Eylül 15, 2021 ,

İş Hukuku Kapsamında Kişisel Verilerin Korunması

Kişisel veri, kişilerin adı, soyadı, adres bilgisi, telefon numarası, var ise mevcut olan hastalıkları, banka hesap numaraları, kredi kartları, şifreleri, mali kayıtları gibi belirli veya belirlenebilir bir gerçek kişiyle ilgili tüm bilgilerdir. 

Kişisel Verileri Koruma Kanunun Amacı Nedir? 

Teknolojinin gelişmesi ve yaygınlaşmasıyla birlikte “kişisel verileri koruma” kavramı ve konusu kişiler, kurumlar ve şirketler için kritik bir hal almaya başladı. Verilerin gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılması, insan haklarının gelişimi, Avrupa Birliği yasal düzenlemelerine uyum zorunluluğu, yabancı yatırımın artırılması, gelişen teknoloji ile birlikte artan bilgi paylaşımına istinaden özel verinin korunması, veri sahibi olan bireyin temel hak ve özgürlüklerinin, kişilik hakkının ve özel alanının korunması açısından önemli olduğu kadar kurumlar ve şirketlerin güvenliği ve diğer yasal haklarının korunması açısından da önemli hale geldi.  

Bir süre önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, kişisel, kurumsal sorumlulukları ve aynı zamanda yükümlülükleri de belirlemiştir. Böylece kanun ile birlikte verilerin kim tarafından, hangi amaçlara yönelik işleneceği, nasıl kullanılacağını, nasıl ve ne zaman silineceğine ilişkin düzenlemeler getirilmiştir. 

Kişisel Verilerin Koruma Kanunun ve bu anlamda kişisel verilerin korunmasının temel amacı, verilerin hukuka aykırı olarak kaydedilmesini önlemek ve bu veriler üzerinde gerçekleştirilen bütün işlemlerin hukuka uygunluğunu sağlamaktır. İşçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, tabiiyeti, mahkumiyet durumu, siyasi ya da sendikal faaliyetleri, sağlık ve hastalık durumu, e-posta yazışmaları, dini, ırkı, etnik kökeni, cinsel eğilimi vb. bilgiler korunması gereken kişisel veriler kapsamında yer almakta ve korunması gereken bilgiler olarak kabul edilmektedir. Bu verilerin kontrolsüz şekilde işlenmesi, bazı temel hakların ihlal edilmesine sebep olmaktadır. 

Kişisel verilerin depolandığı veya kullanıldığı formun, kanunun uygulanabilirliği ile bir ilgisi bulunmamaktadır. Yazılı veya sözlü haberleşme ve iletişimler yanında, kapalı devre televizyon sistemi ile kaydedilen görüntü veya sesler de dahil olmak üzere, bu bilgilerin kişisel verileri içermesi mümkündür. 

Kâğıtlarda yer alan bilgiler yanında, elektronik ortamda kaydedilen bilgilerin, insan dokusundan alınan hücre numunelerinin dahi kişisel veri olarak kabul edilmesi mümkündür. Kişisel verilerin işlenmesi günümüzde iş ilişkilerinde oldukça sık rastlanılan bir konu haline gelmiştir. Nitekim işverenler, kanunun öngördüğü yükümlülüklere uymak, işçi seçiminde, eğitiminde, işçinin yükselmesinde kullanmak, iş sağlığı ve güvenliğini sağlamak, müşteri ilişkilerini kontrol etmek, işyeri güvenliğini sağlamak gibi amaçlarla iş başvurusunda bulunan işçi adaylarına ya da çalıştırdıkları işçilerine ait kişisel verileri işlemektedir. 

Bu bağlamda kanunun ve kişisel verilerin korunmasının temel amacı verilerin hukuka aykırı olarak kaydedilmesini önlemek ve bu veriler üzerinde gerçekleştirilen bütün işlemlerin hukuka uygunluğunu sağlamaktır. Kişisel verilerin korunması özel hayatın gizliliği temel hakkına dayanmaktadır ve özel hayatın gizliliği insanın kişiliğinin korunmasında önemli bir araçtır. 

