Teknolojinin ilerlemesi ve bilgi akışının kolaylaşması ile birlikte, kimliği belirli veya belirlenebilen bir kişiye ilişkin her türlü bilgi olarak ifade edilen ve kişilik hakkı niteliğinde olan kişisel verilerin korunması gittikçe daha çok önem kazanmaktadır. Nitekim kişisel verilerin işlenmesinin önüne geçilemez ve kötüye kullanılmaya müsait bir niteliğe bürünmesi, kişisel verileri işleyen kişiler ile veri sahipleri arasındaki menfaat dengesini bozarak veri sahiplerinin maddi ve manevi açıdan zarar görmesine sebep olduğundan, işlemenin yasal düzenlemeler ve işlevsel yöntemlerle hukuka uygun olmasının sağlanmasını gerektirmektedir. Bu kapsamda kişisel verilerin korunması meselesi, Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bağlamında Bireylerin Korunmasına İlişkin 24 Ekim 1995 Tarihli ve 95/46/EC Sayılı Avrupa Parlamentosu ve Konseyi Yönergesi (“Yönerge”), Avrupa İnsan Hakları Sözleşmesi, Avrupa Birliği Temel Haklar Şartı, Uluslararası Çalışma Örgütü’nün İşçilerin Kişisel Verilerinin Korunması Hakkında Uygulama Kodu, Ekonomik İşbirliği ve Kalkınma Örgütü (OECD)’nün Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeleri, Avrupa Konseyi Tavsiye Kararları, Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşmesi ve Birleşmiş Milletler Genel Kurulu İlkeleri gibi birçok uluslararası ve ayrıca ulusal düzenlemeye konu edilmiştir.
Kişisel verilerin işlenmesi hayatın her alanında olduğu gibi, iş ilişkisinde de sıkça rastlanan bir olgu haline gelmiş olup, iş ilişkisi kişisel verilerin ihlalinin en çok meydana geldiği alanlardan birini oluşturmaktadır. Zira işverene hem hukuki, hem de ekonomik açıdan bağımlılık unsurunun ağır bastığı, kendine özgü niteliklere sahip ve işçinin korunmasının esas olduğu iş ilişkisinde işçinin, kişisel verilerinin işveren tarafından hukuka aykırı şekilde işlenmesine karşı da korunması gerektiği açıktır. Bu bağlamda işçinin kişisel verileri ile işverenin yönetim hakkı, eşit davranma yükümlülüğü ve koruma ve gözetme yükümlülüğü arasında iş ilişkisi boyunca sürekli bir etkileşim söz konusu olup işverenin yönetim hakkını, işçinin kişilik hakkı içinde yer alan kişisel verilerini hukuka aykırı olarak işlemek için kullanamaz. Dolayısıyla iş ilişkisindeki bağımlılık unsuru işçiye ait kişisel verilerin işveren tarafından hukuka aykırı şekilde işlenmesini meşru kılamayacağı gibi, işverenin iş sözleşmesindeki güçlü ve üstün konumunu işçinin kişisel verilerini adil olmayan ve keyfi yöntemlerle işlemek için bir araç olarak kullanması da kabul edilemez. Kaldı ki pek çok işçinin, kişisel verileri ve kişisel verilerinin işlenmesi hakkında genellikle yeterince bilinçli ol(a)maması ve kişisel verilerinin ihlaline karşı başvurabileceği koruma yollarından da haberdar ol(durul)maması, kişisel verilerin iş ilişkisi içindeki yerini ve önemini daha fazla vurguladığı gibi, işçilerin bu konuda kapsamlı olarak bilgilendirilmesi ve bilinçlendirilmesi gerekliliğini de fazlasıyla ortaya koymaktadır.
Bu itibarla Yönerge, Avrupa Birliği üyesi ülkelerin sınırlarını da aşan büyük bir etki meydana getirmiş olup, Avrupa İnsan Hakları Sözleşmesi, Avrupa Birliği Temel Haklar Şartı ve İşçilerin Kişisel Verilerinin Korunması Hakkında Uygulama Kodu ile birlikte işçinin kişisel verilerinin korunması açısından da uluslararası alandaki önemli düzenlemelerden birini oluşturmaktadır. İş ilişkisinin kendine özgü nitelikleri işçiye ilişkin kişisel verilerin işveren tarafından hukuka aykırı şekilde işlenmesine daha sık yol açabildiğinden, işverenin yalnızca 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, İş Kanunu, Türk Borçlar Kanunu, Türk Medeni Kanunu, Türk Ceza Kanunu çerçevesinde değil, esas itibarıyla Anayasa m.90/5 uyarınca Yönerge başta olmak üzere uluslararası alanda kabul gören veri koruma hukukuna ilişkin sözleşmelere, düzenlemelere ve temel ilkelere uygun hareket etmesi gerekmektedir. Bu kapsamda işveren işçinin veriye ulaşım, veriyi düzeltme ve itiraz haklarını ihlal edemeyeceği gibi, kişisel verilerini işlemeden önce işçiyi doğru ve kapsamlı olarak bilgilendirme yükümlülüğünü de yerine getirmelidir.
