Av.Barış Turan, İstanbul
PROCESSING THE PERSONAL DATA SHARED THROUGH CORPORATE E-MAIL OF THE EMPLOYEE
ÖZET: Dijitalleşen dünyada teknolojik gelişim; kişisel verilerin niteliğini değiştirmiş, niceliğini artırmış, paylaşılma hızını ve methodlarını daha önceleri görülmeyen ve öngörülemeyen bir düzeye taşımıştır. Gelinen bu noktada kişisel verilerin korunmasının önemi ortaya çıkmış ve gelişmiş hukuk sistemlerinde mevzuat çalışmaları eş zamanlı yürütülmeye başlanmıştır. Ülkemizde de Avrupa Birliği ile entegrasyonun tesis edilmesi amacıyla Kişisel Verilerin Korunması Kanunu (KVKK) ve bağlı mevzuat yürürlüğe girmiştir. Kişisel verilerini paylaşmak zorunda kalan kişi grupları arasında saydığımız işçilerin de kişilik haklarının ve kişisel verilerinin korunması gerekmektedir. İşverenlerin işe alım sırasında ve yönetim hakkının kullanılması esnasında işçilere ait bir çok kişisel veriye ulaştığı hayatın olağan gerçekleri arasındadır. Belli bir noktaya kadar korunan işverene ait bu hakkın sınırını tayin etmek ve işçilere işverenlerince tahsis edilmiş kurumsal mail adresleri üzerinden, işçiye ait paylaşılan kişisel verilerin işverence işlenmesinin kapsamını belirlemek amacıyla, KVKK mevzuatı, İş Hukuku ve çeşitli yargı kararları ışığında konu irdelenmiştir.
ANAHTAR SÖZCÜKLER: Kişisel veri, özel nitelikli kişisel veri, veri işleyen, veri sorumlusu, Kişisel Verilerin Korunması Kanunu, 2016/679 sayılı Avrupa Konseyi Tüzüğü, açık rıza,
ABSTRACT: Technological development in the digitilizing world; changed the quality of personal data, increased its quantity, shifted the speed and methods of sharing to a level that is unprecedented and unpredictable. At this point, the importance of personal data protection has come out and developed legal systems have started concurrent studies to be carried out on the legislation studies. In Turkey, The Law on the Protection of Personal Data (KVKK) and the related legislation entered into force in order to establish the integration with the European Union. The employees as one of the groups who have to share their personal data, also have to have protection with regard to their personal rights and personal data. As a matter of fact, due to managerial rights of the employer, huge amounts of personal data of the employees have to be shared with the employer during the recruitment session and the employment period. In order to determine the limit of this employer right which is protected to a certain point and to determine the scope of the employment processing of the shared personal data through the employees corporate e-mail addresses, the issue is being discussed in the light of the provisions of KVKK, Labor Law and various judicial decisions.
GİRİŞ
Bir kimseye özgü belirgin özellik, manevi ve ruhsal niteliklerinin bütününe, bir başka deyişle, bir kimseye ait şahsiyete “kişilik” denmektedir. Kişinin toplum içindeki saygınlığını ve kişiliğini korumasına, geliştirmesine yarayan menfaat ve yetkilerinin tümüne ise “kişilik hakkı” denir.
Kişilik hakkı herkese karşı ileri sürülebildiğinden mutlak bir haktır ve kişiye sıkı sıkıya bağlıdır. Kişiliklerinin korunması konusunda herkes eşit hukuki statüye sahiptir. Kişiye bağlı kişisel değerleri maddi ve manevi kişisel değerler olarak ikiye ayırabiliriz. Maddi kişisel değerler arasında hayat, sağlık ve vücut bütünlüğünü; manevi değerler arasında şeref, haysiyet, özel hayat, kişiye ait fotoğraf ve sesi sayabiliriz.
Mevzuatımıza 7 Nisan 2016 tarihinde dahil olan Kişisel Verilerin Korunması Kanunu, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruma amacını taşımaktadır. Kanunla getirilen “kişisel veri” kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Kişiliği belirleyen, bir kişiyi “o” kişi yapan her türlü bilgi kişisel veridir.
Türkiye Cumhuriyeti Anayasası’nda “temel hak ve özgürlükler” ve “özel hayatın gizliliği” başlıkları ile genel koruma altında olan kişisel veriler, 07 Mayıs 2010 tarihinde yapılan değişikle, hukuken daha özel bir koruma altına alınmıştır. Anayasa’nın 20.maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası ile kişisel veriler Anayasal koruma altına alınmış, ayrıntıların kanunla düzenleneceği belirtilmiştir.
Anayasa’nın esas ve usuller ile ilgili atıf yaptığı kanun ise, maalesef bu değişiklikten yaklaşık 6 yıl sonra yasalaşabilmiştir. Yürürlüğe giren KVKK, kişisel verilerini işverenleri ile paylaşmak zorunda kalan işçilerin de kişilik haklarını ve kişisel verilerini güvence altına almaktadır. İşçilere işverenlerince tahsis edilmiş kurumsal mail adresleri üzerindeki denetim hakkının yasal sınırları çalışmamızın konusunu oluşturmaktadır.