Kişisel Verilerin Korunması Hakkı Neye Dayanır? 

Verilerin korunması hakkı, özel hayata saygı gösterilmesi hakkından doğmuş olan bir haktır. Özel hayat kavramı, insanlar ile ilgilidir. Bu itibarla, veri koruma asli yararlanıcıları gerçek kişilerdir. Kişisel verilerin korunması konusu kişilik hakları ile de yakından ilgili olduğu için, kişilik haklarının korunması, işçinin işe alınmasında ve iş sözleşmesinin devamında elde edilen bilgilerin kullanılmasının sınırlandırılması, bazı bilgilerin elde edilmesinin yasaklanması önemlidir. 

İş İlişkisi Kavramı Ve Kişisel Veriler Bakımından Değerlendirilmesi 

4857 sayılı İş Kanunu (“İş Kanunu”)’nun 2. (ikinci) maddesinin 1. (birinci) fıkrasında  bir iş sözleşmesine dayanarak çalışan gerçek kişi “işçi”, işçi çalıştıran gerçek veya tüzel kişi yahut tüzel kişiliği olmayan kurum ve kuruluşlar “işveren”, işçi ile işveren arasında kurulan ilişki ise “iş ilişkisi” olarak tanımlanmıştır. Bir işçi, işverene ait iş organizasyonu içinde onun menfaatine dayalı bir iş yapıyorsa bir iş ilişkisinden bahsedilebilecektir. 

Önemle vurgulamak gerekir ki; iş ilişkisi tanımı kişisel verilerin korunması bağlamında düşünüldüğünde işçinin İş Kanunu’na tabi olup olmadığına bakılmaksızın en geniş biçimde düşünülmesi gerekliliğidir. Bu bağlamda; stajyer, mevsimlik tarım işçileri, çırak, part-time çalışan ve aday işçilerin de iş ilişkisi kapsamında değerlendirilerek verinin konusunu oluşturacağı şüphesizdir. 

İş Hukuku Anlamında Kişisel Veri Nedir? 

İş hukukunda kişisel veri kavramı, bilgisayar ortamında veya özlük dosyalarında saklanan, işçinin özel ve mesleki yaşamını kapsayan, işçiyi doğrudan veya dolaylı ilgilendiren tüm bilgiler, işaretler veya notlardır. İşçinin kimlik bilgileri, adresi, mesleği, medeni durumu, doğum tarihi, tabiiyeti, mahkumiyet durumu, siyasi ya da sendikal faaliyetleri, sağlık ve hastalık durumu, e-posta yazışmaları, dini, ırkı, etnik kökeni, cinsel eğilimi vb. bilgiler korunması gereken kişisel veriler kapsamında yer almaktadır. 

Örnek Olarak;
Bir işveren, bir çalışanın iş performansı hakkında değerlendirmelerde bulunmuştur ve söz konusu değerlendirmeler çalışanın özlük dosyasında saklanmaktadır. Her ne kadar “çalışan kendisini işine vermiyor” gibi ve aksi kanıtlanamaz bir olgu olarak “çalışan, son altı ay zarfında beş hafta süreyle devamsızlık yapmıştır” gibi değerlendirmelerin, denetmenin sadece şahsi kanaatini kısmen veya tamamen yansıtması mümkün olsa da söz konusu değerlendirmeler, çalışana ilişkin kişisel veri olarak kabul edilirler. 

Türk Hukukunda Kişisel Verilen Korunmasına İlişkin Kanun Maddeleri; 