Öte yandan büyük önem arz eden bir husus olarak rıza beyanı, kişinin kendisine ait verilerin işlenmesi hususunda önceden bilgilendirilmiş olarak hiçbir baskı altında kalmaksızın belirli bir veri işlemesini kabul ettiğini gösteren her türlü irade açıklaması olarak kabul edilmekte olup, işçiye ait kişisel verilerin hukuka uygun olarak işlenmesi, işçinin kuşkuya yer bırakmayacak şekilde kesin ve net olarak rıza göstermesine bağlıdır. Fakat bilindiği üzere işçiler için rıza göstermeme ya da rızanın geri alınması çoğunlukla işlerini kaybetmelerine yol açtığından ve işi kaybetme korkusuyla verilen rızanın ise işçinin özgür iradesinden kaynaklanmadığı açık olduğundan, rızasının geçerliliği belirlenirken, işçinin rıza göstermemesi veya rızasını geri alması halinde hiçbir olumsuz sonuçla karşılaşmayacağının tespit edilmesi gerekmektedir. Ne var ki özgür iradenin kolaylıkla belirlenemeyeceği durumlar göz önünde tutularak, işçinin kişisel verilerinin işlenmesi için rızadan önce diğer hukuka uygunluk nedenlerinin araştırılması ve rızaya ancak diğer hukuka uygunluk nedenlerinden hiçbiri bulunmadığında başvurulması daha uygun olacaktır.
Bu bağlamda işçinin kişisel verilerinin işlenmesi, kişisel verilerin toplanmasından başlayan ve kişisel verilerle ilişkili olabilecek sürecin tamamını içeren, otomatik olan ya da olmayan yollarla gerçekleştirilen her türlü işlem veya işlem grubunu ifade etmekte olup, hukuka aykırı işleme ilk olarak işe alımda ve iş sözleşmesinin devamında aday ve/veya işçi hakkında bilgi toplanması sırasında gerçekleşebilmektedir. Dolayısıyla iş ilişkisinde kişisel verilerin korunması bakımından işçi ile aday arasında hiçbir fark yoktur. Bu itibarla işveren, aday veya işçi hakkında bilgi edinmek için yönelteceği soruların sınırlarına dikkat etmelidir. Zira işverenin adaya veya işçiye yönelteceği kişisel duruma, sağlık durumuna ve hamileliğe, eski hükümlülüğe ve dini ya da felsefi inanca, parti ve sendika üyeliğine ilişkin soruların işin niteliğiyle bağdaşması ve görülecek işle objektif olarak ilişkili olması gerekmektedir. Aksi takdirde işçinin gerçeği söyleme yükümlülüğü ortadan kalkacak ve işverenin sorumluluğu doğacaktır. Kaldı ki işçi, işin ifasını imkânsızlaştıran veya önemli ölçüde engelleyen haller dışında kendiliğinden açıklama yükümlülüğü altında da değildir. Dolayısıyla işveren gerek kendisi, gerekse üçüncü kişiler aracılığıyla soru sorarak aday veya işçi hakkında bilgi edinirken adayın ya da işçinin kişisel verilerini ihlal edemez. Ayrıca işveren ölçülülük, gereklilik, amacın belirliliği ve haklı bir nedenin varlığı olmadan adaya veya işçiye alkol ve uyuşturucu testi, HIV/AIDS testi, genetik test ya da psikolojik test uygulayamaz. Söz konusu testler hakkında adayın ve işçinin önceden mutlaka bilgilendirilmesi gerektiği gibi, işverenin yalnızca bu testlere dayanarak iş ilişkisini sona erdirmesi de hukuka aykırıdır.
Öte yandan işveren akıllı veya manyetik kimlik kartı, parmak izi veya retina taraması gibi sistemler kullanarak yapacağı giriş-çıkış kontrolleri sonucunda elde ettiği işçiye ait kişisel verileri de hukuka aykırı şekilde işleyemez. Kaldı ki işyerinde işverenin mülkiyetinde olan oda, çekmece ve dolap gibi yerlerde işçiye ait eşyaların aranması da işçinin kişisel verilerinin ihlal edilmesine yol açacaktır. Son olarak işveren yönetim hakkı gereğince işyerinde işçinin iş amaçlı tahsis edilmiş bilgisayar, internet ve e-posta gibi elektronik araçları kullanımını kişilik haklarını zedelemeden serbestçe düzenleyebilme hakkına sahip olsa da, işverenin işçinin bahsi geçen kullanımını denetlemesinde birtakım sınırlar mevcuttur. Bu bağlamda işverenin denetim hakkının temelini orantılılık ilkesi oluşturmakta olup, işverenin denetim öncesinde işçiye amaç, şekil ve uygulama hakkında bilgi vermesi, denetimin şeffaf, hukuka uygun ve belirli bir amaç doğrultusunda yapılması şarttır. Söz konusu sınırların tamamı işçinin iş amaçlı tahsis edilen sabit telefon, cep telefonu vb. araçlar ile iletişiminin izlenmesi ve görsel olarak gözetlenmesi bakımından da geçerlidir.
