ÖZET
6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girmiş olup, işçi işveren ilişkisi öncelikli olmak üzere birçok alanda etkilerini göstermeye başlamıştır. Bu doğrultuda makalemizde, iş hukuku ve işçi-işveren ilişkisi açısından anılan kanun kapsamında işverenler tarafından işçilerin kişisel verilerinin işlenmesi ve korunması hususu ele alınmıştır.
ANAHTAR KELİMELER: Kişisel Veri, Veri Sorumlusu, Kişisel Verilerin İşlenmesi, İşçi–İşveren İlişkisi, Kişisel Verilerin Korunması Kanunu
GİRİŞ
Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016’da yayınlanmıştır. KVKK’nın uygulamasından sorumlu olan idari kurum, Ankara’da bulunan Kişisel Verileri Koruma Kurumu’dur.
Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır. Bu açıdan bakıldığında, kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. KVKK yayımlanmadan önce, kişisel veriler Anayasa, Türk Ceza Kanunu ve Türk Medeni Kanunu kapsamında korunmakta iken 6698 sayılı KVKK’nın yayımlanması ile kişisel veriler için daha spesifik bir korunma alanı sağlanmaya çalışılmıştır. Kanun’un yayımlanmasının üzerinden 5 yıla yakın bir süre geçmiş olmasına rağmen ülkemizde Kanun’a uyum tam anlamıyla sağlanamadığı gibi yerleşik bir içtihat da oluşmamıştır. İdari otorite olarak Kişisel Verileri Koruma Kurumu nezdinde de henüz uygulama birliği bulunmadığından somut olay bazında çözüm üretilmeye çalışılmaktadır.
6698 sayılı KVKK’nın 1. Maddesinde; “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” Denilerek Kanun’un amacından bahsedilmiştir.
KİŞİSEL VERİ NEDİR?
Kısaca, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlayabileceğimiz kişisel veri kavramını Kişisel Verileri Koruma Kurumu üç unsur içeren bilgi olarak tanımlamıştır. Kurum’a göre kişisel verinin üç unsuru şunlardır;
1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3. Her türlü bilgi: Bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR?
Kişisel veri sayılan bilgiler kategorize edildiğinde karşımıza gerçek kişilere ait “özel nitelikli kişisel veri” kavramı çıkmaktadır. Özel nitelikli kişisel veriyi, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki veriler olarak tanımlayabiliriz. Özel nitelikli kişisel veriler daha sıkı bir koruma rejimine tabidir ve özel işlenme şartlarına sahiptir.
• Kişinin ırkı, etnik kökeni,
• Siyasi düşüncesi,
• Felsefi inancı, dini, mezhebi veya diğer inançları,
• Kılık ve kıyafeti,
• Dernek, vakıf ya da sendika üyeliği,
• Sağlık raporları, hastalıkları ve cinsel hayatı,
• Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,
• Biyometrik ve genetik veriler gibi kişiye sıkı sıkıya bağlı ve özel hayatı ilgilendiren bilgiler özel nitelikli kişiler verilerdir.
KVKK KAPSAMINDA İŞYERİNDE YER ALAN KİŞİLERİN TANIMLAMALARI NELERDİR?
İlgili Kişi : Kişisel verisi işlenen gerçek kişidir.
• İş ilişkilerinde ilgili kişi: İşçiler, aday işçiler, stajyer işçiler, alt işveren işçileri, geçici / ödünç işçiler.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
• İş ilişkilerinde veri sorumlusu: İşverendir.
Veri işleyen : Veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.
• İş ilişkilerinde veri işleyen kişi: İnsan Kaynakları Departmanı, Ön Muhasebe Departmanı, İşyeri Hekimi gibi işçilerin kişisel ve özel nitelikli kişisel verilerini işleyen kişilerdir. Ayrıca, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınan saklama, arşiv, bulut bilişim, çağrı merkezi, bordrolama vb. hizmet sunucuları olan şirketler bu faaliyetleri kapsamında veri işleyen sıfatını haizdir.
İŞÇİLERİN KİŞİSEL VERİLERİ NELERDİR?
Kimlik Verileri : Ad-soyadı, T.C. Kimlik Numarası, nüfus cüzdanı seri numarası, doğum yeri ve doğum tarihi bilgilerini de içeren kimlik bilgileri, fotoğraf, nüfus cüzdanı/ehliyet/pasaport belgelerinde yazılı olan kimlik verileri, aile bireylerine ve bakmakla yükümlü olunan kişilere ait kimlik verileri, referans kişilerine ait kimlik verileri.
