İşçiye Ait Kişisel Verilerin İşlenmesi

İşçiye Ait Kişisel Verilerin İşlenmesi

İŞÇİYE İLİŞKİN KİŞİSEL VERİLERİN İŞVEREN TARAFINDAN İŞLENMESİ, İHLAL VE YAPTIRIMLAR

Özet

Teknoloji ve yapay zekanın çağımıza çok fazla entegre olduğu bir dönemde bulunmaktayız. Bu gelişim ve entegrasyon, kendisini işçi-işveren ilişkisinde de göstermektedir. İşverenler, mesai saatleri içinde işçinin eylemlerini takip etmekte, kamerayla izlemekte, biyometrik verilerini işlemekte ve hatta RFID (Radio Frequendy Identity) çipleri vasıtasıyla takip etmektedir. İş akdinin başından sonuna, sır saklama yükümlülüğü bulunan hallerde bitiminden sonra dahi, işçiye ait kişisel verilerin korunması Anayasal bir yükümlülüktür. Bu yükümlülük işçinin gözetilmesi borcunun yanı sıra işçinin esasında bir kişi olmasından da kaynaklanmaktadır. Bu vasıtayla KVKK’nın 6. Maddesinde belirtilen özel nitelikli kişisel veriler de dahil olmak üzere, işçilerin kişisel verileri işverence işlenmekte ve bu husus hem İş Kanunu hem de KVKK kapsamında bir değerlendirmeye muhtaçtır.

Anahtar Kelimeler : işçi, işveren, iş sözleşmesi, kişisel veri, kişisel verilerin korunması, kişisel verilerin işlenmesi, veri işleyen, veri sorumlusu, hakı fesih

Giriş

İşçinin kişisel verilerin işlenmesi

Bilişim teknolojilerinin son zamanda hızla gelişmesi ve iş hayatında artan düzeyde kullanımıyla birlikte, işçinin kişisel verilerinin korunması hususu üzerinde önemle durulması gereken bir konu haline gelmiştir. İlk olarak ifade edilmelidir ki, işçinin işyerinde dahi olsa kişisel verilerinin korunmasını isteme hakkı mevcuttur. Söz konusu hakkın etkin bir şekilde kullanılabilmesi, kişisel verilerin korunması hukuku ile iş hukuku disiplinlerinin bir arada değerlendirilmesini gerekli kılmaktadır.

İş ilişkisi, diğer hukuki ilişkilere nazaran kendine has(sui generis) hüküm ve yükümlülükler ihtiva etmektedir. Öncelikle, işçi işverene maddi ve hukuki açıdan bağımlı olduğundan işverenden emir ve talimat almakta olup taraflar arasındaki dengenin hukuka uygun şekilde kurulması gerekmektedir. Bu kapsamda işçinin maddi ve manevi bütünlüğü, şeref ve haysiyeti ve kişilik hakları işverene karşı korunmalıdır. İşçinin kişilik haklarının korunması, 1982 Anayasası 20. Maddesine göre işçinin kişisel verilerinin korunmasını da kapsar.

Bilişim teknolojilerinin işyerinde kullanımına ilişkin olarak, işçinin kişisel verilerinin korunması hakkı ile işverenin meşru menfaatleri arasında makul bir denge kurulması gereklidir. Bu kapsamda bu çalışmada günümüzde işçilerin işçinin kişisel verilerini hangi amaçlarla, hangi yöntemlerle ve hangi yasal dayanaklarla işlediğini ve bunların 6698 Sayılı KVKK kapsamında hukuka uygun olup olmadığı değerlendirilecektir. Bu bağlamda çalışmamız, Kişisel Verilerin Korunması Hukuku kapsamında gerekli hususları ifade ettikten sonra emsal teşkik eden örnekleri ve kararları irdelemek üzerine olacaktır.

Kişisel Verilerin Korunması Hukuku

İnsanoğlu, doğası gereği sosyal bir varlık olup birbirini merak eder, bundan sonuçlar çıkarır. İkinci Dünya Savaşı sırasında Almanların erişebildikleri herkesin kimlik, dini, kişisel, siyasi vb. bilgileri tutarak kendilerine muhalif insanları Nazi kamplarına gönderip yok etmesi üzerine Avrupa, yaşanan bu acılardan büyük bir ders çıkarmıştır. İşte son yıllarda hem Avrupa’da hem de ülkemizde kişisel veri konusunun bu kadar önemle üstünde durulma sebebi temelde budur.

Kişisel verilerin bir kavram olarak ortaya çıktığı ilk nokta ise, yine Almanya’nın Hessen eyaletidir. 1970 yılında Hessen Eyalet Veri Koruma Kanunu hazırlanıp yürürlüğe sokuldu. Ardından ise öncelikle 1973’te İşveç ve 1978’de Fransa kendi kanunlarını, devam eden süreçte ise tüm Avrupa da bu ülkeler gibi süreç içerisinde kendi kanunlarını hukuk sistemlerine kazandırmıştır.

Türkiye, Avrupa Konseyi tarafından hazırlanan 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni imzaya açıldığı tarihte, yani 28 Ocak 1981 tarihinde imzalamıştır. Sözleşme, 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Sözleşmeyi imzalayan ülkelerin yükümlülük altına girdikleri bir diğer husus ise, taraf devletlerin iç hukuklarında kişisel verilerin korunmasına ilişkin bir kanunu mevzuatlarına kazandırmalarıdır.

Bununla birlikte, çalışanların kişisel verilerinin korunmasına ilişkin olarak 1996 yılında Uluslararası Çalışma Örgütü(ILO) tarafından “İşçilerin Kişisel Verilerinin Korunması Hakkında Uygulama Kodu” kabul edilmiş olup, ilgili düzenleme her ne kadar taraf devletler için bağlayıcı nitelikte olmasa da tavsiye niteliğinde faydalı bir regülasyondur.

kişisel verilerin korunması

Anayasa’nın 90. Maddesi uyarınca, özel kanunlar ile ilgili sözleşme arasında bir uyuşmazlığın meydana gelmesi halinde söz konusu antlaşma hükümleri esas alınacaktır.[i] Kişisel verilerin korunmasına ilişkin olarak ülkemizde meydana gelen ilk gelişme ise, 07/05/2010 tarihli Anayasa değişikliği ile yaşanmıştır. 5982 Sayılı Kanunun getirdiği değişiklikle, Anayasanın“Özel Hayatın Gizliliği” başlıklı 20. Maddesi, kişisel verilerin korunmasını da kapsayacak şekilde genişletilmiştir.

