KİŞİSEL VERİLERİN KORUNMASI KANUNU DEĞİŞİKLİKLERİNİN İŞ HUKUKUNA ETKİSİ

  1. GİRİŞ

12 Mart 2024 tarihinde Resmi Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) bazı değişiklikler yapılmıştır ve bu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bu kapsamda KVKK m.6’da yer alan özel nitelikli kişisel verilerin işlenmesini hukuka uygun kılan sebepler ve m.9’da yer alan yurt dışına kişisel veri aktarımı konularında değişiklikler gerçekleşecektir. Öngörülen değişikliklerin özellikle iş hukuku uygulamalarına bazı etkileri olacaktır. Bu bağlamda özellikle bugüne kadar açık rıza ile gerçekleştirilen bazı kişisel veri işleme süreçlerinin gözden geçirilmesi gerekecektir.

  • ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE YURT DIŞINA AKTARIM KONUSUNDA ÖNGÖRÜLEN DEĞİŞİKLİKLER
  • Özel Nitelikli Kişisel Verilerin İşlenmesi

Değişiklik ile özel nitelikli kişisel verilerin işlenmesini mümkün kılan hukuka uygunluk sebepleri arttırılmıştır. Düzenlemenin mevcut haliyle sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler yalnızca kanunlarda öngörülen hallerde, sağlık ve cinsel hayat verileri ise istisnai hallerde sağlık personeli ve SSK ile Sağlık Bakanlığı tarafından açık rıza olmaksızın işlenebilmekteydi. Değişiklik ile ilgili madde aşağıdaki şekilde değiştirilmiştir:

Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirilme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş̧ ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş̧ ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

halinde mümkündür.

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

  • Yurt Dışına Kişisel Veri Aktarımı

Yurt dışına veri aktarımı bakımından değişiklik ile üç farklı hukuka uygunluk sebebi kategorisinin ((i) yeterlilik kararı, (ii) uygun güvenceler ve (iii) arızi veri aktarım hali) yaratılmıştır. Bu hukuka uygunluk sebeplerinden önce değişiklikte vurgulanan ilk husus yurt dışına kişisel veri aktarımında iki aşamalı hukuka uygunluk testi uygulanması gerektiğidir. Öncelikle kişisel veriler KVKK m.5 ve 6’ya uygun olarak aktarılmalı ve bundan sonra ikinci aşama olarak yurt dışına transferde KVKK m.9’da yer alan ek bir hukuka uygunluk sebebi olmalıdır.

  • İŞ HUKUKU UYGULAMALARINDA BUGÜNE KADAR YAŞANAN ZORLUKLAR
  • Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK m.6’nın değişiklikten önceki hali uyarınca özel nitelikli kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin sınırlı olması uygulamada özellikle işe alım, özlük ve iş sağlığı ve güvenliği uygulamaları bakımından sıkıntılar yaratmaktaydı. Özellikle işe alım süreçlerinde adli sicil kaydı ile sağlık raporlarının alınması, bunların özlük dosyasında tutulması, engelli çalıştırma yükümlülüğünün yerine getirilmesi, çalışan sağlık raporlarının tutulması ve bu süreçlerin insan kaynakları ekipleri tarafından yürütülmesi gibi konularda ne şekilde ilerlenmesi gerektiği tartışma yaratmaktaydı.

  • Yurt Dışına Aktarım

Değişiklik öncesi henüz Kişisel Verileri Koruma Kurulu tarafından bir güvenli ülke listesi ilan edilmemiş olması ve yurt dışına aktarıma ilişkin diğer mekanizmaların pratikte uygulanmasının zor olması sebebiyle sıkıntılar yaşanmaktaydı. KVKK m.9’un önceki hali uyarınca çalışan kişisel verilerinin yurt dışında bulunan grup şirketleri ile iş ortaklarına aktarılması veya şirket bünyesinde sunucuları yurt dışında bulunan teknolojilerin kullanılması ancak açık rıza ile mümkün olmaktaydı. Bu durum iş süreçlerinin yürütülmesi bakımından ciddi zorluklara yol açmaktaydı.

  • İş İlişkisinde Açık Rızanın Geçerliliği

Bu konularda birçok veri sorumlusu işveren çalışanların açık rızasını alarak ilerlemek durumunda kalıyordu. Ancak özellikle iş ilişkisi kapsamında, işveren ile çalışanlar arasındaki güç dengesi de göz önünde bulundurulduğunda, açık rızanın çalışanların özgür iradesiyle verilip verilmediği dolayısıyla geçerli bir açık rıza olarak değerlendirilip değerlendirilemeyeceği de tartışma yaratıyordu.

  • DEĞİŞİKLİK SONRASI UYGULAMA VE SONUÇ

Değişiklik ile çalışanların sağlık verileri dahil tüm özel nitelikli kişisel verilerinin özellikle kanunlarda öngörülen hallerde ve istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olan hallerde açık rıza olmaksızın işlenmesi ve yine çalışan kişisel verilerinin KVKK m.5 ve 6’da sayılan hukuka uygunluk sebeplerine uygun olarak yurt dışına açık rıza olmaksızın aktarılması mümkün hale gelecektir. Bu bağlamda süreçlerin tekrar kurgulanması ve şirketlerin gizlilik politikalarını, aydınlatma metinlerini gözden geçirmesi gerekecektir. Yurt dışına aktarım bakımından öngörülen uygun güvenceler kapsamında Kişisel Verileri Koruma Kurulu’nun standart sözleşmeyi ilan etmesi ve bildirime ilişkin sürecin netleşmesi gerekecektir. Bu kapsamda alınması gereken aksiyonlar hakkında detaylı bilgi almak için Solak&Partners Hukuk Bürosu ile iletişime geçebilirsiniz.