  1.  
    1. Kişisel verilerin korunmasını isteme hakkı 7 Mayıs 2010 tarihinde 5982 sayılı Kanunun ikinci maddesi ile Anayasanın Özel Hayatın Gizliliği başlıklı 20 inci maddesinin üçüncü fıkrasına ek fıkra olarak ilave edilmiştir. Buna göre, Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” 
    2. Medeni Kanunda doğrudan özel yaşamı korumaya ilişkin bir hüküm bulunmamaktadır. Ancak TMK.m.23-25 de kişiliğin korunmasına ilişkin düzenlemeler getirilmiştir. Bu hükümler, kişilerin ve aynı zamanda işçilerin kişisel verilerinin korunması bakımından bir araç olabilir. TMK.m.24’e göre, “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” Kişilik hakları hukuka aykırı olarak saldırıya uğrayan kişi TMK.m.25 çerçevesinde, saldırının tespiti amacıyla tespit, saldırının sona erdirilmesi için men, saldırı tehlikesinin önlenmesi maksadıyla önleme ve kişilik haklarının zarar görmesi nedeniyle uğradığı zararın giderilmesi için maddi veya manevi tazminat davalarını açabilir. İşçinin kişisel verilerinin işveren ya da işveren vekili tarafından hukuka aykırı olarak kullanılması halinde, gizli kalması gereken kişisel verilerinin kullanılması dolayısıyla kişilik hakları zedelenen işçi de söz konusu genel hükümlerden yararlanarak dava açabilme imkanına sahiptir. 
    3. Teknolojik gelişmeler sonucu günlük yaşantının bir parçası hâline gelen ve bilgisayar ortamında saklanabilen verilerin kullanılması konusunda işçinin korunması amacıyla bazı sınırlamalar yapılmış ve bu gerekçe ile Türk Borçlar Kanununun 419 uncu maddesi düzenlenmiştir31. Buna göre, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.” 
    4. 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Kişisel verilerin kaydedilmesini düzenleyen TCK.m.135 e göre, “ Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.” Verileri hukuka aykırı olarak verme veya ele geçirme başlığı altında TCK.m.136 ya göre, “ Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” Verileri yok etmemenin yaptırımı düzenleyen TCM.m.138 e göre, “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” TCK.m.139 çerçevesinde kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır. 
    5. İş Kanunumuzda işçilerin kişisel verilerinin korunmasına ilişkin olarak 75. madde ile bir düzenleme getirilmiştir. Söz konusu maddeye göre, “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” Bu düzenleme dürüstlük, kuralının yansıması olarak yerinde bir düzenlemedir. Bu madde çerçevesinde işverenin işçisi ile sözleşme yaptığı andan itibaren işçi hakkında tutacağı kayıtları gizli tutmak ve kimseye açıklamamak yükümlülüğü doğar. İşçinin özlük dosyasında yer alan bilgileri açıklamama yükümlülüğü, sır saklama yükümlülüğü kapsamında değerlendirilebilir. İşverenin bu yükümlülüğe aykırı davranarak işçinin dosyasında yer alan kişisel verileri üçüncü kişilere açıklaması halinde sır saklama yükümlülüğünün ihlal edildiği söylenebilir. 
    6. İşverenin, işçinin özlük dosyasında bulunan bilgileri saklaması, işçi hakkında edindiği bilgileri hukuka uygun olarak kullanması ve gizli kalması gereken bilgileri açıklamaması gerekmesine karşın; bu yükümlülüğü ihlal etmesi halinde yaptırım olarak sadece İş K.m.104/1’de, özlük dosyalarını düzenlemeyen işveren ve işveren vekilinin para cezası ödeyeceği düzenlenmiştir. İşçinin kişisel verilerinin bu şekilde hukuka aykırı olarak kullanılması halinde işçi İş K.m.24/II çerçevesinde iş sözleşmesini haklı sebeple feshedebilir ya da genel hükümler çerçevesinde tazminat talep edebilir. 
    7. İş Sağlığı ve Güvenliği Kanununun 15 inci maddesinde “Sağlık gözetimi” düzenlenmiştir. Buna göre işveren; çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlar. Bununla birlikte işe girişlerinde, iş değişikliğinde, iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde talep etmeleri hâlinde ve işin devamı süresince, çalışanın ve işin niteliği ile işyerinin tehlike sınıfına göre Bakanlıkça belirlenen düzenli aralıklarla çalışanların sağlık muayenelerinin yapılmasını sağlamak zorundadır. Tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacaklar, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlatılamaz. Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur. 
    8. İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliğinin “İşverenin sağlık ve güvenlik kayıtları ve onaylı deftere ilişkin yükümlülükleri” başlıklı yedinci maddesine göre işveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıt ile işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdür. Çalışanın işyerinden ayrılarak başka bir işyerinde çalışmaya başlaması halinde, yeni işveren çalışanın kişisel sağlık dosyasını yazılı olarak talep ederse, önceki işveren dosyanın bir örneğini onaylayarak bir ay içerisinde gönderir. Onaylı defterin asıl sureti işveren, diğer suretleri ise iş güvenliği uzmanı ve işyeri hekimi tarafından saklanır. Defterin imzalanması ve düzenli tutulmasından işveren sorumludur. İşveren, teftişe yetkili iş müfettişlerinin her istediğinde işveren onaylı defteri göstermek zorundadır. İşçinin kişisel verilerinin işlenebilmesi için, KVKK’da öngörülen ilk şart, işçinin açık rızasının bulunmasıdır. 

