Kişisel verilerin Korunması Kanunu’nun (yazımızda bundan böyle KVKK olarak anılacaktır), 7 Nisan 2016 tarihinde yürürlüğe girmesinden bu yana neredeyse 5 yıl geçti. Bu süre ilk başta uygulamanın oturması için yeterli bir süre imiş gibi gelse de kanun ile getirilen kavramların nasıl yorumlanması gerektiği ve yasal uyumun nasıl sağlanacağı bugün hala tartışma konusu olmaya devam ediyor.
Esasen “kişisel veriler” Türk hukuk sisteminde ilk kez bu yasa ile yer bulmuş değil. 2010 Anayasa değişiklikleri ile, Anayasamızın kişinin temel hak ve ödevlerini düzenleyen ikinci bölümü altındaki “Özel Hayatın Gizliliği” başlıklı 20. Maddesine ayrı bir fıkra eklenerek herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu hususu anayasal teminat altına alındı. Bu noktada kişisel verilerin korunmasının, aslında özel hayatın gizliliği yönündeki kadim temel hakkın bir uzantısı olduğunu vurgulamak gerekir. Nitekim bu hak uluslararası hukukta da 1950 Avrupa İnsan Hakları Sözleşmesi’nin 8. Maddesinde düzenlenen “Özel ve Aile Hayatına Saygı Hakkı” ve 1948 Birleşmiş Milletler İnsan Hakları Bildirgesinin 12. Maddesinde düzenlenen Özel Hayatın Gizliliği Hakkı altında ele alınmaktadır.
Yukarıda değindiğimiz Anayasal düzenlemeden daha da geriye gittiğimizde, 2004 yılında yürürlüğe giren yeni Türk Ceza Kanunu’nun 135 ile 140. Maddelerinde kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi veya ele geçirilmesi fiillerini suç olarak düzenlediğini görüyoruz. Hal böyle olmakla birlikte; kişisel verinin tanımı, kapsamı hangi fiillerin hukuk aykırı kaydetme, verme, ele geçirme sayılacağı açıkça düzenlenmiş olmadığından, KVKK yürürlüğe girene kadar bu hususlar yargı kararları ile bir temele oturtulmaya çalışılmıştır. KVKK’nın yürürlüğe girmesi ile birlikte ise somut bir çerçeve çizilmiş oldu.
Türk Ceza Kanunu'nda yer verilen kaydetme, verme, ele geçirme fiilleri KVKK ile getirilen “işleme” tanımına girmektedir. Artık hepimizin bildiği gibi gerçek kişilere ilişkin her türlü bilgi, o kişi tanımlanabilir olduğu ölçüde kişisel veri olarak kabul edilmekte, bu verilere ilişkin olarak gerçekleştirilen her türlü işlem ise kişisel verilerin işlenmesi sayılmaktadır. KVKK kişisel verilerin ancak yasada sayılan şartlar var ise işlenebileceği temel prensibini benimsemektedir. Bu şartların eksikliği her türlü işlemi hukuka aykırı hale getirecektir.
Bu kapsamda Yargıtay 12. Ceza Dairesi’nin 2018/8466 E., 2019/9054 K.; 2018/8152 E., 2019/4886 K. Sayılı kararları konuya farklı bir ışık tutması bakımından dikkat çekicidir. Yüksek mahkeme söz konusu kararlarında; kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suçunun uygulama alanının amaçlanandan fazla genişletilmemesi gerektiğine, uygulamada belirsizliğin olumsuz sonuçlar doğurabileceğine işaret etikten sonra, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığını saptamak gerektiğini hatırlatıyor.