I-İŞVERENİN YÖNETİM HAKKI, ETİK VE YASAL SINIRLARI
İşverenin vereceği talimatlarla iş akdi, toplu iş sözleşmesi ve İş Kanunu’na aykırı olmamak kaydı ile işyerini yönetme, işçilerin davranışlarını düzenleyebilme, işin nerede, ne zaman, nasıl yapılabileceğine karar verebilme hakkı “işverenin yönetim hakkı” olarak tanımlanmaktadır.
Hizmet akdini belirleyen “taraflar arasında bağımlılık ilişkisinin mevcut olması”dır. İşçi durumunda olan kişi ilke olarak; hizmet akdinde taahhüt edilen “iş görme borcu”ndan sonra ikinci olarak “bağlılık” veya diğer bir deyişle “emirlere uyma borcu” altındadır. İşveren ise, hem “iş görme borcunu istemeye” ve hem de “emir vermeye yetkili” olan kimsedir. Bu esaslar Türk İş Hukuku öğreti ve uygulamasına hakim olan esaslardır. İş Kanunu’na göre “bağımlılık ilişkisi”nin yorumlanması ise, gelişen iş ilişkileri ve teknolojik yenilikler göz önünde tutularak yapılmalıdır (CEVDET İLHAN GÜNAY, İş Kanunu Şerhi, Yetkin Yayınları, Ankara 2005, s.110).
Teknolojik gelişmeleri dikkate alan Yargıtay 9.Hukuk Dairesi, yakın tarihli bir kararında sadece işyerindeki işçilerin kurmuş olduğu whatsapp grubunda paylaşılan bilgileri “kişisel veri” olarak kabul etmiştir. Yargıtay, anılan kararında “..... Öncelikle Whatsapp sistemi, telefon ve internet ortamında internet vasıtası ile iletişimi gerçekleştiren bir sistemdir. Burada kişi, kişiler ile iletişime geçtiği gibi gruplar kurarak grup içiresinde iletişim gerçekleştirilmektedir. Ancak bu sistem kendi içinde korunan ve 3. kişilere kapalı bir konumdadır. Dolayısı ile işçilerin iş akışını bozmadığı ve çalışmaların etkilemediği sürece bir grup kurmaları ve burada iletişim içinde olmaları yasak değildir. İşçilerin bu kapsamda burada iletişimlerinin kişisel veri olarak da korunması esastır....” demek suretiyle işçinin kişisel verilerinin sınırını genişletmiş, bu grup içinde konuşulan çalışma koşullarının olumsuzluğu, yöneticilerin tutumları ve davranışları hakkındaki yorumlara işverenin müdahalesinin söz konusu olamayacağı, buradaki paylaşımlar esas alınarak iş akdinin feshi yoluna gidilemeyeceğini vurgulamış ve yönetim hakkına güncel bir sınırlama daha eklemiştir (Yargıtay 9.HD 01.6.2017.T. ve 2016/14206E.- 2017/9527 K. S. Kararı. Erişim yeri: www.lexpera.com, Erişim Tarihi: 19.05.2018).
İşçinin iş ilişkisi içerisinde işverene hukuken ve ekonomik olarak bağımlı olması, işverenin yukarıda tanımı yapılan yönetim hakkını kötüye kullanmasına neden olabilecektir. İşçinin temel hak ve özgürlüklerinin korunması gerekliliği işte tam da bu noktada doğmuştur. İşyerinde özellikle işçinin işe girişte verdiği gizli kalması gereken bilgilerin işveren tarafından koz olarak kullanılması olasılığı, gelişen teknolojinin getirdiği imkanlar, kamerayla işyerinin kontrolü, işyeri dışında işçinin bilgisayar vasıtasıyla gözetlenmesi, işçinin özel yaşamına müdahale imkanı veren çeşitli teknolojik alet ve programların varlığı işçinin kişisel verilerinin korunması gerekliliğini doğurmuştur.
İşçinin onurunu ve kişiliğini güvenceye alan TBK m.417/1’de düzenlenen “İşveren, hizmet ilişkisinde işçinin kişiliğini korumak ve saygı göstermek ve işyerinde dürüstlük ilkelerine uygun bir düzeni sağlamakla, özellikle işçilerin psikolo-jik ve cinsel tacize uğramamaları ve bu tür tacizlere uğramış olanların daha fazla zarar görmemeleri için gerekli önlemleri almakla yükümlüdür.” hükmü gereğince işverenin uyması gereken sınırlar ana hatları ile çizilmiştir. İşverenin yönetim hakkının sınırı, işçinin özgür ve eşit olarak belirlenmiş kişilik hakları çizmektedir. İşçi, kişilik haklarını sınırlayacak ona halel getirecek işverenin talimatlarına uymak zorunda değildir (HAYRUNNİSA ÖZDEMİR, İşyerinde İşçilerin İzlenmesi ve İşçinin Kişilik Haklarının Korunması EÜHFD, C. XIV, Sayı: 1–2 (2010) (s.231-270) s.249).
