İşçilerin kişisel verilerinin işlenmesi ve bu verilerin mahkemelerde delil olarak sunulması hem işverenlerin hem de işçilerin yasal hak ve yükümlülüklerinin doğru bir şekilde kullanılması açısından büyük önem taşımaktadır. Ancak mevzuatta, davalarda sunulabilecek kişisel verilerin kapsam ve sınırlarına ilişkin doğrudan bir düzenleme bulunmamaktadır. Bu sebeple Kişisel Verileri Koruma Kurulu ("Kurul") kararları, söz konusu süreçlerin hukuka uygun olarak yürütülmesinde rehberlik etmektedir. Bu kararlar, işverenlerin kişisel verileri işlerken ve delil olarak kullanırken uyulması gereken hukuki yükümlülüklerini belirlerken, işçilerin kişisel verilerinin korunmasını güvence altına alır.
Bu bültende, Kurul kararları doğrultusunda, işçilerin kişisel verilerinin aktarılma şartları, işverenin yükümlülükleri ve bu verilerin mahkemelere delil olarak sunulmasına ilişkin göz önünde bulundurulması gereken hususlara dikkat çekmek amaçlanmıştır.
İşçilerin Kişisel Verilerinin Aktarılabilmesinin Şartları
6698 sayılı Kişisel Verileri Koruma Kanunu'nun ("KVKK") 4.maddesinde kişisel verilerin işlenmesinde uyulması gereken ilkeler belirlenmiştir. Bunlar, "hukuka ve dürüstlük kurallarına uygun olma", "doğru ve gerektiğinde güncel olma", "belirli, açık ve meşru amaçlar için işlenme", "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ve "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkeleridir. Veri işleyen, her koşulda bu ilkelere dikkat etmelidir. Ancak kişisel verilerin hukuka uygun şekilde elde edilmesi ve saklanması, bu verilerin aktarılabileceği anlamına gelmemektedir. İşverenin, işçilerin kişisel verilerini mahkemeye delil olarak sunması kişisel verilerin aktarımı kapsamındadır. Verilerin aktarılabilmesi için ise KVKK'da yer alan kişisel verilerin aktarılma şartlarına uyulması gerekmektedir. Kişisel verilerin aktarılması şartları KVKK madde 8'de düzenlenmiştir. Buna göre kişisel veriler, ilgili kişinin açık rızası ile veya Kanun madde 5/2'de yer alan ya da yeterli önlemler alınmak kaydıyla ve madde 6/3'te yer alan hukuka uygunluk sebepleri varsa aktarılabilir. Bununla birlikte Kanun, kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümleri saklı tutmuştur (madde 8/3).1
İşverenlerin Veri Koruma Hukukunda Yer Alan Yükümlülükleri
İşverenlerin veri koruma hukukunda yer alan yükümlülükleri, çalışanların kişisel verilerinin korunmasını ve bu verilerin hukuka uygun şekilde işlenmesini sağlamak amacıyla belirlenmiştir. Bu yükümlülükler, işverenlerin veri işleme süreçlerinde dikkat etmeleri gereken temel ilkeler ve prosedürler etrafında şekillenmiştir. İşverenlerin yükümlülükleri şu dört ana başlık altında toplanabilir: Aydınlatma Yükümlülüğü, Açık Rıza, Amaca Uygunluk ve Veri Minimizasyonu ve Veri Güvenliği Tedbirleridir.
1. Aydınlatma Yükümlülüğü: İşveren, kişisel verilerin işlenmesi ve aktarılması hakkında çalışanlarını bilgilendirmekle yükümlüdür. Bu bilgilendirme, veri sorumlusunun kimliği, işlenen kişisel verilerin hangi amaçlarla işleneceği, kimlere ve hangi amaçlarla aktarılabileceği, verilerin toplanma yöntemi ve hukuki sebebi ile 11'inci maddede sayılan diğer haklarını kapsamalıdır. Bu yükümlülüğün ayrıntıları Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'de düzenlenmiştir.
Nitekim Kurul, veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılmasına hakkında 02/09/2022 tarihli ve 2022/896 sayılı Kararında; "...İlgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmadığını iddia ettiği, veri sorumlusunun kişisel veri işlenmesine ilişkin sözlü olarak aydınlatma yapıldığını beyan ettiği ancak bu konuda tevsik edici bir belgenin Kuruma iletilmemiş olduğu, bununla birlikte Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5'inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu hususları dikkate alındığında, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ'in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına..." 2karar vermiştir.
2. Açık Rıza: Kişisel verilerin aktarılması için işçiden açık rıza alınması gerekmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan bir onay olmalıdır. Rıza alınmadan kişisel verilerin aktarımı, hukuka aykırı kabul edilir. Ancak, KVKK'nın 5. ve 6. maddelerinde belirtilen diğer hukuki sebeplerin varlığı halinde açık rıza aranmayabilir.
