyerindeki kişisel sağlık dosyalarında gizlilik ilkesine uyularak saklanmasından söz edilmektedir. Yine aynı yönetmeliğin ekinde ise “İşe Giriş/Periyodik Muayene Formu” bulunmakla birlikte işverenin sağlık muayenesi kapsamında hangi kişisel verileri toplayacağı ve saklayacağı geniş ve detaylı bir şekilde düzenlenmektedir. Dolayısıyla ilgili iş hukuku mevzuatı gereğince işverene çalışanın sağlık gözetimini yapma, çalışanın sağlık dosyasını oluşturma ve saklama, periyodik aralıklarla muayene olmasını sağlama yükümlülükleri yüklemiştir.
Ancak işverenin çalışanın sağlığı gözetleme yükümlülüğünün uygulamada oldukça yanlış biçimlerde ortaya çıkmaktadır. Kişisel Verilerin Korunması Kanunu’nun 6. maddesi gereğince sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Dolayısıyla sağlık verileri ancak yukarıda belirtilen şartların gerçekleşmesi halinde sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilmektedir. Çalışanların sağlık verisinin toplanması kamu sağlığının korunması ve hatta tıbbi teşhis amaçlarının yerine getirilmesi amaçları arasına sokulabilecektir. Ancak çalışanın sağlık verisinin kim tarafından ve ne şekilde toplandığı ve nasıl saklanması gerektiği hususları uygulamada en sık karşılaşılan hataların doğmasına neden olmaktadır. Üstelik özel nitelikli kişisel veri olarak kabul edilen sağlık bilgilerinin saklanması Kişisel Verileri Korunma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı gözetilerek uyulması gereken katı önemler belirtilmiştir.
Uygulamada en sık görülen hata ise işverenlerin iş başvuru formu veyahut da işe girişte doldurulan formlar uyarınca çalışandan sağlık bilgilerinin talep edilmesidir. İlgili mevzuatlarda da görüldüğü üzere çalışana ait sağlık verisi yalnızca sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilmektedir. Bu haliyle de işe alım aşamasında insan kaynaklarının veya ilgili yöneticilerin çalışanın sağlık bilgilerini elde etmesi hukuka aykırı nitelikte olabilecektir. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’na dayanılarak çıkarılan İşyeri Hekimi Ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk Ve Eğitimleri Hakkında Yönetmelik 9. Maddesi uyarınca “Sağlık gözetimi kapsamında yapılacak işe giriş ve periyodik muayeneler ve tetkikler ile ilgili olarak çalışanları bilgilendirmek ve onların rızasını almak” işyeri hekiminin görevleri arasında sayılmıştır. Bu noktada önemle belirtmek gerekir ki çalışana ait muayene formları, sağlık raporları ve diğer tüm özel nitelikli sağlık verileri özlük dosyasının içinde değil işyeri hekimi bünyesinde muhafaza edilmelidir. Gerçekten de çalışanın sağlık verisinin herkes tarafından erişilebilir olması ve özlük dosyası içerisinde tutulması veri gizliliği ve güvenliği yönünden oldukça risklidir ve bu nedenle işyeri hekimi tarafından saklanması uygun olacaktır. Ancak sağlık verilerinin yalnızca işyeri hekimi tarafından toplanması ve işyeri hekimi tarafından saklanması işverenin hukuken sorumluluğunu ortadan kaldırmayacaktır. Nitekim İş Kanunu gereğince işverene işçinin sağlık verileri açısından sır saklama yükümlülüğü yüklendiği ve bu haliyle de sorumluluğu bertaraf edemeyeceği açıktır.
