İş Mahkemelerine Sunulan Özlük Dosyaları ve Kişisel Veri İhlalleri

Giriş

Günümüzde, gelişen teknolojiyle birlikte kişisel veriler kolaylıkla farklı platformlarda işlenebilmekte ve aktarılabilmektedir. Bu husus kişisel verilerin istismar edilmesi riskini de beraberinde getirmektedir. Kişilik haklarının ihlal edilmesinin önüne geçilmesi, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu 7.4.2016 tarihinde yürürlüğe girmiştir.

4857 sayılı İş Kanunu’nun 75. Maddesi gereğince işveren işçiyle alakalı düzenlemek zorunda olduğu özlük dosyasında, işçinin kimlik bilgilerinden sağlık verilerine kadar her türlü veriyi işlemekte, saklamakta ve istenildiğinde mahkemeye sunmaktadır. Özel nitelikli kişisel verileri de içeren özlük dosyaları mahkemeye ibraz edilmesi aşamasında  Kişisel Verilerin Korunması Kanunu bakımından nasıl değerlendirileceği işbu yazıda kaleme alınacaktır.

Özlük Dosyaları ve Kişisel Veri İlgisi

İş Kanunu’nun 75. Maddesine göre; İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.

İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.”

Peki işverenlerce yasal olarak tutulması gereken özlük dosyası içerisindeki bilgilerin saklanması ve yasal olmayan bir şekilde üçüncü kişilere aktarılmasının yaptırımı ne olacaktır ?

İş Kanunu’nun 104. maddesinde özlük dosyasını tutmayan işveren hakkında 1200 TL idari para cezasına hükmolunacağı düzenlenmiş ise de bu bilgileri gizli tutmayan işverenler hakkında bir yaptırım bulunmamaktadır.

Bu sebeple bu konuda bize Kişisel Verileri Koruma Kanunu yardımcı olacaktır.

• Özlük Dosyasında Yer Alan Bilgiler Kişisel Veri midir ?

Kişisel Verileri Koruma Kanunu’nun 3. maddesine göre; İşçinin özlük dosyasında yer alan kimlik bilgileri, adli sicil kaydı, yerleşim yeri, telefon bilgileri gibi veriler kişisel veridir ve saklama faaliyeti de kişisel veri işleme olarak kabul edilecektir. Bunun dışında özlük dosyalarında yer alan sağlık bilgileri aynı Kanunun 6. maddesine göre özel nitelikli kişisel veri kapsamındadır ve yukarıda da açıklandığı üzere daha sıkı şekilde korunmaları gerekmektedir.

• Kişisel Verilerin Korunması Kanunu’na göre İşverenlerin Özlük Dosyaları ile ilgili Yükümlülükleri Nelerdir ?

Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde düzenlenen ve uyulması zorunlu ilkeler kapsamında özlük dosyasında muhafaza edilen veriler işlendikleri amaçla bağlantılı, sınırlı, ölçülü olmalı, veriler gereken süre kadar saklanmalı ve gizlilik tedbirleri alınmalıdır.

Buna ek veri sorumlusu olan işverenin; kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda aydınlatma yükümlülüğü bulunmaktadır. Yine işçinin de kişisel verilerine ulaşım hakkı, verilerinin aktarıldığı kişileri bilme, silinmesini, düzeltilmesini, yok edilmesini, anonim hale getirilmesini isteme, aleyhine sonucun ortaya çıkmasına itiraz etme gibi hakları vardır.

Verinin aktarılması hususunda kanundan kaynaklanan bir yükümlülük dahi olsa Kişisel Verilerin Korunması Kanunu’nun 8. Maddesi uyarınca açık rıza ile ilgili hükümler aynen uygulanır bunun dışında da aktarım amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.

• Özlük Dosyalarında Sağlık Raporları ve Test Sonuçları Yer Almalı mıdır ?

İş Kanunu’nun 75. Maddesi işçi hakkında özlük dosyası düzenlenmesini öngörmekle birlikte, özlük dosyasının hangi belgeleri ihtiva edeceği hüküm altına alınmamıştır.

İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. Maddesinde, “İşveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydı, işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını, saklar.” İfadesi yer almaktadır. Sağlık raporları ve test sonuçlarının özlük dosyasında yer alması gerektiğine dair bir düzenleme bulunmamaktadır.

Kişisel Verilerin Korunması Kanunu’nun temel ilkelerinden “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “veri minimizasyonu” ilkesi dikkate alındığında kişinin sağlık verilerinin, sır saklama yükümlülüğü altında olan işyeri hekimi/hemşiresi tarafından alınması ve muhafaza edilmesi, personel şahsi sağlık dosyasında tutulması öngörülen hassasiyetin sağlanması bakımından daha isabetli olacaktır.