İşveren iş ilişkisi kurulmadan önce, iş ilişkisi süresince ve fesih sırasında Trük Medeni Kanunu’nun 2.maddesi kapsamında dürüst davranmakla da yükümlüdür. Bu yükümlülük, işverenin yönetim hakkına kanunun getirdiği bir diğer sınırdır. Yargıtay 7.Hukuk Dairesi önüne gelen İş Hukuku kaynaklı bir uyuşmazlıkta “..... İş ilişkisinde işletmesel kararla iş sözleşmesini fesheden işveren, Medeni Kanun’un 2. maddesi uyarınca, yönetim yetkisi kapsamındaki bu hakkını kullanırken, keyfi davranmamalı, işletmesel kararı alırken dürüst olmalıdır....” demek suretiyle bu sınıra vurgu yapmıştır (Yargıtay 7.HD. 9.2.2016 T. ve 2015/34867 E. - 2016/2230 K. S.Kararı. Erişim yeri: www.lexpera.com , Erişim Tarihi: 19.05.2018).
İşçi-işveren ilişkisinin doğal sonucu olarak ve işverenin yönetim hakkı kapsamında işçiye ait çeşitli kişisel veriler işveren uhdesinde toplanmaktadır. Bunları kısaca kategorize etmemiz zorunludur.
A- İŞÇİNİN İŞE ALINMA AŞAMASINDAKİ KİŞİSEL VERİLERİ
İşveren, iş ilişkisine başlamadan önce işçiye ait tüm özellikleri bilmek ve bu bilgilere göre bu iş ilişkisini tesis etmek isteyebilir (EDA MANAV, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Gazi Üniversitesi Hukuk Fakültesi Dergisi C. XIX, Y. 2015, Sayı: 2, s.113). İşverenin işçiye yönelttiği sorular, eğitim durumu, iş tecrübeleri, referanslar, ikametgâh, doğum tarihi gibi makul sorular olabileceği gibi, işçinin iş arama ihtiyacından faydalanılarak daha özel konulara yönelik sorular da olabilir.
İşverenin yönetim hakkının sınırı pek çok işe alım sürecinde aşılarak işçiye ait, özel hayata ve kişisel duruma ilişkin, dini inanç, cinsel tercih, evlenme ve hamilelik düşüncesi, sağlık bilgileri, eski hükümlülük hali, siyasi görüş ve sendika üyeliğine ilişkin bilgiler gerek işverene teslim edilen özgeçmiş gerekse de iş görüşmesi sırasında alınan notlar aracılığı ile işverenin kayıtlarına girebilmektedir. İşverenin bu süreçte TMK m.2 kapsamındaki dürüstlük kuralına göre hareket etmesi gerekmektedir.
B-İŞÇİNİN İŞ AKDİ SÜRESİNCE PAYLAŞTIĞI KİŞİSEL VERİLER
İş akdi imzalandıktan sonra işveren işçiye ait bir özlük dosyası tutar. Yasal olarak işçiye ait tüm bilgilerin bu dosya içerisinde tutulması zorunludur. İşverenin bu dosya içerisinde iş ilişkisi başlamadan önce aldığı bilgilere ek olarak vergi kimlik numarası, sigorta numarası, banka hesap numarası, ücret bordrosu, izin çizelgesi, sağlık raporları gibi bir kısım bilgi ve belgeyi saklaması zorunludur. Bu saklanan bilgi ve belgelerin tamamı kişisel veri niteliğindedir.
İşveren bu süreç içerisinde işçinin özel hayatına müdahale etmemeli, özel yaşamına dair toplamış olduğu bilgiler de dahil hiçbir bilgiyi yasal zorunluluk olmadıkça 3.kişilerle paylaşmamalıdır.
İş ilişkisi devam ederken yasal zorunluluk, işin gerektirmesi ya da keyfi bir sebeple işyerinden kamera görüntü alınması, işçilerin işe giriş çıkış kayıtlarının tutulması hallerinde de bir takım kişisel veriler işveren tarafından saklanabilmektedir.
Bunlara ilaveten işveren, işyerindeki yönetim hakkı çerçevesinde ve teknolojik imkanlar dahilinde, işyerinde yapılan tüm telefon görüşmelerini kayıt altına alabilir, e-posta kayıtlarını silmeksizin muhafaza altında tutabilir. İş akdi devam ederken teknolojik altyapı işverenin bu kayıtları incelemesine de imkan vermektedir. Bu imkan işverence telefonların dinlenmesi, internet trafiğinin denetlenmesi, e-posta içeriklerinin kontrol edilmesi gibi sonuçlar doğurabilmektedir. İşverenin bu eylemleri işçinin özel yaşam hakkına saldırı boyutlarına dahi ulaşabilmektedir.