Herhangi bir kişisel veri işleme faaliyetinin hukuka uygun sayılabilmesi için KVKK, sınırlı sayıda sayılan uygunluk şartlarının yanı sıra; kişinin açık rızasının alınması, açık rıza yahut diğer işleme şartları mevcut olsa dahi herhangi bir işleme faaliyetinden önce kişinin aydınlatılması, kişisel verilerin ancak belirli bir amaç için ve bu amaç ile ölçülü ve sınırlı olacak şekilde işlenmesi, kişisel verilerin ihtiyaç duyulan süreden daha fazla tutulmaması, kişisel verilerin teknik ve idari tedbirler ile güvenliğinin sağlanması gibi bir dizi yükümlülük öngörmektedir. Böylelikle yargı mercileri önlerindeki mesele hakkında karar verirken hangi fiillerin hangi hallerde hukuka aykırı sayılacağı hususunda anılan yasal çerçeve içinde hareket etmek durumundadır.
Bu yazımızda yukarıda bahsettiğimiz hususa güzel bir örnek teşkil eden son dönemde alınmış bazı yargı kararlarını, bilhassa iş hukukuna etkileri açısından incelemeyi amaçlıyoruz.
YARGI KARARLARI IŞIĞINDA KVKK’NIN İŞ HUKUKUNA YANSIMALARI
KVKK ile oluşturulan Kişisel Verileri Koruma Kurumu’nun karar organı Kişisel Verileri Koruma Kurulu (yazımızda bundan böyle Kurul olarak anılacaktır), kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak üzere şikâyet halinde veya resen harekete geçmek suretiyle hukuka aykırılıkları tespit etmekle ve tespit ettiği hukuka aykırılıklar bakımından idari yaptırıma karar vermekle görevlendirilmiştir.
Kişisel Verileri Koruma Kurulu’nun yayınladığı 2018 yılı Faaliyet Raporuna göre sadece 2018 yılı içinde Kurula intikal eden başvuru sayısı 269’u şikâyet, 41’i ihbar olmak üzere toplam 310 adet. Söz konusu ihbar ve şikayetlerin konu bazında dağılımına bakıldığında başvuruların büyük çoğunluğunun kişisel verilerin veri sorumlusu tarafından hukuka aykırı olarak işlenmesi ve üçüncü kişilerle paylaşılması kapsamında yapıldığı görülüyor. Kurum tarafından yayımlanan kararlardan anlaşıldığı kadarıyla 2019 yılı içinde veri sorumlularına ihlal nedeniyle uygulanan toplam idari para cezası tutarı ise 8 milyon Türk Lirasına ulaşmış durumda.
Bu itibarla; “veri sorumlusu” olarak kabul edilen şirketlerin KVKK’ya uyum için ciddi hazırlıklar yürüttüğünü biliyoruz. Bilhassa işveren sıfatı ile çalışanlarının kişisel verilerini işleyen şirketler veri sorumlusu olarak istihdam, insan kaynakları yönetimi ve işçi-işveren ilişkisine ait tüm süreçlerini KVKK’ya uyumlu hale getirmekle ve yukarıda özetlemeye çalıştığımız şartları yerine getirmekle yükümlü. Aksi halde işverenleri bekleyen tek şey Kurul tarafından verilebilecek bir ihlal kararı yahut idari para cezası değil; bu kapsamdaki herhangi bir hukuka aykırılık aşağıdaki örneklerden de görülebileceği üzere, artık işçi-işveren arasında görülen davaları da önemli derecede etkiliyor.
İşverenin Çalışana Ait Kişisel Verileri Hukuka Aykırı Şekilde Elde Etmesi
İşverenin, davacı işçiye ait iş sözleşmesini feshetme gerekçesi olarak “çalışma arkadaşları ile birlikte grup oluşturarak yaptıkları watsapp yazışmalarında işyeri ve işyeri yöneticileri hakkında terbiye sınırlarını aşan hakaretamiz iftira dolu beyanlarda bulunmasının “İş Kanunu 25/II-e maddesine göre işverenin güveninin kötüye kullanılması kapsamında kaldığını iddia ettiği ve davacının feshin geçersizliğine, işe iadeye ve yasal sonuçlarına hükmedilmesine karar verilmesini istediği bir davaya ilişkin olarak Yargıtay 9. Hukuk Dairesi 2016/14203 E. , 2017/9524 K. Sayılı kararında; öncelikle WhatsApp sisteminin kendi içinde korunan ve 3. Kişilere kapalı konumda bulunan bir sistem olduğunu ve grup içi konuşmaların gizli kalmasının esas olduğunu vurgulamış, “İşçilerin bu kapsamda burada iletişimlerinin kişisel veri olarak da korunması esastır.” diyerek konuyu bambaşka bir zemine taşımıştır.