Sözleşme kapsamındaki Akit devletlerin birçoğu belirtilen taahhüde uygun şekilde mevzuat çalışmalarını tamamlamış olsalar da, ülkemiz bu süreçte gerekli adımları atmakta maalesef makul sürede aksiyon almamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7.3.2016 tarihinde, yani 108 Sayılı sözleşmenin imzalanmasından tam 35 yıl sonra, yürürlüğe girerek hukuk sistemimize kazandırılmıştır.

Kişisel Veri Kavramı

6698 KVKK’nın 3. Maddesine[ii] göre kişisel veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Avrupa Birliği Genel Veri Koruma Tüzüğü’ne(GDPR)[iii] göre ise kişisel veri, “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi” ifade etmektedir. Çalışmamız kapsamında söz konusu ilgili kişi iş akdi kapsamındaki işçi iken veri sorumlusu ise işveren olarak karşımıza çıkmaktadır. İşverenin gerçek veya tüzel kişi olması, veri sorumlusu sıfatının doğmasında bir farklılık teşkil etmeyecek olup tüzel kişiliğin bulunması halinde hukuki sorumluluk tüzel kişilik bünyesinde ortaya çıkacaktır.

Kişisel veri kavramı, hem yerel hem de uluslararası regülasyonlar kapsamında genel ve özel nitelikli kişisel veri olarak ikili bir ayrıma tabi tutulmuştur. Özel nitelikli kişisel veri ise, Kanunun 6. Maddesine göre, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileri” olarak tanımlanmıştır. Bu bağlamda bir ayrıma gidilmesinin esas nedeni, söz konusu veriler nedeniyle ilgili kişilerin ayrımcılığa uğramasına engel olmaktır. Bununla birlikte, özel nitelikli kişisel veriler kanunda sınırlı sayıda belirlenmiş olup kıyas yoluyla genişletilemez veya artırılamaz.

İş hukukunda işveren, hem sözleşme öncesi görüşmeler sürecinde(başvuru sırasında gönderilen özgeçmiş), hem çalışma sürecinde hem de iş ilişkisinin sona ermesinden sonra(işyeri özlük sicil dosyası ve belirli kişisel verilerin belirli süre saklanması) işçiye(ilgili kişi) ilişkin kişisel verileri veri sorumlusu sıfatıyla işlemekte ve saklamaktadır. Söz konusu veri işleme ve saklama faaliyetinin temel nedenlerinden birisi de işverenin bu konuda 4857 Sayılı İş Kanununun 75. Madddesi ve diğer kanuni hükümler gereğince yükümlü olmasıdır. İlgili madde hükmü aynı zamanda, işverenin işçisine karşı sır saklama yükümlülüğünün de temelini oluşturmaktadır.[iv]

İşverenin işten ayrılan işçisine, iş akdinin sona ermesini takiben 2 ay içinde bir çalışma belgesi vermesini konu alan İK 28. Madde hükmü de esasen veri koruma hukukunun konusunu oluşturmaktadır. Nitekim çalışma belgesinin oluşturulması işçinin kişisel verilerini içerdiğinden bir veri işleme faaliyeti olarak nitelendirilecektir. Bununla birlikte, 6331 Sayılı İŞ Sağlığı ve Güvenliği Kanunu’nun 14. Maddesi uyarınca işveren, işyerinde meydana gelen tüm iş kazası ve meslek hastalıklarının kaydını tutar ve gerekli incelemeleri yaparak bunlarla ilgili raporlar düzenler. Yine aynı kanunun 15. Maddesi ise çalışanların işe girişi, iş değişikliği, iş kazası, meslek hastalığı vb. gibi işten uzaklaşmalarını gerektirecek durumlardan dönüşte belirli aralıklarla sağlık muayenesi yapılmalarını zorunlu kılmaktadır. KVKK açısından incelemek gerekirse, 6331 Sayılı kanunun işverene yüklediği bu yükümlülük özel nitelikli kişisel verilerin işlenmesini gerektirmektedir. 

Belirtmiş olduğumuz ve iş ilişkisi sırasında ortaya çıkabilecek diğer birçok durumda işveren, veri sorumlusu sıfatıyla işçisine ait kişisel verileri işleyecektir. Burada önem arz eden husus, veri işleme faaliyetinin Kanunun 4. maddesinde belirtilen temel ilkelere uygun olarak gerçekleştirilmesidir.

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

“Hukuka ve dürüstlük kurallarına uygun olma”

Kişisel veriler, hukuka uygun olarak (lawfully) şekilde işlenmelidir. Bu ilkenin esası, “kişisel verilerin işlenmesine izin veren bir kanun hükmü bulunmadıkça, işlemenin yasak olmasını” (Verbot mit Erlaubnisvorbehalt) savunmaktadır. 1982 Anayasasının 20. Maddesi de bu doğrultuda bir düzenleme getirmiş olup,“Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” Hükmüne yer verilmiştir. Bu kapsamda, iş ilişkisi kapsamında işçinin kişisel verilerinin işlenmesini mümkün kılan bir kanun hükmü lazım gelmektedir.