C-İŞ AKDİ SON BULDUKTAN SONRA İŞÇİNİN KİŞİSEL VERİLERİ
İş akdi son bulduktan sonra da işveren, iş akdi süresince edindiği işçiye ait kişisel bilgileri saklamak, üçüncü kişilere bu hususta bilgi vermemek zorundadır. İşçinin özlük dosyasını da belirli bir süre saklaması yasal zorunluluktur. Nitekim örneğin ücret, fazla çalışma ücreti beş yıllık zamanaşımı süresine tabi olduğu için, bu dosyada yer alan belgeler, gelecekte işveren aleyhine açılacak davalarda mahkemeye ibraz edilecek evraklardır.
II-İŞÇİYE AİT KİŞİSEL VERİLERİN KORUNMASI
İşverenler, işçi seçiminde, eğitiminde, işçinin yükselmesinde kullanmak, iş sağlığı ve güvenliğini sağlamak, müşteri ilişkilerini kontrol etmek, işyeri güvenliğini sağlamak gibi amaçlarla iş başvurusunda bulunan işçi adaylarına ya da çalıştırdıkları işçilerine ait kişisel verileri işlemektedirler.
İşverenler işçilerine ait kişisel verileri işlerken kamu hukuku ve özel hukukta ayrı ayrı karşılığını bulan yasal düzenlemelere riayet etmek durumundadırlar. Anayasa, Türk Ceza Kanunu ve Bilgi Edinme Kanunu gibi kamu hukuku, İş Kanunu, Kişisel Verilerin Korunması Kanunu, Türk Borçlar Kanunu ve Türk Medeni Kanunu gibi özel hukuk düzenlemeleri kişisel verileri korumaktadır.
Çalışmamızın konusu Kişisel Verilerin Korunması Kanunu üzerine yoğunlaşmasına rağmen, multidisipliner niteliği gereği “kişisel veriler” kamu hukuku alanındaki korumalardan yadsınamayacak durumdadır. Bu nedenle kısaca bu alandaki düzenlemelerden bahsetme ihtiyacı doğmaktadır.
A-KAMU HUKUKU ALANINDAKİ KORUMALAR
i. ANAYASA
Anayasa’nın 20.maddesinde yer alan “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklindeki hüküm kişisel verilerin korunması ile ilgili doğrudan yapılan ilk yasal düzenleme olarak karşımıza çıkmaktadır.
Normlar hiyerarşisi açısından en üstte olan Anayasa, korumasını kendi düzenlemesinin yanı sıra Türk Ceza Kanunu ile Kişisel Verilerin Korunması Kanunu’na yaptığı yollamalarla da korumanın şeklini çizmektedir.
Anayasa’da 23 Eylül 2010 tarihinde yürürlüğe giren değişiklikten önce kişilik hakkı; “temel hak ve özgürlülükler” kapsamında ve “özel hayatın gizliliği” hakkı ile korunmaktaydı . Anayasa’nın normatif hükümleri süreç içerisinde çeşitli yargı kararlarına konu olmuştur. KVKK yürürlüğe girmeden önce Anayasa Mahkemesi bir kararında “..Anayasa’nın 20.maddesinde “kişisel verilerin ancak kanunda öngrülen hallerde veya kişinin açık rızasıyla işlenebileceği”nin açıkça belirtilmesi karşısında, tüzel kişilerin kişisel veri niteliğinde bulunan fiziki veya elektronik adreslerinin, yetkili kişi ya da organlarının rızaları alınmaksızın, dava konusu kural uyarınca PTT A.Ş. tarafınadn reklam ve tanıtım amacıyla toplanıp kaydedilmesinin ve bunların üçüncü kişilere verilmesinin, Anayasa’nın 20.maddesine aykırılık oluşturduğu açıktır. Tüzel kişilere ilşkin kişisel verilerin ilgili kurumlar gereği ya da kişilerin kendilerince kamuya açıklanmış olması veya açık sicillerde yer almış olması, söz konusu verilerin ticari amaçlarla üçüncü kişilere aktarımına rıza gösterildiği anlamına....” gelmeyeceği belirtilerek Posta Hizmetleri Kanunu’nun 3.maddesinde yer alan düzenlemenin Anayasa’nın 20.maddesine aykırı olduğuna ve maddenin iptaline karar vermiştir.
ii. TÜRK CEZA KANUNU
Kişinin kendisine ait bilgiler kişinin özel hayatına ve hayatın gizli alanına dahildir. Kişiye ait bu özel alan ve hayatı korumak için Türk Ceza Kanunu’na bazı suçlar eklenmiştir. Kanun’un “Kişilere Karşı Suçlar” başlıklı 2.kısmının “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı 9.bölümünde 135-138.maddeleri arasında “Kişisel verilerin kaydedilmesi”, “Verileri hukuka aykırı olarak verme veya ele geçirme” ve “Verileri yok etmeme” suçları düzenlenmiştir.