Davaya konu olayda; davacı ve diğer arkadaşlarının WhatsApp grubu içindeki yazışmaları, aynı grup içinde yer alan diğer bir işçi tarafından işverene iletilmiş, işveren bunun üzerine grupta yer alan işçilerin savunmasını alarak, davacı ve diğer işçilerin iş sözleşmelerini feshederken, ileten işçiye ise ihtar cezası vermiştir. Mahkeme genel olarak bakıldığında bu yazışmalarda çalışma koşullarının olumsuzluğu, işveren ve yöneticilerin eşit davranmama, mobbing niteliğindeki tutumlarının dile getirildiği tespitini yapmış ise de; konuyu ele aldığı açı daha ziyade KVKK ile yakından ilgilidir: “İşveren gizli kalması gereken verileri yasak bir şekilde elde ettiği gibi kendisine veren ve aynı konuşmalarda bulunan işçiye davranışı nedeni ile ihtar cezası vermek sureti ile de bilgi veren işçisini korumuştur. İşçilerin işyerinde mailleri, işverene bildirimleri işçilik hakları ile ilgili demokratik talep niteliğinde olup, bu tür barışçıl davranışların fesih nedeni yapılması doğru değildir. İspat yükü kendisinde olan davalı işveren haklı ve geçerli feshi kanıtlayamamıştır.”
Yine iş akdinin davacı ve bir kısım iş arkadaşının cep telefonu üzerinden kullanılan WhatsApp mesajlaşma ortamındaki yazışmaları gerekçe göstererek İş Kanunu’nun 25/2-b-e maddeleri uyarınca işveren tarafından feshedildiği benzer bir davada, ancak bu defa KVKK uygulamasının nispeten yaygınlaştığı daha ileri bir tarihte, Yargıtay 9. Hukuk Dairesi 2018/10718 E. , 2019/559 K. Sayılı kararında “Somut uyuşmazlıkta, WhatsApp konuşmaları gizlilik içeren kişisel veri niteliğinde olduğundan, salt nasıl temin edildiği anlaşılamayan bu yazışmalara dayanılarak iş akdinin feshi haksız olup, kıdem tazminatı ve ihbar tazminatı taleplerinin kabulü yerine reddi hatalıdır.” ifadelerine yer vermiştir.
Benzer olayları ele alırken; Yargıtay 12. Ceza Dairesinin yazımızın başında bahsedilen kararlarında bilhassa haberleşmenin gizliliği açısından yaptığı şu vurguyu da dikkate almak önemlidir: “Özel hayata ilişkin olsun olmasın, anlaşılabilir olsun olmasın, haberleşmenin ilgililerinin rızası dışında ifşa edilmesi, içeriği öğrenme yetkisi bulunmayan kişi veya kişilerin bilgisine sunulması, belirli kişiler arasındaki haberleşme içeriğinin hukuka aykırı biçimde öğrenilmesi haberleşmenin gizliliğini ihlal suçu oluşturacaktır”
Görülebileceği üzere işçinin kişisel verilerini hukuka aykırı şekilde elde etmek suretiyle dayanılan bir fesih gerekçesi de hukuka uygun kabul edilmeyecektir.