Çalışanın biyometrik verileri:
İşverenler giriş ve çıkış kayıtlarının takip edilmesi, işyerinin güvenliğinin sağlanması, departmanlar arası geçiş gibi nedenleri gözeterek çalışanların parmak izi, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma ve retina tarama gibi güvenlik yöntemlerine başvurmaktadır. Yukarıda da belirtildiği üzere Kişisel Verilerin Korunması Kanunu’nun 6. maddesi gereğince çalışanın parmak izi, avuç içi geometrisi ve retina gibi çalışana has özellikler özel nitelikli kişisel veri olarak kabul edilmektedir. Biyometrik veriler ise yalnızca kanunlarda öngörülen hallerde çalışanın açık rızası olmaksızın işlenebilecektir. Dolayısıyla biyometrik verileri toplanan çalışandan mutlaka açık rıza alınması ve gerekli bilgilendirmenin çalışama yapılması gerekmektedir. Ancak Kişisel Verileri Koruma Kurumu 25.03.2019 tarihli ve 2019/81 sayılı kararı ile spor salonu hizmeti sunan bir şirketin üyelerinin giriş ve çıkış kontrolünde güvenliği sağlamak amacıyla el-avuç okutma sistemi kullanmasının kişisel veri işlenmesindeki amaçla bağlantılı, sınırlı ve ölçülü olmadığına kanaat getirmiş ve açık rıza alınmış olsa dahi açık rızanın kulüp hizmetinden yararlanmak adına verildiğini gözeterek açık rıza alınma sürecinin hukuku aykırılık teşkil ettiğine kanaat getirilerek idari para cezası uygulanmasına karar verilmiştir. Ayrıca Kurum giriş çıkış kontrolünün alternatif yollar ile sağlanması gerektiğini de ifade etmiştir. İş hukuku yönünden değerlendirildiğinde ise işverenin çalışanın biyometrik verilerini toplaması ve işlemesi bu kapsamda sınırlı ve ölçülü olma ilkesine de aykırılık teşkil edebilecektir. Üstelik çalışanın açık rızası alınsa dahi bu rızanın geçerliliği de sorgulanabilecektir. Dolayısıyla üst düzey güvenlik gerekmeyen durumlar yönünden çalışanın biyometrik verisini işleyen işverenlerin çalışana biyometrik verilerin toplanması haricinde alternatif seçenekler sunması ve bu doğrultuda açık rıza alması, üst düzey güvenlik gereken alanlara ve departmanlara giriş yönünden ise yine çalışandan açık rıza alınması suretiyle biyometrik verilerin işlenmesi uygun olacaktır. Ayrıca biyometrik verisi toplanan çalışanlara gerekli bilgilendirmenin yapılması ve aydınlatma metinlerinin sunulması da gerekmektedir. Sağlık bilgilerinde olduğu gibi biyometrik verilerin de Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı gözetilerek işlenmesi ve saklanması gerekmektedir.
Saklama ve imha süreci:
Uygulamada işverenlerin iş ilişkisi sona erdikten sonra çalışanın tüm özlük dosyasını yıllar boyunca imha etmeden sakladıkları gözlemlenmektedir. Ancak kişisel verilerin ilgili mevzuatta öngörülen veya kişisel verinin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gereklidir. Dolayısıyla işverenlerin çalışanlardan topladığı verileri tek tek tespit ederek bunların ilgili mevzuat uyarınca ne kadar süreyle saklanması gerektiğini tespit etmesi ve süresi dolan veya saklanması sakıncalı bulunan verilerin derhal imha edilmesi, silinmesi veya anonim hale getirilmesi gerekmektedir. Bu noktada önemle belirtmek gerekir ki Kişisel Verilerin Korunması Kanunu’nun 7. maddesi kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi hususlarını detaylıca düzenlemiş ve aynı kanunun 17. maddesi ise bu yükümlülüğe aykırılık halinde Türk Ceza Kanunu’nun 138. maddesinde ele alınan verileri yok etmeme suçuna göre ilgililerin cezalandırılacağını belirtmiştir. Türk Ceza Kanunu’nun 138. Maddesine göre kanunlarda belirtilen sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmedikleri taktirde bir yıldan iki yıla kadar hapis cezası uygulanabilmektedir. Üstelik suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması halinde verilecek cezanın bir kat oranında arttırılması da 138. maddenin 2. fıkrasında öngörülmüştür. Dolayısıyla kişisel verilerin saklaması süreçlerindeki aykırılık halinde hapis cezası gündeme gelebilecektir. Üstelik kişisel verilerin kaydedilmesi yönünden Türk Ceza Kanunu’nun 135. maddesi gereğince hukuka aykırı olarak kişisel veri kaydedilmesi halinde bir yıldan üç yıla kadar hapis cezası verilebileceği ve hukuka aykırı olarak işlenen verinin kişinin siyasi, felsefi veya dini görüşlerine, ırk kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilen cezanın yarı oranında arttırılacağı dikkate alındığında kişisel verilerin toplanması, işlenmesi, aktarılması ve saklanması dahil tüm süreçlerde oldukça dikkatli hareket edilmesi gerekmektedir.
Sonuç itibariyle işverenler tarafından çalışanların oldukça fazla sayıdaki kişisel bilgisinin işlendiği ve saklandığı görülmektedir. Bu yöndeki uygulamanın işverenler yönünden yüksek risk içerdiği ve yalnızca iş ilişkisinin yürütülmesi amacıyla gerekli olan kişisel verilerin toplanması ve veri minimizasyonu ilkesinin uygulanması gerekmektedir. Aksi halde işverenler Kişisel Verilerin Korunması Kanunu ve diğer mevzuatlar gereğince yüksek idari para cezaları ile karşılaşabilecek ve koşulların gerçekleşmesi halinde ise Türk Ceza Kanunu uyarınca hapis cezası ile cezalandırılabileceklerdir. Bu nedenle kişisel veri mevzuatına uyum ve süreçleri işverenler tarafından dikkatlice incelenmeli ve denetlenmelidir.
Av. Taha Kavlakoğlu
Gülbenk & Kavlakoğlu Hukuk Bürosu