Yine Türk Ceza Kanunu spesifik olarak kişisel verilerin korunması konusundaki bu maddelerden ayrık olarak “haberleşmenin gizliliğini ihlal”, “kişiler arası konuşmaların dinlenmesi ve kayda alınması” ve “özel hayatın gizliliğini ihlal” suçlarını da düzenleyerek kişisel verilerin korunması konusunda geniş bir yelpazeye sahiptir.
iii. BİLGİ EDİNME HAKKI KANUNU
İdare Hukukuna ilişkin olarak, bilgi edinme hakkı, kişisel veriler bağlamında büyük öneme sahiptir. İdarenin tek taraflı iradesiyle gerçekleştirdiği eylem ve işlemlere ilişkin, kişinin serbestçe ilgili makamlara başvurabilmesi ve istenilen bu bilgilerin yanıtlarını idarenin kişiye iletmesi olarak tanımlayabildiğimiz “bilgi edinme hakkı” 24 Nisan 2004 tarihinde yürürlüğe giren 4982 sayılı Bilgi Edinme Hakkı Kanunu ile mevzuatımıza dahil olmuştur. Kanunun “Özel Hayatın Gizliliği” başlığını taşıyan 21.maddesi ile özel nitelikli kişisel veri olarak da kabul edebileceğimiz, açıklanması halinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, mesleki ve ekonomik değerlerine haksız müdahale oluşturacak bilgi veya belgeler, bilgi edinme hakkı kapsamı dışında tutulmuştur. Bu sınırlama nedeniyle idare bilgi edinme hakkını yerine getirirken bir takım kişisel verilere hassasiyet göstermiş ve koruma altına almıştır.
B. ÖZEL HUKUK ALANINDAKİ KORUMALAR
i. İŞ KANUNU
İşçiye ait kişisel verilerin özel hukuk alanındaki ilk ve genel koruması 4857 sayılı İş Kanunu’nun “İşçi Özlük Dosyası” başlığını taşıyan 75.maddesinde karşımıza çıkmaktadır. İşverenin, kişisel verilerin işlenmesinde işlem kriterlerine uyma ödevi, sır saklama ödevi ve işçi hakkında edinilen bilgilerin yetkili mercilere açıklanma ödevi düzenlenmiş bulunmaktadır. Buna göre işveren, işçi hakkında edinmiş olduğu bilgileri “etiksel sınırlardan biri olan” dürüstlük kuralına ve hukuka uygun olarak kullanmak; gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamak ve işçisi hakkında edindiği bilgileri, istendiği zaman yetkili memur ve mercilere göstermekle yükümlüdür. Bu bağlamda işverenin bu yükümlülüklerine aykırı davranması halinde işçinin kişilik haklarına karşı bir ihlal söz konusu olacağından, işçi TMK 24. ve 25.maddeleri ile Türk Borçlar Kanunu’nun 58.maddelerindeki koruma mekanizmalarına başvurabilir .
ii. TÜRK MEDENİ KANUNU
Kişiler hukukunu düzenleyen temel yasa, Türk Medeni Kanunu, kişilik haklarını 24 ve 25.maddeleri ile güvence altına almaktadır. Kişilik hakkına yapılan saldırıya karşı hakim korumasını düzenleyen kanun, kişisel verilere ilişkin saldırıyı da bu ifadesiyle kapsamına almış bulunmaktadır. Kişinin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır. Yapılan saldırıya karşı hakim ihtimal dahilindeki saldırıyı önleme, mevcut saldırıyı sonlandırma ve hukuka aykırılığın tespitine hükmedebileceği gibi, Türk Borçlar Kanunu 58.maddesi kapsamında manevi tazminata ya da saldırıyı kınayan bir karar verilebilir.
iii. KİŞİSEL VERİLERİN KORUNMASI KANUNU
AB standartlarına uygun olarak kişisel verilerin korunması ve bu verilerin ancak kanunla düzenlenen hallerde kullanılması sağlanarak bu kapsamda olabilecek insan hakları ya da kişilik hakları ihlallerinin önlenmesi amacıyla Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde kabul edilmiştir.
Özel hukuktaki en özel kanun niteliğindeki 6698 sayılı Kişisel Verilerin Korunması Kanunu, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi kişisel veri olarak tanımlamış, kişisel verilerin kaydı, saklanması, muhafaza edilmesi vs. konularının tamamını kapsayacak şekilde yeni bir terim yaratarak “işlenme” kelimesini mevzuata 3.maddesi ile dahil etmiştir. Buna göre; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak kabul edilmektedir.
