7 soruda Kişisel Verileri Koruma Kanunu

Kişisel verilerin korunması ile ilgili genel yasal çerçeve nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu, 24.03.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Anılan kanun, özellikle iş ilişkilerinde önemli sonuçlar doğuracak. İşe giriş aşamasından iş sözleşmesinin ifası ve sona erme süreçlerine kadar Kanunu dikkate almamız gerekecek.

Kişisel verilerin korunması Batı’da uzun yıllardan bu yana tartışılıyor. Ülkemizde bu konuda Anayasanın 20. maddesinde değişiklik yapılarak ve Türk Ceza Kanunu’nda düzenlemeler getirilerek ilk adımlar atıldı. 2012 yılı Temmuz ayında yürürlüğe giren 6098 sayılı Borçlar Kanunu ise iş ilişkilerinde ilk kez kişisel verilerin korunmasını düzenledi. Buna göre, iş ilişkilerinde Borçlar Kanunu’nun 419. maddesinin ve 6698 sayılı Kanunun temel referans kanunlar olacağını söyleyebiliriz. Yine bu kanunlar Anayasa’nın 20. maddesi ışığında yorumlanacak, ayrıca aykırılıklar da TCK’na göre cezai yaptırımların konusunu oluşturabilecek.

Gizli kamera ile çekim yapılamaz
Kişisel verilerin işlenmesinde temel ilkeler neler?
Her türlü kişisel verinin işlenmesinde öncelikle temel ilkelere uygun hareket edilmesi zorunlu. Bunlar hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.

İşyerinde video kamera uygulamalarını örnek alarak, bu ilkeler ışığında değerlendirebiliriz: Öncelikle bu uygulama hukuka ve dürüstlük kuralına uygun olmalı. Buna göre gizli kamera ile çekim yapamazsınız. Belirli, açık ve meşru amaç için işlenme koşuluna gelirsek; kamera uygulamasını yapacaksanız, bunu meşrulaştırmanız gerekli. Örneğin, iş sağlığı ve güvenliği veya genel güvenlik meşru gerekçeler olarak kabul edilebilir. Ancak, iş güvenliği amacı ile kullanıyorsanız, bununla sınırlı kalmalı ve ölçülü olmalısınız. Yani, işçilerin giyinme soyunma odalarına kamera koyamazsınız. Kameraları ölçülü uygulamak durumundasınız. Çalışanlarına rahatsız edecek ve temel haklarına zarar verecek boyutlara getiremezsiniz. Nitekim bugün Batı Avrupa’da işçilerin performanslarını ve çalışmalarını denetlemek amacıyla, kesintisiz şekilde adeta George Orwell’in 1984 romanında olduğu gibi gözlenmesi kabul görmüyor. Hatta, bazı ülkelerde, kamera uygulamalarında bizim kanunumuzda yer almayan “sendikanın katılımı ve onayı” gibi koşulların da öngörüldüğünü görüyoruz. Kanuna göre, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmelisiniz. Buna göre, kamera kayıtlarını mevzuatta öngörülen süre sonunda silmek durumundasınız.

İş başvuru formlarına dikkat
Kanun işe alım süreçlerinde nasıl rol oynayacak?
Öncelikle iş başvuru formlarının tasarımının gözden geçirilmesi gerekecek. Özellikle Kanunda hassas veriler kapsamında yer alan dernek ve sendika üyeliği, cinsel yaşam, ceza mahkumiyeti, sağlık bilgileri gibi hususların işlenmesinde çok dikkatli olmak gerekiyor. Adayın yazılı olarak belirttiği referansların aranması ve bunlardan bilgi istenmesi mümkün. Buna karşılık, adayın açıkça belirtmediği referansların aranarak aday hakkında bilgi toplanması Batı Avrupa hukuklarında hukuka aykırı bir davranış olarak kabul ediliyor. Gerçekten 6698 sayılı Kanunda Batı Avrupa modelini ve özellikle AB direktifini esas aldığımız düşünüldüğünde, bizim hukukumuz bakımından da aynı sonucu kabul etmek gerekir kanısındayız.

Kişilik testleri konusunda da şirketlerin uygulamalarını gözden geçirmesi gerek. Örneğin aday bu testin sonuçlarına erişebilmeli ve işveren de bilgi vermek zorunda.

İşçi parmak izini vermek zorunda değil
Kişisel verilerin işlenmesinde çalışanın onayı mutlaka gerekli mi?
Kişisel verilerin işlenmesinde, kural olarak ilgilinin açık ve bilgilendirmeye dayanan rızası olmalı. Ancak bunun istisnaları da var. Genel nitelikteki kişisel verilerin işlenmesinde rıza olmasa da belirli koşullar varsa bunların işlenmesine kanun izin veriyor. Ancak, hassas (özel nitelikli) veriler bakımından ise farklı bir durum söz konusu. Bu nitelikteki verileri işlerken çok dikkatli olmak gerekiyor. Kanuna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak.

