KVKK REFORMU İNSAN KAYNAKLARI SÜREÇLERİNİ NASIL ETKİLEYECEK?
Özel verilerin işlenmesi İnsan Kaynakları için KVKK yürürlüğe girdiğinden bu yana ciddi bir sorundu. Yapılan değişiklikte özellikle GDPR’ın 9. maddesi esas alınarak düzenleme getirildiğini görüyoruz. Burada özel verilerin işlenme sebepleri genişletiliyor. Ancak bu düzenlemeleri doğru yorumlamakta yarar var; zira yeni düzenlemeler de kanımızca İK’na sınırsız biçimde yetki vermiyor. Peki, neler yapıp neler yapamayız?
İlk olarak, m.6/b’ye göre, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecek. Bu hüküm kamu otoritelerinin yaptığı veri işlemeler bakımından önemli. Ancak İK bakımından genel biçimde herkesin sabıka kaydının buna dayalı olarak işlenebileceğinden söz etmek mümkün değil. Belirli görevler için, çok sınırlı olarak rızayla sabıka kayıtlarının alınması mümkün diye düşünüyorum.
Esas İK için önemli olan, “istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması” şıkkı, yani 6/f. Bu hükmün öncelikle İK tarafından işlenmesi gereken engelli verilerinin işlenmesinin önünü açabilecek. Yine iş kazalarının bildirimi ve takibi süreçlerinde de bu hükümden yararlanmak mümkün.
Sağlık verilerinin işlenmesi konusunda ise, hükmün sınırlı biçimde uygulanabileceğini düşünüyorum. Sağlık verileri kural olarak işyeri hekiminde olmalı ve teşhis hekimlik dışında işverenle paylaşılmamalı. CNIL’in bu konuda net pozisyonu, bizim için de geçerli olmalı. Nitekim 6331 sy Kanun m.15. de açık: “Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur (15/5). Yönetmelik de aynı şekilde. Yani sadece KVK değil, İSG regülasyonu da bu yönde. 6. maddeyi genel ilkelerle, özellikle m.4’deki ölçülülük ilkesiyle birlikte yorumlamak gerekiyor. Buna göre EK 2 olarak tanımlanan formun sonuç kısmının İK ile paylaşılabileceğini, aile hekiminden alınan raporlarda ise (işyeri hekimi olmayan işyerleri için), teşhis kısmına yer verilmemesi, sadece çalışabilir/çalışamaz şeklinde olması gerektiğini, bu kapsamda paylaşılan bir verinin 6/f kapsamında işlenmesinin mümkün olduğunu düşünüyorum.
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (6/d) de, İK ve buna bağlı hukuk süreçleri için rahatlatıcı bir düzenleme. Özellikle iş kazaları, meslek hastalıkları ve işçini hastalığı ile ilgili uyuşmazlık süreçlerinin ve davaların yürütülmesi bakımından bu düzenleme yararlı. Her ne kadar burada m. 28 istisnasının da gündeme gelebileceği söylenebilirse de, bu düzenleme ihtiyaca cevap vermiyordu. Nitekim, iş uyuşmazlıklarında arabuluculuk buna dahil olacak mı olmayacak mı, bir çok soru açıkta kalıyordu.
Söylenecek çok şey var, belki bu yazıya bir de “işverenler bu durumda ne yapmalı, aydınlatma ve açık rıza süreçleri nasıl güncellenmeli?” konusunu ileride ilave etmemiz gerekiyor.
hashtagKVKK #6698
- Yayınlanan İş Hukuku
GİZLİ MÜŞTERİ UYGULAMASI KVK’na UYGUN MU?
Gizli müşteriyi, bir işletmenin hizmet kalitesini, müşteri deneyimini ve çalışan performansını değerlendirmek amacıyla, kimliğini gizleyerek alışveriş yapan veya hizmet alan kişiler olarak tanımlayabiliriz. Son zamanlarda, bu uygulamayı belirli sektörlerde görüyoruz.
Pekiyi bu uygulama Kişisel Verilerin Korunması Kanunu’na uygun mu?
6 Eylül 2023 tarihinde Fransız Yargıtayı Sosyal Dairesi, bir çalışanın disiplin ihlallerine ilişkin bir “gizli müşteri” tarafından sağlanan delilin kabul edilebilir olduğuna karar verdi (1). Karara konu uyuşmazlıkta, gizli müşteri bir çalışanın tahsilat prosedürünün ciddi ihlallerini tespit etti. Bu inceleme sırasında tespit edilen olgulara dayanarak, işveren, suçu işleyen çalışana karşı disiplin soruşturması başlattı. Gizli müşterinin sunduğu rapor bir delil olarak kabul edilebilir mi sorusu bu kararda tartışmaya açıldı.