Kişisel veriler, kanun gereği kişinin açık rızası olmaksızın işlenemez. Ancak KVKK 5/2.maddesinde yer alan istisnaların bulunması halinde ilgili kişinin açık rızası olmadan da kişisel veriler işlenebilmektedir. İstisna teşkil eden halleri kısaca sıralayacak olursak;
a. Kanunlarda açıkça öngörülmesi
b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
e. İlgili kişinin kendisi tarafından alenileştirilmiş olması
f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
durumlarında kişisel veriler ilgilinin açık rızası olmaksızın da işlenebilmektedir. Çalışmamızın konusu gereği işveren iş akdinin tarafı olan işçisinin kişisel verilerini, KVKK 5/2-c maddesi istisnasından yararlanarak, herhangi bir rıza aranmaksızın işleyebilmek hakkına sahiptir.
Bununla birlikte kanun “özel nitelikli kişisel veri” tanımını da yapmış ve bunun işlenmesini ise ayrı koşullara tabi tutmuştur. KVKK md.6 gereğince, ”Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin işlenmesi söz konusu ise verinin işlenebilmesi için ilgilinin açık rızasını almak zorunludur. İşveren özel nitelikli kişisel verinin işlenmesi söz konusu olduğunda KVKK 5/2-c maddesinde yer alan istisnalardan istifade edememektedir.
KVKK ile getirilen yenilikleri özetleyecek olursak, ilk başta kişisel veri olarak sadece gerçek kişilerin verilerinin korunduğunu söylememiz yerinde olacaktır. Kanun kapsamında tüzel kişilerin verileri koruma kapsamında değildir. Kanun ile kişisel verilerin işlenmesi sorunu düzen altına alınmış, buna ilişkin genel ilkeler belirlenmiştir. Kişisel verilerin istisnalar haricinde ancak ilgili kişinin açık rızasıyla işlenebileceği belirtilmiştir. Kişisel verilerin bir alt kategorisi de oluşturularak “özel nitelikteki kişisel veriler” için ve üçüncü kişilere aktarım için işlem yasağı getirilmiş, açık rıza olmaksızın bu işlemlerin yapılamayacağı düzenlenmiştir. Kanun gereği muhafaza edilmesine artık ihtiyaç duyulmayan veriler silinecek, yok edilecek veya anonim hale getirilecektir. Veri sorumlularına, ilgili kişilere bilgi verme yükümlülüğü; verileri işlenen kişilere ise bilgi isteme, düzeltme, silme, yok edilmesi gibi bir takım haklar getirilmiştir. KVKK’ya aykırı davranışlar ile ilgili olarak kanunda 5.000,-TL ile 1.000.000,-TL arasında çeşitli idari para cezaları öngörülmüştür.
İdari para cezaların yanı sıra KVKK, kişisel verilere ilişkin suçlar bakımından TCK 135-140.maddelerine yollama yapmaktadır.
III. KURUMSAL MAİL ADRESİNDEN PAYLAŞILAN İŞÇİYE AİT KİŞİSEL VERİLER
İşçilerin telefonlarının dinlenmesi ve kaydedilmesi, e-postalarının, internete girişlerinin ve ziyaret ettikleri sitelerin denetlenmesi, işyerindeki davranışlarının görüntü ve ses alma araçları ve benzerleriyle gözetlenmesi, iş yaşamında sıkça karşılaşılan izleme ve gözetleme (monitoring and surveillance) uygulamalarıdır. Bu tür uygulamalar, işçilerin özel yaşamları başta olmak üzere çeşitli kişilik değerlerine müdahale oluşturur (AHMET SEVİMLİ, İş ve Sosyal Güvenlik Hukuku 2008 yılı 12.Toplantı Notları, İşyerinde İzleme ve Gözetleme Uygulamaları, İstanbul Barosu Yayınları, Nisan 2009, Genel Yayın Sıra No:141, 2009/7, s.135-193) . Bu tip uygulamaların hepsi, günümüz mevzuatı kapsamında birer kişisel veri işlemesidir.
Bugün, birçok orta ölçekli ve büyük işyerinde bilgisayar kullanımı yaygınlaşmıştır. Özellikle de birçok işyerinde internet bağlantısının olması çalışanların bilişim teknolojilerinden faydalanmalarını mümkün kılmıştır. Bu durum beraberinde bazı yasal problemleri de getirmektedir . Özellikle teknolojik gelişmenin getirdiği kişisel veri çeşitliliği bu problemin çözümünü karşılıklı olarak zorlaştırmaktadır.
İşveren ve işçi, elbette ki yapacakları hizmet sözleşmelerinde Türk Borçlar Kanunu’nda düzenlenen sözleşme özgürlüğü hükümleri çerçevesinde sözleşmenin içeriğini özgürce belirleyebilirler. Söz konusu sözleşmelerde, işveren açısından en önemli kısım gizliliktir. İşçinin işiyle ve işyeri ile ilgili elde ettiği bilgileri sözlü veya yazılı olarak, basın-yayın araçları, e-posta, cep telefonu uygulamaları ile açıklaması engellenmek istenir.
