Türkiye’de Kurul ve Mahkeme Kararları Işığında Çalışan Verilerinin İşlenmesinin Sınırları ve Temel Prensipleri

Türkiye’de Kurul ve Mahkeme Kararları Işığında Çalışan Verilerinin İşlenmesinin Sınırları ve Temel Prensipleri

Konu ile ilgili webinarı izlemek için tıklayın.

Türkiye’de özel hayatın gizliliği ve kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 2016 yılında yürürlüğe girmesinden önce de Anayasa ile temel hak olarak korunmaktaydı. Özellikle çalışan verilerinin işlenmesi hususu farklı hukuki ihtilaflar çerçevesinde tartışılan konulardan biri oldu ve bu durum son yıllarda daha da arttı. Bu konuda hem Kişisel Verileri Koruma Kurulu’nun (Kurul) hem de mahkemelerin içtihatları oluşmaya başladı.

Çalışan Verilerinin işlenmesinde Hukuka Uygunluk Nedenleri

Kanun iş ilişkileri kapsamında verilerin işlenmesine yönelik kurallar içermemektedir. Çalışan verilerinin işlenmesinin gerektiği ve işveren tarafından çalışan verilerinin işlenmesini hukuka uygun kılan pek çok neden vardır: işe alın prosedürlerinin yürütülmesi, iş sözleşmesinin kurulması ve ifası, işyeri güvenliğinin sağlanması, işlerin yönetimi ve planlanması, hakların kullanılması, iş sözleşmesinin feshi gibi... .

Ancak General Data Protection Regulation (“GDPR”)’da bulunan özel hükmün (madde 9/2/b) aksine, Kanun’da iş ilişkileri kapsamında özel nitelikli kişisel verilerin işlenmesine yönelik özel bir düzenleme bulunmaması, özel nitelikli verilerin ve daha dar kapsamda sağlık ve cinsel hayata ilişkin verilerin, işlenmesindeki hukuka uygunluk nedenleri çok sınırlı olarak düzenlenmesi, uygulamada işveren bakımından söz konusu verilerin işlenmesi bir yükümlülük arz etse dahi, çalışanlardan rıza alınarak ilerlenmesi (sağlık verilerinde olduğu gibi) adeta kaçınılmazdır. Rızanın ise, önceden bilgilendirmeye dayalı olması ve özgür irade ile verilmesi konusunda şüphe yoktur. Ayrıca bilgilendirmenin yapılması ve rızanın alınması noktasında ispat yükü de veri sorumlusundadır.

Veri Sorumlusu İşverenin Bilgilendirme Yükümlülüğü

GDPR’da da olduğu gibi, Kanun uyarınca veri sorumlusu işverenlerin çalışanları kişisel verilerin işlenmesi hakkında bilgilendirme yükümlülükleri vardır.

Bu sebeple, işveren iş sözleşmesi içinde çeşitli veri işleme hususlarına ilişkin olarak ilgili hükümlere yer verebilmekle birlikte, esasen iş sözleşmesinden ayrı şekilde, veri işleme faaliyetleri bakımından çalışanı Kanun uyarınca bilgilendirmeli ve gerekli rızaların alınmasını iş sözleşmesinden ayrı şekilde sağlamalıdır. Bu verilerin işlenmesindeki şeffaflık ilkesinin de bir gereğidir.

Türkiye’de tartışma konusu olan konular arasında biyometrik verileri işlenmesi ve çalışan verilerinin izlenmesi bulunmaktadır

Çalışanların biyometrik verilerinin işlenmesi ve çalışan verilerini izlenmesi (araç içi izleme yöntemlerinin kullanılması ya da bir kerelik veya rutin izleme modelleri şeklinde) bazı şikayet, ihtilaf ve kararlara konu olmaktadır.