İşverenin Kişisel Verileri İşlemede Uyması Gerekenler 

  • Açık Rıza ve Gizlilik Yükümlülüğü 

4857 say. İş Kanunu 75/2. maddesinde yer aldığı üzere işveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür. KVKK’da, bu kurala açık rıza kuralını eklenmiştir. Açık rıza, kanunda belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Buna göre verilerin edinilmesi, işlenebilmesi, iletilmesi ve edindiği verileri 3. kişiler ile paylaşmasında açık rıza aranacaktır. İşveren edindiği bilgileri herhangi bir sübjektif değerlendirme yapmadan saklamalıdır. 

Açık rızanın geçerliliği için yazılı alınması zorunlu olmasa da ispat kolaylığı açısından yazılı şekilde alma yolu tercih edilmelidir. İşçinin açık rızası, iş sözleşmesinde buna ilişkin bir hükme yer verilerek ya da ayrı bir belge düzenlenerek elde edilebilecektir. 

  • Aydınlatma Yükümlülüğü 

Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanan “veri sorumlusu” sıfatına haiz olan işverenlerin işçinin kişisel verilerini elde etme sırasında kendisi ve varsa temsilcisinin kimliğini, alınan kişisel verilerinin hangi amaçla işleneceğini, verilerin kimlere hangi amaçla aktarılabileceğini, veri toplama yöntemi ile hukuki sebebini ve işçinin sahip olduğu haklarını aydınlatma yükümlülüğü gereği açıklaması gerekir. Eksik veya yanlış veri varsa verileri düzeltmek ve güncel tutmak durumundadır. (KVKK-10. md) 

  • Yurtdışına Aktarım 

Yabancı ortaklı şirketlerde, yabancı ortakların şirketin veri tabanına erişimi bulunuyor ise, bu yabancı ülkelerin kişilere bildirilmesi ve kişilerden açık rıza alınması gerekmektedir. KVKK, ayrıca verilerin iletileceği ülkeler hakkında değerlendirme yapılmasını aramaktadır. Bu kapsamda ilgili ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının veri güvenliği bulunduğunu yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izni aranmaktadır. 

  • Belirli Bir Amaç Doğrultusundaki Bilgileri Edinme 

İşverenler, kişisel verileri işe alacakları kişileri enine boyuna araştırma, edinilen bilgilerin daha sonra işe yarayabileceğini düşünerek saklama eğilimindedirler. Oysa KVKK’da açıkça, verilerin sadece kullanım amacı ile sınırlı miktarının edinilebileceğini ve saklanabileceğini düzenlemiştir. Bu nedenle işveren, işçiye ait verileri, ancak işçinin işe yatkınlığıyla ilgili ve iş sözleşmesinin ifası için zorunlu olduğu ölçüde elinde bulundurabilecektir. İşveren kayıtlarında bulunan ancak iş ilişkisi ile ilgili olmayan bilgiler, işverenler için hukuki sorumluluk doğmasına neden olabilecektir. 