İşverenin Çalışanı Aydınlatma Yükümlülüğü
Bir başka olayda; davalı işveren davacının hem iş bilgisayarındaki takip programından hem de araç yıkama sırasında araçta unuttuğu USB bellekten, şirketle aralarındaki gizlilik sözleşmesine aykırı olarak sosyal medya ve alışveriş sitelerine girdiği, mesajlarında şirketi kötülediği ve headhunterlar ile görüşme yaptığı, şirkete ait iş sırrı niteliğindeki gizli bilgileri şirket dışına çıkardığını tespit etmiş ve iş akdini “haklı sebeple” feshettiğini savunmuştur. Ne var ki Yargıtay 22. Hukuk Dairesi 2017/21857 E. , 2019/9884 K. Sayılı kararında bu defa da davalı işverenin bu bilgileri işçinin bilgisayarına yerleştirdiği özel bir takip programı ile elde ettiğinin anlaşıldığından bahisle; “izlendiğine dair bilgilendirilmemesi veya gizlice izlenmesi, bu izleme neticesinde elde edilen veriler, iş sözleşmesinin işçi tarafından ihlal edildiğini açıkça ortaya koysa dahi, hukuka aykırı olarak kabul edilmelidir.” şeklinde hüküm vermiştir.
KVKK açısından bu kararın en önemli kısmı veri sorumlusu olarak işverenin; kişisel verisini işlediği çalışanı aydınlatma yükümlülüğünü yerine getirmemiş olmasıdır. Yasanın 10. Maddesinde kapsamı ve içeriği düzenlenen aydınlatmanın yapılmaması; işverenin çalışan üzerinde gözetim, denetim hak ve yetkisi olduğu ileri sürülecek olsa dahi, hatta çalışanın iş sözleşmesine aykırı davrandığı ortaya konsa bile; kişisel veri işlemesini hukuka uygun hale getirmenin önünde bir engel teşkil etmektedir. KVKK uyarınca veri sorumluları kişisel verisi işlenen ilgili kişilere kişisel verilerin hangi amaçla işleneceği, kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi hakkında bilgi vermekle yükümlüdür.
Söz konusu olayda işverenin çalışana “takip programları vasıtasıyla kişisel verilerinin izleneceği” hususunda aydınlatma yapmasının ve bu işlemeyi hangi amaçlarla gerçekleştirdiğini açıklamasının söz konusu olmadığı anlaşılmaktadır: “Davalı işveren ise işçinin bu izlemeden haberdar olduğu veya izlemenin yapılacağı konusunda bilgilendirilmediğine dair somut bir delil sunmamıştır. Şu halde davacı işçinin, bilgisayarında bulunan klavye yakalayıcısı adı verilen programdan haberinin olmadığı, işverence bu konuda bilgilendirilmediği, davacının rızası hilafına tüm kayıtların özel yahut işe ilişkin bilgi ayrımı olmadan işverence günlük olarak elde edildiğinin anlaşılması karşısında, elde edilen bu bilgilerin fesih sebebi olarak ileri sürülemeyeceği değerlendirilmelidir. İşverenin yönetim hakkının bir sonucu olarak işçiyi elektronik ortamda izlemesi ve takip etmesi her zaman mümkündür. Ancak bunun için işçinin bu izleme hakkında bilgilendirilmiş olması şarttır. İşçinin izlendiğine dair bilgilendirilmemesi veya gizlice izlenmesi, bu izleme neticesinde elde edilen veriler, iş sözleşmesinin işçi tarafından ihlal edildiğini açıkça ortaya koysa dahi, hukuka aykırı olarak kabul edilmelidir. Hal böyle iken, somut olayda işverence gizlice izleme neticesinde elde edilen bilgilerin haklı fesih sebebi olarak ileri sürülmesinin mümkün olmadığı kabul edilmelidir.”
Netice itibariyle, işçiye KVKK’daki içeriğe uygun bir aydınlatma yapılmaması sebebiyle; gizlice izleme neticesinde elde edilen bilgilerin haklı fesih sebebi olarak ileri sürülmesinin mümkün olmadığı kabul edilmektedir. Nitekim, yazımızın başında atıfta bulunulan Anayasamızın 20. Maddesinde de kişisel verilerin korunmasına ilişkin hakkın “kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmeyi” de kapsadığı açıkça düzenlenmektedir.