Hatta ilgilinin rızasının bile bu gibi verilerin işlenmesinde yeterli olup olmayacağı, Batı Avrupa’da tartışılıyor. Bu tartışmanın odağında da sağlık bilgileri bulunmakta. Kişinin özel rahatsızlıkları mesleki olarak sır saklama yükümlülüğü altında olan işyeri hekimlerince bilinmeli. Bu kapsamda hekim, sadece işçinin işyerinde çalışıp çalışamayacağı veya hangi koşullarda çalışabileceği konusunda bilgi vermeli ve bununla sınırlı kalmalı.

Burada Batı’daki bazı tartışmaların bize de yansıyacağını düşünüyorum. Örneğin her çalışandan “sabıka kaydı” istemek Batı Avrupa’da “ölçüsüz” olarak kabul ediliyor. Oysa bizde bu İK süreçlerinin rutin bir parçası haline gelmiş durumda.

Bu noktada “biyometrik verilere” de dikkat çekmekte yarar var. Özellikle retina, parmak izi gibi sistemlerle giriş çıkışları denetleyen işverenlerin, bu konuda Kanunun açık hükmü gereği işçinin onayını alması gerekiyor. Bu noktada işçi onay vermek zorunda da değil. Örneğin, parmak izini vermekten kaçınabilir ve kendisine kart verilmesini talep edebilir. Bu konuda yaptırım da uygulanamaz görüşündeyim.

HUKUKA AYKIRI VERİ DEVRİ 2-4 YIL HAPİS CEZASI GETİRİYOR
Kişisel verilerin devrinde nelere dikkat etmek gerekli?
Kanunda kişisel verilerin aktarılması ile ilgili de özel düzenlemeler var. Kanuna göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak bunun istisnaları da var.

Kişisel verileri hukuka aykırı olarak aktarmak, kanunda belirtilen para cezalarının uygulanmasına, TCK uyarınca hapis cezasına hatta özel hukuk bakımından tazminat sorumluluğuna da yol açabilir. Hatta kanun yürürlüğe girmeden önceki dönemde, Yargıtay 9. Hukuk Dairesi 2014/37215 Esas, 2016/9418 K, 14.04.2016 tarihli kararında; işçinin özlük dosyasını yeni işverene veren işvereni manevi tazminata mahkûm etti.

Çalışanın özlük dosyasındaki özel bilgileri gönderen işverenin 6698 sayılı Kanunla birlikte bugün daha da ciddi yaptırımlarla karşılaşması mümkün. TCK hukuka aykırı veri devri durumunda 2-4 yıl arası hapis cezası öngörüyor. Yine, 6698 sayılı Kanunda da düzenlenen ağır para cezaları var.

Çokuluslu şirketler gözden geçirmeli
Kişisel veriler yurtdışına aktarılabilir mi?
Kanuna göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak Kanun’da genel anlamda kişisel verilerin aktarılmasında söz konusu olan istisna hükümleri burada da geçerli. Bununla birlikte, yurtdışı devirler bakımından bazı ilave koşullar da getiriliyor. Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilecek. Yeterli korumanın bulunduğu ülkeler kurulca belirlenerek ilan edilecek.

İK uygulaması bakımından çok uluslu şirketlerin sistemlerini gözden geçirilmesi gerekecek. Yine bulut sistemi (cloud system) uygulayan, yani İK verilerini buluta taşıyan şirketler de bu konuda prosedürlerini gözden geçirmeli.
işveren önce bilgilendirmeli

Dokümantasyon ve İK prosedürleri nasıl olmalı?
Kişisel Verilerin Korunması Kanunu yürürlüğe girince, bazı danışmanlık kuruluşları uzun bir taahhütname hazırladılar ve bunları işçiye imzalatıldığında sorunun çözüleceği yönünde görüş bildirdiler. Bunun hatalı ve kanunun lafzına ve ruhuna uygun olmayan bir yaklaşım olduğu kanısındayım. Şöyle ki; kanun her şeyden önce bilgilendirmeye dayalı açık rızadan söz ediyor. Yani işverenin birincil yükümlülüğü, çalışanı bilgilendirmek. Buna göre, kişisel verilerin kim tarafından işlendiği, hangi amaçla işlendiği, bunların nasıl aktarıldığı, ilgili kişinin hakları (erişme, düzeltme, silinmesini talep etme gibi) konularda prosedürler hazırlanmalı ve çalışanın bilgisine sunulmalı. Ancak bundan sonra çalışanın rızasını alabilirsiniz. Hatta Batı’da çalışanın verdiği rızanın geçerliliği dahi sorgulanıyor, bazı kişisel verilerin işlenmesi bakımından (sağlık verileri gibi), çalışanın rızası dahi geçerli sayılmayabiliyor, kanunlarda öngörülen katı kurallara uymak gerekiyor.

Sonuç olarak, kanun son derece isabetli, başarılı, insan yönetimi uygulamalarımızı da ileriye, insan haklarına uygun standartlara taşıyacak bir kanun. Ancak, Kanunu uygularken buna kaynaklık eden Batı Avrupa uygulamalarını esas alarak yorumlamamız gerekiyor.