İşveren ve çalışan arasındaki iş ilişkisinde, işverenin yönetim hakkı bulunmaktadır. Nitekim bu durum, Türk Borçlar Kanunu’nun 399. maddesinde “İşveren, işin görülmesi ve işçilerin iş yerindeki davranışlarıyla ilgili genel düzenlemeler yapabilir ve onlara özel talimat verebilir.” hükmü ile ifade edilmiştir. Ayrıca, çalışanın işini, işverenin denetim ve gözetimi altında yapması gerekmektedir. İşveren ve çalışan arasındaki iş ilişkisinde denetim ve gözetim, işveren için hem bir hak hem de bir ödev teşkil etmektedir. İşveren tarafından yönetim ve denetim hakları kullanılırken, örneğin 6698 sayılı Kişisel Verilerin Korunması Kanunu gibi belirli kanuni düzenlemelere ve sınırlara uyulması gerekmektedir. Bu yazımızda, elektronik gözetleme, özlük dosyaları, kendi cihazını getir ve şirket içi disiplin kuralları başlıkları altında, işveren ile çalışan ilişkilerinde kişisel verilerin korunmasını anlatacağız.
Elektronik Gözetleme
İşveren tarafından iş yerinde yapılan elektronik gözetleme ile çalışanların kişisel verileri işleneceği için, Kişisel Verilerin Korunması Kanunu uyarınca, yapılan elektronik gözetlemenin, işverenin gözetim ve denetim hakkı kapsamında, amacına uygun ve orantılı olması gerekmektedir. Örneğin, iş yerine giriş ve çıkışlarda güvenliğin sağlanması amacıyla kullanılan kart okuma sistemlerinin, iş yeri giriş-çıkışı haricinde, iş yerindeki tuvalet, bebek odası, mescit gibi ihtiyaç odalarının giriş-çıkışlarına konulması, iş yerindeki güvenliğin sağlanması amacına uygun ve orantılı olmayacaktır.
İşveren tarafından iş yerinde elektronik gözetleme yapılabilmesi için, Kişisel Verilerin Korunması Kanunu kapsamında düzenlenen kanunlarda açıkça öngörülmesi, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması gibi işleme şartlarından bir tanesinin var olması ya da elektronik gözetleme kapsamında kişisel verilerinin işlenebilmesi için çalışanın açık rızasının alınması gerekmektedir. Bu durum hem özel nitelikli olmayan hem de özel nitelikli kişisel veriler için geçerli olacaktır. Örneğin, iş yerinde çalışanlar tarafından kullanılan bilgisayarlarda elektronik gözetleme yapılabilmesi için, Kişisel Verilerin Korunması Kanunu kapsamındaki veri işleme şartlarının birinin var olması ve çalışanların bilgisayarlarda elektronik gözetleme ilgili olarak iş sözleşmesi veya şirket içi metinler ile bilgilendirilmesi gerekecektir. Aksi takdirde, yapılan elektronik gözetleme, kişisel verilerin korunması mevzuatına aykırılık teşkil edecektir.
Son olarak, elektronik gözetleme ile ilgili olarak, işveren tarafından çalışanlara bilgilendirme yapılarak aydınlatma yükümlülüğünün yerine getirilmesi gerekecektir. Aksi takdirde elektronik gözetleme, başta Kişisel Verilerin Korunması Kanunu olmak üzere hukuka aykırı olacaktır. Örneğin, işveren tarafından çalışanlara bilgilendirme yapılmadan iş yerine gizli kameraların yerleştirilmesi ve gizli kameralarla elde edilen verilerin işveren tarafından işlenmesi, kişisel verilerin korunması ile ilgili mevzuata ve dolayısıyla hukuka aykırılık teşkil edecektir.
Özlük Dosyaları
Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumluları, kanunda açıkça öngörülmesi hâlinde, ilgili kişilerin kişisel verilerini açık rıza olmaksızın işleyebilmektedir. 4857 sayılı İş Kanunu uyarınca, işverenler, çalıştırdığı her işçi için bir özlük dosyası düzenlemek ve bu dosyada, işçinin kimlik bilgilerinin yanında, ilgili kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermekle yükümlüdür. Buna göre, işverenler, açık rıza olmaksızın, özlük dosyasının oluşturulması amacıyla çalışanlarının kişisel verilerini işleyebilecektir. Bununla birlikte, sağlık ve cinsel hayat ile ilgili kişisel verilerin işlenebilmesi için kanunda açıkça öngörülmesi yetmemektedir ve dolayısıyla çalışanların açık rızası alınmalıdır. Çalışana ait açık rızaya bağlı özel nitelikli kişisel verilerin her hâlde işlenmesi, farklı bir yol bulunmadığında tercih edilmelidir.
Kendi Cihazını Getir (Bring Your Own Device)
Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumlularının kişisel verilerin güvenliğini sağlamak amacıyla idari ve teknik tedbirleri alması gerekmektedir. Bazı işverenler, iş yerinde yapılacak işler için çalışanlarından kendi cihazlarını getirmesini talep etmektedir. Çalışanların kendi cihazlarında işveren adına veri işlemesi -örneğin müşterilerinin kişisel verilerini işlemesi- durumunda, veri sorumlusu işveren olacaktır. Dolayısıyla, her ne kadar cihazlar çalışanlara ait olsa da müşterilerin kişisel verilerinin güvenliğini sağlamak için çalışanların cihazlarında güvenlik tedbirlerinin alınmasından işveren sorumlu olacaktır. Örneğin, bir çalışanın iş yerinde kullandığı kendi cihazına siber saldırı olması ve bu saldırı sonucunda müşteri bilgilerinin çalınması durumunda, işveren çalışanının cihazında siber saldırılara engel olmak ve kişisel verileri korumak için gereken teknik tedbirleri almamışsa, işveren Kişisel Verilerin Korunması Kanunu kapsamındaki veri güvenliğine ilişkin yükümlülüklerini yerine getirmiş olmayacaktır.
Bununla birlikte, çalışanların kişisel cihazları üzerinde alınan önlemlerden bazıları çalışanın kişisel verilerinin ihlali niteliğinde olabilir. Bu sebeple, çalışanlar tarafından iş yerlerine kendi bilgisayarlarının getirilmesi durumunda, işveren tarafından çalışanların bilgisayarında iş yeri için ayrı bir oturum oluşturularak, kişisel verilerin bu oturumda işlenmesi ve kişisel verilerin korunması ile ilgili olarak tedbirlerin yalnızca bu oturum için alınması tercih edilmelidir. Bu şekilde hem çalışanın günlük hayatta kullandığı oturum ile iş için kullandığı oturum ayrılmış olacak hem de kişisel verilerin korunması ile ilgili tedbirler alınmış olacaktır.
Şirket İçi Disiplin Kuralları
İşverenler, kişisel verilerin güvenliğini sağlamak amacıyla teknik tedbirlerin yanı sıra bazı idari tedbirleri de almakla yükümlüdür. Bunlardan bir tanesi, başta Kişisel Verilerin Korunması Kanunu olmak üzere kişisel verilerin korunması mevzuatını ihlal eden çalışanlarla ilgili olarak, iş sözleşmelerine ve şirket içi disiplin kurallarına hükümler eklemek ve kişisel verilerin korunması mevzuatını ihlal eden çalışanlara yaptırım uygulamaktır. Örneğin, müşteriye ait kişisel verileri internete sızdıran çalışanlar hakkında, iş sözleşmesi ve/veya disiplin kuralları uyarınca öngörülen disiplin cezası verilmelidir.