İşverenler “iş güdüsel” olarak yönetim haklarını kullanarak, teknolojik alt yapının kolaylaştırdığı bu gizlilik ihlallerini kontrol altına almak istemektedirler. Aynı şekilde işveren, işçilerinin iş zamanlarında işyerindeki bilgisayarlarını özel amaçları doğrultusunda kullanıp kullanmadığını, kullanım söz konusu olduğunda da, duruma müdahale edebilmek istemektedir. Teknoloji, işverenin işçisini çalışma alanının her anında gözetlemesine imkan vermektedir .
Aslında biz buna gözetleme diyelim demeyelim, işçiye ait bir takım veriler özellikle kurumsal mail adresi üzerinde paylaşılan her türlü veri, işveren tarafından işin niteliği gereği saklanmakta ve depolanmaktadır. İşverenin bu verilere her an ulaşım hakkı ve imkanı bulunmaktadır.
İşverenin işçilerine şahsi e-posta kullanılmasını yasaklaması durumunda veya iş sözleşmesi gereği bu yasaklamanın yasal olduğu durumlarda; işverenin işçiye gelen her maili iş maili olduğundan hareketle yönetim hakkı kapsamında kontrol etme hakkı olacaktır (ERBİL BEYTAR, İşçinin Kişiliğinin ve Kişisel Verilerinin Korunması,Oniki Levha Yayınları, İstanbul, Ocak 2017 s.201).
İşverenin sıfatı nedeniyle fiilen elde ettiği imkanlar ile, işyerinde bilgisayar, internet ve e-posta sisteminin kullanımını ve bu araçlarla yapılan işleri denetleme hakkına sahip olduğu kabul edilmektedir. Yargıtay 2001 yılında verdiği bir kararında “.... Diğer taraftan davacı bu davadan önce Bölge Çalışma Müdürlüğüne şikayette bulunmuş yapılan inceleme ve araştırma sonunda işverenin bilgisayar kayıtlarına dayanarak, davacının Aralık 1995-Kasım 1997 arasında toplam 314 saat fazla mesaisinin bulunduğu belirlenmiştir. Ayrıca belirtmek gerekir ki, taraflar arasında imzalanan yazılı hizmet akünde haftalık çalışma saatinin 45 saat olduğu, gerektiğinde fazla mesai yapılabileceği ve bunun da ücretinin ödeneceği hususları öngörülmüştür. Yine dosya içeriğine göre davacının idari ve teknik işlerle ilgilendiği tahakkuk ve ödemeleri bizzat yapan kişi olmadığı da anlaşılmaktadır. Somut olay bakımından davacının kanıtlanan fazla çalışmaları karşılığı alacağının hüküm altına alınması gerekir. Bu konuda bilirkişi tarafından yapılan hesaplama mahkemece bir değerlendirmeye tabi tutularak karar verilmelidir.... “ . demek suretiyle yine benzer bir kararında ise “...davacının işyerinde kendisine işlerini görmek üzere verilen bilgisayarı, mesai saatleri içerisinde internette alış veriş ve oyun sitelerine girmek suretiyle kullandığı, zamanını ve bilgisayarı iş görme edimi doğrultusunda kullanmadığı işverence tespit edilerek, işçinin iş akdinin feshedilmesinde herhangi bir hukuka aykırılık olmadığına... ” demek suretiyle işverenin denetim hakkının mevcudiyetine vurgu yapmıştır.
Yargıtay ve doktrin, etik ve kanuni sınırlar aşılmadıkça işverenin e-postalar üzerinde denetim hakkına yönetim hakkı kapsamında sahip olduğunu kabul etmektedir. Bununla birlikte karşımıza Kişisel Verilerin Korunması Kanunu sonrasında yeni bir sorun daha çıkmaktadır. Acaba, işçiye ait kişisel verileri saklama hakkına KVKK 5/2-c maddesi kapsamında rıza almaksızın, işçiye ait özel nitelikli kişisel verileri ise KVKK 6.maddesi kapsamında açık rıza alarak işleme hakkına sahip işverenin, işçiye iş temelli olarak tahsis ettiği e-posta adresinin kişisel olarak kullanılması ve işçinin bu kişisel kullanımı neticesinde özel nitelikli kişisel verilerini paylaşması ya da işçiye ait özel nitelikli kişisel verilerin bu e-posta adresine 3.kişiler tarafından gönderilmesi halinde işveren KVKK 6.maddesini ihlal etmiş olacak mıdır? Bu sorunun irdelenmesi gerekmektedir.
İşverenin yönetim hakkı çerçevesinde mail yazışmalarını denetleme imkanı ve hakkı olduğu yukarıda açıklanmıştı. İşverenin bu denetim hakkı, kişisel verilerin işlenmesinden farklıdır. Bu önermedeki kişisel veri, işverenin haberi olmadan, başka bir deyişle işveren pasif haldeyken otomatik olarak depolanmaktadır. Depolamak da KVKK kapsamında “veri işlemek”tir ve veri sorumlusu olarak kanundan doğan sorumlulukları doğurmaktadır. Kişisel veri, sahibi tarafından ya da o kişisel veriye sahip 3.kişi tarafından (kişisel veri sahibine atılan mail yolu ile) otomatik olarak depolandığında bu sorumluluk etkilerini gösterecek midir ?