Biyometrik verilerin işlenmesi konusunda Kurul’un en önemli kararı işçi verilerine ilişkin olmasa da, bir spor salonu için verilen karardır. Özetle, spor salonu üyelerinin salona girişlerinde biyometrik verilerinin işlenmesi, spor salonu üyelerden açık rıza almış olsa ve dileyenlere kartlı giriş alternatifi sunmuş olsa dahi, ölçülülük ilkesine aykırı bulunarak hukuka aykırı bulunmuştur. Spor salonunun amacını gerçekleştirmek için daha az müdahale edici diğer veri işleme yöntemleri var iken, biyometrik veri işlenmesi ölçülülük ilkesine aykırılık teşkil etmiştir. Ancak bu kararın uygulamada biyometrik verilerin işlenmesinin adeta yasaklandığı şeklinde yorumlanmasını önlemek gerekir, açık rıza alınmak ve ölçülülük prensiplerine uymak kaydı, bu verinin işlenmesi için yeterli gereklilik ve ihtiyaç bulunduğu noktada biyometrik verilerin işlenmesi değerlendirilebilir.

Diğer yandan araç içi izleme yöntemleri de işyerlerinde sıklıkla uygulanmaktadır. Özellikle bir aracın bir çalışana tahsis edilmesi durumunda kullanılacak araç içi izleme yöntemleri kişisel verilerin işlenmesine sebep olmaktadır. Bu yöntemlerin kullanılması için de mutlaka veri işleme nedeni bulunmalı, ölçülülük kurallarına uyulmalıdır. Çalışanın bu konuda önceden bilgilendirilmesi, özel hayatına müdahale edilmeden uygulamanın sınırlı şekilde yürürlükte tutulmasının sağlanması gerekir. Eğer çalışana iş saatleri dışında aracın kullanımı hakkı tanınıyorsa, izleme faaliyetinin sınırlandırılması yolları aranmalı ya da çalışanın rızasına başvurularak her halde veri minimizasyonu sağlanmalıdır.

İş emaillerinin kaydedilmesi, takibi ve izlenmesi ise pek çok Kurul ve Mahkeme kararına konu olmaktadır. Uygulama pek çok risk barındıran email izleme faaliyeti konusunda Kurul ve özellikle yüksek mahkeme kararlarının iş emaillerinin izlenmesi noktasında uyulması gereken kurallar bakımından fikir birliği olduğu görülmektedir.

İşveren çalışanların kurumsal emaillerinin kayıtlarını, yedeklerini işin devamını ve güvenliğini sağlamak amacı ile tutmak ve verileri işlemek durumundadır. Elbette, söz konusu işleme her zaman olduğu gibi hukuka uygun, gerekli ve ölçülü olmalıdır.

Kurul 2020 yılında verdiği çalışan emaillerinin izinsiz işlendiği şikayeti üzerine eski çalışan (aynı zamanda ortak) tarafından yapılan şikayet üzerine, çalışan emaillerinin işverenin hukuki hakkının kullanılması için işlendiğinden hareketle hukuka uygun olduğuna işaret etmiştir.

Çalışan Verilerin İşlenmesinde Mahkemelerin Yaklaşımı

Kanun’un yürürlüğe girmesinden önce Yargıtay nezdinde çalışanların email yazışmalarının işveren tarafından izlenebileceği, işlenebileceği hususu iş emailleri ve cihazları söz konusu olmak kaydı ile kabul edilmekteydi.

Nisan 2016’da Kanun’un yürürlüğe girmesinden hemen önce, Anayasa Mahkemesi tarafından çalışan kurumsal emaillerinin izlenmesi hususunda karar verilerek, çalışanların kurumsal emaillerinin izlenebileceği hususunda işveren tarafından iç yönergelerinde bilgilendirme yapılmış olduğuna işaret edilmiş ve email hesaplarının özel amaçlarla kullanılmaması gerektiğinden bahisle, işverenin bu verileri işleme yetkisi olduğu sonucuna varılmıştır. Anayasa Mahkemesi özellikle çalışanlara yapılan bilgilendirmenin bu kararda altını çizerek, Kanun’unda düzenlenen bilgilendirme yükümlülüğünün yürürlüğe girmesinden önce dahi bilgilendirme yükümlülüğüne dayanarak karar vermiştir ve bu hususun önemini vurgulamıştır.