• Mahkemeler veya İşverenleri Denetleme Makamları Özlük Dosyalarını Talep Ettiklerinde İşverenler Kişisel Verileri Aktarmak Zorunda mıdır ?

Kişisel Verilerin Korunması Kanunu’nun 5. maddesine göre kişisel veriler Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması sebebi ile işlenebilir ve aynı kanunun 8. maddesine göre üçüncü kişilere aktarılabilir. Bu durumda dahi aydınlatma yükümlülüğünün yerine getirilmesi unutulmamalıdır.

Ancak Konusunda sağlık sebebi olmayan sıradan bir işe iade veya işçilik alacağı davasında delil olarak mahkemeye özlük dosyasının içerisindeki sağlık verileri, adli sicil kaydı vb. gibi verilerle birlikte çalışanın rızası olmaksızın sunulması Kişisel Verileri Koruma Kanunu’nun 4. maddesinin ihlali sayılabilecektir.

Nitekim fesih sebebi ve yargılama süreci ile ilgisi olmayan verilerin alelade bir şekilde aktarılmaması gerekir. Yine mahkeme tarafından istenmesi halinde de özlük dosyası kül olarak sunulmamalıdır. Yalnızca yargılama sürecini etkileyecek hususları ispata kabil belgeler (örneğin; fesih bildirimi, bordrolar, iş sözleşmesi gibi) sunulmalıdır. Zira dava konusu uyuşmazlık ile ilgisi yoksa sağlık verileri, adli sicil kaydı gibi verilerin sonuca herhangi bir etkisi olmayacaktır.

Nitekim benzer bir şekilde Avrupa İnsan Hakları Mahkemesi’nin sağlık verilerin aktarılmasıyla alakalı L.L. / Fransa (no: 7508/02) kararında ; başvuran özellikle, boşanma davası bağlamında, kendisinin ve tıbbi uzmanın rızası olmadan bu çerçevede düzenlenen kendisine ait tıbbi kayıtlarla ilgili belgelerin mahkemeler tarafından sunulması ve kullanılması hususunda şikayetçi olmuştur. Mahkeme, başvuranın özel hayatına yapılan müdahalenin kişisel verilerin korunmasının temel önemi açısından gerekçelendirilmediğini tespit ederek, Sözleşme’nin 8. maddesinin ihlal edildiğine karar vermiştir. Mahkeme, tıbbi rapor olmadan da aynı sonuca ulaşabilecekleri anlaşılmıştır. Ayrıca iç hukukun tarafların özel yaşamlarına ilişkin verilerin bu tür işlemlerde kullanılması hususunda yeterli güvenceler sağlamadığını ve dolayısıyla bunun, evleviyetle bu tür tedbirlerin gerekliliğine dair sıkı bir denetime ihtiyacın haklı gerekçelerinin bulunduğunu gösterdiğini belirtmiştir.

Yine Kişisel Verilerin Korunması Kurulu’nun kararında; “Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının; Kanunun 5. maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği, kanunun 4. maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği, dikkate alınarak, Kurul tarafından Kanunun 12. maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.”

Anılan kararlardaki tespitler ışığında; mahkeme tarafından özlük dosyasının tüm içeriği dahi istenmiş olsa bile veri sahibinin ilgili kişinin kişisel verilerini, Kişisel Verilerin Korunması Kanununda düzenlenen ilkeleri göstererek işlemesi ve yalnızca dava ile ilgili verileri aktarması gerekmektedir. Aksi kanunun ihlali anlamına gelecek, ilgili kişinin şikayet hakkı doğacak ve veri güvenliği sağlanmadığı için Kanunun 18. Maddesi uyarınca veri sorumlusu aleyhine yaptırım uygulanabilecektir.

SONUÇ

Her ne kadar 4857 sayılı İş Kanunu’nun 75. Maddesinde işçi özlük dosyası başlığı altında, işverenin düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğuna ilişkin düzenleme bulunsa da işveren maddeden kaynaklanan yükümlülüğünü yerine getirirken bir yandan gizlilik yükümlüğüne diğer yandan 6698 sayılı Kişisel Verilerin Korunma Kanunu kapsamındaki ilgili ilkelere uygun hareket etme zorunluluğu vardır.

Özlük dosyası içerisinde yer alan bilgi ve belgelerin mahkeme veya denetleme kurumlarına aktarılması gereken durumlarda da veri minimizasyonu doğrultusunda amaçla bağlantılı, sınırlı ve ölçülü hareket edilmeli ve dosya içerisindeki tüm kişisel veriler kül olarak gönderilmemelidir. Aksi durum hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilmeyecek ve kişisel verilerin güvenliğini sağlamayan veri sorumlusu hakkında Kanunun 18. Maddesi uyarınca idari yaptırım uygulanabilecektir.

Av. Eren Evren                                                                                                                                Stj. Av. Su Evrim Şanal