İş Hukukunda KVKK: Kişisel Verilerin Korunmasının Önemi
Bu yazıda, işverenlerin iş ilişkisi boyunca işlediği çalışan verileri açısından KVKK kapsamındaki yükümlülükleri detaylıca ele alınmakta, örnek uygulamalar üzerinden açıklanmaktadır.
KVKK UYGULAMALARI VE SORUN ALANLARI
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin mahremiyet hakkının korunmasını hedefleyen temel yasal düzenlemelerden biridir. İşveren ile çalışan arasındaki iş ilişkisi, doğası gereği çok sayıda kişisel verinin işlenmesini gerektirir. Bu bağlamda, işverenin hem mevzuata uyum yükümlülüğü hem de çalışanların kişisel verilerinin hukuka uygun şekilde işlenmesi, iş hukuku ile veri koruma hukukunun kesişiminde ciddi sonuçlar doğurmaktadır.
İşverenin Kişisel Veri Sorumluluğu
İşveren, çalışanların kişisel verilerini işe alım sürecinden iş ilişkisinin sona ermesine kadar çeşitli amaçlarla işler. Bu veriler arasında kimlik bilgileri, iletişim bilgileri, adli sicil kayıtları, sağlık bilgileri, sendika üyelikleri gibi özel nitelikli kişisel veriler de bulunabilir. KVKK kapsamında işveren veri sorumlusu sıfatına sahip olup, bu verilerin hukuka uygun şekilde toplanması, saklanması ve imha edilmesinden sorumludur.
Aydınlatma Yükümlülüğü
KVKK m. 10 doğrultusunda, işverenler gerek işe başvuran adayların gerekse halihazırda çalışan işçilerinin verilerini ne amaçla edindiğini, nerede depolandığını, bu verilere kimler tarafından ulaşılabileceğini, verileri kimlere aktaracağını bildirmek, işçilerin talebi üzerine verilerin kimlere iletildiği, nerelerde kullanıldığı konusunda bilgi vermek zorundadır. Bu kapsamda veriler eksik ya da yanlış ise verileri düzeltmek ve güncel tutmak durumundadır.
Denetim, Kamera ve E-posta İzleme Uygulamaları
İşverenin çalışanların faaliyetlerini denetlemesi, verimlilik ve güvenlik açısından anlaşılabilir olmakla birlikte, bu denetimlerin KVKK kapsamında hukuki dayanağa sahip olması gerekir. Kamera izleme, e-posta trafiği denetimi gibi uygulamalarda çalışanların önceden bilgilendirilmesi, amaçla sınırlı veri işleme ve verilerin güvenliğinin sağlanması şarttır. Aksi takdirde, özel hayatın gizliliği ihlal edilebilir ve hem KVKK yaptırımları hem de Borçlar Kanunu kapsamında tazminat yükümlülüğü doğabilir.
Sağlık Verileri ve Özel Nitelikli Verilerin Korunması
Çalışanların sağlık verileri, iş güvenliği, işe uygunluk değerlendirmesi veya pandemi dönemindeki kontrol süreçleri gibi nedenlerle işlenebilir. Ancak bu veriler KVKK kapsamında özel nitelikli veri sayıldığından, KVKK m.6/3 hükmündeki istisnalara dayanarak işlenmelidir. İşverenin bu verileri üçüncü kişilerle paylaşması, ciddi veri ihlallerine ve yaptırımlara yol açabilir.
Çalışma Süreci Sonrasında Verilerin Saklanması ve İmhası
İş sözleşmesinin sona ermesinin ardından, işverenin verileri saklamaya devam etmesi gerekebilir (örneğin kıdem tazminatı ihtilafı riski nedeniyle). Ancak bu saklama süresi “ilgili mevzuatta öngörülen süreyle sınırlı” olmalı ve süresi dolan veriler “imha politikası” çerçevesinde silinmelidir. KVKK’nın veri minimizasyonu ve amaçla sınırlılık ilkeleri bu noktada özellikle önemlidir.
Uyum Süreci ve Kurumsal Sorumluluk
İşverenlerin KVKK’ya uyum sürecinde, çalışanlara yönelik veri işleme faaliyetlerini içeren aydınlatma metinleri, açık rıza formları, veri envanteri ve veri işleme politikaları oluşturması gereklidir. Ayrıca, veri sorumlusu sıfatıyla Sicile kayıt yükümlülüğü bulunan işverenler için VERBİS kaydı zorunludur.
Sonuç ve Değerlendirme
KVKK, iş hukukunun klasik yaklaşımlarını dönüştürmekte ve işveren-çalışan ilişkilerinde yeni bir denge kurmaktadır. Bu bağlamda, işverenin “kontrol” hakkı ile çalışanın “özel hayat” hakkı arasında makul bir denge sağlanmalıdır. Hem hukuki güvenlik hem de çalışan haklarının korunması açısından KVKK’ya uyumlu uygulamalar geliştirilmesi, günümüzde işverenler açısından artık yalnızca etik bir tercih değil, hukuki bir zorunluluk haline gelmiştir.
KVKK uyum sürecinde işletmenize özel danışmanlık almak için bizimle iletişime geçin.