Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu kapsamda kişisel veri tanımına, herhangi bir sınırlamaya tabi olmaksızın; ad, soyad, doğum tarihi, doğum yeri, kimlik numarası vb. veriler girebilecektir. Öte yandan, KVKK uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri de özel nitelikli kişisel veri olarak addedilmektedir.

KVKK uyarınca, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem ise işleme olarak addedilecektir.

Görüldüğü üzere kişisel veri üzerindeki hemen her türlü kullanım ya da tasarruf, işleme olarak tanımlanmaktadır. Kaideten, kişisel verilerin işlenmesi için veri sahibi ilgili gerçek kişinin açık rızasının alınması gerekmektedir. Ne var ki, söz konusu kaidenin istisnası olarak; KVKK kapsamında belirtilen yasal işleme şartlarının (istisnaların) en azından birinin mevcut olması halinde kişisel veriler, ilgili kişinin açık rızası alınmaksızın da işlenebilecektir.
Kişisel verilerin işleme amaçlarını, vasıtalarını belirleyen ve ayrıca veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi “veri sorumlusu” olarak kabul edilmektedir. İşte bu doğrultuda işveren de, kişisel verilerin korunması mevzuatı kapsamında çalışanlarına ait kişisel verilerin işlenmesi açısından veri sorumlusu olarak değerlendirilecektir. Dolayısıyla işveren, çalışanlarının kişisel verilerini yasanın izin verdiği ölçüde işleyebilmenin yanı sıra, bu verilerin yeterli derecede korunmasına ilişkin hükümlere de riayet etmekle yükümlü olacaktır. Bu bağlamda, KVKK yanında 6098 sayılı Türk Borçlar Kanunu (“TBK”), 4857 sayılı Türk İş Kanunu (“İş K.”) ile 5237 sayılı Türk Ceza Kanunu’nun (“TCK”) kişisel verilerin hukuka aykırı işlenmesine dair hükümleri de tatbik alanı bulacaktır. Dolayısıyla işverenin, hizmet akdinden kaynaklanan yükümlülüklerini düzenleyen hükümler açısından KVKK’ya ilaveten TBK’nın hizmet sözleşmelerini düzenleyen hükümleri ile İş K.’nun ilgili hükümlerine tabi olacağı açıktır.
İş K. 75’inci maddesi uyarınca işveren, çalıştırdığı her bir çalışan için özlük dosyası oluşturmakla mükellef olduğu gibi, bu dosyada çalışanın kimlik bilgilerini, İş K. ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları gerektiğinde ilgili merci ve yetkililere ibrazla yükümlüdür. İlaveten işveren, çalışan hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında çalışanın haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür. Bunlara ek olarak, TBK’nın 419’uncu maddesi uyarınca, işveren, çalışanlarına ait kişisel verileri, çalışanın ilgili işe yatkınlığı ile ilgili olduğu cihette veya “hizmet sözleşmesinin ifası” için zorunlu olduğu ölçüde işleyebilecektir.

TBK’nın 419’uncu maddesinde yer alan “hizmet sözleşmesinin ifası” ifadesi, işverenin talimat verme hakkını da kapsamaktadır. Bu çerçevede TBK, çalışanların birtakım yükümlülüklerini iş sözleşmesinin ifası anlamında ortaya koymaktadır: TBK’nın 399.maddesi, çalışanların, işverenin vermiş olduğu belirli talimatlara, işin görülmesi ve işyerindeki davranışları ile ilgili genel düzenlemelere uymaları gerektiği hususlarını hüküm altına almaktadır. Mezkûr talimata uyma borcu ile işverenin genel düzenlemeler yapabilme hakkı, “işverenin talimat verme/denetleme hakkı” olarak da telakki edilebilecektir. İşverenin söz konusu talimat ve denetleme hakkının, iş ilişkisinin sürdürülebilmesi ve işverenin meşru menfaatlerinin korunması için gerekli olduğu ölçüde geçerli olacağı tabiidir. Keza, TBK’nın 396’ıncı maddesi de çalışanın görmekte olduğu işi veya hizmeti özenle ifa etmesi ve işverenin haklı menfaatinin korunmasında sadakatle davranması zorunluluğunu düzenlemektedir.

Yukarıda anılan yasal çerçeve ve dahi “hizmet akdinin ifası” ifadesinin kapsamına ilişkin yapılan açıklamalar ışığında, işveren tarafından çalışanın kişisel verisine mezkûr kapsamdaki bir erişim ve/veya işleme kural olarak, KVKK’da belirtilen yasal işleme şartlarının kapsamına girebilecektir. Nitekim KVKK madde 5/2-(c) hükmü uyarınca “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hâlinde açık rıza alınmaksızın kişisel verilerin işlenmesine cevaz verilmektedir. İşte söz konusu hükümde yer alan sözleşme bu bağlamda hizmet sözleşmesi olarak değerlendirilebilecektir. Keza yukarıda yer verilen çalışan ve işveren yükümlülüklerinin de sözleşmenin ifasıyla doğrudan doğruya ilgili olduğu mütalaa edilebilecektir.

İşyerinde veya işletmede makul ve yakın bir dolandırıcılık veya suistimal emarelerinin varlığı hâlinde, işveren meşru menfaatlerini korumak maksadıyla belirli adımlar atabilmelidir.

