Turkey: Türkiye'de Kurul Ve Mahkeme Kararları Işığında Çalışan Verilerinin İşlenmesinin Sınırları Ve Temel Prensipleri

Konu ile ilgili webinari izlemek için tiklayin.

Türkiye'de özel hayatin gizliligi ve kisisel veriler, 6698 sayili Kisisel Verilerin Korunmasi Kanunu'nun ("Kanun") 2016 yilinda yürürlüge girmesinden önce de Anayasa ile temel hak olarak korunmaktaydi.  Özellikle çalisan verilerinin islenmesi hususu farkli hukuki ihtilaflar çerçevesinde tartisilan konulardan biri oldu ve bu durum son yillarda daha da artti. Bu konuda hem Kisisel Verileri Koruma Kurulu'nun (Kurul) hem de mahkemelerin içtihatlari olusmaya basladi.  

Çalisan Verilerinin islenmesinde Hukuka Uygunluk Nedenleri

Kanun is iliskileri kapsaminda verilerin islenmesine yönelik kurallar içermemektedir. Çalisan verilerinin islenmesinin gerektigi ve isveren tarafindan çalisan verilerinin islenmesini hukuka uygun kilan pek çok neden vardir: ise alin prosedürlerinin yürütülmesi, is sözlesmesinin kurulmasi ve ifasi, isyeri güvenliginin saglanmasi, islerin yönetimi ve planlanmasi, haklarin kullanilmasi, is sözlesmesinin feshi gibi... .

Ancak General Data Protection Regulation ("GDPR")'da bulunan özel hükmün (madde 9/2/b) aksine, Kanun'da is iliskileri kapsaminda özel nitelikli kisisel verilerin islenmesine yönelik özel bir düzenleme bulunmamasi, özel nitelikli verilerin ve daha dar kapsamda saglik ve cinsel hayata iliskin verilerin, islenmesindeki hukuka uygunluk nedenleri çok sinirli olarak düzenlenmesi, uygulamada isveren bakimindan söz konusu verilerin islenmesi bir yükümlülük arz etse dahi, çalisanlardan riza alinarak ilerlenmesi (saglik verilerinde oldugu gibi) adeta kaçinilmazdir. Rizanin ise, önceden bilgilendirmeye dayali olmasi ve özgür irade ile verilmesi konusunda süphe yoktur. Ayrica bilgilendirmenin yapilmasi ve rizanin alinmasi noktasinda ispat yükü de veri sorumlusundadir.

Veri Sorumlusu Isverenin Bilgilendirme Yükümlülügü

GDPR'da da oldugu gibi, Kanun uyarinca veri sorumlusu isverenlerin çalisanlari kisisel verilerin islenmesi hakkinda bilgilendirme yükümlülükleri vardir.

Bu sebeple, isveren is sözlesmesi içinde çesitli veri isleme hususlarina iliskin olarak ilgili hükümlere yer verebilmekle birlikte, esasen is sözlesmesinden ayri sekilde, veri isleme faaliyetleri bakimindan çalisani Kanun uyarinca bilgilendirmeli ve gerekli rizalarin alinmasini is sözlesmesinden ayri sekilde saglamalidir. Bu verilerin islenmesindeki seffaflik ilkesinin de bir geregidir.

Türkiye'de tartisma konusu olan konular arasinda biyometrik verileri islenmesi ve çalisan verilerinin izlenmesi bulunmaktadir

Çalisanlarin biyometrik verilerinin islenmesi ve çalisan verilerini izlenmesi (araç içi izleme yöntemlerinin kullanilmasi ya da bir kerelik veya rutin izleme modelleri seklinde)  bazi sikayet, ihtilaf ve kararlara konu olmaktadir.