İletişim Verileri : Adres, telefon, cep telefonu, e-posta bilgileri.
Mesleki Deneyim Verileri : Mezun olunan okullar, diploma / sertifika bilgileri, yabancı dil seviye bilgisi, bilgisayar kullanımı bilgisi, gidilen seminerler ve kurslar, alınan eğitimler ve geçmiş iş deneyimleri.
Finans Verileri : Banka hesap bilgileri, ödemeler, masraf-avans, borç- alacak bilgileri, emeklilik planı veya birikim planı bilgileri, sağlık ve hayat sigortası bilgileri.
Özlük Verileri : Özgeçmiş (CV), bordro bilgileri, görev/pozisyon bilgisi, SGK sicil numarası, 4A hizmet dökümü, işe giriş-çıkış kayıtları, fazla çalışma bilgisi, izin bilgileri, devamsızlık durumu ücret, yan haklar ve sosyal menfaatlere ilişkin bilgiler, atama/terfi bilgileri, performans değerlendirmesi, performans takibi, ödüllendirme, disiplin soruşturmaları, savunma ve uyarılar.
Fiziksel Mekân Güvenliği : İşyerine giriş – çıkış kayıtları, CCTV, güvenlik kamerası kayıtları.
İşlem Güvenliği Verileri : IP adres bilgileri, log kayıtları, kimlik doğrulama bilgileri (şifre ve parolalar).
İşlem Verileri : Talep, şikâyet, beklenti ve öneriler.
Hukuki İşlem Verileri : Yazılı savunma talebi, fesih bildirimi, ikale sözleşmesi, ibraname, dava ve icra-maaş haczi, yasal ve idari mercilerce yapılan yazışmalar.
Görsel ve İşitsel Veriler : Fotoğraf ve video kayıtları.
Diğer : Mülakatlarda alınan notlar, askerlik durumu, kişilik envanteri ve yetenek ve değerlendirme raporları, aylık telefon ekstreleri, beden ölçüleri, aile bireylerine ait bilgiler, doğum, vefat, taşınma vb. bilgiler.
İŞÇİLERİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ NELERDİR?
• Adli Sicil kayıtları,
• Kan grubu,
• Kişisel sağlık verileri; işe giriş muayenesi ve sağlık raporu, muayene-tetkik sonuçları, hastalık haline ilişkin hastane raporları, ilaç ve tedavi bilgileri, tahlil ve test sonuçları, engellilik durumu, iş kazası ve iş göremezlik hallerinde işlenen sağlık bilgileri, gebelik ve doğum raporu.
• Özgeçmişlerde yer alması halinde dernek ve vakıf üyelikleri,
• Biyometrik veriler. (parmak izi ve retina taramaları, yüz taraması)
İŞÇİLERİN KİŞİSEL VERİLERİNİN KORUNMASINDAKİ AMAÇ
Kişisel Verilerin Korunması Kanunu’nun temel amacı, kişilerin özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkı gereği olarak, özel ve aile hayatlarının gizliliği ve mahremiyetini korumaktır. Bu amaçla Kanun’da veri sorumlusunun sorumluluk ve yükümlülükleri ile kişisel verilerin hukuka uygun olarak işlenebilmesinin genel ilke, usul ve esasları yer alır. İş ilişkilerinde ise veri sorumlusu olan işverenler, iş ilişkisinin kurulmasından önce (aday işçi) başlayarak, iş ilişkisi boyunca ve bittikten sonra dahi işçilerinin özel nitelikli olanlar dahil kişisel verilerini ilişkinin doğası gereği olarak, işlerler. Ancak, tüm veri sorumluları gibi işveren sıfatını taşıyan veri sorumluları tarafından da her halde KVKK’nın 4. Maddesinde yer verilen «Genel İlkeler» gözetilmelidir. Kişisel verilerin işlenmesine dair getirilen kurallar, iş ilişkisinde / istihdamda ayrımcılığın önüne geçilmesi amacı için de önemlidir.
