Kurul Kararları Işığında: İşverenler Tarafından Edinilen İşçi Adayı Verilerinin Korunması

Kişisel verilerin korunması ile amaçlanan menfaat salt olarak verilerin korunmasından ziyade özel hayatın gizliliğiyle birlikte temel hak ve özgürlüklerin güvence altına alınmasıdır. Kişisel veri işleme gereksinimi ile özel hayatın gizliliği güvencesinin karşı karşıya geldiği temel alanlardan birisi de hiç şüphesiz işçi ve işveren arasındaki istihdam ilişkileridir. Bu makalemizde işçi adaylarının işe alım süreçlerinde toplanan kişisel verilerinin korunması olgusu, ilgili Kişisel Verileri Koruma Kurulu (“Kurul”) kararları çerçevesinde incelenecektir.

Kişisel Verilerin Toplanması

Kişisel Verilerin Korunması Kanunu (“Kanun”) “kişisel veri” tanımını oldukça geniş tutmuş olup iş başvurusu sürecinde adaylar tarafından işverene bilgi aktarılması, kişisel veri işleme faaliyeti kapsamında değerlendirilmelidir. Herhangi bir iş sözleşmesi akdedilmeden önce, işçi adayına ait kişisel verilerin işveren tarafından toplanıyor olması gayet olağandır. Ancak, veri sorumlusu sıfatını haiz işverenler, adaylara yönelik kişisel veri işleme faaliyetlerini Kanun’a ve ilgili mevzuata uygun şekilde yerine getirmelidir.

Kanun’un 4. maddesi kişisel verilerin işlenmesinde uyulması zorunlu ilkeleri düzenlemektedir. Buna göre kişisel veriler

(a) hukuka ve dürüstlük kurallarına uygun,

(b) doğru ve gerektiğinde güncel olarak,

(c) belirli, açık ve meşru amaçlar için,

(ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmeli;

(d) ilgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Buna göre, bir kişisel verinin ilgili adaylardan talep edilebilmesi için üstlenilecek iş ve talep edilen veri arasında işleme amacına uygun bir bağlantının bulunması gerekmektedir. Bir başka ifadeyle, işe alım sürecinde adaylardan yalnızca işçi ile akdedilecek sözleşmenin ifası için elzem olan veriler talep edilebilecektir[1]. Aksi takdirde, söz konusu toplama faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olmadığı iddiası gündeme gelebilecektir.

Ayrıca, kişisel verilerin işlenmesi faaliyetlerinde, Kanun’un 5. maddesinde yer alan işleme şartlarına uygun hareket edilmeli ve işçi adayları, başvuru aşamasında toplanan her türlü veriye ilişkin bu verilerin hangi amaçla işleneceği ve kime ne amaçla aktarılabileceği gibi konular başta olmak üzere Kanun’un 10. maddesinde belirtilen hususlarda bilgilendirilmelidir.

Kişisel Verilerin Üçüncü Taraflara Aktarılması

Veri sorumlusu sıfatıyla işverenler tarafından işlenen kişisel verilerin üçüncü taraflara aktarılması, Kanun’un 8. maddesine uygun olarak gerçekleştirilmelidir. Kurul, bu konuyla ilgili geçmiş kararlarında katı bir tutum sergilemiştir.

2022 tarihli bir kararında Kurul, halihazırda başka bir işveren için çalışmakta olan bir işçi adayının iş görüşmesi esnasında mevcut işvereni hakkında yaptığı olumsuz yorumların ve iş görüşmesinin gerçekleştiği bilgisinin mevcut işverenine aktarılmasını değerlendirmiştir. Kurul, Kanun’un 5/2-c bendi uyarınca kişisel verilerin akdedilecek sözleşme açısından işçinin işe uygunluğunun tespiti amacıyla işlenebileceğine ve bunun işverenin “yönetim hakkı” kapsamında değerlendirilebileceğine dikkat çekmiştir. Ancak işlenen verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesi vurgulanarak, söz konusu aktarımın Kanun’un 8. maddesinde yer alan veri aktarımına yönelik şartlardan herhangi birine dayanılmaksızın gerçekleştirildiği tespit edilmiştir. Kurul, Kanun’un 12. maddesinin ihlal edildiğine karar vererek idari para cezası uygulamıştır[2].

Bir diğer kararında Kurul, işçi adayı tarafından sunulan ad, soy ad, e posta adresi gibi kişisel verilerin herhangi bir sebep gösterilmeksizin diğer işçi adayları ile paylaşılmasını değerlendirmiştir. Kurul, söz konusu paylaşımı Kanun’un 12. maddesinin birinci fıkrasında yer alan güvenliğe ilişkin yükümlülüğün ihlali olarak nitelendirmiştir. Ayrıca Kurul, şirketler topluluğu bünyesinde yer alan şirketlere işçi adaylarına ait verilerin aktarımını üçüncü kişiye aktarım olarak nitelendirmiş, aynı şirketler topluluğu bünyesindeki veri sorumluları arasında gerçekleşen veri aktarımının da Kanun’un 8. maddesindeki hükümlere tabi olması gerektiğine karar vermiştir[3].

