Yazar

Av. Emre BİLİR

Tarih

10 Ocak 2021

Görüntülenme

Paylaş

İşverenlerin, Kişisel Verilerin Korunması Kanunu Karşısında Durumu

Bu yazımızda, 29677 sayılı 07/04/2016 tarihinde yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununda yükümlülükleri belirlenen 4857 yasa kapsamında iş sözleşmesine dayalı olarak veri işleyenlerden işverenlerin durumu değerlendirilecektir.

4857 sayılı İş kanununa göre işverenler, bir iş sözleşmesine dayanarak işçi çalıştıran gerçek ya da tüzel yahut tüzel kişiliği olmayan kuruluşlardır. İşverenler çalıştırdıkları işçilerin kimlik bilgilerinden mesleki deneyim bilgilerine, sağlık verilerinden özlük verilerine, görsel verilerinden sabıka kaydına kadar bazıları özel nitelikte veri olmak üzere, otomatik olan ya da olmayan birçok veriyi işlemektedir.

İşçinin Açık Rızası Şart Mıdır?

6698 sayılı yasanın 5. Maddesi kural olarak işlenen kişisel verilerin ilgili kişinin rızası olmaksızın işlenemeyeceği kural olarak düzenlenmiş ve hemen akabinde bunun istisnaları düzenlenmiştir. İşverenler 4857 sayılı yasa kapsamında iş sözleşmesine dayanarak işçi çalıştırdığından; 6698 sayılı yasanın 5/2-ç bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” Hükmü gereği işçisine yada işçi adayına ait ilgili verileri işçisinin rızası olmaksızın işleyebilmektedir. Fakat işlenecek tüm verilerin istisna kapsamda rıza alınmasına gerek olmadığını değerlendirmek hatalı olabilecektir.

Yasa “ doğrudan doğruya” ilgili olmak şartını getirerek sözleşmenin kurulabilmesi ve ifası için işlenecek verileri aslında sınırlandırmaktadır. Bu istisnai hükme rağmen, sözleşmenin kurulabilmesi ve ifası için doğrudan doğruya ilgisi olmayan verilerin toplanmasından ve işlenmesinden kaçınılması önem arz etmektedir.

Örneğin, uygulamada sıklıkla iş başvuru formalarında memleket, kan grubu, açık ikamet adresi gibi iş sözleşmesinin kurulup kurulmamasını doğrudan doğruya etkilemeyecek veriler istenmektedir. Bu verilerin işlenmesi istisna kapsamında değerlendirilemeyeceğini ve işçinin veyahut adayın açık rızasının varlığı aranacaktır. Bu nedenle iş sözleşmesinin kurulmasında ve ifasında tarafların sözleşmenin kurulabilme tercihinde etkilemeyecek verilerin istenmemesi ve işlenmemesi yasanın öngördüğü amaç doğrultusunda olacaktır.

Bu nedenle açık rıza alınması yasaya uygun olacağı düşünülecek ise de, açık rıza ve aydınlatma yükümlülüğünün yasa kapsamında;

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması,

Gerektiğinden bu koşulu sağlamayan tüm rızalar hukuken geçersiz sayılacaktır.

Aydınlatma Yükümlülüğü

Yine uygulamada işverenlerin, işçi adaylarının ve işçilerinin kişisel verilerinin işlenmesinde rıza almakla yetindiğini ve aydınlatma yükümlülüğünü yerine getirmediğini sıklıkla karşılaşmaktayız. Aydınlatma yükümlülüğünün yerine getirilmemesinin 2020 yılı itibari ile 9.013 Türk Lirasından 180.264 Türk Lirasına kadar idari para cezası öngörmesi karşısında aydınlatma yükümlülüğünün yerine getirilmesi de önem arz etmektedir.

Aydınlatma yükümlüğünün ifasında işverenler, veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplamanın yöntemi ve hukuki sebebini, ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür.

Yine aydınlatma yükümlülüğü yerine getirilir iken, sade ve anlaşılabilir bir dil kullanılmalı, açık rıza şartına dayalı veri işlenmesi durumunda açık rıza ve aydınlatma yükümlülükleri ayrı olarak yerine getirilmelidir.

