Çalışma hayatında iş ilişkilerinde önemli sonuçlar doğuracak nitelikte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe girmiştir. Kanun, işe giriş aşamasından iş sözleşmesinin devamı ve sona erme süreçlerine kadar esas olarak kişiler açısından özel hayatın gizliliği ve korunmasını amaçlamaktadır. Bu kapsamda işverenlerin herhangi bir hukuki ve cezai sorumlulukla karşılaşmamaları için 6698 sayılı Kanunla ilgili uyum çalışmasını işyerlerinde mutlaka yerine getirmeleri gerekmektedir.

Özel nitelikli kişisel veriler (hassas veriler), sahibinin açık rızası olmaksızın işlenemez. Kanun özel nitelikli kişisel verilerin sınırlı hallerde, veri sahibinin açık rızası olmaksızın işlenebileceğini kabul etmiştir. Buna göre, kişisel verilerin işlenmesi için veri sahibinden açık rıza alınmasını gerektirmeyen durumların başında bu durumun Kanunda açıkça öngörülmüş olmasıdır. Bu duruma örnek olarak Kanunun gerekçesinde belirtildiği gibi kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5. maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi verilebilir. Buna ek olarak çalışan bilgilerinin 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu (m.8) gereğince kaydedilmesi, 6331 sayılı İş Sağlığı ve Güvenliği Kanununu (m.15) uyarınca sağlık raporlarının alınması zorunluluğu, 4857 sayılı İş Kanunu (m.8) uyarınca iş sözleşmelerinin yazılı olarak yapılması örneklerini vermemiz mümkündür.

İkincisi, kişisel verilerin işlenmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri rızası aranmaksızın işlenebilecektir. Bu duruma örnek olarak kişinin bilincinin yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale anında kişinin kan grubu, geçirdiği hastalıklar ve ameliyatlar, kullandığı ilaçlar gibi bilgilerin edinilmesi ve ilgili sağlık sistemi üzerinden kişisel verilerin işlenebilmesi halleri verilebilir.

Üçüncüsü, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda hayatın olağan akışı gereği ilgili kişilerin ayrıca bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi için rızalarının alınmasına gerek yoktur. Çalışanlarla yazılı iş sözleşmesinin yapılmasının zorunlu olması buna örnek olarak gösterilebilir.

Dördüncüsü, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin açık rızası aranmaz. Bu duruma örnek olarak bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri elde etmesi ve işlemesi durumları verilebilir. Bir başka örnek olarak, işverenin vergi denetimi sırasında çalışanlarına veya müşterilerine ait bilgileri ilgili kamu görevlilerinin incelemesine sunması gösterilebilir.

Beşincisi, İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli durumlarda kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.

Altıncısı, kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin açık rızası aranmaz. Örneğin, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyumun, kısıtlının mali bilgilerini tutması veya sözleşme sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura/ sözleşme/kefaletname gibi belgelerin bu amaçlar için saklanması, hukuka uygunluk kapsamına dâhil edilecektir.

Sonuncusu da ilgili kişinin temel hak ve özgürlüklerinin zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Örneğin şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel durumuna hâkim olabilmek amacıyla içinde kişisel verilerin de bulunduğu birtakım bilgileri ölçülü ve gerekli güvenlik önlemleri alınarak incelemesi halleri meşru menfaat kapsamında değerlendirilebilecektir.