İşverenin Çalışanın Açık Rızasını Alma Yükümlülüğü
İşverenler çalışanlarının kişisel verilerini asli olarak İş Kanunu ve ilgili mevzuat kapsamında açıkça öngörüldüğü için; hukuki yükümlülüklerini yerine getirebilmek üzere elde etmekte, saklamakta ve kullanmaktadır. Bu durum KVKK’nın 5. Maddesinde sayılan kişisel veri işleme şartlarını karşılamakta olduğundan çoğu zaman işçinin rızasının alınması gerekli görülmemektedir. Ne var ki, yukarıdaki örnekte görüldüğü üzere; açık rıza almanın gerekli olmadığı ileri sürülse dahi, ilgili kişinin (çalışan) aydınlatılması yönündeki veri sorumlusu (işveren) yükümlülüğü devam etmektedir ve bu yükümlülüğün yerine getirilmemiş olması kişisel veri işlemeyi hukuka aykırı olmaktan kurtarmamaktadır.
Hatta Yargıtay 9. Hukuk Dairesi 2014/37215 E. , 2016/9418 K. başka bir kararında “İçerisinde kişisel yazışmalar ile eski iş yerine ödeme taahhüdünü içeren belge ve ödeme dekontlarının olduğu Özlük dosyasının işçinin rızası olmaksızın yeni işverene gönderilmesi kişilik haklarını ihlal edici niteliktedir.” diyerek; belli durumlarda işçinin rızasının alınmasının gerekli olabileceğini hatırlatmıştır.
Bahse konu olayda; söz konusu verilerin yeni işverene gönderilme nedeninin davacı işçiyi rahatsız etme, onu doğruları söylemeyen bir kişi olarak gösterme amacı taşıdığına işaret edilmiştir. Burada KVKK’nın 4. Maddesinde yer verilen kişisel verinin belirli, meşru ve hukuka uygun bir amaç için işlenmesi, kişisel veri işlemenin amaç ile sınırlı ve ölçülü olması yönündeki ilkelerin bir yansımasını görmek mümkündür.
İşverenler; iş ilişkisinin yürütülmesi ve hukuki yükümlülüklerini yerine getirebilmek amacıyla İş Kanunu ve ilgili mevzuat kapsamında elde ettikleri ve işledikleri kişisel verileri bu amacı aşacak şekilde kullanmamaya yahut üçüncü kişiler ile paylaşmamaya, amaç için gerekli olan süreden daha fazla saklamamaya dikkat etmeli; yasal gereklilik, hukuki yükümlülük, meşru menfaat gibi işleme şartlarının kapsamına girmeyen, ya da bu kapsamdaki amacı aşabilecek nitelikteki her türlü kişisel veri işleme için işçinin açık rızasını almak gerekip gerekmediğini titizlikle değerlendirmelidir. Bu “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” hükmünü içeren Anayasamızın da bir gereğidir.
Nitekim, Yargıtay 12. Ceza Dairesi tarafından “sanığın katılana ait GSM numarasını arkadaşına vermesi” gibi ilk bakışta son derece basit gibi görülebilen bir fiilin dahi “bunu gerektiren makul, meşru ve mantıklı bir sebebin, hukuka uygunluk nedenlerinin bulunmaması ve katılanın rızası dışında hareket edilmesi” nedeniyle, kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu teşkil ettiği kabul edilmiştir.
SONUÇ
Yukarıda incelemeye çalıştığımız yargı kararlarından da görülebileceği üzere; işverenler açısından Kişisel Verilerin Korunması Kanununa uyum, sadece bu mevzuat kapsamındaki yaptırım riski ile ilgili olmayıp, aynı zamanda iş hukuku açısından işçi-işveren ilişkilerinin düzenlenmesi ve yürütülmesinde de her aşamada nazara alınması gereken, iş davalarının neticesini doğrudan etkileyebilen bir yükümlülük olarak karşımıza çıkmaktadır.
Her ne kadar KVKK uyum çalışmaları sırasında karşılaşılan uygulamadaki belirsizliklerin zaman zaman eleştiri konusu yapılabildiği görülse de, Kişisel Verilerin Korunması Kurulunun yanı sıra yargının da kararları ile kişisel verilerin korunmasına ilişkin kavram ve ilkelerin daha somut temellere oturmaya başladığına hep birlikte tanık oluyoruz.