Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Kişisel Verilerin Korunması Kanunu’nda Yer Alan Hakların ve Yükümlülüklerin İş İlişkisindeki Yansımaları

Reflections of the Rights and Obligations Derived from the Personal Data Protection Code in Employment Relationship

Selen UNCULAR

Teknolojinin hızla ilerlemesiyle ve bilgi akışının oldukça kolaylaşmasıyla birlikte kişisel verilerin korunması da gittikçe daha çok önem kazanmaktadır. Üstelik kişisel verilerin işlenmesi hayatın her alanında sıkça rastlanan bir olgu haline gelmiş olup iş ilişkisi de kişisel verilerin korunması hakkının en çok ihlal edildiği alanlardan biridir. Ne var ki iş ilişkisinde veri işleme sürecinin adil ve hukuka uygun olması için veri koruma hukukunun temel ilkelerine uygunluğun yanı sıra tarafların veri koruma hukukundan doğan haklarının ve yükümlülüklerinin de göz ardı edilmemesi şarttır. Bu bağlamda 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenen ve Anayasal güvenceye de sahip hakların ve yükümlülüklerin iş ilişkisindeki yansımalarını somutlaştırmak, etkilerini vurgulamak ve kişisel verilerin korunmasına yönelik hem iş başvurusunda bulunan aday, hem işçi ve hem de işveren açısından farkındalığı arttırmak gerekmektedir. Söz konusu gerekliliğe katkı sağlamayı amaçlayan bu makalede, işverenin aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükleri ve Veri Sorumluları Sicili’ne kayıt ve bildirim zorunluluğu kapsamındaki yükümlülükleri ile adayın ve işçinin kişisel veriye erişim hakkı, kişisel verinin düzeltilmesini, silinmesini, yok edilmesini veya anonim hale getirilmesini isteme hakkı, itiraz hakkı ve zararın giderilmesini talep etme hakkı uluslararası düzenlemeler de dikkate alınmak suretiyle incelenmiştir.

Kişisel Verilerin Korunması Kanunu, İş İlişkisi, Erişim Hakkı, Veri Güvenliği, İtiraz Hakkı.

With the rapid advancement of technology and the flow of information becoming quite easier, the protection of personal data is increasingly gaining more importance. Moreover, employment relationship is one of the areas where the right to the protection of personal data is violated the most. However, in order to ensure that the data processing is fair and lawful, the rights and obligations of the parties arising from data protection law must not be ignored in addition to the compliance with its basic principles. In this context, it is necessary to concretize the reflections of rights and obligations prescribed under the Personal Data Protection Code in employment relationship, to emphasize their effects and to raise awareness of the protection of personal data for both the applicant and worker, and the employer. In this article, which aims to contribute to this necessity, employer's obligation to inform, obligations regarding data security, and obligations related to registration and notification to the Registry of Controllers as well as applicant’s and worker’s rights of access, to demand rectification, erasure, extermination or anonymization of personal data, to object and to claim the damage have been examined by taking into account international instruments.

Personal Data Protection Code, Employment Relationship, Right of Access, Data Security, Right to Object.

GİRİŞ

Bilginin meta ve güç haline dönüştüğü günümüzde, kişisel verilerin kolaylıkla ve düşük maliyetlerle elde edilerek çok büyük miktarlarda işlenmesi önüne geçilemez bir hal almış ve iş ilişkisinde de oldukça sık rastlanan bir olgu haline gelmiştir. Üstelik işverenlerin yönetim hakkını kötüye kullanması, iş hukuku mevzuatının esneklik, rekabet ve kuralsızlaştırma (deregülasyon) temelinde şekillendirilmesi ve iş güvencesinin olmadığı veya asgaride kaldığı çalışma koşullarının giderek artması, iş ilişkisini kişisel verilerin korunması hakkının en çok ihlal edildiği alanlardan biri yapmaktadır. Bu durum iş başvurusunda bulunan adayın ve işçinin kişisel verilerinin hukuka ve dürüstlük kuralına uygun, etkin ve adil şekilde işlenmesinin güvence altına alınmasını gerektirdiği gibi, işverenlerin hem uluslararası alanda kabul gören, hem de ülkemizde öngörülen veri koruma hukukuna ilişkin hakları ve yükümlülükleri ihlal etmemesinin önemini de arttırmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nda öngörülen söz konusu hakları ve yükümlülükleri iş ilişkisi açısından incelemeyi amaçlayan bu makale iki bölümden oluşmakta olup ilk bölüm kişisel verinin ve ilgili kavramların iş ilişkisindeki yerine ayrılmıştır. İkinci bölümde ise KVKK kapsamında işverenin aydınlatma (bilgilendirme) yükümlülüğü, veri güvenliğine ilişkin yükümlülükleri ve Veri Sorumluları Sicili’nden kaynaklanan yükümlülükleri ile aday ve işçinin kişisel veriye erişim hakkı, verinin düzeltilmesini, silinmesini, yok edilmesini veya anonim hale getirilmesini isteme hakkı, itiraz hakkı ve zararın giderilmesini talep etme hakkı uluslararası düzenlemeler de dikkate alınarak açıklığa kavuşturulmaya çalışılmıştır.

I. İŞ İLİŞKİSİNDE KİŞİSEL VERİ VE İLGİLİ KAVRAMLAR

KVKK m.3/1(d) kapsamında kimliği belirli ya da belirlenebilir bir adaya1 veya işçiye2 ilişkin aile hayatı, mesleki hayat ve sosyal hayat ile ilgili özlük dosyasında bulunan veya bulunmayan her türlü bilgi iş ilişkisinde kişisel veri oluşturacak3 olup KVKK m.3/1(e) doğrultusunda işe alımda ve iş sözleşmesi süresince işveren tarafından sorular yöneltilmesi, üçüncü kişilerden bilgi edinilmesi, çeşitli testler uygulanması, üstün ve eşyaların aranması, elektronik ve biyometrik giriş kontrol sistemleri ve işyeri dışında elektronik yer belirleme sistemleri vasıtasıyla takip edilme ve/veya iletişimin izlenmesi ve görüntü ve/veya ses kaydeden cihazlar aracılığıyla gözetlenme şeklindeki uygulamalar iş ilişkisinde kişisel verilerin işlendiği hallerdir4. Adayın ve işçinin kişilik hakları işverenin yönetim hakkının sınırlarından birini oluşturduğundan, işveren yönetim hakkını kötüye kullanıp adayın ve işçinin kişilik hakkı içinde yer alan kişisel verilerini hukuka aykırı şekilde işleyemez. Bu itibarla işveren İK m.75/2’ye göre adaya ve işçiye ait kişisel verileri dürüstlük kuralına ve hukuka uygun olarak işlemekle yükümlü olup TBK m.419 uyarınca adaya ve işçiye ait kişisel verileri ancak adayın ve işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin kurulması ve ifası için zorunlu olduğu ölçüde işleyebilecektir5.