“Doğru ve gerektiğinde güncel olma”

Kişisel verilerin, doğru ve gerektiğinde güncel olması gerekmekedir. Ayrıca, kişisel verilerin işleme amaçları göz önüne alınarak, güncelliğini yitiren kişisel verilerin zaman kaybedilmeden silinmesi/düzeltilmesi gerekmektedir. Verilerin doğruluğunun bir diğer gerekliliği ise, ilgili kişinin sosyal imajı açısından iş/özel hayatındaki itibarıdır. Örneğin, işyerinde uzun yıllardan beri çalışan ve yakın geçmişte boşanan bir kimsenin işyeri özlük dosyasındaki medeni durumu ivedilikle değiştirilmeli, karışıklık ihtimalinin önüne geçilmelidir. Kişisel verilerin doğru olması, bireylerin temel hak ve özgürlüklerinin, ekonomik menfaat ve manevi bütünlüğün korunmasını sağlayacaktır.[v]

“İlgili kişiye bildirim yapılması”

Kişisel verilerin işlenmesi için gerekli bir diğer koşul, işçiye hangi verilerinin işlendiğinin bildirilmesidir. İşyerinde kamera ile izleme veya işçinin bilgisayar ekranının takip ediliyor olması halinde, işçinin söz konusu veri işleme faaliyetinden haberdar olması ve buna ilişkin açık rızasının bulunması gerekmektedir. Bu kapsamda bir veri işleme faaliyetinin hukuka uygun değerlendirilebilmesi için, Kanunun 6. Maddesi kapsamında işçinin açık rızasının yazılı olarak alınması gerekmekte, aksi halde hukuka aykırı veri işleme faaliyeti nedeniyle işçinin iş akdinin haklı nedenle feshinin gündeme gelebileceği ifade edilmelidir.

“İlgili kişinin bilgi talep etme hakkı”

İş ilişkisi kapsamındaki işçi, işverenden hangi kişisel verilerinin işlendiğini, hangi kanuni madde kapsamında veri işleme faaliyetinin gerçekleştirildiğini ve işlenen verilerin hangi üçüncü kişilerle paylaşılıp paylaşılmadığı bilgilerini talep etme hakkına sahiptir. Bu kapsamdaki talep hakkının bir sonucu olarak, kanuna veya iş akdine aykırılık halinde işçi, işlenen kişisel verilerinin düzeltilmesini, silinmesini, rızasına hilafen üçüncü kişilerle paylaşıldıysa bu paylaşımın sona erdirilmesini talep etme hakkına sahiptir.

“Belirli, açık ve meşru amaçlar için işlenme”

Belirli amaç, gerekli veri koruma önlemlerinin tatbikini sağlamak ve işleme faaliyetinin kapsamını sınırlandırmak amacıyla yeterli ölçüde tanımlanmış amaçtır. İşleme faaliyeti aynı anda birden fazla amaç doğrultusunda gerçekleştiriliyorsa, bu amaçların birbiri ile ilgili olmaları durumuna her bir amacın ayrı ayrı belirtilmesi gerekli değildir. Meşru amaç ise, en temel anlamıyla hukuka uygunluğu ifade eder. İş ilişkisi kapsamında işyerinde birden fazla kişisel veri işlenmektedir. Bunlar ad, soyad, uyruk gibi kişisel veriler olabileceği gibi parmak izi, retinal tarama gibi özel nitelikli kişisel veriler olarak da karşımıza çıkabilir.

KVKK ve İş Kanunu kapsamında belli sermaye ve çalışan koşullarını sağlayan işverenlerin(veri sorumlusu) kaydolmakla yükümlü oldukları VERBİS[vi](veri Sorumluları Sicil Bilgi Sistemi) bu ihtiyacı karşılamak adına hayata geçirilmiştir. Bu kapsamda hangi kişisel verinin, hangi kanun hükmü dayanağınca, hangi süreyle saklandığı ve işyerinde hangi departmanların erişiminin olduğu vb. hususları belirtilmekte olup, veri gizliliği ve mahremiyet açısından işçilerin haklarını teminat altına alan bir uygulamadır. Söz konusu uygulamanın kanuni dayanağı ise, 4857 Sayılı İş Kanunu’nun 75. Maddesidir. Hükme göre, “İşveren, çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” Hükmün ikinci fıkrasına göre ise, “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” Denilerek işçinin kişisel verilerinin korunmasına yönelik olarak dürüstlük kuralı çerçevesinde işverene kanunen bir yükümlülük yüklenmektedir. İşverenin bu yükümlülüğe aykırı hareket etmesi halinde, İş Kanunu Madde 24 kapsamında işçinin haklı nedenle feshi gündeme gelebilecektir.

“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”(Veri Minimizasyonu İlkesi)

Kişisel veriler, işlendikleri amaçla ilişkili olarak yeterli olmalıdır. İşlendikleri amaçla ilgili yeterli olma ifadesi, dar anlamı ile ölçülülük olarak da ifade edilebilir. Ayrıca ilgili kişinin kişisel verilerinin korunması hakkına en az müdahale edecek yöntemin tercih edilmesi gerekmektedir.[vii] Örnek vermek gerekirse, işyerinde çalışan giriş sistemi olarak güvenlik amacıyla üyelerinin parmak izini alması ölçülü değildir çünkü girişte güvenliğin sağlanması çalışanlara tahsis edilmiş giriş kartları vasıtasıyla da sağlanabileceğinden parmak izi gibi daha komplike bir biyometrik verinin işlenmesi işçinin kişisel verilerin işlenmesinde ölçülülük ilkesine aykırılık teşkil etmektedir.

“İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”

Kişisel veriler, ilgili kişinin belirlenebilmesini sağlayan bir şekilde ilgili verinin işleme amacının gerektirdiği süre boyunca muhafaza edilmelidir. Bankacılık Kanununun m. 42 hükmüne göre, “alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağı” hüküm altına alınmıştır. Bu hüküm uyarınca, ilgili kişinin banka nezdindeki son işleminin üzerinden 10 yıllık süre boyunca kişisel verilerin saklanması gerekmektedir. Saklama süresine ilişkin olarak şu karar örnek oluşturabilir: (Kişisel Verileri Koruma Kurulu‟nun 05/12/2018 tarihli ve 2018/142 sayılı Kararı Özeti)[viii]

Belirtilen ilke kapsamında, Kanunun 12. Maddesinde yer alan veri güvenliğine ilişkin ilkelerden de söz edilmesi yerinde olacaktır. İşçinin kişisel verilerini muhafaza etmekle sorumlu olan işveren, KVKK m12 kapsamına göre aşağıdaki hususları da sağlamakla yükümlüdür:

  • İşçinin kişisel verilerinin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı olarak erişilmesini önlemek,
  • İşçinin kişisel verilerinin korunmasına amacıyla gerekli güvenlik standartlarını temine yönelik her türlü idari ve teknik tedbiri almak ve
  • İşverenin kendi kurum ve kuruluşlarında KVKK hükümlerinin tatbikine yönelik olarak gerekli denetimleri yapması ve yaptırması gerekmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Açık Rıza

Özel nitelikli kişisel verilerin işlenmesi Kanunun m6f(2) hükmü uyarınca, yalnızca işçinin açık rızasının mevcudiyeti halinde mümkündür. Bir diğer anlatımla, işyerindeki işçinin biyometrik, parmak izi, siyasi görüşü vb. özel nitelikli kişisel verilerinin hukuka uygun şekilde işlenebilmesinin yegane yolu, işçinin buna ilişkin olarak açık rızasının bulunmasıdır. Hukuken geçerli bir rızadan söz edebilmek için, işçinin veri işleme faaliyeti hakkında bilgilendirilmesi ve işçinin rızasını baskı altında bırakılmadan açıklaması gerekmektedir.[ix] Veri Koruma Hukuku kapsamında verilen rızanın geçerli olabilmesi için veri sorumlusu sıfatına sahip işverenin, işçisini “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”[x] uyarınca aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. Aydınlatma metni; veri sorumlusunun unvan ve sicil bilgileri, işlenecek kişisel verinin hangi amaçla işleneceği, hangi süreyle işleneceği ve işçinin KVKK kapsamındaki diğer haklarını[xi] kapsamalıdır.

Aydınlatma faaliyeti sonrasında işçinin veri işleme faaliyetine vermiş olduğu açık rızanın hukuken geçerli olup olmadığının tespiti de önem arz etmektedir. İş ilişkisinde işçinin maddi ve hukuki yönden işverene bağlı[xii] olduğu hususu göz önünde bulundurulduğunda, işçinin ilgili veri işleme faaliyetine rıza göstermemesi halinde bir hak kaybı veya mobbinge uğrayacak olması ihtimalini önlemeye yönelik bir açık rıza vermiş olması halinde, bu açık rızanın işçinin hür iradesine dayanmadığı ifade edilecektir. Bu kapsamda işverenlerin, işçilerin açık rızalarını özgür iradeleriyle temin etmesi gerekmekte olup veri işleme faaliyetlerinin neden gerekli olduğu, hangi verilerin en amaçla işlendiği ve üçüncü kişilerle paylaşılmayacağı gibi hususlarla işçilerin mahremiyetini sağlayacak şekilde sunumlar yaparak şeffaflığı sağlaması uygulamaya yönelik yapıcı bir süreç yönetimi sağlayacaktır.

Sağlık verileri özel nitelikli kişisel veri olarak değerlendirildiğinden, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu da bu kapsamda bir düzenleme ihtiva etmektedir. İlgili Kanunun m15/f(5) hükmü uyarınca, “Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur” hükmü getirilerek işçinin korunmasına yönelik bu düzenlemeye karşı ise herhangi bir yaptırım öngörülmemiştir.

İşveren Tarafından İşçinin Takip Edilmesi

Teknolojinin gelişmesi ve işyerlerinde internet kullanımının geçmişe kıyasla ciddi şekilde yaygınlaşmasıyla, her ne kadar işçiler sözleşme kapsamındaki yükümlülüklerini daha az eforla yerine getirme imkanına sahip olmuş olsalar da, diğer yandan birtakım yeni ihtilaflar da ortaya çıkmıştır. Söz konusu uyuşmazlıkların en önemli nedeniyse, işçilerin mesai saatleri içerisinde işleri dışındaki alanlarda, örneğin streaming platformlarında gezinme, sosyal medyada vakit geçirme vb, zaman harcamalarıdır. Bu nedenle işverenler, aşağıda ifade edeceğimiz üzere bir dizi yöntem aracılığıyla çalışanların verim ve aktivitesini takip etmekte olup, bu yöntemlerden bazıları da veri koruma hukukuna aykırılık teşkil etmektedir.

Çalışanlar her ne kadar hukuki ve ekonomik yönden işverene bağlı olsalar ve mesai saatlerinde işverenin emir ve talimatı altında bulunsalar dahi, işçilerin temel hakları bulunduğu hususu gözden çıkarılmamalı ve işverenin işçinin özel hayatına müdahale etmesinin de önüne geçilmesi gerekmektedir. Kaldı ki, işverenin işçiye talimat verme yetkisi, iş sözleşmesinin kapsam ve yetkisiyle sınırlı olup bunu aşacak direktifler işçinin özel hayatına müdahale anlamına gelecektir. Bu noktada ifade edilmesi gereken bir diğer husus ise, 4857 Sayılı Kanunun 66. Madde hükmüne göre, “İşçinin işinde ve her an iş görmeye hazır bir halde bulunmakla beraber çalıştırılmaksızın ve çıkacak işi bekleyerek boş geçirdiği süreler” çalışma süresinden sayılmaktadır.

İşveren tarafından işçinin izlenmesine ilişkin olarak en çok tercih edilen yöntemler, şu şekilde karşımıza çıkmaktadır:

a) Aktivite İzleme

Bu yöntem iki farklı şekilde karşımıza çıkmaktadır. İlk olasılıkta işveren, bilgisayara kurmuş olduğu bir yazılım aracılığıyla işçisinin mesai saatleri içerisinde hangi uygulamada ne kadar süre harcağını takip etmektedir. Söz konusu takip, uygulama içeriğine ilişkin herhangi bir veri veya bilgi paylaşılmadığı müddetçe hukuka uygun olarak kabul edilmelidir. Nitekim işverenin, yalnızca işçisinin günlük olarak hangi uygulamada ne kadar zaman harcağınının tespitini yapmakta iş akdi kapsamında haklı bir menfaati bulunmaktadır.