Bu kapsamda işveren işe alım aşamasında, adaya örneğin daha önceki işinde aldığı ücretini, sigara veya alkol kullanıp kullanmadığını, evlenmeyi düşünüp düşünmediğini, çocuk isteyip istemediğini ve adli sicilini soramayacaktır. Bu tür sorular, KVKK’ya aykırılığın yanı sıra, ayrımcılığa sebep olması ve eşitlik ilkesine aykırılık nedeniyle de geçersiz kabul edilecektir. Fakat çalışma yeri ve işin niteliği gerektiriyor ise, örneğin kişi şoför olarak çalıştırılacaksa trafik suçunun olup olmadığı, muhasebe bölümünde çalıştırılacak ise malvarlığı hakkında soru sorulabilecektir. 

  • İşverenin Elindeki Verileri Silmesi 

Bu kanun çerçevesinde, işverenler yasal saklama yükümlülüklerinin dışında, kişisel verileri arşivleyemeyeceklerdir. Bu nedenle işe alınmayan adayların özgeçmişleri yok edilmeli, ileride gerekli olur düşüncesi ile saklanmamalı, adaydan açık onay alınmamışsa başka işverenler ile paylaşılmamalıdır. Keza işten ayrılan işçilerin verilerinin, olası yasal takiplere karşı zamanaşımı süresi sona erdikten sonra, ya da mevzuatın öngördüğü saklama süresi sonunda (örneğin ücret ve fazla çalışma ücretlerine ilişkin veriler için 5 yılın sonunda), kayıtlardan silinmeli ya da anonimleştirilmelidir. İşçilerin alışkanlıkları, duygusal, sosyal, ekonomik yapısı, kişilik özellikleri ile ilgili bilgilerin de yok edilmesi gerekir. İşçi de, amaca hizmet etmeyen verilerinin silinmesini isteme hakkını haizdir. Bu talep doktrinde kişilerin unutulma hakkı olarak tanımlanır. 

  • Verilerin Korunması İçin Gerekli Tedbiri Alma 

İşverenler, bu verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmek zorundadır. Bu kapsamda verileri virüs programı ile korumalı, olası siber saldırılara karşı gerekli tedbiri almalıdır. İşveren bu tedbirleri alması için üçüncü bir kişiyi görevlendirebilirse de bu durum, işverenin sorumluluğunu ortadan kaldırmayacaktır.  

İş İlişkisi Sürecinde İşçinin Kişisel Verilerinin İşlenmesi 

İşveren, işçinin mesleki yeterliliğini değerlendirebilmek, işe alımda ise işverenin iş sözleşmesinden kaynaklanan yükümlülüklerini yerine getirebilmek için kişisel verilerin işlenmesi gerekmektedir. Hatta, işçi işten ayrıldıktan sonra dahi birtakım kişisel verileri saklanmaya devam etmektedir. Bu nedenle, bahsi geçen süreçlerde her sürecin niteliğine uygun olarak ayrı ayrı işçinin kişisel verilerinin korunma kapsamının incelenmesi gerekmektedir. 

1.     İş Başvurularında ve İşe Alımlarda İşçinin Kişisel Verilerinin İşlenmesi 

İş sözleşmesi, işçinin kişiliğini ön plana çıkaran ve işçi-işveren arasında güven temelli ilişkiler kuran bir sözleşmedir. Bu sebeple, işçinin iş görme yanında sadakat borcu da önem taşımaktadır. İşverenin işçiye yönelik bilgi edinme hakkı işverenin yönetim hakkından kaynaklanmaktadır. İşveren, iş sözleşmesi yapacağı işçinin belirli özelliklerini öğrenip değerlendirdikten sonra ancak işe alma konusunda karar verir. Bu nedenle, işverenin işçinin iş sözleşmesi kapsamındaki kişisel verilerini işlemesinde meşru menfaati vardır. İşverenin meşru sınırlar içinde işçinin mesleki bilgisini ölçmek ve meslek yaşantısı hakkında bilgi edinmeye yönelik sorularına ilişkin olarak aday, gerek iş başvurusu formları ile gerekse iş görüşmelerinde sözlü olarak verilerini ifşa etmektedir. 