Kişisel verilen korunması kapsamında yayımlanan KVKK’nın 4. Maddesinde kişisel verilen işlenmesinde uyulması gereken genel hükümler sayılmıştır ve kişisel veri işleme faaliyetleri her zaman bu ilkelere uygun olmalıdır. Kişisel verilerin işlenmesinde aranan “açık rıza” işçi tarafından verilmiş olsa dahi işveren genel hükümlere uygun davranmakla yükümlüdür. İşverenler otoritelerini, yönetim ve talimat verme haklarını genel ilkelere aykırı bir şekilde kullanamazlar. KVKK’nın 4. Maddesinde sayılan genel hükümler şunlardır;
• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
İŞ İLİŞKİLERİNDE GÖRÜLEN KİŞİSEL VERİ İŞLEME AMAÇLARI
İşçi – işveren ilişkilerinde, işçi tarafından kişisel verilerin paylaşımı adaylık sürecinden yani işe başvurduğu andan itibaren başlamaktadır. Veri sorumlusu olan işverenin öncelikle 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Güvenlik Kanunu ve işçi – işveren ilişkisini düzenleyen diğer mevzuat hükümleri gereğince işe alacağı aday işçi ve çalıştırdığı işçiler yönünden bir takım kişisel verileri işlemek ve aktarmakla yükümlüdür.
İşçi – işveren arasında iş sözleşmesinin kurulması, ifa edilmesi ve özlük işlemlerinin yerine getirilmesi için işverenin işçinin kişisel verilerini işlemesi gerekmektedir. İşçinin işe başlamasının ardından personel yönetimi kapsamında çalışma sürecinin planlanması ve yürütülmesi de kişisel veri işlemenin amaçlarındandır. Örneğin, işveren devamsızlık ve iş sözleşmesine uyumun takibi ile personelin işe giriş – çıkış saatlerinin denetlenmesi için işyerinin çalışma alanlarına görüntü kaydı alan kamera sistemi kurduğunda kişisel veri niteliğinde bilgileri işlemeye başlamış demektir. KVKK da dahil olmak üzere mevzuatta işyerinde çalışma düzeninin sağlanması ve takibinin yapılması amacıyla kamera takılmasını kesin bir şekilde engelleyen bir hüküm olmamakla birlikte bu durumun özel hayatı ihlal eder duruma gelmesi kişisel verilerin haksız şekilde işlenmesine yol açmaktadır. Bunun yanı sıra, işyerinde kamera ile denetim yapılacaksa öncelikle tüm işçilerin bu konuda aydınlatılması zorunludur.
İşçinin kişisel verilerin işlenmesindeki amaçlardan bir diğeri ise bordro faaliyetlerinin yürütülebilmesidir. İşçinin aylık ücret ve diğer hak edişleri ile sosyal hak ve menfaatlerinin yönetilebilmesi için kişisel verilere ulaşılması ve işlenmesi gerekmektedir. Örneğin; işçinin ücreti üzerinde ekleme yapılabilmesi için kaç çocuğunun olduğunun bilinmesi, ekstra kira desteği sağlanabilmesi için ev sahibi olup olmadığı gibi bilgilerin işlenmesi gerekmektedir.
Bir diğer işleme amacının da işyerlerinde iş sağlığı ve güvenliğine ilişkin tedbirlerin alınabilmesi olduğunu söyleyebiliriz. Keza, işçinin kronik bir rahatsızlığının olması işyerindeki görevi yönünden tedbir almayı gerektirebilir veya o işi yapmasına engel olabilir. Dolayısıyla, özel nitelikli kişisel veri olan sağlık verilerinin işlenme şartları sağlanmalı ve amacına ve hukuka uygun şekilde işlenerek saklanmalıdır.
Veri sorumlusu olan işverenin, işçinin kişisel verilerini ve özel nitelikli kişisel verilerini işleme amaçları yalnızca bahsedilenlerle sınırlı olmayıp yapılan işin niteliğine, çalışma şartlarına, personel sayısına bağlı olarak da değişebilir. Her işyerinin kendine özgü bir sistemi olduğu göz önünde bulundurularak işlenecek kişisel verileri sınırlı sayıda ve amaca uygun şekilde tasniflemek KVKK’nın ruhuna uygun olacaktır.
İŞÇİLERİN KİŞİSEL VERİLERİ İŞLENİRKEN DİKKAT EDİLMESİ GEREKEN HUKUKA UYGUNLUK SEBEPLERİ
İşçi – işveren ilişkilerinde kişisel verilerin işlenebilmesinde Kişisel Verilerin Korunması Kanunu’ndaki hukuka uygunluk sebeplerinin var olması gerekmektedir. KVKK’nın 5. Maddesinde belirtilen hukuka uygunluk sebepleri şunlardır;
• KVKK 5/2 (a) maddesi doğrultusunda kanunlarda açıkça öngörülmüş olması: Örneğin, çalışanın SGK girişinin yapılması ve primlerinin ödenmesi bu kapsamda yer almaktadır.