Aktivite izlemenin diğer ve hiçbir şekilde tasvip etmediğimiz türü ise, işçinin ekranının screen-sharing(ekran paylaşma) teknolojisi vasıtasıyla işveren tarafından anlık ve eksiksiz olarak takip edilmesidir. Bu yöntem işçinin özel hayatına da müdahale anlamında gelmekte olup temel insan haklarının da ihlali anlamına gelmektedir. İşçi bu kapsamda bir veri işleme faaliyetine açık rıza vermiş olsa bile söz konusu veri işleme faaliyeti, TBK m27 kapsamında kanuna ve hukuka aykırı olduğundan verilen rıza hukuken geçerli sayılmayacaktır. Bu bağlamda hukuka aykırılığı konusunda tereddüt bulunmamakta olup işçiye de iş akdini haklı fesih imkanı tanımaktadır.

b) Elektronik Postaların Takibi

Söz konusu yöntem işverenin çalışan elektronik posta hesabına erişim sağlamak suretiyle iletileri gözden geçirmek suretiyle işçisini takip etmesi olarak karşımıza çıkmaktadır. Bu olasılık, işçinin elektronik posta hesabında işin gerektirdiği iletilerin dışında özel yaşamına ilişkin gönderileri de içereceğinden, özel hayatın gizliliği ilkesine aykırı olup KVKK kapsamında hukuka aykırı bir veri işleme faaliyetidir. Bu noktada kanaatimizce en tutarlı çözüm, işverenlerin çalışanlara şirkete özel bir elektronik posta hesabı tahsis etmesi(örneğin, mustafakuvan@aydinuni.com) ve mesai saatlerinde bu hesapların kullanılmasını telkin etmeleri olacaktır.

c) Sosyal Medyada İzleme

Çalışanının şahsi sosyal medya hesabını takip eden ve mesai saatlerinde paylaşım, etkileşim vb. eylemlerde bulunması halinde bunu veri işleme faaliyetinden ziyade mobbing aracı olarak kullanan işverenlerin tercih ettiği bir yöntem olup, somut bir delil yer almaması durumunda ne işçiye ne de işverene haklı nedenle fesih imkanı tanımamaktadır.

d) Kamera ile İzleme

İşçinin takip edilmesi yöntemlerinden belki de özel hayat ve temel kişilik haklarına en ayrıksı olan bu yöntemde işveren, işçisini bilgisayar ekranı da görülecek bir şekilde kamera ile takip etmekte olup işçinin özel hayatı tamamen yok sayılmaktadır. Bu faaliyet KVKK bakımından özel nitelikli kişisel verilerden biyometrik ve genetik verilerin işlenmesini gerektirdiğinden işçinin açık rızasının bulunması gerekse de, a) bendinde bahsetmiş olduğumuz üzere hem TBK m27 hükmü hem de Anayasal temel haklar gereğince verilen rıza hukuken geçerlilik kazanmayacaktır. Bu yöntem kapsamında işçileri kamera ile izleyen bir Alman şirketinden haklı nedenle istifa eden işçiyi haklı bulan Köln Eyalet Mahkemesi kararı çalışmamızda incelenecektir.

e) GPS ile İzleme

Ekseriyetle nakliye ve lojistik departmanlarında kullanılan bu teknoloji vasıtasıyla çalışanın mal teslimi için belirlenen rotayı takip edip etmediği, dinlenme sürelerini aşıp aşmadığı ve eşyaları zamanında teslim edip etmediği hususları incelenmektedir. Kanaatimizce oldukça tutarlı ve gerekli olan bu uygulama sayesinde ekonomik değeri çok yüksek olan eşya ve nakliye konusu malların güvenliği temin edilmekte olup GPS ile izleme fonksiyonunun ilgili sevkiyat tamamlandıktan, sonra işçi işgörme edimini yerine getirdiğinden dolayı, sona erdirilmesinin gerekli olduğu hususunu hatırlatmak isteriz.

f) Biyometrik Veri Aracılığıyla İzleme

Genellikle katı mesai saatlerine sahip işyerlerinin giriş ve çıkışlara koymuş olduğu parmak izi tarama veya yüz tarama sistemleri vasıtasıyla işçilerini kontrol ettikleri uygulamadır. Her ne kadar ilk bakışta zararsız gibi görünse de, aynı denetim çalışanlara kart verilerek giriş ve çıkışta okutmak suretiyle de gerçekleştirilebileceğinden, ölçülülük ve tutarlılık ilkesi gereğince zorunlu olmadıkça biyometrik veri işlenmemesi gerekmektedir.

g) RFID ile izleme

Belirtmiş olduğumuz yöntemler arasında en nadir rastlananı olan Radio Frequency Identification(Radyo Frekanslı Tanıma) yönteminde çalışanın vücuduna etiket boyutunda bir çip takılarak anlık konumunun tespit ve takip edilmesini mümkün kılmaktadır. Çoğunlukla inşaat ve taşımacılık gibi fiziksel gereksinimlerin ön planda olduğu sektörlerde uygulama alanı bulan ve iş güvenliği konusunda olumlu etkileri gözlenen RFID ile izleme teknolojisi, işverenin işçisini veri işlemeye ilişkin aydınlatması ve işçinin açık rızasının bulunması halinde hukuka uygun kabul edilmektedir.

İhlal ve Yaptırımlar

Veri Koruma Hukukunun gelişmekte olan ve evrensel bir saha olduğu düşünüldüğünde, hem yerel hem de global birçok ihlal ve düzenlemeyle karşı karşıya olduğumuz ifade edilmelidir. GDPR ve Haziran 2023’te Avrupa Birliği Parlamentosu’nda oyçokluğuyla kabul edilen Yapay Zeka Yasası[xiii] vb. regülasyonlar da bu sahanın halen daha gelişmekte olduğunu, teknoloji ve bilişimle olan bağlantısı nedeniyle Veri Koruma ve Gizlilik Hukukuna evrensel düzenlemelerin de tatbik edilebileceği ifade edilebilir. Bu kapsamda hem kişisel veri kavramının ortaya çıkmış olduğu Alman yargısından birkaç karar ve ülkemizde bulunan Kişisel Verilerin Korunması Kurulunun birkaç kararının anılması yerinde olacaktır.