Sosyal Daire buna olayın özelliklerini dikkate alarak olumlu yanıt verdi. Nitekim somut olayda, işveren Sosyal ve Ekonomik Komiteyi bu soruşturma prosedürünün uygulanması ve koşulları hakkında bilgilendirmiş ve CSE toplantısının “onaylı” tutanaklarını dosyaya sunmuştu. İkinci olarak, işveren çalışanlara bu sistemin uygulanması hakkında doğrudan bilgi verdiğini de kanıtlamıştı.
İşveren çalışanlara yönelik bir bilgi notunun sistem üzerinde görüntülenmesinin mümkün olduğunu, bu not kapsamında sistemin işleyişi ve amacını açıklandığını ortaya koydu. Sosyal Daire bu nedenle, İş Kodu’nun L. 1222-3 maddesi hükümleri uyarınca çalışanın , bu maddenin uygulanmasından önce açıkça bilgilendirildiğini tespit ettikten sonra, işveren, sonuçları bir disiplin prosedürünü desteklemek için kullanabileceği sonucuna ulaştı[2].
Belçika’da da mahkemelerin bu gibi raporları veri koruma ilkelerine uygunluk koşuluyla dikkate alabileceği belirtiliyor (3).
Almanlar buna “mystery shopping” adını veriyor (Testkauf) ve onlar da benzer biçimde bu gibi delillerin kabul edebilirliğini ifade ediyor.
Buna göre, veri koruma ilkelerine uymak koşuluyla bu gibi uygulamalara başvurmak mümkün görünüyor. Özellikle aydınlatma yükümlülüğünün bu gibi uygulamalarda eksiksiz yerine getirilmesinin çok önemli olduğunu düşünüyoruz. Yine ölçülülük gibi genel ilkeler kuşkusuz her zaman gözetilmek durumunda.
İşverenin gözetim ve denetim yetkilerinin boyutlarını daha çok tartışacağız gibi duruyor…
[1] Soc, 6 Sept 2023, No: 22-13.783[2] Kararın incelemesi için: Radé, Christophe: La preuve et le « client mystère », Droit social 2023, 922 vd.
(3) Mystery Shoppers, Dismissal And The GDPR In Belgium – Data Protection – Privacy – Belgium
- Yayınlanan İş Hukuku, İş Hukuku Blog
İŞE ALIM SÜREÇLERİNİ İNSANDAN ALIP YAPAY ZEKAYA BIRAKABİLİR MİYİZ?
- Yayınlanan İş Hukuku
ŞİRKET E-POSTA KURALLARI KVKK UYARINCA NASIL OLMALI?
1. Çalışanın şirket uzantılı e-postaları ile ilgili Batı’da öncelikle “profesyonellik karinesi”nin kabul edildiğini belirtelim. Buna göre, çalışanın aldığı ve gönderdiği e-posta profesyonel nitelikte görülüyor ve işverenin bunu inceleyebileceği kabul ediliyor. CNIL (Fransız KVK otoritesi) Profesyonellik karinesinden çıkılabilmesi için, çalışanın konu satırına “özel, kişisel” gibi spesifik bir açıklama yazmasını arıyor.
2. Epostaların denetimi ile ilgili hukukumuzda da bir süredir konu tartışılıyor. Özellikle “aydınlatma yükümlülüğünden” hareket eden AYM kararları, bu yükümlülük gereği gibi yerine getirilmez ise işvereni eposta inceleme süreçlerinden mahrum bırakmış gözüküyor. Bu pozisyonun hukuka uygunluğu bana göre tartışmalı, ancak literatürde bu yaklaşım birçok yazardan destek gördü.
3. İşverenin işle ilgili yazışmaları incelemesinin her zaman bir özel yaşam gizliliğine müdahale olmadığını düşünüyorum. Örneğin satınalma birimindeki bir çalışanın ne kadar fiyatla satın aldığı, satış birimindeki çalışanın hangi müşterilere teklif gönderdiğini İşveren bilemeyecek mi? İşçinin Şirket e-postasını kullanırken “işvereni temsil ettiği” olgusu ve yukarıda belirttiğim bu yazışmaların “profesyonel” niteliği görmezden gelinmemeli. Çalışanın özel yazışma yapmak istiyorsa, özel ve kişisel e-posta adresini kullanması veya en azından e-postanın konu kısmında durumu belirtmesi gerekmez mi? Burada tabi şu söylenebilir. Çalışanın kurumsal epostadan HR birimleri gibi birimleriyle yaptığı yazışmalar “kişisel” bir nitelik taşıyabilir. Devamsızlık nedenleri, mazeretleri vb gibi…
4. Bu sakıncaya ise eposta sınıflandırma/etiketleme yöntemleriyle ayrıştırma yapılabileceği yanıtı verilebilir. Bu tabi kişisel görüşüm, ancak İşverenlerin özellikle AYM kararlarını dikkate alarak aydınlatma yükümlülüklerini eksiksiz biçimde yerine getirmelerinde büyük yarar var.