• KVKK 5/2 (c) maddesi doğrultusunda sözleşmenin kurulması veya ifası için işlemenin gerekli olması: Örneğin, iş sözleşmesi kapsamında sözleşmesel yükümlülüklerin yerine getirilmesi ve sözleşmesel hakların kullanılması için veri işleme faaliyetinin gereklilik olduğunu göstermektedir.
• KVKK 5/2 (ç) maddesi doğrultusunda veri işlemenin hukuki yükümlülüklerin yerine getirilmesi için gerekli olması: Örneğin, güvenli bir çalışma ortamı sağlamak veya iş sağlığı ve güvenliği mevzuatından kaynaklanan yükümlülükleri yerine getirmek gibi yasal ve düzenleyici yükümlülüklerin yerine getirilmesi veri işleme faaliyetini zorunlu kılmalıdır.
• KVKK 5/2 (d) maddesi doğrultusunda kişinin kendisi tarafından alenileştirilmiş olması:
Faaliyet kişinin alenileştirme amacıyla bağlantılı olmalıdır.
• KVKK’nın 5/2 (e) maddesi doğrultusunda bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Örneğin, işçiye özel sağlık sigortası yapılması bu kapsamda yer almaktadır.
• KVKK’un 5/2 (f) maddesi doğrultusunda veri işlemenin işverenin meşru menfaati için zorunlu olması: Çalışanların menfaat, hak ve özgürlükleri, işverenin menfaatlerine üstün gelmesi durumunda kişisel veri işleme faaliyetinin meşru müdafaa olduğunu söylenebilir. İşverenin meşru menfaati olduğu şeklinde açıklanmayacak kişisel veri işleme faaliyetleri için KVKK madde 5/1. ve 6/2. uyarınca açık rızaya başvurmak gerekebilir.
AYDINLATMA YÜKÜMLÜLÜĞÜ
Veri sorumlusu olarak kişisel verileri toplarken; kişisel verilerin hangi amaçla işleneceği, veri sorumlusunun yani işverenin ve varsa temsilcisinin kimliğine ilişkin bilgiler, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, işverenin verileri toplama yöntemi ve hukuki sebebi ile ilgili kişinin yani işçinin KVKK’dan doğan hakları hususlarında işçiyi aydınlatma yükümlülüğü bulunmaktadır. Veri sorumlusu işveren olarak, aydınlatma metninin anlaşılır ve kolay erişilebilir olması gerekmektedir. Aydınlatma yükümlülüğü, işçilere özel portaldan veya işyerinde yer alan panolar ya da ilgili kişi gruplarına ait basılı veya elektronik bilgilendirme metinleri aracılığıyla iletilmelidir.
AÇIK RIZA
Açık rızanın unsurlarını; belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve belli bir özgür iradeyle açıklanması olarak belirtebiliriz.
Veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekmektedir. İşveren tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiği açıkça ortaya konulmalıdır. Buna göre, işçinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez.
Uygulamada, kişisel verilerinin işlenmesi amacıyla işverenlerin çoğunlukla işçiye aydınlatma metni ve açık rıza metni imzalatmak suretiyle işçiyi bilgilendirdikleri ve rızasını alarak veri işleme faaliyeti gerçekleştirdiklerini görmekteyiz. Oysa, KVKK’nın 5. Maddesinde, işverenin işçinin kişisel verilerini işlemek için yalnızca açık rızaya dayalı bir hukuka uygunluk sebebi yaratmalarına gerek olmadığı belirtilmektedir. Ancak işveren, 5. Madde hükmündeki hukuka uygunluk sebeplerinden faydalanmak yerine aslında işçi – işveren arasında denge olmadığından şaibeli bir hukuka uygunluk sebebi olan açık rızaya başvurmaktadır. Oysa, Kişisel Verileri Koruma Kurumunun Açık Rıza rehberinde “tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir” denmiştir. Bu durum özellikle işçi-işveren ilişkilerinde bir sorundur. Bu ilişkide taraflar arasında güç dengesi yoktur. İşçiye rıza göstermeme imkânının etkin bir biçimde sunulması beklenmektedir. Avrupa Veri Koruma Kurulu da 05/2020 sayılı açık rızaya ilişkin rehberinde; bu ilişkide işçilerin özgür iradeleriyle açık rızasını vermesinden bahsetmenin oldukça güç olduğuna değinir ve işverenlerin başvurduğu hukuka uygun veri işleme dayanağının açık rıza olarak gösterilmesini sağlıklı bulmamaktadır. Şeklen, geçerli bir aydınlatmanın devamında, işçiye düşünme, soru yöneltme ve seçme imkânlarının da tanındığı, hangi kişisel veri işleme amaçları için açık rıza alınmak istendiğinin ayrı ayrı belirtildiği açık rıza metinleri kullanılmalıdır.