Sonrasında Kanun’un yürürlüğe girmesinden sonra Mayıs 2019’da Yargıtay Hukuk Dairesi işverenin yönetim yetkisi kapsamında çalışanlarının email yazışmalarının incelenebileceği sonucuna varmıştır. Ancak bunun yapılabilmesi için çalışanların bu konuda makul şekilde bilgilendirilmesi gerektiğine yine işaret edilmiştir.

Anayasa Mahkemesi ise, bu konuda son zamanlarda iki karara imza atmıştır. Ekim 2020’de verilen kararda, bir avukatlık bürosunda çalışmış olan avukatın emaillerinin işlenmesine yönelik olarak ilgili çalışanın veri işleme faaliyetine ilişkin bilgilendirilmediğini ve veri işleme amacı ile veri işleme faaliyeti arasında ölçülülük olmadığına işaret edilerek, olayda bahsi geçen soruşturma kapsamında ilgili kişinin 3. Kişilerle olan iletişimlerinin dahi incelenmesinden ve veri işleme faaliyetini soruşturma konusu ile sınırlı bırakılmadığından hareket ile veri işlemenin ölçülülük ilkesine aykırı olduğu sonucuna varılmıştır.

Ocak 2021’de ise, Anayasa Mahkemesi bir bankanın çalışanının kurumsal emaillerini incelemesi bakımından söz konusu işleme faaliyeti bakımından özel hayatın gizliliği ve korunması haklarının ihlal edilmediğine, ilgili çalışanın emaillerin kurumsal amaçlarla kullanılması konusunda bilgilendirildiğine ve banka yönetiminin emailler üzerinde iş amacı ile inceleme yapabileceği hususunda iş sözleşmesinde hüküm bulunduğuna işaret ederek, bir hak ihlali bulunmadığı sonucuna varmıştır. Çalışanın iş sözleşmesini imzalamakla bu şekilde incelemeye rıza göstermiş olduğu, incelemenin amaçla uygun olduğu belirtilmiştir.

Belirtmek gerekir ki, Anayasa Mahkemesi genel prensipler kapsamında daha üst bir pencereden bir hak ihlalini olup olmadığı noktasında değerlendirmelerini yaparken genelde tutarlı davranmaktadır. Ancak çalışanın iş sözleşmesi dahilinde rızasının alınması, verilerin işlenmesindeki hukuki nedenin ne olduğu noktasındaki çıkarımları zaman zaman tam olarak Kanun hükümlerini yansıtmamaktadır. Özellikle çalışanlara iş sözleşmesi dahilinde değil de ayrı bir aydınlatma metni sunulması, detaylı bilgilendirmenin yapılması ve bunun üzerine rızaların gerekiyorsa bilgilendirmeye dayalı şekilde alınması yerinde olacaktır. İşverenin emailler üzerinde inceleme yetkisi esasen alınan rızaya dayalı bir yetki değildir.

Sonuç

Kurul ve mahkeme kararları uyarınca çalışan verilerini işlenmesi ve kurumsal emaillerin işlenmesi konusunda paralel bir yaklaşım bulunduğunu söylememiz mümkün. Veri işleme faaliyetlerini temel prensipler bakımından değerlendirildiğinde, işleme faaliyetlerinin işlendikleri amaçla bağlı, sınırlı ve ölçülü olması, hukuka uygunluk, şeffaflık global ölçekte de kabul gören ve uygulanan temel prensiplerdir. Çalışanların verilerin işlenmesinde de işverenin bu çerçevede yetkisi bulunduğunu belirtebiliriz ancak sınırları ve kuralları gözetilmelidir. Özellikle bilgilendirmenin sıklıkla işaret edildiği kararlardan da anlaşılacağı üzere veri işleme faaliyetinin hukuka uygun olmasındaki kilit unsurlardan biri Kanun uyarınca çalışanların bilgilendirmesi olduğunu unutmamak gerekir.

-------------

Kişisel Verilerin Korunması ve Gizlilik ve İş Hukuku

Begüm Yavuzdoğan Okumuş ve Beril Yayla Sapan

Paylaş: