Kişisel verilerin korunması ile iş hukukunun ilişkisi incelendiğinde, bir tarafta işverenin işe uygun nitelikte personeli istihdam etme etmek için iş başvurularında uygun personeli seçme gayreti, alacağı personelin eğitimine, geçmişte çalıştığı işyerlerine ve yaptığı işlere, sağlık sorunlarına ve adli safahatına ihtiyaç duyması,  diğer taraftan iş güvenliği ve işte verimi artırmak için  çalışma alanlarının kamera ile gözetlenmesi, giriş ve çıkışlarda alınan tedbirler, bilgisayarlarda tutulan kayıtlar,  diğer taraftan işçinin işverene karşı bağımlılığı sebebiyle kendisinden işveren tarafından talep edilecek kişisel verilere hayır diyememesi, veri sorumlusu olarak kabul edilecek işveren adına hareket eden çalışanların kişisel veriler konusunda eğitilmesi ve güvenliği sağlayacak sistemin kurulmasının zorunlu olması  konunun önemini artırmaktadır. İş kanununa bakıldığında konuya ilişkin detaylı düzenlemelerin iş Kanununda   mevcut olmadığı da bir gerçektir.  

            İşçilerin kimlik, adres ve meslek bilgileri, evli olup olmadıkları, doğum tarihi ve yeri, vatandaşlık durumu, sabıka kaydı, sağlık ve hastalıklarıyla ilgili bilgiler, siyasi veya sendikal faaliyetleri, e-postada yapılan yazışmaları, din, ırk, etnik köken ve cinsel tercihleriyle ilgili bilgiler kişisel veriler kapsamındadır^[1]. İşverenler tarafından kanunda öngörülen yükümlülüklerin yerine getirilmesi, işçi eğitimi, iş sağlığı ve güvenliği, müşteri ilişkilerini kontrol, terfilerde kullanmak gibi amaçlarla işçilerine ait kişisel veriler işlenmekte, kullanılmakta, bazı durumlarda ise üçüncü kişilerle paylaşılmaktadır^[2].

            İş Kanununun 8. Maddesinde iş sözleşmesinin içeriğine ve şekline yönelik  bir düzenleme mevcuttur. Madde kapsamında   iş sözleşmesi, Kanunda aksi belirtilmedikçe, özel bir şekle tabi değildir. Süresi bir yıl ve daha fazla olan iş sözleşmelerinin yazılı şekilde yapılması zorunludur. Sözleşmenin yazılı olarak yapılacağı hallerde sözleşmenin tarafları,  kapsamı ücret vb. esaslı unsurlarının kayda geçmesi ve bu durumda kişisel verilerin paylaşılması gerektiği anlaşılmaktadır. KVK Kanunun 5/2  (c) fıkrasında “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” durumunda rıza aranmaksızın kişisel verilerin işlenebileceği düzenlenmiştir.

            İş Kanunun  “İşçi özlük dosyası”  başlıklı 75. maddesinde ise işverenin çalıştırdığı her işçi için bir özlük dosyası düzenleyeceği, işverenin bu dosyada, işçinin kimlik bilgilerinin yanında, iş kanunu ve diğer kanunlar  uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, işverenin, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlü olduğu düzenlenmiştir. İş kanunu 75. madde ile işverene işçinin kimlik bilgilerini bir dosyada saklama yükümlülüğü getirmektedir.

            İş Kanununun “İşverenin haklı nedenle derhal fesih hakkı” başlıklı 25’inci maddesinde,  işçinin tutulduğu hastalığın tedavi edilemeyecek nitelikte olduğu ve işyerinde çalışmasında sakınca bulunduğunun Sağlık Kurulunca saptanması durumunda veya  işçinin kendi kastından veya derli toplu olmayan yaşayışından yahut içkiye düşkünlüğünden doğacak bir hastalığı veya engelli duruma düşmesi  nedeniyle oluşan devamsızlığında işverenin sözleşmeyi haklı nedenle derhal feshedebileceği göz önüne alındığında,   işverenin  işçinin sağlık verilerine bu amaca yönelik olarak ulaşma hakkı  olduğu görülmektedir.  Aynı madde metninde  iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek, yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işçinin işvereni yanıltması durumunda da  işverenin derhal haklı nedenle fesih hakkı olduğu dikkate alındığında, bu kapsamda işverenin işe almadan önce işçi ile yapacağı görüşmelerde sözleşmenin esaslı konularına yönelik bilgi alması ve eğitim durumu diploma, daha önce çalıştığı yerler, lisansları  vb. konularda  kişisel verileri talep edebileceği anlaşılmaktadır.