Kişisel verilerin korunmasına yönelik ihlallere ilişkin yaptırımlar esasen ilk olarak 16/09/2004 tarihinde yapılan değişiklik sonucunda 5237 Sayılı Türk Ceza Kanunu’nda(135 ila 140’ıncı maddeler) öngörülmüştür. Söz konusu yaptırımlara ilişkin suçlar; “Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi(m135)”, “Kişisel Verilerin Hukuka Aykırı Olarak Başkasına Verilmesi, Yayılması, Ele Geçirilmesi(m136)” ve “Kanuni Sürenin Geçmiş Olmasına Rağmen Verilerin Yok Edilmemesi(m138)” olarak karşımıza çıkmaktadır. Madde 140 ise yukarıda belirtilen suçların failinin tüzel kişiler olması durumunda, tüzel kişilere özgü güvenlik tedbirlerine hükmolunacağını düzenlemektedir.

24/03/2016 yürürlük tarihli KVKK suç ve cezalara ilişkin TCK’ya gönderme yapmış olup kabahatleri ise ayrıca düzenlemiştir. 18. Madde hükmüne göre, “Aydınlatma yükümlülüğünün ihlali”, “Veri güvenliğine ilişkin yükümlülüklerin ihlali”, “Kurul kararlarının yerine getirilmemesi” ve “VERBIS yükümlüğünün yerine getirilmemesi” hususları kabahat olarak düzenlenmiş olup, ihlal halinde farklı tutarlarda para cezası öngörülmüştür. 5326 Sayılı Kabahatler Kanunu Madde 15/f(2), “Aynı kabahatin birden fazla işlenmesi halinde her bir kabahatle ilgili olarak ayrı ayrı idarî para cezası verilir” hükmünü düzenlemiştir. Bir diğer anlatımla, veri sorumlusu sıfatına sahip işveren 18. Maddede yer alan kabahatleri kaç defa işlerse o kadar idari para cezasına çarptırılacak, kısaca “ne kadar kabahat, o kadar ceza” tatbik edilecektir. Bu sayede veri sorumlusu sıfatına sahip olup kanunu ihlal edecek şekilde işleme faaliyetinde bulunan işverenler açısından cezaların caydırıcılık fonksiyonu etkin hale gelecektir.

Emsal Kararlar

Kişisel Verileri Koruma Kurulu, 20/05/2020 tarihli ve 2020/404 sayılı Kararı[xiv]

Konu = İşverenin, işçisine ait kişisel veri ve özel nitelikli kişisel verileri aydınlatma yükümlülüğünü ihlal ederek ve hukuka aykırı şekilde işlemesi

Özet = “Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,

Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği” hususları belirtilerek, veri sorumlusu hakkında yaptırım uygulanması talep edilmiştir.

Veri Sorumlusu işveren ise yanıtında; açık rıza metninde detaylı olarak işleme amaçlarının yer aldığını, aydınlatma metninde belirtilmesi gereken tüm husuların yer aldığını, çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı ve bulutta depolanan kişisel verilerin güvenliğinin yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı, bu nedenlerle bir ihlalin bulunmadığını ileri sürmüştür.

Karar = Kurul, yapmış olduğu incelemede “tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceğine”, “işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağına” ve “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın parmak izi verisinden farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği” gerekçeleriyle Kişisel Verileri Koruma Kurulu

  • Aydınlatma yükümlülüğünün ihlali nedeniyle KVKK m18/a hükmü uyarınca 50.000 TL idari para cezası uygulanmasına ve
  • Açık rıza bulunmaksızın kişisel verilerin üçüncü kişilerle paylaşılması nedeniyle KVKK m18/b hümü uyarınca 200.000 TL idari para cezasına hükmetmiştir.

İnceleme: Kurul kararı, ölçülülük ilkesini merkeze alması ve çalışanların açık rızasını esas alarak üçüncü kişilerle kişisel verilerinin paylaşılmasının önüne geçmeye yönelik caydırıcı bir karar verdiğinden, yerindedir. Nitekim söz konusu karar sonrası uygulamada sıklıkla karşılaşmakta olduğumuz “battaniye rıza”nın hukuken geçerli olmadığı kanıksanmış olup, çalışanların açık rızasının alınması için aydınlatma metinleri ve açık rıza formları popüler hale gelmiştir.

Hessen Eyalet İş Mahkemesi

Karar Tarihi = 25/10/2010

Karar Numarası = 7 sa 1586/09

Özet = İşyerinin İzinsiz olarak takip edilmesi durumunda, işçilerin veri sorumlusu sıfatına sahip işverenden tazminat talep etme hakkına sahip olmasını konu almaktadır. 5 numaralı işçinin işyerinde izlenmesi yöntemlerinin d) bendinde sözünü etmiş olduğumuz işçinin kamera ile izlenmesine yönelik verilecek örnek söz konusu olaydır.

Kararın özü = İşçinin işyerinde sürekli kamera ile izleniyor olması, özel hayatına uygunsuz bir biçimde müdahale edildiği anlamına gelmektedir. Bu nedenle işverenin işçiye, özel hayatını sürekli ihlal ettiği gerekçesiyle tazminat ödemesi gerekmektedir. (mevcut olayda 7.000 Euro) İşverene yönelik herhangi bir yaptırım kararının alınmaması, kişilik haklarının ihlali sonucunu doğuracaktır.