Bu hususa ilişkin olarak Kurul, İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması hakkında 25/06/2020 tarihli ve 2020/494 sayılı Kararında; "...İlgili kişinin veri sorumlusu kargo şirketi tarafından açık rızası alınmaksızın kamera kaydının alındığı iddiası karşısında; veri sorumlusunun daha önceden, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği" beyanı çerçevesinde değerlendirme yapıldığında; veri sorumlusunun ilgili kişinin açık rızasının alındığını tevsik edici belgeyi sunmadığı, ancak veri sorumlusunun kargo şirketi olduğu göz önüne alındığında; Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517 sayılı kararı ile onaylanan "Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar" düzenlemesinin "Posta gönderilerinin görüntüleme cihazları ile kontrolü" başlıklı 6 ncı maddesinin ikinci fıkrasında yer alan, "Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır." hükmü gereğince veri sorumlusu kargo şirketinin, Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan; "Kanunlarda açıkça öngörülmesi" hukuki sebebine uygun olarak işleme yaptığı değerlendirmelerinden hareketle, söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına..." karar vermiştir.3
Ayrıca Kurulun İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması hakkında 07/09/2023 Tarihli ve 2023/1548 Sayılı Kararında; "...İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceği, bu kapsamda ilgili kişinin iş sözleşmesinin haklı sebeple feshedildiğini ispatlama aracı olarak kullanılan ses kaydının hukuka uygun delil olduğu, nitekim somut olayda ilgili kişinin ses kaydının veri sorumlusu tarafından da alınmadığı ve kullanıcı/müşteri tarafından veri sorumlusu ile paylaşılan ses kaydının delil mahiyeti taşıması sebebiyle veri sorumlusu tarafından muhafaza edildiği... Bu itibarla; iş sözleşmesinin feshine haklı gerekçe kılınan ses kaydı delilinin Kanun'un 8'inci maddesinin (2) numaralı fıkrasının atfı ile Kanun'un 5'inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulduğu..."4değerlendirilmiştir.
Kanun'un özel nitelikli kişisel verilerin işlenme şartları başlığını taşıyan 6'ncı maddesinin 1. Fıkrasında ise; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Kurul, Bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi hakkında 10/08/2023 Tarihli ve 2023/1356 Sayılı Kararında; "...Veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla ibadethanenin gözetlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanun'un 6'ncı maddesinde yer alan işleme şartlarından birine ve bunun yanı sıra veri sorumlusu tarafından ifade edilen meşru menfaat kavramına dayandırılamayacağı, ayrıca söz konusu özel nitelikli kişisel veri işleme faaliyetinin Kanun'un 4'üncü maddesinde yer alan genel ilkelerden "belirli, açık ve meşru amaçlar için işlenme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine uygun olmadığı, nitekim mescidin, veri sorumlusunun çalışma alanı çerçevesinde izlenmesini mecbur kılacak herhangi bir vasfının olmadığı, ayrıca Kanunlarda iş ilişkilerinde ibadethanelerin gözetlenebilmesini uygun gören açıkça bir hükmün bulunmadığı dikkate alındığında ibadethanenin kamera ile izlenmesinin hukuka uygun bir veri işleme olmayacağı..."5 değerlendirilmiştir.
3. Amaca Uygunluk ve Veri Minimizasyonu; Toplanan kişisel veriler sadece belirli, açık ve meşru amaçlar doğrultusunda işlenmesi gerekmektedir. İşverenlerin, topladıkları verileri yalnızca delil olarak kullanma amacıyla sınırlı tutmaları önemlidir. Ayrıca Kişisel verilerin toplanması ve işlenmesinde veri minimizasyonu ilkesine uyulmalıdır. Yani, sadece gerekli olan veriler toplanmalı ve kullanılmalıdır.
Bu hususa ilişkin olarak Kurul, Ses kayıt özelliği bulunan güvenlik kamerası kullanılması" ile ilgili Kişisel Verileri Koruma Kurulunun 12/03/2020 tarihli ve 2020/212 sayılı Kararında: "...sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir. Bu anlamda, gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı açıktır. Diğer taraftan, kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceği değerlendirilmektedir. Ayrıca belirtmek gerekir ki, güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceği..." 6değerlendirilmiştir.
4. Veri Güvenliği Tedbirleri: İşveren, kişisel verilerin aktarımı sırasında veri güvenliğini sağlamakla yükümlüdür. Bu kapsamda, yetkisiz erişimi, verilerin kaybolmasını, tahrip edilmesini veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirlerin alınması gerekmektedir. Genel olarak teknik ve idari tedbirler KVKK madde 12'de düzenlenmiştir ancak teknik ve idari tedbirleri tek tek belirlemek ve saymak mümkün değildir. Bu sebeple Kurul tarafından verilen kararlar bu hususta rehberlik edicidir. Bu doğrultuda kurul 31/01/2018 tarihli ve 2018/10 sayılı kararı ile ilgili önlemleri belirlemiştir.
Bu doğrultuda, Kurulun, Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması hakkında 02/09/2022 tarihli ve 2022/896 sayılı Kararında; "...Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, Kanun'un 5'inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı ve bu kapsamda veri sorumlusunun Kanun'un 12'nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında Kanun'un 18'inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına..." karar vermiştir.
Kurul, Bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi hakkında 10/08/2023 Tarihli ve 2023/1356 Sayılı Kararında; "...Kanun'un 12'nci maddesinin (1) numaralı fıkrasında yer verilen "Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmüne aykırılık teşkil etmesi nedeniyle Kanun'un 18'inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına..." karar vermiştir.
Footnotes
1. İş İlişkisinde Kişisel Verilerin Korunması
2. https://kvkk.gov.tr/Icerik/7584/2022-896
3. https://www.kvkk.gov.tr/Icerik/6925/2020-494
4. https://www.kvkk.gov.tr/Icerik/7777/2023-1548
5. https://www.kvkk.gov.tr/Icerik/7779/2023-1356
6. https://www.kvkk.gov.tr/Icerik/6892/2020-212
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