Kişisel Verilerin Saklanması

Adaylara ait verilerin işlenmesini gerektiren sebepler ortadan kalktığında, Kanun’un 7. maddesi uyarınca veri sorumlusu tarafından re’sen veya ilgili adayın talebi doğrultusunda ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

Bu kapsamda başvurusu reddedilen bir adaya ait kişisel verilerin silinmemesi, ancak işçi adayının açık rızası veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru bir menfaatin varlığı halinde mümkündür. 2021 tarihli bir kararında Kurul, reddedilen bir başvuru sonrası işçi adayına ait belirli verilerin, sonraki dönemlerde yapılabilecek iş başvurularında gerçeğe aykırı verilerle karşılaşma riskinin önüne geçilmesi gerekçesiyle işveren tarafından muhafaza edilmesini değerlendirmiştir. Kurul, işverenin verilerin saklanması için “açık ve belirli” bir meşru menfaatinin bulunması gerektiğini vurgulayarak söz konusu meşru menfaatin, ilgili kişinin temel hak ve özgürlüklerine baskın gelmediğini ifade etmiştir[4].

Sonuç

Kanun’un genel hükümleri çerçevesinde işçi adayları, kişisel verilerinin işlenilmesine, aktarılmasına, saklanmasına ve silinmesine ilişkin belirli haklara sahiptir. İşverenler, adaylardan bilgi talep ederken Kanun’da yer alan ilkeleri gözetmeli ve yalnızca söz konusu iş kapsamıyla ilişkili olan kişisel verileri talep etmelidir. Bununla beraber adaylar, aydınlatma yükümlülüğünün bir gereği olarak veri sorumlusu tarafından bilgilendirilmeli; önceki işverenden, referanslardan veya üçüncü kişilerden aday ile ilgili bilgi talep edilmesi gibi açık rıza gerektiren durumlarda ise adayların açık rızası alınarak hareket edilmelidir.

Adaylar, verilerinin hukuka aykırı bir şekilde işlenmesi sebebiyle zarara uğramaları halinde, işveren aleyhine doğrudan hukuk mahkemelerine başvurabilecektir. Kişisel verilerin ihlali halen mevcutsa mahkemeden, bu ihlalin durdurulması, eski hale getirilmesi, zararın tespiti ve tespit edilen zararın tazmini talep edilebilecektir. Ayrıca adaylar, veri sorumlusuna başvuru şartını yerine getirdikten sonra Kurul’a şikâyet yoluna da gidebilecektir. Şikâyet üzerine yapılan inceleme sonucunda ihlalin tespit edilmesi halinde ise ilgili veri sorumlusu işveren idari yaptırımlarla karşı karşıya kalabilecektir.

Katkıları dolayısıyla Burak Bayrak ve Berke Şengün'e teşekkür ederiz.

Kaynakça

Avcı, V. (2022, 11 30). İşçi Adayının Kişisel Verilerinin İşlenmesi. Bursa Uludağ Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 41(2), s. 244-266.

Badur, E., & Kurt Konca, N. (2022, 12 05). Kişisel Verilerin Hukuka Aykırı İşlenmesinden Doğan Zararların Tazmini ve Görevli Mahkeme. İnönü Üniversitesi Hukuk Fakültesi Dergisi, s. 476-490.

İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması. (tarih yok). Kişisel Verileri Koruma Kurumu: https://www.kvkk.gov.tr/Icerik/5410/Is-Basvurusu-Surecinde-Islenen-Kisisel-Verilerin-Hukuka-Aykiri-Sekilde-Paylasilmasi adresinden alındı

Kaya, T. (2022, 12 30). İş Görüşmeleri Sürecinde Aday İşçinin Kişisel Verilerinin Korunması. Kişisel Verileri Koruma Dergisi, Cilt: 4 Sayı: 2, s. 34 - 47.

Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/798 sayılı Karar Özeti. (2022, 08 04). Kişisel Verileri Koruma Kurumu: https://kvkk.gov.tr/Icerik/7575/2022-798 adresinden alındı

Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/670 sayılı Karar Özeti. (2021, 07 06). Kişisel Verileri Koruma Kurumu: https://www.kvkk.gov.tr/Icerik/7136/2021-670 adresinden alındı

Serdar, Ç. M. (2020). Kişisel Verilerin Korunması.