HUKUKA AYKIRI VERİ İŞLEME HALİNDE UYGULANABİLECEK YAPTIRIMLAR
KVKK’da veri sorumlusu olan işverenin yükümlülüklerini yerine getirmemesi halinde karşılaşacağı yaptırımlar öngörülmüştür. Buna göre, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135. ila 140. madde hükümleri uygulanacaktır.36 Buna göre, işverenlerin karşı karşıya kalabileceği cezai yaptırımlar açısından, TCK m. 135’de düzenlenen, kişisel verilerin hukuka aykırı olarak kaydedilmesi, m. 136’da düzenlenen kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme, m. 138’de düzenlenen verileri yok etmeme suçları uygulama alanı bulabilecektir. Ayrıca, TCK m. 140’ta düzenlendiği üzere, belirtilen suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacaktır. Ayrıca, KVKK uyarınca;
• Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834,00-TL’den 196.686,00-TL’ye kadar,
• Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503,00-TL’den 1.966,862- TL’ye kadar,
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172,00-TL’den 1.966,862-TL’ye kadar,
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 39.337,00-TL’den 1.802,636-TL’ye kadar para cezası verileceği hüküm altına alınmıştır.
SONUÇ
Günümüzde kişisel verilerin işlenmesi ve korunması için oldukça çeşitli yöntemler kullanılmaktadır. Kişisel verilerin işlenmesinde üzerinde durulması gereken en önemli unsur, veriyi işlemedeki amacın temel hak ve özgürlükler ile veri sorumlusunun menfaatinin dengeli olmasıdır. İşçi – işveren ilişkisinde ise karşılıklı menfaatin gözetilmesi ve iş sözleşmesinden kaynaklanan yükümlülüklerinin art niyet güdülmeksizin yerine getirilmesidir. Kişisel veri işleme faaliyetinde de veri sorumlusu olan işveren işçinin kişisel verilerini işçinin ve işyerinin menfaatini gözeterek beklenilen fayda ile orantılı olarak veriyi işleme, saklama ve imha etmekle yükümlü olduğu kadar işçi de iş sözleşmesinden kaynaklanan sadakat yükümlülüğü uyarınca kişisel veri işleme faaliyetini menfaat elde etmek amacıyla işvereni zorda bırakmak gibi art niyetle kullanmamalıdır. İşçi – işveren arasında güç dengesi olmadığından işçi lehine yorum ilkesi gereğince işverenin sistemlerindeki verilerden bir an önce envanter çıkartması ve gerekirse verileri ayıklaması, işçilerden gerektiği takdirde açık rıza alması ve bu aşamanın ardından veri edinirken amaç ile sınırlı kalmaya özen göstermesi gerekmektedir. İşverenler işyeri çalışma düzenini KVKK uyum projeleri kapsamında KVKK’ya uygun hale getirmeli, veri işleme faaliyetinde görevlendirdiği personele düzenli eğitim vermeli ve yine düzenli denetimler ile sistemin güncel kalmasına özen göstermelidir. Bununla birlikte işveren, iş organizasyonu içerisinde kişisel verilerin işlenmesi sırasında amaçla sınırlı ve ölçülü olma ilkesini gözeterek gelecekte ihtiyaç doğması ihtimaline karşı iş ilişkisi için gerekli olmayan kişisel verileri işlememeye özen göstermelidir.
KAYNAKÇA
• Erbil Beytar, İşçinin Kişiliğinin ve Kişisel Verilerinin Korunması, On İki Levha Yayıncılık, İstanbul 2017.
• İlke Gürsel, “Kişisel Verilerin Korunması Hakkının İşçi ve İşveren İlişkisine Etkileri”, İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, Legal Yayınevi, İstanbul 2016 Emine Tunca.
• Selen Uncular, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Seçkin Yayıncılık, Ankara 2014.
• Veri Koruma Derneği – İTÜ Sürekli Eğitim Merkezi Uygulamalı Kişisel Verilerin Korunması Sertifika Programı Kaynakları, 2021.
