Çalışanların Mesai Takibinde ve Sair Çalışma İlişkilerinde Biyometrik Kişisel Verilerin Kullanımı

Tarih : 20 Haziran 2016

kişisel veri

Avukat Ender Büyükçulha

ATO Hukuk Bürosu

Teknolojik gelişmelerle birlikte yaşamımıza giren “biyometrik kişisel veriler”in kullanımı öncelikle; tıp alanında, kimi teşhis ve tedavi olanaklarının geliştirilmesinde; öte yandan kamu güvenliğinin sağlanması, suçun önlenmesine ve aydınlatılmasına yönelik kriminal çalışmalar kapsamında gündeme gelmiştir. Ancak, biyometrik kişisel verilerin, kamusal gereklerinin önde olduğu bu alanlarda kullanımı dahi, kamuoyu tarafından makul görülmemiş; doğası gereği kişi hak ve özgürlükleri ile çatışma içinde olmasından kaynaklı, ciddi eleştirilere ve kaygılara vesile olagelmiştir.

Bu nedenle de biyometrik kişisel verilerin kullanımı, kişi hak ve özgürlükleri lehine, ilgili kamu otoriteleri aleyhine, emredici hukuk kuralları ile sınırlandırılmış, en azından bu yolda bir yönelim doğmuştur. Nitekim mevcut hukuk sistemimizde, 5271 Sayılı Ceza Muhakemesi Kanunu (CMK) hükümleri gereği; kişinin parmak izi ancak Cumhuriyet savcısının emri ile, üstelik fizik kimliğin teşhisi için zorunluluk olduğu durumlarda alınabilmekte; yine ceza soruşturma ve kovuşturmalarında kişilerden DNA örnekleri alınması ya da yasadaki adlandırma ile “moleküler genetik inceleme” yapılmasında ise, Cumhuriyet savcısına dahi yetki tanınmamakta, ancak yargıç/mahkeme kararı ile bunun yapılabileceği hükme bağlanmış bulunmaktadır.

Ancak, bütün bu haklı kaygılar ve hukuki sınırlamalar mevcutken, biyometrik kişisel verilerin kullanımı diğer alanlarda da yaygınlık kazanmaya başlamıştır. Nitekim zaman içinde bu uygulama özel ve kamu alanındaki çalışma yaşamına, işveren/işçi ilişkilerine de sirayet etmiştir. Bu kapsamda, biyometrik kişisel verilerin kullanımı ile işverenler tarafından çalışanlar üzerinde daha etkin bir denetim kurulması, bir anlamda iş disiplininin daha etkin tesisi, özellikle de çalışanların mesai takibinin bu yöntemle yapılması, giderek çalışma hayatında yaygınlık kazanan bir uygulama olmuştur. Ancak bu uygulamanın, yine kişilik haklarına bir saldırı teşkil ettiği, kişi hak ve özgürlüklerini ihlal ettiği yolunda da haklı ve yerinde kaygılar, yine başta hukuk zemininde bir direnç söz konusudur.

İfade edildiği üzere biyometrik kişisel verilerin kullanımı, doğası gereği, kişi hak ve özgürlükleri ile çatışma içindedir. Bu kapsamda mevcut hukuk düzeni, ciddi sınırlamaları ve yaptırımları barındırmaktadır.

Nitekim Anayasa m. 12; “Herkes, kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez temel hak ve hürriyetlere sahiptir.” hükmünü taşımakta; m. 17 ise; “Herkes, yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkına sahiptir. Tıbbi zorunluluklar ve kanunda yazılı haller dışında, kişinin vücut bütünlüğüne dokunulamaz; rızası olmadan bilimsel ve tıbbi deneylere tabi tutulamaz. Kimseye işkence ve eziyet yapılamaz; kimse insan haysiyetiyle bağdaşmayan bir cezaya veya muameleye tabi tutulamaz.” demektedir. Anayasa m. 20 de ise; “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” hükmü yer bulmaktadır.

Anayasa m. 20 de yer alan düzenleme ise, çok daha somut ve önemli bir hukuki çerçeveyi barındırmaktadır. Anılan maddeye göre, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Nitekim kişi hak ve özgürlüklerinin öneminin ve anılan hukuki sınırların bir gereği olarak, geçmişte özellikle kamu kurumları nezdindeki kimi uygulamalar hakkında yargı organları tarafından verilmiş yürütmenin durdurulması ve/veya iptal kararları da söz konusu olmuştur.  Örneğin; Danıştay 5. Dairesi ve Danıştay 12. Dairesi tarafından “parmak izi kaydı”na dayanan mesai takip sistemleri hakkında verilmiş iptal kararlarında; bu tür biyometrik verilerin kişisel veri niteliğinde ve özel hayatın gizliliği kapsamında olduğu, mevcut hukuki normatif yapının bu tür verilerin kayda alınması, depolanması vb. uygulamaları kesin ve emredici kurallar ile sınırlandırdığı, uygulama kapsamında bu verilerin korunmasına yönelik yeterli ve etkin bir güvencenin sunulamadığı gibi hususların altı çizilmekte, uygulamada hukuka uygunluk görülmemektedir. Ankara Valiliği İnsan Hakları Kurulu tarafından Ankara Büyükşehir Belediyesi nezdindeki benzer bir uygulamaya dair tesis edilen kararda ise, parmak izine dayalı mesai takip sisteminin doğrudan Avrupa İnsan Hakları Sözleşmesi’nin 8’inci maddesine aykırı bulunduğu görülmektedir. Anılan sözleşme hükmü, özel hayatın gizliliğine ve dokunulmazlığına dair güvence içermektedir. İstanbul Barosu tarafından açılan bir diğer davada ise, Danıştay İdari Dava Daireleri Kurulu, kamu sınavlarında parmak izi kontrolüne olanak veren yönetmeliği, benzer nedenlerle hukuka aykırı bulmuştur.

