Gelişen teknoloji, güvenlik önlemleri, ticari gereksinimlerle, birçok kişisel verimizi işyerimizle ve bize hizmet sunanlarla paylaşıyoruz. Bu paylaşım kimi zaman fiziki ortamda kimi zaman da elektronik ortamda oluyor. İş yerimiz veya anlaştığımız kişiler kişisel verilerimizi zaman zaman üçüncü kişilerle de paylaşabiliyor. Peki bu durumda çalışanların hakları neler?
Bu noktada kişisel verilerin korunması büyük öneme sahip. Gelişen teknoloji ve kişisel verilerin korunması ihtiyacı karşısında mevzuat değişiklikleri de yapıldı.
Kişisel Verilerin Korunması Kanunu (“Kanun”) kişisel verileri düzenliyor ve bu bilgilerin ilgili kişiden nasıl temin edileceğini, muhafaza edileceğini ve yok edileceğini düzenliyor.
Konu genel itibariyle çok uzun ve detaylıca tartışılmaya muhtaç olmakla birlikte, bu yazımızda “çalışanların kişisel verilerinin korunması”na hususi olarak değiniyoruz.
Kişisel veriden ne anlıyoruz?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmekte. Örneğin, X şirketinde çalışan Oğuz Kara’nın kan grubu bilgisi, dini, telefon numarası, sosyal güvenlik bilgileri, resim, görüntü ve ses kayıtları, aile hayatı gibi bilgiler kişisel veri kabul ediliyor.
İşyerlerinin, çalışanlarının kişisel verilerini muhafaza etmeleri için çalışanlarından açık rıza almaları gerekiyor.
Bu açık rızanın alınması oldukça önemli. Çalışanın neye rıza verildiği net olarak ifade edilmeli ve rıza alınmadan önce çalışan ne için rıza gösterdiği konusunda işveren tarafından aydınlatılmalı.
Geçerli rıza nasıl olmalı?
Yani çalışanın genel bir ifadeyle “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızasının alınması kabul edilmemekte. Buna battaniye rıza denilmekte olup, hukuken geçersiz sayılıyor.
Geçerli bir rıza için, çalışan hangi kişisel verisinin işverence işlendiğini, muhafaza edileceğini ve gerektiğinde üçüncü kişi ve/veya kurumlarla paylaşılabileceğini bilmeli ve o şekilde veri paylaşmalı ve bu bağlamda rıza beyanı vermeli. Diğer bir deyişle, çalışan bir aydınlatma metni ile bilgilendirilmeli. Bu aydınlatma metni çalışana sunulduktan sonra çalışan verilerini işverenle paylaşmalı.
Aydınlatma metni ile bilgilendirme yapılırken, çalışanın kişisel verilerin hangi amaçlarla kullanılacağı, aydınlatma metninde, açıkça yazılması gerektiğini özellikle belirtmek istiyoruz. Kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalı.
Tabi her hukuki işlemde olduğu gibi, çalışanın irade beyanı olan rıza “özgür irade ile” verilmeli. Zorlama, baskı, hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değil. İşçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.
Örneğin, X kişisi ile işveren iş görüşmesi yaptı ve işe kabul edildi. X’in işyerindeki ilk gününde insan kaynakları departmanından Ayşe Hanım X’den parmak izini almak istedi. Çünkü işyerine giriş ve çıkışlar parmak iziyle yapılıyor. X parmak izi vermek istemedi. Ayşe Hanım “parmak izinin alınması ve işlenmesinin iş sözleşmesinin kurulması için zorunlu” olduğunu söyledi ve bu şekilde X parmak izini vermek zorunda kaldı. Bu örnekte, X’in açık rızası olması halinde dahi bu rıza hukuken sağlıklı bir rıza değil. Çünkü, X rıza verirken baskı ve zorlamaya maruz kaldı. Bu şekilde alınan açık rıza, özgür irade prensibi ve ölçülülük ilkesine aykırı olacaktır.
Esasında rızanın şekli hukuken öngörülmemiş. Yani, yazılı veya sözlü olabilir. Ancak ispat açısından yazılı alınmasını öneriyoruz.
İlaveten, rıza açık bir şekilde verildiği gibi geri de alınabilir. Bu durumda işveren, veri işleme faaliyetlerini durdurmalı ve talep halinde muhafaza ettiği kişisel verileri (yasal zorunluluklar haricinde olanları) imha etmelidir.
Çalışan, işverenin kişisel verileri işleme işlemlerini hukuka aykırı gördü ve şikayet etmek istedi diyelim. Bu durumda Kanun uyarınca talep öncelikle veri sorumlusuna iletilmelidir – verdiğimiz örneklerden yola çıkarak işverene…
İşyerinin, çalışanın talebini, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekmekte.
İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde veri sorumlusu olan işyerine başvuru tarihinden itibaren 60 gün içinde Kişisel Verilerin Korunması Kurumu’na (“Kurum”) şikâyette bulunabilir. Yani, çalışan önce işyerine başvurmadan Kurum’a başvuramamakta.
Kurum, işyerinin Kanun’da öngörülen yükümlülükleri yerine getirmediğine karar verirse işyerine idari para cezası vermekte. Resmi Gazete’de yayımlanan Kurum kararlarına bakıldığında cezaların oldukça yüksek olduğunu görüyoruz.
Ayrıca, kişisel verilerin Kanun’a aykırı işlenmesi Türk Ceza Kanunu’nun 135, 136 ve devamı maddelerinde düzenlenen kişisel verilerin hukuka aykırı kaydedilmesi, verilmesi veya ele geçirilmemesi, yok edilmemesi suçlarını oluşturmakta. Bu suçlar şikayete tabi oldukları için olayın gerçekleşme tarihinden itibaren 6 ay içinde savcılığa başvurulmalıd – zira şikayet süresi 6 ay.
İlaveten, kişisel verileri hukuka aykırı işleme tabi tutulan kişi, eğer maddi manevi zararı varsa, tazminat davası da açabilmekte.
Yani, çalışanın işyerini Kurum’a şikayet etmesi, savcılığa şikayet etmesi ve/veya maddi-manevi zararının tazmini yoluna gitmesi mümkün olup, dilediği yola başvurabilir, hepsine birlikte de başvurabilir.
Bu noktada işyerlerinin mevzuatı iyi bilmesi ve insan kaynaklarının usulüne uygun hareket etmesi önem taşıyor. Yazan: Av. Oğuz Kara