Bu doğrultuda hukukumuzda işçinin kişisel verilerinin korunması, 13 Eylül 1995 tarihinde kurulan ilk komisyondan bu yana kişisel verilerin korunmasına yönelik kanun tasarısının hazırlanmasına ilişkin devam eden sürecin sonunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 07.04.2016 tarihinde yürürlüğe girmesi ile farklı bir boyut kazanmıştır. Zira Kanun, 2. maddesi gereğince işçilere ilişkin kişisel verileri de kapsamına almaktadır. Ne var ki kâğıt üzerinde uluslararası düzenlemeler dikkate alınarak hazırlandığı ve amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak olduğu yansıtılmaya çalışılsa da, Kanun’un uygulamada hak ve özgürlükleri daha da kısıtlamaktan öteye geçmesi mümkün görünmemektedir.
Nitekim öncelikle Kanun’un 3. maddesinde açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade ettiği belirtilmiş olmasına rağmen, yukarıda değinildiği gibi uygulamada özellikle iş ilişkisinde rızanın özgür iradeye dayanması ve geçerliliği oldukça tartışmalı olduğundan, işçinin kişisel verilerinin işlenmesinin 5. maddede yer aldığı üzere açık rızaya bağlı olması tek başına hukuka uygunluğu sağlamadığı gibi, işçinin kişisel verilerinin korunmasının hiçbir şekilde garantisini de oluşturmamaktadır. Aksine yine aynı maddede öngörülen çok sayıda istisna ile açık rıza, bir kural ve güvence olmaktan tamamen çıkarıldığı gibi, işçinin rızasının uluslararası düzenlemelerde ve öğretide kabul edildiği üzere son çare olarak başvurulması gereken bir hukuka uygunluk nedeni niteliği kazanmaya daha elverişli olduğu da bir kez daha ortaya çıkmıştır. Aynı şekilde 6. maddede de özel nitelikli (hassas) kişisel verilerin1 açık rıza olmaksızın işlenemeyeceği belirtilmiş olmakla birlikte, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâller gibi oldukça geniş kapsamlı hallerde işçinin açık rızası aranmaksızın işlenebileceği gibi, sağlık ve cinsel hayata ilişkin kişisel veriler için açık rıza aranmaksızın işlenebilecek hallere de yer verilmiştir. Kaldı ki özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiş gibi görünse de, bahsi geçen “yeterli önlemler” son derece soyut ve belirsiz bir ifade olduğu gibi, beş üyesi TBMM2, iki üyesi Cumhurbaşkanı ve iki üyesi Bakanlar Kurulu tarafından seçilen ve bütçe tahsis edilene kadar giderleri Başbakanlık bütçesinden karşılanan, hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanan ve hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri de Başbakanlık tarafından yerine getirilen Kişisel Verileri Koruma Kurumu’nun karar organı olan Kurul’un gerek idari, gerekse mali hiçbir bağımsızlığı ve tarafsızlığı olmadığı aşikârdır. Kurul’un işbu yapısı, kişisel verilerin korunmasına yönelik oluşturulacak denetim mekanizmasını da işlevsiz kılarak uluslararası düzenlemeleri açıkça ihlal etmektedir.
Öte yandan kişisel verilerin yurt içinde ve yurt dışına aktarılması hallerinde de çeşitli istisnalar yer aldığı gibi, 28. maddede istisnalar (!) başlığı altında düzenlenen birçok geniş kapsamlı ve kötüye kullanılmaya oldukça açık hallerde ise, Kanun hiç uygulanmayacaktır. Böylelikle Kanun’daki kişisel verilerin korunmasına yönelik birtakım genel ilkeler ile işverenin aydınlatma yükümlülüğü ve işçinin haklarına ilişkin düzenlemeler, Kanun’un tamamı ve kanun koyucunun kişisel verilerin korunmasına yönelik bakış açısı dikkate alındığında işçinin kişisel verilerinin korunması açısından herhangi bir ilerleme vaat etmemektedir. Kaldı ki Anayasa, Türk Medeni Kanunu, Türk Borçlar Kanunu, Türk Ceza Kanunu ve İş Kanunu’nda yer alan birtakım hükümler ve hukuki koruma yolları da işçinin kişisel verilerinin yeterince kapsamlı ve etkin şekilde korunmasını sağlayamamaktadır. Bu doğrultuda kanımca yapılması gereken; uluslararası sözleşmeler ve düzenlemeler, Uluslararası Çalışma Örgütü gibi kuruluşların çalışmaları ve Avrupa İnsan Hakları Mahkemesi’nin kararları göz önünde tutularak öncelikle hukukçular olarak hem akademisyenlerin, hem de avukatların ve hâkimlerin gerekli bilgi birikimini edinmesi, akabinde ise etkin bilgi, yöntem ve uygulamaların biran önce işçilere ulaştırılması ve iş ilişkisi boyunca gerekli desteğin sağlanması için elimizden gelen tüm emek ve gayretin gösterilmesi olmalıdır.