İşlenen Verilerin Aktarılması

İşverenler, işlediği verileri 6698 sayılı yasanın 8. Maddesi uyarınca ancak açık rıza olması durumunda aktarabilmesi kural iken, yine 5. Madde öngörülen istisnai durumların varlığı halinde açık rıza olmaksızın 3 kişilere aktarım yapabilecektir.

Bu istisnai hüküm kapsamında açık rıza aranmaksızın aktarımın sıklıkla Sosyal Güvenlik mevzuatı gereği yükümlülüklerin yerine getirilmesi için kamu kurumlarına ve sözleşmenin ifası uğruna maaş ödemeleri için bankalara bir kısım kişisel verilerin aktarılması olarak karşımıza çıkmaktadır.

Yine sıklıkla karşılaştığımız; iş başvuru formlarının iş ortakları ve işbirlikçiler ile paylaşılmasının istisna kapsamında değerlendirilemeyecektir. Bu nedenle iş başvuru formlarının iş ortakları ve işbirlikçiler tarafından değerlendirilebilmesi için aktarımın ancak ilgili çalışan adayının açık rızası ile aktarılabilmesinin mümkün olabileceğini değerlendirmekteyiz.

Alınması gerekli idari ve Teknik Tedbirler

İşverenler oluşturdukları şirket içi politikalar ile çalışan yada çalışan adaylarından temin ettikleri kişisel verileri, imha zamanına kadar alacakları tedbirler ile saklamak ile yükümlüdür.

İşverenler işledikleri verilerin, 4857 sayılı yasanın 75/2 maddesi uyarınca gizli kalmasından, 6698 sayılı yasanın 12 maddesine göre ise veri sorumlusu olarak hukuka aykırı olarak işlenmesinden, erişilmesinden sorumlu olduğu gibi bu verilerin muhafazasını sağlamak için gerekli idari ve teknik tedbirleri almak ile yükümlüdür. Yasada yer alan “gerekli tedbirlerin” ifadesinin işveren özelinde değerlendirilmesi gerekmektedir.

Ayrıca işlenen veriler, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerden biri olması durumunda Kişisel Verilerin Korunması Kurumunun belirlediği yeterli önlemlerin alınması şarttır.

İdari para Cezaları ve Tutarları

2020 yılı tarihi itibari ile 6698 sayılı yasanın öngördüğü yükümlülüklerden,

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.013 Türk lirasından 180.264 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.636 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.066 Türk lirasından 1.802.636 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.053 Türk lirasından 1.802.636 Türk lirasına kadar, idari para cezası öngörüldüğünden,

veri sorumlusu olan işverenlerin 6698 sayılı yasada yer alan yükümlülüklerini yerine getirmeleri önem arz etmektedir.

Veri Sorumluları Siciline Kayıt Zorunluluğu Var mıdır?

6698 sayılı yasanın 16/2 maddesine göre Kurul tarafından veri sorumluları siciline kayıt olma yükümlülüğüne istisna getirilmeyen tüm gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Kurum, aldığı kararlar ile bazı veri sorumlularını sicile kayıt olmasına istisna getirilmiştir. İşverenler istisna kapsamında kalıp kalmadığını kurumun kararları özelinde değerlendirilmesi gerekmekte ise de, Kurumun 19/07/2018 tarih ve 2018/87 sayılı kararı ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulduğu karar ile işverenlerin bir bölümü sicile kayıt zorunluğundan istisna tutulmuştur. Unutulmamalıdır ki, veri sorumluları sicile kayıt olma zorunluluğundan istisna tutulmak, 6698 sayılı Kanun kapsamında yer alan yükümlülüklerinden istisna tutulmak anlamına gelmemektedir.

Veri sorumluları siciline kayıt olmak bir kısım işverenleri kapsayabilirken, 6698 sayılı yasa ve öngördüğü yükümlülükler tüm işverenleri kapsamaktadır.

Av. Emre BİLİR