Toplu İş Sözleşmesi Sürecinde İşçilere Ait Kişisel Verilerin Korunması

 

1. GİRİŞ

Toplu iş sözleşmesinin hazırlanması, müzakeresi ve uygulanması aşamalarında işçi ile işveren arasındaki çalışma ilişkileri düzenlenirken, taraflara ait çeşitli kişisel verilerin işlenmesi de gündeme gelmektedir.  

Bu süreçte ortaya çıkan kişisel veri işleme faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’) ve ilgili yasal mevzuat kapsamında değerlendirilmelidir. Bu kapsamda söz konusu veri işleme faaliyetlerinin hukuka uygunluk sebeplerinden birine dayanması, temel ilkelere riayet edilmesi ve özel nitelikli kişisel veriler açısından Kurul tarafından belirlenen idari ve teknik veri güvenliği  önlemlerinin alınması gerekmektedir.

Özellikle işçilerin sendikal faaliyetlerine ilişkin bilgilerin özel nitelikli kişisel veri olarak kabul edilmesi, bu sürecin veri koruma hukuku bağlamında daha titiz bir biçimde değerlendirilmesini zorunlu kılmaktadır.

Bu çalışmada, toplu iş sözleşmeleri sürecinde kişisel verilerin KVKK kapsamında hangi hukuki sebeplerle işlenebileceği, özel nitelikli kişisel veriler açısından aranan şartlar ile tarafların uyması gereken temel ilkeler ve yükümlülükler incelenmektedir.

 

1. Toplu İş Sözleşmesinin Tanımı ve Kapsamı

Sendikalar ve Toplu İş Sözleşmesi Kanunu (“STİSK”) uyarınca toplu iş sözleşmesi, iş sözleşmesinin yapılması, içeriği ve sona ermesine ilişkin hususları düzenlemek üzere işçi sendikası ile işveren sendikası veya sendika üyesi olmayan işveren arasında yapılan bir sözleşmedir.

Toplu iş sözleşmesinin temel işlevi, iş ilişkilerinde tarafların hak ve yükümlülüklerini, özellikle çalışma koşullarını ve ücretlendirme esaslarını belirlemek suretiyle iş barışını sağlamaktır. Bu çerçevede toplu iş sözleşmesinin kapsamını doğru şekilde belirlemek büyük önem arz etmektedir. Zira, toplu iş sözleşmesinin konusu dışında kalan ve sözleşmeye konulan düzenlemeler, hukuken etkisi olmayacağından işçi ve işverenler bakımından hak ve borç doğurmayacaktır.[1]

Anayasa’nın 53. maddesinde[2] de ifade edildiği üzere, toplu iş sözleşmesi yapma hakkı, tarafların özgür iradeleriyle şekillenen ve yalnızca çalışma ilişkisine özgü konularla sınırlı olan bir haktır. Bu nedenle tarafların ekonomik ve sosyal durumları veya çalışma şartları kapsamında değerlendirilemeyecek konular, toplu iş sözleşmesine dahil edilemeyecektir.[3]

Bu doğrultuda toplu iş sözleşmesinde düzenlenen ilişkiler, işçi ve işverenin karşılıklı konumları dikkate alınarak, temelinde iş ilişkisi bulunan, yan edim niteliği taşıyan veya ücret borcunun eki olarak ortaya çıkan yükümlülüklerden oluşmaktadır. Çalışma şartları kavramı ise geniş anlamda ele alınmakta olup, yalnızca işçinin fiilen işini ifa ederken tabi olduğu koşulları değil, aynı zamanda işyeri organizasyonu, çevre düzenlemeleri, sağlık koşulları, iş sağlığı ve güvenliği gibi iş yaşamını doğrudan etkileyen unsurları kapsamaktadır.

Toplu iş sözleşmeleri bakımından görüşme yöntemine ilişkin ise bir düzenleme bulunmamaktadır. Uygulamadan yararlanarak toplu görüşmenin yapılması konusunda izlenecek esaslar;

• İlk toplantıda işçi sendikası adına toplu görüşme ve toplu iş sözleşmesi yapmaya yetkili olanları gösteren yetki belgelerini işveren tarafına, işveren bir sendikaya üye olması halinde sendika adına toplantıya katılan temsilciler veya işverenin sendika üyesi olmaması halinde işveren temsilcileri aynı şekilde yetki belgelerini sendika temsilcilerine verirler.
• İlk toplantıda genellikle toplantı ve görüşme yöntemine ilişkin konular görüşülür ve karara bağlanır.
• Bundan sonra toplu sözleşme tekliflerinin ve karşı tekliflerin görüşülmesine geçilir.
• Sonraki toplantılarda görüşmelere geçilerek kabul edilen maddeler her toplantı sonunda düzenlenen tutanağa geçirilir. Üzerinde anlaşmaya varılamayan teklifler sonraki toplantılarda tekrar görüşülür.[4]

Toplu iş sözleşmesinde ve sözleşme sürecinde hem iş ilişkisinin niteliği hem de yasal yükümlülüklerin yerine getirilebilmesi adına işçinin kişisel verileri işlenmektedir. Bu nedenle tarafların toplu iş sözleşmelerinde KVKK ve ilgili mevzuat kapsamındakişisel veri işleme faaliyetlerine ilişkin uyması gereken ilke ve yükümlülükler bulunmaktadır.  