            6098 sayılı TBK’nun 419. maddesinde “ İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.” düzenlemesi mevcuttur. Kanunda mevcut düzenleme  KVK Kanunu 4/2(ç) de düzenlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleneceklerine dair ilkeyle uyumludur. TBK’nun 419. maddesi gereğince işveren  çalışanlarına ait kişisel verileri, “hizmet sözleşmesinin ifası”  için zorunlu olduğu ölçüde ve çalışanın ilgili işe yatkınlığı ile ilgili olduğu oranda işleyebilecektir. Bu bağlamda işveren tarafından işçilerin kişisel verilerini işlemesiyle ilgili olarak 6698 sayılı Kanun’un 5/2-(c) maddesinde yer alan bir sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan sözleşmenin taraflarına ait kişisel veriler açık rıza gerekmeksizin işlenebilir.  Ayrıca bir suiistimal  şüphesinin  varlığı hainde işveren tarafından yapılacak bir soruşturmada  çalışanlarla ilgili kişisel verilerin işlenmesinin işveren bakımından meşru bir menfaat olarak değerlendirilmesi de mümkündür.  Zira 6098 sayılı TBK’nun 63. maddesinde  bir fiilin,  üstün nitelikli bir menfaatin varlığı hâlinde hukuka aykırı ve haksız fiil sayılmayabileceği düzenlenmekte olup, 6698 sayılı Kanun’un 5/2-(f) maddesinde yer alan düzenleme gereğince veri sorumlusunun meşru menfaatleri için veri işleme zorunlu ise açık rıza gerekmeksizin kişisel verilerin işlenmesi mümkündür.  Ancak bu hâlde kişilerin temel hak ve  özgürlüklerine  zarar verilmemesi gerekir^[3]. 6098 sayılı Türk Borçlar Kanunu’nun 417. maddesine göre ise işveren, hizmet ilişkisinde işçinin kişiliğini korumak ve saygı göstermek ve işyerinde dürüstlük ilkelerine uygun bir düzeni sağlamakla yükümlüdür.

            Anayasa Mahkemesi 2013/4825 sayılı  bireysel başvuruda özel bir şirket bünyesinde çalışan başvurucuların mahremiyete ilişkin yazışmalar içeren kurumsal e-posta hesaplarının işveren tarafından incelenmesi ve bu yazışmaların işe iade davasında delil olarak kullanılması nedenleriyle özel hayata saygı ve haberleşmenin gizliliği haklarının ihlal edildiği iddialarına ilişkin kararında “ Yargılamaya konu dava dosyalarından, başvurucuların karşılıklı olarak gerçekleştirdikleri yazışmaların dava dışı üçüncü kişi tarafından davalı Şirketin yetkili kişi ya da organlarının bilgisine sunulduğu, bundan sonra kurumsal e-posta hesapları üzerinden işveren tarafından inceleme yapıldığı, elde edilen yazışmalarda yer alan unsurların iş sözleşmelerine aykırı olduğundan yola çıkılarak farklı gerekçelerin de eklenmesiyle sözleşmelerin feshedildiği, ………Başvurucular ve işveren tarafından imzalanan iş sözleşmelerinde yer alan hükümler gereğince başvurucuların iş yerinde uyulması gereken kurallara ilişkin yürürlükte olan İç Tüzük’ü, Temel Yönetmelik’i, oryantasyon kitapçığını, Seyahat Yönetmeliği’ni, talimatları ve prosedürleri ilgili sözleşmelerin ayrılmaz eki ve parçası olarak kabul ettikleri ve tüm bu düzenlemelere uymakla kendilerini yükümlü kıldıkları görülmektedir.  ……..Özellikle Bilgi Güvenliği Taahhütnamesi’yle başvurucuların, Şirket tarafından kendilerine iş için tahsis edilmiş olan bilgisayar, e-posta, internet kullanımı, telefon, iletişim programı, diğer IT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, eğlence niyetli, genel ahlaka, örf ve adetlere aykırı şekilde kullanmayacakları hususunda işverenlerine karşı taahhüt altına girdikleri; ayrıca Şirket yöneticileri tarafından başvuruculara haber verilmeksizin ve uyarıda bulunulmaksızın kullandıkları IT ve iletişim kaynaklarının her zaman takip altında tutulabileceği, yapılan yazışmaların ve iletişim kayıtlarının yedeklenebileceği, raporlanabileceği, gerekli durumlarda detaylı olarak incelenebileceği, el konulabileceği ve kullanım sınırlaması getirilebileceği hususunda da kabul beyanında bulundukları ve taahhüt  verdikleri görülmektedir.……… Ayrıca işveren, başvurucuların kurumsal e-posta hesaplarını incelemiş; bunu da ikinci başvurucunun eski eşi tarafından Şirket yönetimine sunulan e-posta yazışmaları hakkında bilgi sahibi olduktan sonra başvurucuların Şirket düzenlemelerine aykırı davranışlarının bulunduğu şeklindeki iddianın doğruluğunu teyit etme inancıyla gerçekleştirmiştir. Bu yöndeki tespit ile birlikte 4857 sayılı Kanun hükümleri ve iş sözleşmelerinde yer alan düzenlemeler dikkate alındığında kurumsal e-posta hesaplarının kişisel amaçlarla ve Temel Yönetmelik’e uygun kullanıp kullanmadığını doğrulamak amacıyla başvurucuların yazışmalarını inceleyen işverenin meşru bir amaç taşıdığı ve işveren tarafından gerçekleştirilen müdahalenin söz konusu meşru amaçla ölçülü olduğu, bu hususların Derece Mahkemelerince verilen kararların gerekçelerinde dikkate alındığı kanaatine ulaşılmıştır……..Derece Mahkemelerince ilgili ve yeterli gerekçeler oluşturularak anayasal güvencelerin korunması açısından pozitif yükümlülüklerin yerine getirildiği ve yargılama süreçlerde gerçekleştirilen işlemlerde yazışmaların içeriklerinin alenileştirilmediği anlaşıldığından başvurucuların Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı ile Anayasa’nın 22. maddesinde güvence altına alınan haberleşmenin gizliliği hakkının ihlal edilmediğine karar verilmesi gerekir”^[4]. şeklinde karar vermiştir.