Biyometrik verilerin islenmesi konusunda Kurul'un en önemli karari isçi verilerine iliskin olmasa da, bir spor salonu için verilen karardir. Özetle, spor salonu üyelerinin salona girislerinde biyometrik verilerinin islenmesi, spor salonu üyelerden açik riza almis olsa ve dileyenlere kartli giris alternatifi sunmus olsa dahi, ölçülülük ilkesine aykiri bulunarak hukuka aykiri bulunmustur. Spor salonunun amacini gerçeklestirmek için daha az müdahale edici diger veri isleme yöntemleri var iken, biyometrik veri islenmesi ölçülülük ilkesine aykirilik teskil etmistir. Ancak bu kararin uygulamada biyometrik verilerin islenmesinin adeta yasaklandigi seklinde yorumlanmasini önlemek gerekir, açik riza alinmak ve ölçülülük prensiplerine uymak kaydi, bu verinin islenmesi için yeterli gereklilik ve ihtiyaç bulundugu noktada biyometrik verilerin islenmesi degerlendirilebilir.

Diger yandan araç içi izleme yöntemleri de isyerlerinde siklikla uygulanmaktadir. Özellikle bir aracin bir çalisana tahsis edilmesi durumunda kullanilacak araç içi izleme yöntemleri kisisel verilerin islenmesine sebep olmaktadir. Bu yöntemlerin kullanilmasi için de mutlaka veri isleme nedeni bulunmali, ölçülülük kurallarina uyulmalidir. Çalisanin bu konuda önceden bilgilendirilmesi, özel hayatina müdahale edilmeden uygulamanin sinirli sekilde yürürlükte tutulmasinin saglanmasi gerekir. Eger çalisana is saatleri disinda aracin kullanimi hakki taniniyorsa, izleme faaliyetinin sinirlandirilmasi yollari aranmali ya da çalisanin rizasina basvurularak her halde veri minimizasyonu saglanmalidir.

Is emaillerinin kaydedilmesi, takibi ve izlenmesi ise pek çok Kurul ve Mahkeme kararina konu olmaktadir. Uygulama pek çok risk barindiran email izleme faaliyeti konusunda Kurul ve özellikle yüksek mahkeme kararlarinin is emaillerinin izlenmesi noktasinda uyulmasi gereken kurallar bakimindan fikir birligi oldugu görülmektedir. 

Isveren çalisanlarin kurumsal emaillerinin kayitlarini, yedeklerini isin devamini ve güvenligini saglamak amaci ile tutmak ve verileri islemek durumundadir. Elbette, söz konusu isleme her zaman oldugu gibi hukuka uygun, gerekli ve ölçülü olmalidir.

Kurul 2020 yilinda verdigi çalisan emaillerinin izinsiz islendigi sikayeti üzerine eski çalisan (ayni zamanda ortak) tarafindan yapilan sikayet üzerine, çalisan emaillerinin isverenin hukuki hakkinin kullanilmasi için islendiginden hareketle hukuka uygun olduguna isaret etmistir. 

Çalisan Verilerin Islenmesinde Mahkemelerin Yaklasimi

Kanun'un yürürlüge girmesinden önce Yargitay nezdinde çalisanlarin email yazismalarinin isveren tarafindan izlenebilecegi, islenebilecegi hususu is emailleri ve cihazlari söz konusu olmak kaydi ile kabul edilmekteydi.

Nisan 2016'da Kanun'un yürürlüge girmesinden hemen önce, Anayasa Mahkemesi tarafindan çalisan kurumsal emaillerinin izlenmesi hususunda karar verilerek, çalisanlarin kurumsal emaillerinin izlenebilecegi hususunda isveren tarafindan iç yönergelerinde bilgilendirme yapilmis olduguna isaret edilmis ve email hesaplarinin özel amaçlarla kullanilmamasi gerektiginden bahisle, isverenin bu verileri isleme yetkisi oldugu sonucuna varilmistir. Anayasa Mahkemesi özellikle çalisanlara yapilan bilgilendirmenin bu kararda altini çizerek, Kanun'unda düzenlenen bilgilendirme yükümlülügünün yürürlüge girmesinden önce dahi bilgilendirme yükümlülügüne dayanarak karar vermistir ve bu hususun önemini vurgulamistir.