Burada kişisel verisi işlenen işçi, işvereninden KVKK kapsamındaki haklarından kişisel verilerinin işlenip işlenmediğini sorduğunda, bu konularla ilgili bilgi istediğinde, işlenen kişisel verilerinin silinmesini, yok edilmesini talep ettiğinde işverenin tüm e-postalar üzerindeki hakimiyetini ve tasarruf yetkilerini kullanarak bu talebi yerine getirmek durumunda olduğunda şüphe bulunmamaktadır. Hatta işveren, denetleme yaptığı sırada işçisine ait özel nitelikli kişisel verileri tespit ettiğinde bunları geri dönüşü olmaksızın silmekle yükümlüdür diyebiliriz. Ancak, belirttiğimiz gibi işverenin, kendi tasarrufunda ve isteğinde olmadan, işçiye ait özel nitelikli kişisel verilerin depolanması halinde “açık rıza almaksızın” özel nitelikli kişisel veri işlemesi nedeniyle işverenin idari ya da cezai yaptırım ile karşı karşıya kalması hayatın olağan akışına aykırı olacaktır.
Kişisel Verileri Koruma Kurulu’nun 02.04.2018 Tarih ve 2018/32 sayılı kararında “otomatik olmayan yollarla kişisel veri işleyenler” KVKK m.16/2 gereğince istisnadan yararlanarak Veri Sorumluları Sicili’ne kayıt olma yükümlülüğünden kurtulmuşlardır. Kurulun getirdiği bu istisna, 3.kişilerin verilerini otomatik yolla işlemenin sonuçlarını ağırlaştıran bir nitelik taşımaktadır. 3.kişinin değil de hizmet akdi ile çalıştırdığı işçisinin kişisel verisini otomatik yolla işleyen işverenin bu ediminin hukuka aykırılık teşkil etmeyeceği yönündeki yorumumuzla bu kurul kararının uyumlu olduğunu düşünmekteyiz.
SONUÇ
İşçiye tahsis edilmiş kurumsal mail adresi üzerinden, işçiye ait kişisel verilerin, işçinin kendisi tarafından paylaşılması sık rastlanan bir durumdur. Burada işçiye tahsis edilmiş kurumsal mail adresinin şahsi kullanım nedeniyle tahsis edilmiş olup olmamasının önemi yoktur. Yine işçiye ait kurumsal mail adresine işçinin ilişki içinde olduğu 3.kişiler tarafından da işçiye ait kişisel verilerin paylaşılması son derece olağandır. Paylaşılmış olsa dahi KVKK 5/2-c maddesi kapsamında “hizmet akdi” istisna kapsamında olduğu için işverenin herhangi bir sorumluluğu bulunmamaktadır.
Paylaşılan veri, KVKK 6.maddesinde belirtilen özel nitelikli kişisel veri olan “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olması durumunda da sonucun değişmemesi gerekmektedir. Buradaki temel kıstas, özel nitelikli kişisel verinin işverenin bilgisi, onayı olmadan otomatik olarak işlenmiş hatta bazen kişisel veri sahibi tarafından bizzat işlenmiş olmasıdır. Buna ilaveten kişisel veri sahibi olan işçinin, işveren ile mevcut ilişkisinin bilincinde olarak davranması beklenmelidir.
Ancak süreç içerisinde KVKK tarafından ihdas edilen Kişisel Verileri Koruma Kurulu kararları ve kurul kararlarına karşı başvurulacak kanun yolları neticesinde oluşacak içtihatların takip edilmesi şarttır. Keza, işverenin veri sorumlusu olarak sadece kişisel veri depolama ya da saklama nedeniyle sorumluluğu bulunmamaktadır. KVKK m.12 kapsamında işveren “kişisel verilerin hukuka aykırı işlenmesini önlemek”, “erişilmesini önlemek” , “kişisel verilerin muhafazasını sağlamak” ve bu yükümlülüklerin gereği tüm önlemleri almak zorundadır. Bu yükümlülük süreç içerisinde farklı yorumlamaya neden olabilecek niteliktedir. Örneğin, işverenin yönetim hakkı kapsamında denetim yapma hakkı tartışıladursun, çıkabilecek içtihatlar bu durumun bir hak değil yükümlülük olduğu şeklinde yorumlanabilecektir. İşverenlerin bu nedenle KVKK’ya uyum süreçlerini hızlandırması, iş sözleşmelerinde kişisel veriler konusunda gerekli rızaları almaları ve her türlü teknik alt yapıyı en güncel hali ile hazır hale getirmesi gerekmektedir.