Değinilen yargısal süreçlerde ve bu alana dair tartışmalarda sıklıkla dile getirilen diğer bir husus da, çalışanlar nezdinde iş disiplininin tesisinde ve özelde mesai takibinde, hukuka ve kişi haklarına uygun başka bir olanak olup olmadığı, biyometrik kişisel verilerin ya da benzer elektronik takip sistemlerinin kullanımının ne derece rasyonel  olduğu yolundadır. Şüphesiz bu başlıklarda da haklı karşı tezler söz konusudur.

Geride kalan Mart ayında yürürlük kazanan 6698 Sayılı “Kişisel Verilerin Korunması Kanunu” ise, bu ve benzeri uygulamalara hukuki bir olanak ve zemin sunduğu şeklinde algılansa da, gerçekte bu uygulamayı tercih eden kişi ve kurumlara yönelik ciddi yükümlülükleri ve yaptırımları da gündeme getirmiş bulunmaktadır.

Anılan 6698 Sayılı Yasa m. 10 gereği, biyometrik kişisel verilerin kullanımına dayalı sistemleri işyerinde kullanmak isteyen ve çalışanlarına dayatan bir işveren, öncelikle bu uygulamaya maruz kalacak olan çalışanlarına;

-Veri sorumlusu veya yetkilendirdiği kişi, varsa temsilcisinin kimliği,

-Kişisel verilerin hangi amaçla işleneceği,

-İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

-Kişisel veri toplamanın yöntemi ve hukuki sebebi,

-Yasada yer alan diğer haklar,

konusunda bilgi vermekle yükümlü olacaktır.

Yine 6698 Sayılı Yasa m. 11 gereği, kişisel verileri alınanlar yani çalışanlar da, her durumda işverene ve veri sorumlusuna başvurarak; kendisiyle ilgili kişisel verinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, verilerin alınmasını gerektiren nedenler kalktığında kişisel verilerin silinmesini veya yok edilmesini isteme şeklinde temel haklara sahip kılınmış durumdadır.

Öte yandan 6698 Sayılı Yasa m. 12; doğrudan veri sorumlusuna; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak şeklinde görevler yüklemektedir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde de, belirtilen bu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır. Öte yandan veri sorumlusu, kendi kurum veya kuruluşunda, bu yasa hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak da zorundadır.

Yine anılan 6698 Sayılı Yasa, verileri alınan/işlenen kişilere tazminat hakkı gibi hakları, öte yandan sorumlulara yönelik de cezai ve/veya idari yaptırımları da düzenlemektedir. Bu kapsamda 6698 Sayılı Yasa ile “Kişisel verileri koruma kurumu” ve ayrıca “Kişisel verileri koruma kurulu” şeklinde yapılar oluşturulmuş, nitekim ilgilerin bu kurum ve kurula başvuru ve şikayet hakkı da düzenlenmiştir.

Ancak işyerlerinde biyometrik kişisel verilerin kullanımına dayalı mesai takip sistemlerini kuran ve çalışanlarına dayatan işverenlerin, henüz bütün bu hukuki tablonun ve yasal yükümlülüklerin farkında olduğunu söylemek güçtür. Nitekim Odamıza da yansıyan, kimi özel sağlık kuruluşları nezdindeki uygulama ve uyuşmazlıklarda da görüldüğü üzere; işverenler, “yaptım oldu” kolaycılığı ile davranmakta, ancak gerçekte doğrudan kendilerini ciddi bir hukuki ve cezai yükümlülük içine sokmaktadırlar.

Sonuç olarak, çalışma yaşamında biyometrik kişisel verilerin kullanımına dayalı sistemlerin, özellikle de mesai takip sistemlerinin kullanımı, mevcut hukuki yapı ile hukukun korumasında olan kişi hak ve özgürlükleri ile çatışmaktadır. Her durumda çalışanların açık rızası bulunmadıkça, bu sistemlerin bir işyerinde kullanımı hukuki ve haklı olmayacaktır. Çalışanların böylesi bir rıza vermeye zorlanması, bu rızanın elde edilmesi amaçlı baskıya maruz bırakılması da, şüphesiz öncelikle 4857 Sayılı İş Kanunu hükümleri kapsamında işverenin sorumluluğunu gündeme getirecektir. Kaldı ki, çalışanlar rıza göstermiş olsa da, değinilen 6698 Sayılı Yasa kapsamında yer alan yükümlülükler ve aksi durumdaki yaptırımlar, her koşulda işverenler için geçerli olacaktır.

 

 

PaylaşShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn
Yorum Yaz
Ad Soyad :
E-mail :
Yorum :

Arşivler