5. Çalışanların epostalarıyla ilgili yabancı Kurul rehberlerinde özellikle;
a) Şirketin eposta kullanımıyla ilgili bir iç yönerge oluşturması,
b) İşten ayrılan çalışanın kişisel nitelikte epostalarını silebilmesi için kendisine olanak tanınması, (Rehberlerde yer almamakla birlikte, Şirketin tutmak zorunda olduğu epostaların çalışanın da ayrılış sürecinde birlikte belirlenmesini uzmanlar tavsiye ediyor)
c) İşten ayrılan çalışanların eposta hesabının derhal veya en azından makul bir süre içinde (en fazla 1 ay) kapatılması (Belçika KVK Otoritesi bununla ilgili 15.000 Euro ceza uyguladı)
d) İşten ayrılan, işe gelmeyen/izinde olan çalışanın e-postasının başka bir çalışana otomatik yönlendirme yapılmaması (Bu konuda göndericiye yetkili olan kişileri gösteren bir otomatik e-posta gönderilmesi. Çalışan ayrılmış ise bunun belirtilmesi tavsiye ediliyor). Bu kapsamda şeffaf bir e-posta politikasının oluşturulması işverenler bakımından son derece gerekli görünüyor.
- Yayınlanan İş Hukuku
MOBBİNGDEN DOLAYI ÇALIŞAN İNTİHAR EDERSE İŞVEREN SORUMLU OLUR MU?
1. Bir çalışanın işyerinde uğradığı mobbinden dolayı intihar ettiğini gösteren notu basında ve sosyal medyada gündem oldu. Kuşkusuz bu konuda son kararı yargı verecek. Pekiyi, çalışan mobbing’den dolayı intihar ederse işveren hukuki hatta cezai olarak sorumlu tutulur mu?
2. Öncelikle, intihardan başlayalım: İşyerinde gerçekleşen intihar eylemleri sosyal güvenlik hukuku uygulamamızda iş kazası olarak kabul ediliyor. Ancak bir kazanın SGK anlamında iş kazası olması kategorik olarak işverenin sorumluluğunu doğurmuyor. İşveren ile kaza arasında “nedensellik bağı” dediğimiz ilişki kanıtlanmalı.
3. İntiharın işveren sorumluluğuna yol açması Batı’da da tartışma konusu. Örneğin, Fransız Yargıtayı işverenin çalışanın psikolojik durumundaki kötüye gidişi görmesine rağmen hareketsiz kalarak önlem almamasını bağışlanmaz kusur olarak nitelendirdi ve işvereni sorumlu tuttu.
4. Ancak, intiharın işveren eyleminden ve mobbingden kaynaklandığının kanıtlanması kolay değil. Fransız yargısında intiharın işyerinde gerçekleşmiş olması, nedensellik bağının kurulabilmesi için bir fiili karine olarak görülebiliyor. Ancak intihar işyeri dışındaysa ispat yükü bu kez çalışanın yakınlarına düşüyor. İntihar edenin bir mektubu gibi intiharı işyerine bağlayan bir delil varsa bu bağlantının kurulması mümkün.
5. Mobbingden doğan hukuki sorumluluk konusunda da tartışmaya açık çok nokta var. Özellikle mobbing davranışını amir konumunda birisi yapmışsa, TBK m. 116 kapsamında (yardımcı kişinin fiillerinden kusursuz sorumluluk) işverenin bundan kusursuz sorumluluğu gündeme gelebilir! Yani işveren hiçbir kusuru olmasa, tüm önlemleri alsa da tazminat ödemek zorunda kalabilir.
6. Bu durumun her zaman adil olmadığı TBK 116’ya kaynaklık eden İsviçre Hukukunda dile getirilmeye başlandı. J.P. Dunand bunu eleştiren birçok yayın yaptı. İlginç bir gelişme de Fransa’da yaşandı. İşverenin İSG konusundaki sorumluluğunu sonuç borcu kapsamına gören Fransız yargısı mobbing davalarında buna istisna tanımaya ve işverenin önlem alıp almadığını değerlendirmeye başladı. gerçekten, mobinge karşı tüm önlemleri alan, eğitimler veren, prosedürler kuran ve mobbingden haberi olmayan bir işverenin kusursuz sorumlu tutulması adil görünmüyor.
7. Mobbing konusunu işverenler bizce bir İSG problemi olarak ele almalı. Psikososyal riskler kapsamında risk değerlendirmesinden eğitime, bilgilendirmeye ve denetime kadar tüm İSG önlemleri alınmalı. Aksi halde bunun ağır sonuçları olabiliyor. Gerçekten cinsel taciz, mobbing gibi vakıalarda işveren kusursuz da olsa, basın ve sosyal medyaya konu düşebiliyor. Bu noktada konuyu ciddiye almak, interaktif davranmak ve önlem almaktan başka yol da bulunmuyor.
- Yayınlanan İş Hukuku