Bu da sonuç olarak, işveren tarafından çalışanların kullanımı için temin edilmiş bilgisayarlara, iletişim sistemlerine, cep telefonlarına ve diğer bilgi teknolojisi araçlarına erişime sebebiyet verebilecek bir soruşturmaya yol açabilecektir. Böylesine bir müdahalenin, ölçülü bir şekilde, keyfiyetten uzak ve tutarlılıkla olası ve yakın riskleri ortadan kaldırmak amacıyla uygulandığında, hizmet sözleşmesinin ifası ve dolayısıyla işverenin izleme ve talimat verme hakkının bir parçası olarak mütalaa edilebileceği kanaati hâsıl olmaktadır. Yargıtay’ın vermiş olduğu önemli bir kararda,[1] görevi gereği işverenin işlerini yürütmesi için işverence çalışana sağlanan ve mülkiyeti de işverene ait olan bilgisayar ve e-mail adresleri ile bu adreslere gelen e-postaların, işveren tarafından her zaman denetleme yetkisinin bulunduğu ifade edilmektedir. Yargıtay’ın, söz konusu kararı ile bilgisayarların ve/veya faaliyetin yürütülmesi için gerekli sair teknolojik cihazların işverene ait olduğu durumlarda, bu cihazlarda yapılacak denetlemelerde, ölçülülük, tutarlılık ve makul amaç gibi ilkelerin gözetilmesi kaydıyla çalışanların ayrıca bu yönde muvafakatlerinin alınmasının gerekli olmadığını ifade ettiği mütalaa edilebilecektir.

Öte yandan, yakın bir suistimal tehdidinin varlığı halinde işveren tarafından icra edilecek olası bir soruşturmada, çalışana ait kişisel verilerin işlenmesi işveren açısından meşru bir menfaat olarak da değerlendirilebilecektir. Bilindiği üzere TBK’nın 63’üncü maddesi uyarınca bir fiil, üstün nitelikte bir menfaatin varlığı halinde hukuka aykırı ve haksız fiil sayılmayabilecektir. Keza, KVKK madde 5/2-(f) hükmü uyarınca, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hâlinde kişisel veri ilgili kişinin açık rızası olmadan işlenebilecektir.

İşveren tarafından sağlanan iletişim cihazlarının (bilgisayar, cep telefonları vb.) kullanım amaçlarına ilişkin olarak, işletmenin ticari gerekliliklerine ve disiplin anlayışına göre tayin edilecek işyeri kurallarının belirlenerek çalışanların önceden bu hususlarda açık ve anlaşılır bir şekilde aydınlatılarak bilgilendirilmeleri ve uyarılmaları yerinde olacaktır. Keza, bahse konu cihazların[2] kullanımına ilişkin usul ve esasları belirleyen, çalışanların temel hak ve özgürlükleri de gözetilerek tanzim edilecek politika ve yönetmelik benzeri işyeri düzenlemelerinin hayata geçirilmesi de mümkündür. Söz konusu düzenleme, kişisel verilerin, çalışanın iş akdi kapsamında ifa etmiş olduğu işi ile bağdaşmayacak şekilde ilgili cihazlarda tutulmaması kuralı ile işyerinin ve işletmenin denetlenmesi amacıyla işverenin her zaman söz konusu cihazları takip etme hakkı olduğu hususlarında çalışanlar gereği gibi aydınlatılmalıdır. Zira Anayasa Mahkemesi de 2013/4825 numaralı başvuruya ilişkin vermiş olduğu 24.03.2016 tarihli kararında, çalışanın kurumsal bilgisayar ve e-posta adresini kişisel amaçla ve işyeri düzenlemelerine aykırı olarak kullanıp kullanmadığını doğrulamak amacıyla işveren tarafından yapılacak bir araştırmanın meşruiyetini vurgulamaktadır. Bu kapsamda ayrıca, iş akitlerine ek yapılmak suretiyle çalışanların yazılı olarak açık rızalarının alınması da söz konusu olabilecektir.

Her halükarda, işveren tarafından gerçekleştirilecek bu kabil bir soruşturma ve/veya inceleme neticesinde çalışanlara ait kişisel verilerin işlenmesi halinde, söz konusu işleme ile varılmak istenen amaç dikkatle tayin edilmelidir.

Unutulmamalıdır ki işverenin asli borçlarından birisi de işçinin kişiliğinin korunması borcudur.

İşveren, hizmet ilişkisinde çalışanlarının kişiliğini korumak, saygı göstermek ve işyerinde dürüstlük ilkelerine uygun bir düzeni sağlamakla işçilerin psikolojik tacize uğramamaları için gerekli önlemleri almakla yükümlüdür. Özen yükümlülüğü ile dürüstlük ilkelerine uygun bir surette hareket etmesi gereken işveren, bahse konu soruşturma kapsamında elde ettiği kişisel verileri amaçlanan hedef için gerekli süre kadar muhafaza etmeli ve söz konusu sürenin sona ermesinden sonra bu verileri silmeli ve/veya imha etmelidir. Aksi bir halin, çalışanın kişilik haklarının ihlali ile neticelenmesi durumunda buna bağlı zararların tazmini talebi ile karşılaşılabileceği tabiidir.

17 Ocak 2017, Maslak

[1] T.C. Yargıtay, 9. Hukuk Dairesi, Esas No:2009/447, Karar No:2010/37516, Karar Tarihi: 13.12.2010
[2] İşveren tarafından sağlanan cihazlardan gönderilen ve alınan SMS ve e-postalar gibi maddi olmayan iletişim araçları da bu kapsamda değerlendirilebilecektir.