             İşyerine konulacak kameralar aracılığı ile işyerinin ve işçilerin görüntülerinin sürekli kaydedilmesi durumunda  bahse konu görüntüler gerekçe gösterilerek yapılan sözleşmenin feshi işleminde yargya taşınan kişisel veriler konusuna ilişkin Yargıtay 22. Hukuk Dairesi, 07.05.2019 tarihli ve 2017/21857 E., 2019/9884 K. sayılı kararında   İşverenin yönetim hakkının bir sonucu olarak işçiyi elektronik ortamda izlemesi ve takip etmesi her zaman mümkündür. Ancak bunun için işçinin bu izleme hakkında bilgilendirilmiş olması şarttır. İşçinin izlendiğine dair bilgilendirilmemesi veya gizlice izlenmesi, bu izleme neticesinde elde edilen veriler, iş sözleşmesinin işçi tarafından ihlal edildiğini açıkça ortaya koysa dahi, hukuka aykırı olarak kabul edilmelidir. Hal böyle iken, somut olayda işverence gizlice izleme neticesinde elde edilen bilgilerin haklı fesih sebebi olarak ileri sürülmesinin mümkün olmadığı kabul edilmelidir. Mahkemece feshin haklı bir sebebe dayanmadığı ve davacının ihbar tazminatına hak kazandığı sonucuna varılması gerekirken, yazılı gerekçe ile davanın reddine karar verilmesi hatalı olup, kararın bu sebeple bozulması gerekmiştir.” şeklinde karar vermiştir.

            İşçilerin biyometrik yöntemlerle ve kapalı devre televizyon sistemleri ile izlenmesi ve kişisel verilerinin kaydının tutulması da ciddi sorunlar yaratabilir. Örneğin kişinin parmak izi onu diğer bütün bireylerden ayıran benzersiz bir nitelik taşır. Bir bireyin kişiliği ile sıkı sıkıya bağlı böylesine bir bilginin kayıt altında tutulması ve üçüncü kişilere aktarılması ciddi sorunların yaşanmasına neden olabilir. Bu nedenle işe giriş-. çıkış saatleri gibi konuların kayıt altına alınması için bu ve benzeri yöntemler kullanılıyorsa uygulanacak ilkelerin belirlenmesi büyük  önem taşır. Uygulamanın hukuka uygun olarak yürütüldüğü durumlarda bile veri güvenliğine ilişkin eksiklikler işçinin kişisel verilerinin korunması hakkının zarar görmesine neden olabilir^[5].

[1] Hamdi MOLLAMAHMUTOĞLU, Muhittin ASTARLI, Ulaş BAYSAL, İş Hukuku, Turhan Kitabevi, 6.

Baskı, Ankara 2014, s. 404-405. ‘den  aktaran  YILMAZ. B, s.272,

[2] A. Eda MANAV, “İş İlişkisinde İşçinin Kişisel Verilerinin Korunması”, Gazi Üniversitesi Hukuk

Fakültesi Dergisi C. XIX, Y. 2015, Sayı 2, s.133.’den aktaran a YILMAZ. B, s.272,

[3] YILMAZ,B, s,254

[4] https://kararlarbilgibankasi.anayasa.gov.tr/BB/2013/4825?KelimeAra%5B%5D=Ömür+KARA

[5] KÜZECİ E, s.305