Sonrasinda Kanun'un yürürlüge girmesinden sonra Mayis 2019'da Yargitay Hukuk Dairesi isverenin yönetim yetkisi kapsaminda çalisanlarinin email yazismalarinin incelenebilecegi sonucuna varmistir. Ancak bunun yapilabilmesi için çalisanlarin bu konuda makul sekilde bilgilendirilmesi gerektigine yine isaret edilmistir.

Anayasa Mahkemesi ise, bu konuda son zamanlarda iki karara imza atmistir. Ekim 2020'de verilen kararda, bir avukatlik bürosunda çalismis olan avukatin emaillerinin islenmesine yönelik olarak ilgili çalisanin veri isleme faaliyetine iliskin bilgilendirilmedigini ve veri isleme amaci ile veri isleme faaliyeti arasinda ölçülülük olmadigina isaret edilerek, olayda bahsi geçen sorusturma kapsaminda ilgili kisinin 3. Kisilerle olan iletisimlerinin dahi incelenmesinden ve veri isleme faaliyetini sorusturma konusu ile sinirli birakilmadigindan hareket ile veri islemenin ölçülülük ilkesine aykiri oldugu sonucuna varilmistir.

Ocak 2021'de ise, Anayasa Mahkemesi bir bankanin çalisaninin kurumsal emaillerini incelemesi bakimindan söz konusu isleme faaliyeti bakimindan özel hayatin gizliligi ve korunmasi haklarinin ihlal edilmedigine, ilgili çalisanin emaillerin kurumsal amaçlarla kullanilmasi konusunda bilgilendirildigine ve banka yönetiminin emailler üzerinde is amaci ile inceleme yapabilecegi hususunda is sözlesmesinde hüküm bulunduguna isaret ederek, bir hak ihlali bulunmadigi sonucuna varmistir. Çalisanin is sözlesmesini imzalamakla bu sekilde incelemeye riza göstermis oldugu, incelemenin amaçla uygun oldugu belirtilmistir.

Belirtmek gerekir ki, Anayasa Mahkemesi genel prensipler kapsaminda daha üst bir pencereden bir hak ihlalini olup olmadigi noktasinda degerlendirmelerini yaparken genelde tutarli davranmaktadir. Ancak çalisanin is sözlesmesi dahilinde rizasinin alinmasi, verilerin islenmesindeki hukuki nedenin ne oldugu noktasindaki çikarimlari zaman zaman tam olarak Kanun hükümlerini yansitmamaktadir. Özellikle çalisanlara is sözlesmesi dahilinde degil de ayri bir aydinlatma metni sunulmasi, detayli bilgilendirmenin yapilmasi ve bunun üzerine rizalarin gerekiyorsa bilgilendirmeye dayali sekilde alinmasi yerinde olacaktir. Isverenin emailler üzerinde inceleme yetkisi esasen alinan rizaya dayali bir yetki degildir.

Sonuç

Kurul ve mahkeme kararlari uyarinca çalisan verilerini islenmesi ve kurumsal emaillerin islenmesi konusunda paralel bir yaklasim bulundugunu söylememiz mümkün. Veri isleme faaliyetlerini temel prensipler bakimindan degerlendirildiginde, isleme faaliyetlerinin islendikleri amaçla bagli, sinirli ve ölçülü olmasi, hukuka uygunluk, seffaflik global ölçekte de kabul gören ve uygulanan temel prensiplerdir. Çalisanlarin verilerin islenmesinde de isverenin bu çerçevede yetkisi bulundugunu belirtebiliriz ancak sinirlari ve kurallari gözetilmelidir. Özellikle bilgilendirmenin siklikla isaret edildigi kararlardan da anlasilacagi üzere veri isleme faaliyetinin hukuka uygun olmasindaki kilit unsurlardan biri Kanun uyarinca çalisanlarin bilgilendirmesi oldugunu unutmamak gerekir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.