I. Genel Olarak
Kişisel Verilerin Korunması Kanunu’nda ilgili kişi, kişisel verisi işlenen gerçek kişi olarak tanımlanmış olduğundan Kanun kapsamında yalnızca gerçek kişiler korunmaktadır. Kişisel veri ise aynı Kanunda kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmiştir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ise veri sorumlusudur.
Bu doğrultuda, iş sözleşmesi kapsamında işverenin veri sorumlusu ve işçinin de ilgili kişi olarak değerlendirilmesi gerekmektedir. Zira işveren iş sözleşmesinin bir gereği olarak işçiye ait birtakım kişisel ve özel nitelikli kişisel verileri işlemek zorunda kalmaktadır. Bu noktada önemle belirtmek gerekir ki, kişisel verilerin işlenmemesi kural, işlenmesi ise istisna olduğundan bunların işlenmesi için işlemeyi hukuka uygun kılacak bir nedenin bulunması gerekmektedir. İş ilişkisi içerisinde de sözleşme yapılmadan önce, sözleşme devam ederken ve sözleşme sona erdikten sonra veri işlenebilmesi için Kişisel Verilerin Korunması Kanunu’nun 5. veya 6.maddesinde düzenlenmiş hukuka uygunluk sebeplerinden birinin bulunması en temel şarttır. Ancak kişisel verilerin hukuka uygun işlenmesi için hukuka uygunluk sebeplerinden birinin varlığı tek başına yeterli olmayıp, Kanun’un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine de tüm kişisel veri işleme faaliyetlerinde uyulması gereklidir.
II. Hukuka Uygunluk Nedenleri
Hukuka uygunluk nedenleri incelenirken ikili bir ayrım yapılmasında fayda vardır. Nitekim Kanun’da da kişisel veriler ile özel nitelikli kişisel verilerin işlenmesi bakımından farklı koşullar öngörülmüştür.
- Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Nedenleri
a. Açık Rıza
Açık rıza, Kişisel Verilerin Korunması Kanunu’nun 3. maddesinde “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.” şeklinde tanımlanmıştır.
Kişisel Verilerin Korunması Kanunu’nda açık rızaya ilişkin olarak şekil şartı öngörülmemiştir. Yazılı şekil şartı zorunlu olmadığından işçi sözlü, elektronik posta ve benzeri şekillerde de rızasını açıklayabilir. Ancak ispat kolaylığı sağlaması bakımından yazılı rıza uygulamada en çok tercih edilen yöntemdir. - Kişisel verilerin işlenmesi amacıyla açık rıza alınırken işverenlerin dikkat etmesi gereken birtakım hususlar bulunmaktadır.
• Veri işlemek üzere verilen açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu işveren tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması
gerekmektedir.
• İrade beyanı niteliğine haiz açık rızanın özgür bir şekilde verilebilmesi için işçinin rıza gösterdiği hususu bilmesi ve aynı zamanda rızanın sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Bilgilendirme, veri işleme ile ilgili sonuçları da içerecek şekilde bütün konularda açık ve anlaşılır bir biçimde ve mutlaka verinin işlenmesinden önce yapılmalıdır. Geçmişe yönelik olarak rıza açıklanması hukuka aykırı işlemi hukuka uygun hale getirmeyecektir.
• Açık rızanın geçerlilik kazanabilmesi için gereken bir diğer koşul ise işçinin özgür iradesi ile rıza açıklamasında bulunmasıdır.
İşçi ile işveren arasındaki ilişkinin niteliği gereği işçi işveren karşısında zayıf konumdadır. Bu nedenle, rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir. Zira işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemeyecektir. İşverenin açık rıza metni imzalaması için işçiye baskı yaptığının tespit edilmesi halinde işçi tarafından verilen rıza geçerli olmayacaktır. Nitekim Kişisel Verileri Koruma Kurulu’nun 2020/404 no.lu 20.05.2020 tarihli Kararında işçilere açık rıza metninin imzalanması için mail gönderilmesi, imzalamayan çalışanlara metni imzalamaları için baskı yapılması ve işçiye rıza göstermeme imkanının etkin bir biçimde sunulmaması neticesinde rıza verildiğinin tespit edilmesi nedeniyle verilen rızanın geçerli olmadığı değerlendirilmiştir.1
• Aydınlatma yükümlülüğünün yerine getirilmesi ile açık rıza alınması işlemlerinin ayrı ayrı yapılması gerekmektedir. 2 Aydınlatma yükümlülüğünün amacı kişisel verilerin işlenmesi ile ilgili olarak işçinin bilgi sahibi olmasının sağlanmasıdır.
Açık rıza alınmasındaki amaç ise veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, işçi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir. 3
YAZININ DEVAMI EKTE PDF OKUYABİLİRSİNİZ…