Olay = Davacı, davalı işverenin yanında satış elemanı olarak çalışmakta olup işveren davacının bürosunun karşısındaki giriş kapısına bir kamera yerleştirerek sadece işyerinin değil davacının şahsi iş alanını da takip etmektedir. Davacı, işveren tarafından bir kamera kurulmasına itiraz etmiş olsa da, işveren itirazı kabul etmeyerek en azından Haziran 2008 tarihine kadar davacıyı kamerayla izlemiştir.

Davacı, Ekim 2008 tarihinde açtığı tazminat davasıyla kişilik haklarının ihlal edilmiş olduğunu iddia etmiş; davalı ise söz konusu kameranın sürekli açık olmadığını, sadece işçilerin güvenliğini sağlamaya yönelik kurulduğunu ve çalışanlara yönelik yapılabilecek saldırıların önüne geçmek istediğini belirtmiştir. Davaya bakan mahkeme, davalının 15.000 Euro tazminat ödemesine karar vermiştir. Davalının yaptığı temyiz başvurusu kabul edilmiş, ancak mahkeme kararı onayarak tazminat miktarını 7.000 Euro’ya düşürmüştür.

Gerekçe ve Hüküm = İşverenin, işçiyi kamera ile uygunsuz biçimde izlemesi özel kullanan davalının, kamerayı salt işyerinin giriş kısmına yönlendirmek suretiyle denetim faaliyetini yerine getirebilmesi olanak dahilindedir. Kameranın sürekli aktif           surette kayıt yapıyor olmamasının herhangi bir önemi bulunmamaktadır, nitekim işçinin özel hayatının ihlali için belirli aralıklarla kayıtta bulunması yeterlidir. Kameranın kayıtta olup olmaması yönündeki endişe işçiliern sürekli olarak gözetlendiği baskısının oluşmasına neden olmuş olup bu durum işçinin daha önceden kameranın kurulmasına itiraz etmiş olması nedeniyle de kabullenmeyeceği bir             durumun olduğunu ortaya koymuştur. Gerekçesi yukarıda açıklandığı üzere Hessen Eyalet İş Mahkemesi, davalı işverenin davacı işçiye tazminat ödemesine karar vermiştir.

İnceleme = Çalışmamızda daha önce de ifade etmiş olduğumuz üzere, işçinin hiçbirişçinin işveren tarafından Kamera aracılığıyla aralıksız ve denetimsiz olarak takip edilmesini, açık rıza verilmiş olsa bile hukuken geçerlilik atfedilemeyeceğinden, yerinde bulmuyoruz. Bu nedenle Hessen Eyalet İş Mahkemesi tarafından verilen karar yerinde olup, işçilerin her ne kadar bağımlılık unsuru gereğince emir ve talimat altında bulunsalar dahi bu bağımlılık unsurunda ölçülüğünün aşılmaması gerektiğine ilişkin yerinde bir emsal karardır.

Köln Eyalet İş Mahkemesi

Karar Tarihi = 11/02/2005

Karar Numarası = 4 sa 1018/04

Konu = İşverenin tarafından kesin olarak yasaklanmadıkça işçiler, işletmeye ait telefon ve internet bağlantılarını özel amaçlı da kullanabilirler.

Kararın Özü = İşçilerin işyerinde bulunan telefon ve internet bağlantılarını kullanıp kullanamayacakları konusu, tarafların iş sözleşmesinde anlaşmış olduğu şartlara göre belirlenecektir. Kesin bir yasağın bulunmaması halinde işçiler, meşru sınırın aşılmaması koşuluyla bu imkandan faydalanabilirler. Günlük on dakika, kabul edilebilir sınırlar içerisindedir.

Olay = Davacı, davalının yanında sekreter olarak çalışmış olup iş ilişkisinin sona ermesiyle haketmiş olduğu ücretin yalnızca belli bir kısmı kendisine ödenmiştir. Davalı ise yapmış olduğu kesintiyi işçinin her iş günü on dakika boyunca telefon ve     internet bağlantısını uyarılmasına rağmen özel amaçları doğrultusunda kullanması gerekçesine dayandırmıştır. Davacı ise, bu yönde bir yasak bulunmadığı için eksik kalan ücretinin ödenmesini talep etmiştir.

Gerekçe = Davalının, davacının ücretinden kesinti yapmakta haklı bir gerekçesi bulunmamaktadır. İşçilerin, işyerinde bulunan telefon ve diğer teknolojik aletleri özel amaçları için kullanıp kullanamayacakları ve bunun sınırları, iş sözleşmesi ile çizilmektedir. İş sözleşmesinde böyle bir sınırlamaya gidilmemesi, işverenin bu kapsamdaki eylemlere kabul edilebilir sınırlar içinde kaldığı müddetçe rıza gösterdiği anlamına gelmektedir.

Karar = Somut olayda iş sözleşmesinde telefon ve internet bağlantılarının özel amaçlarla kullanılamayacağına ilişkin bir hüküm yer almamaktadır. Bu nedenle, davacının belirli sınırlar içinde kişisel amaçlarla da bu materyalleri kullanması iş sözleşmesine aykırı değildir. Günlük on dakika kullanım, yirmi dakika olsaydı bile, bir ihlal olarak nitelendirilemez. Bu nedenle dava, mahkeme tarafından büyük ölçüde kabul görmüştür.

İnceleme = Çalışmamızda ifade etmiş olduğumuz üzere, her ne kadar işçi işverene hukuki ve ekonomik yönden bağımlı olsa da mesai saatleri içerisinde kendi öz yaşamından feragat etmesi kendisinden beklenemez. İşçinin günde 10-15 dakika telefonunda özel hayatıyla ilgili vakit geçirmesi, işlerini aksatmadığı da göz önünde bulundurulduğunda kabul edilebilir. Kaldı ki 10-15 dakika gibi süreler, hayatın olağan akışı kapsamında oldukça kısa sürelerdir. 4857 Sayılı İş Kanunu 6. Maddesi gereğince, sonraki işi beklemekle geçen sürelerin de çalışma süresinden sayılacağı göz önünde bulundurulduğunda, ülkemizde de bu kapsamda yürütülecek bir yargılamada büyük olasılıkla işçi haklı bulunacaktır.