İşe alınırken de işçilerin kişisel verilerinin korunması hakkının ihlal edilmesi söz konusu olabilir. İşveren, kendisi ile paylaşılan kişisel verileri, KVKK hükümlerine uygun olarak muhafaza etmek zorundadır. Adayın işe alınmaması halinde, kişisel verilerin işlenmesini gerektiren sebebin ortadan kalkması nedeniyle iş başvurusu kapsamında adayın işverene verdiği bilgiler (kişisel veriler) adaya iade edilmeli, işverence silinip yok edilmeli veya anonim hale getirilmelidir. 

2.     İş İlişkisi Devam Ederken Kişisel Verilerinin İşlenmesi 

İş ilişkisi sürdükçe işçinin kişisel verilerinin işlenmesine kuşkusuz devam edilecektir. İşverenler, işyerinde denetimi sağlamak, daha iyi sonuçlar elde etmek, güvenlik önlemi almak, performans değerlendirmesi yapmak, verimlilik ölçümünü gerçekleştirmek veya çalışma disiplini sağlamak amacıyla işyeri ve işçilerini izlemektedir. Çalışma süreci boyunca işçinin kişisel verilerinin işlenmesi genellikle görsel (kamera) veya teknolojik diğer yöntemlerle yapılan kayıtlar ile gerçekleştirilmektedir. 

Bireylerin görüntüsü ve sesi, kişisel veri olarak kabul edildiği için, kural olarak, kameraların kullanılması durumunda, hukuka uygunluk sebebi olarak işçilerin açık rızasının alınması, bilgilendirilmesi ve veri güvenliği başta olmak üzere gerekli tedbirlerin alınması gerekmektedir. (Kamera sistemi ile izleme hususu doktrinde tartışmalı olup, bu konuya başka bir yazıda değinilecektir.) 

3.     İşten Ayrıldıktan Sonra İşçinin Kişisel Verilerinin Saklanmaya Devam Edilmesi 

İşten ayrılmış olan kişilerin işçilik haklarına dair belirli hususları zamanaşımı süresi boyunca dava edebileceği göz önünde bulundurularak, eski çalışanların iş sözleşmesi kapsamında kişisel verilerinin saklanmasında işverenin meşru menfaati mevcuttur. Ancak söz konusu zamanaşımı süresinin sonunda, ilgili kişilere ait kişisel verilerin silinmesi gerekmektedir. 

İşçinin Kişisel Verilerinin Korunması 

Anayasa madde 20’de herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, Borçlar Kanunu md 419’da işverenin işçiye ait kişisel verileri ancak işçinin işe yatkınlığıyla veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanılabileceği, 4857 sayılı İş Kanunu md 75’te işçinin verilerinin işlenmesinde işverence hukuka ve dürüstlük kuralına uyulması zorunluluğu ile işçinin özlük dosyasında yer alan bilgileri gizli tutmasına ilişkin esası ile KVKK’de kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini koruma amacıyla, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenleyen, işçi işveren ilişkisi bakımından işçilerin kişisel verilerini güvence altına alan temel düzenlemelerdir. 

Verileri İşlenen Çalışanın Hakları 

İşçilerin, veri sorumlusu olan işverenlere başvurarak; 

a) Kendisiyle ilgili verilerin işlenip işlenmediğini öğrenebilir, buna ilişkin bilgi talep edebilir, 

b) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilir, 

c) Verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenebilir 

d) Verilerinin düzeltilmesini, şartlar dahilinde kişisel verilerin silinmesini veya yok edilmesini isteyebilir. 

İşçi işverene yazılı başvurmasına karşın en geç 30 gün içinde cevap alamaz, eksik cevap verilir veya talebi reddedilirse veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurumu’na bağlı kurula şikâyette bulunabilir. 

İşverenin Kişisel Verileri Korumaya İlişkin Yükümlülükleri 

İşverenin, kişisel verileri korumaya ilişkin en başta işçiyi bilgilendirme yükümlülüğü bulunmaktadır. Bunun yanı sıra, veri sorumlusu olan işveren, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak üzere uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.  

Ayrıca, işyerinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. İşverenler, öğrenilen kişisel verileri hükmüne aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri, görevden ayrılmalarından sonra da devam eder.