DOLAR 7,291
EURO 8,533
PARİTE 1,179
ALTIN 477,149
FAİZ 12,990
BİST 1.060,5
BİST30 1.196,6
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul 31°C
Parçalı Bulutlu

İşçiye Ait Elektronik Haberleşme Takibi ve Veri İşleme

26.07.2020

Bu hafta yazımızda çalışanların sıklıkla tercih ettiği ve işçilerin çalışma verimini kontrol altına almak amacıyla elektronik haberleşmesinin takibi ve özel nitelikli kişisel verilerini işlemesi konularını anlatmaya çalıştık. Söz konusu uygulamalarda dikkat edilmesi gereken husus işverenlerin çalışanlar için alınan tedbirlerde orantılı davranılması ve kanundan kaynaklı çalışanların özel hayatlarının gizliliğini ihlal etmemesidir.

İşçinin Elektronik Haberleşme Takibi

İşçinin elektronik haberleşme takibi dediğimizde işçinin kullanmış olduğu bilgisayar, telefon ve mail gibi şirket dijital iletişimini sağlayan araçlar söz konusu olmaktadır. Söz konusu takibin sistematik bir şekilde işlenmesi esastır. Avrupa İnsan Hakları Sözleşmesi’nde özel hayatın gizliliği korunmaktadır. Bunun yanı sıra yine iç hukuk normlarında özel hayatın gizliliği Anayasal güvence altına alınmıştır. Elektronik haberleşmenin takibi de özel hayatın gizliliği kapsamına girmektedir

Elektronik haberleşmenin takibi ancak hukuka uygunluk nedenlerinin bulunması halinde işveren tarafından sağlanabilir. Buna örnek olarak işverenin savunma sanayiinde faaliyet göstermesi ve gizliliğin önemli olması gösterilebilir. Burada da işveren tarafından uyulması gereken kurallar kısaca şunlardır:

  • İşverenin uygulamasının kanuni gerekçesinin olması. Bu uygulamanın gerçekleştirilmesi kanundan doğan bir yükümlülükten doğmalıdır ki uygulamada hukuka uygunluk nedeni bulunsun.
  • İşverenin söz konusu uygulamaya ilişkin aydınlatma şartını yerine getirmesi gereklidir. İşçi, takibe ilişkin politikaya ulaşabilmeli ve istediğinde bilgi alabilmelidir.
  • Elektronik haberleşme şartlarının sınırlarının belirli olması gereklidir. İşveren, işçiyi sistematik bir şekilde izleyeceği çerçeveyi açıkça çizmeli ve bunu işçiye bildirmelidir.

AİHM’nin konuyla ilgili önüne gelen “Silver ve Diğerleri v. Birleşik Krallık” davasında konu incelenmiştir:

“Haberleşme özgürlüğüne getirilen sınırlamaların öncelikle kanunla öngörülmüş

olması gerekmektedir. AİHM içtihatlarında ifade edilen kanunla öngörülme kriteri,

kendi içerisinde üç temel prensibi içermektedir. İlk olarak, müdahale teşkil eden eylem

mevzuatta yer alan bir düzenlemeye dayanmalıdır. Keza, müdahalenin dayanağını teşkil

eden düzenleme, ilgili kişi açısından yeterli derecede ulaşılabilir olmalıdır. Son olarak,

söz konusu düzenleme, hitap ettiği kişiler bakımından davranışlarını ona göre

yönlendirme ve belli koşullar çerçevesinde eylemleri neticesinde meydana gelebilecek

sonuçları öngörebilmeye olanak sağlayacak açıklıkta olmalıdır.”

Dolayısıyla işveren tarafından elektronik haberleşme verilerinin bu şartları sağlamaksızın toplanması Türk Ceza Kanunu kapsamında da verileri hukuka aykırı olarak elde etme suçu oluşturacaktır. Ayrıca anayasal hak olan ve AİHM içtihatlarında da açıkça belirtilen özel hayatın gizliliğini ihlal teşkil edecektir.

İşçinin Özel Nitelikli Kişisel Verilerinin İşlenmesi

Özel nitelikli kişisel veri, kanunda tahdidi olarak sayılmıştır. Dolayısıyla kıyas yoluyla özel nitelikli verileri belirlemek mümkün değildir. 6698 sayılı Kişisel Verileri Koruma Kanunu’na göre özel nitelikte kişisel verilerin işlenmesi için ilgili kişinin açık rızası gerekmektedir. Bu nedenle açık rıza olmadan alınan veriler hukuka aykırıdır. Ayrıca açık rıza özel nitelikli kişisel veriyi işlemenin hukuka uygunluğunu tek başına sağlamamaktadır. Aynı zamanda bu işleme faaliyetinin işveren tarafından zorunlu olması ve orantılı olması gerekmektedir.

Özel nitelikli kişisel verilerin işlenmesinde istisna 6698 sayılı KVKK md. 13/3’te belirtilmiş ve sağlık ve cinsel hayata ilişkin veriler dışındaki verilerin kanunda öngörülen hallerde işlenebileceği belirtilmiştir. Sağlık ve cinsel hayata ilişkin verilerin de ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir. Ancak özel nitelikli kişisel verilerin işlenmesinde açık rızanın aranmadığı istisnai durumlarda, özellikle Pandemi sürecinde, işverenler tarafından işlenen bu verilere dair aydınlatma yükümlülüğü devam etmektedir. Bu veriler ancak işyerinde sır saklama yükümlülüğü altında bulunan veri işleyen tarafından işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde orantılılık konusunda Kişisel Verileri Koruma Kurumu’nun 2019 yılında verdiği kararda spor salonu üyelerinin parmak izi verisinin işlenmesini orantılılık ilkesine aykırı bulmuştur :

‘Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti

Konu Özeti

Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:

Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği

hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği,

bu itibarla ilgili veri sorumluları hakkında,

  • Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına

karar verilmiştir.’denilerek üyelerden alınan parmak izinin biyometrik veri olduğu, biyometrik verinin spor salonunda toplantısının ölçülülük ilkesine aykırı olduğu açıkça belirtilmiştir.

Kişisel Verileri Koruma Kurumu’nun 2019 yılında vermiş olduğu kararda da açıkça görüldüğü üzere özel nitelikli kişisel verileri işlerken yalnızca veri sahibinin açık rızasının alınmış olması yeterli olmamakta aynı zamanda özel niteikli kişisel verilerin işlenmesinin mevcut durumda orantılılık ilkesine uygun olup olmadığının değerlendirilmesi de gerekmektedir.

*
YORUMLAR

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.