DEĞERLENDİRME VE SONUÇ

            Yaşamakta olduğumuz bilişim çağında, Covid-19 pandemi sonrası etkileri de göz önünde bulundurulduğunda, bilgiye erişim hem lokal hem de global ölçekte çok daha ulaşılabilir hale gelmiştir. Bu gelişim, akitlerin en önemlilerinden olan iş akdini de etkilemiştir. Hybrid(uzaktan çalışma) seçeneklerinin yaygınlaşması sonucunda işçisinin mesai saatlerinde dışsal bir etkenle meşgul olmadığından emin olmak isteyen işverenler zaman zaman hukuka aykırılığa temas eden veri işleme faaliyetlerine başvurur hale gelmişlerdir.

            İş ilişkisi kapsamında, her ne kadar işverenden emir ve talimat alma yükümlülüğü altında bulunsalar da, işçi ve işveren arasındaki ölçülü ve tutarlı dengenin sağlanmasına yönelik kanuni ve pratik tedbirlerin alınması ivedilik arz etmektedir. Nitekim, İş Hukukunun kendine has(sui generis) yapısı da göz önünde bulundurulduğunda, işçi iş sözleşmesinin başlangıcından önce kendi rızasıyla sayısız kişisel verisini potansiyel işvereni ile paylaşmakta, iş akdinin sonlanmasıyla bile birtakım kişisel veriler işveren tarafından saklanmaya devam edilmektedir.

            İşverenin işçiye ait kişisel verilerin işlenmesindeki menfaati ile işçinin kişisel verilerinin korunmasını isteme hakkı arasında makul bir dengenin korunması gerekmektedir. Bu nedenle işçiye ait kişisel verilerin işveren tarafından işlenmesi bir hukuka uygunluk sebebi olarak kabul edilip uygulama bu kapsama göre yürütülebilir. Kişisel verilerin korunmasının iş mevzuatı açısından bu kadar önemli olmasına karşın, iş mevzuatında yeterli düzenleme bulunmamaktadır. Bu nedenle, veri koruma hukuku açısından iş mevzuatımızda birçok değişikliğin yapılması gerekliliği de belirtilmelidir.

            Ayrıca ifade edilmesi gerekir ki Veri Koruma Hukuku, gelişmekte olan teknoloji karşısında korunması çok mühim olan bir hak alanı meydana getirmiştir. İş hayatı bu açıdan kritik mahiyettedir. Bu korumanın sağlanması şüphesiz veri işleme sürecinin hukuka uygunluğunun denetimini de gerekli kılmaktadır. Veri işleme sürecindeki aktörlerin doğru bir şekilde saptanması hem bu denetimin gereği gibi yapılmasını sağlayacak, hem de olası hak ihlallerine karşı daha kuvvetli bir koruma sağlayacaktır.

Av. Mustafa Fahri Kuvan

Dipnotlar

[i] Anayasa 90. maddenin yorum ve uygulamasına ilişkin olarak: Olgun Akbulut, “Güncel Tartışmalar Işığında İnsan Hakları Sözleşmelerinin Türkiye Anayasal Sisteminde Normlar Hiyerarşisindeki Yeri”, Bahçeşehir Üniversitesi Hukuk Fakültesi Dergisi, S: 9/115-116 , Mart-Nisan 2014, sf: 7-45.

[ii] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

[iii] General Data Protection Regulation https://eur-lex.europa.eu/eli/reg/2016/679/oj

[iv] Manav, A. Eda, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Gazi Üniversitesi Hukuk Fakültesi Dergisi, C. XIX, 2015, S.2, s.106

[v] Akgül, A.(2004). Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması. Küzeci, E.(2019). Kişisel Verilerin Korunması. Ankara: Turhan Kitapevi.

[vi]https://verbis.kvkk.gov.tr/#:~:text=VERBİS%2DVeri%20Sorumluları%20Sicil%20Bilgi,Bilgi%20Sistemine%20(VERBİS)%20hoşgeldiniz.

[vii]Şimşek, Oğuz (2008). Anayasa Hukukunda Kişisel Verilerin Korunması

[viii] https://www.kvkk.gov.tr/Icerik/5424/2018-142 [Erişim Tarihi = 03/12/2023]

[ix] Kaya C. Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi, İÜHFM, C. LXIX (1-2) S. 317- 334 https://dergipark.org.tr/tr/pub/iuhfm/issue/9185/115031

[x] https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm

[xi] KVKK Madde 11 = İşçinin (İlgili Kişi) veri işleme faaliyeti kapsamında veri sorumlusuna(işveren) başvuruda bulunarak ifade edilen hususlarda bilgi talep etme hakkı bulunmaktadır: Verilerinin işlenip işlenmediğini öğrenmek, işlenen verilerine ilişkin bilgi talep etmek, verilerin işlenme amacını ve buna uygun hareket edilip edilmediğini öğrenmek, verilerin aktarıldığı üçüncü kişileri öğrenmek, verilerin düzeltilmesi veya silinmesi halinde bu durumun verilerin aktarıldığı üçüncü kişilere de bildirilmesini istemek, veri işleme faaliyeti işçi aleyhine bir sonuç meydana getiriyorsa buna itiraz etmek ve işçi zarara uğradıysa bu zararın giderilmesini talep etmek hakkına sahiptir.

[xii] İşçi ve işveren arasındaki bağımlılık, 4857 Sayılı İş Kanununun 8. Maddesinde ifade edilmiştir. Kanun hükmü uyarınca, “İş sözleşmesi, bir tarafın(işçi) bağımlı olarak iş görmeyi, diğer tarafın (işveren) da ücret ödemeyi üstlenmesinden doğan bir sözleşmedir.” Bu bağlamda işçinin hem maddi hem de hukuki açıdan işverene bağlı olduğu görülmektedir.

[xiii] https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

[xiv] https://www.kvkk.gov.tr/Icerik/6913/2020-404 [Erişim Tarihi = 05/12/2023]

Share
go top