 

2. Toplu İş Sözleşmelerinde ve Süreçlerinde Kişisel Veri İşleme Faaliyetleri

Toplu iş sözleşmeleri, işçi ve işveren arasındaki ilişkileri düzenlerken, işçinin kimlik bilgileri, iletişim bilgileri, çalışma ve mesleki bilgileri, sendika üyelik bilgileri ve finansal verileri gibi çeşitli kişisel verileri de içermektedir.

Kişisel verilerin işlenmesi, KVKK’nın 3. maddesinde “Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.

Bu tanım, kişisel verilerin her türlü kullanımını kapsamaktadır. Toplu iş sözleşmesi süreçlerinde; işçiye ait kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, açıklanması, aktarılması gibi işlemlerin gerçekleştirilmesi nedenleriyle bir kişisel veri işleme faaliyeti söz konusu olup bu faaliyetlerin KVKK’ya uygun şekilde gerçekleştirilmesi gerekmektedir.

 

3. Toplu İş Sözleşmelerinde ve Süreçlerinde Kişisel Veri İşleme Faaliyetlerinin Hukuka Uygunluk Nedenleri

Kişisel veri işleme faaliyetleri KVKK’nın 5. maddesinde belirtilen hukuka uygunluk nedenlerinden birine dayanmalıdır. KVKK’nın 5. maddesinde öngörülen hukuka uygunluk sebepleri sınırlı sayıda düzenlenmiş olup, bu sebepler genişletilemeyecektir.

KVKK’nın 5. maddesinde öngörülen hukuka uygunluk nedenleri şunlardır:

• İlgili kişinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Toplu iş sözleşmeleri kapsamında işçilerin kişisel verilerinin işlenmesi çoğunlukla, işverenin sözleşmesel ve yasal yükümlülüklerini yerine getirmesiyle doğrudan bağlantılı olarak gündeme gelmektedir. Nitekim işverenin, sendika aidatlarının kesilmesi, sendika üyeliği bilgisine dayanarak toplu iş sözleşmesinden doğan hakları işçiye yansıtması, toplu iş sözleşmesinden faydalanma hakkına sahip olanların tespiti veya istatistiki verilerin tutulması gibi amaçlarla kişisel verilerin işlemesi söz konusu olabilmektedir.

Bu çerçevede, işçilerin toplu iş sözleşmesinden doğan hak ve yükümlülüklerinin tesis edilebilmesi bakımından kişisel veri işleme faaliyeti, KVKK m. 5/2-c kapsamında “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olma”, KVKK m. 5/2-ç kapsamında ise “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma” hukuka uygunluk sebeplerine dayandırılabilecektir.

 

4. Toplu İş Sözleşmelerinde Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. 

KVKK’nın 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bu kapsamda; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmiştir.

Toplu iş sözleşmeleri bağlamında, işçilerin sendika üyeliklerine ilişkin bilgiler özel nitelikli kişisel veri kapsamında değerlendirilebilecektir. Bu bilgiler arasında; işçinin hangi sendikaya üye olduğu veya üye olup olmadığı, sendikaya üye olma ve üyelikten ayrılma tarihleri, sendika aidat durumu, işçinin sendika içerisinde temsilci, yönetici veya başka bir pozisyonda olup olmadığına dair bilgiler, üyelik başvuru formları, onay belgeleri veya sendikal faaliyetlere ilişkin diğer dokümanlar yer almaktadır. Bu tür veriler, KVKK kapsamında özel nitelikli kişisel veri olarak koruma altına alınmıştır.

12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de  yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile KVKK’nın 6. maddesinde değişiklikler öngörülmüştür. Değişiklik ile özel nitelikli kişisel verilerin hukuki işleme sebepleri genişletilmiş ve 5. maddede yer alan kişisel verilerin işlenmesine ilişkin temel hukuki işleme sebepleriyle uyum sağlanmıştır.

KVKK’nın 6. maddesi uyarınca özel nitelikli kişisel verilerin işlenebileceği hukuki sebepler şunlardır:

• Açık rıza,

• Kanunlarda açıkça öngörülme,
• Fiili imkânsızlık,
• Alenileştirme,
• Bir hakkın tesisi, kullanılması veya korunması için zorunluluk,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme,
• İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluşlar veya oluşumlar tarafından, tabi oldukları mevzuata ve amaçlarına uygun şekilde, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla, mevcut veya eski üyeleri, mensupları ya da bu kuruluşlarla düzenli temasta bulunan kişiler hakkında veri işlenmesi.

Bu sebepler haricinde, özel nitelikli kişisel veriler işlenemeyecektir.

Bu kapsamda toplu iş sözleşmesi sürecinde, işçilerin sendika üyeliklerine ilişkin özel nitelikli kişisel verileri KVKK m. 6/1-f kapsamında “İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme,”ve KVKK m. 6/1/g kapsamında “Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,” uyarınca işlenebilecektir.

Hukuka uygunluk nedenlerinin mevcudiyeti halinde dahi özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen veri güvenliği önlemlerinin alınması şarttır. KVK Kurulu, 31.01.2018 tarih ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararıyla bu önlemleri somutlaştırmıştır.[5]

Bu önlemlerden bazıları şunlardır:

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlarla gizlilik sözleşmeleri yapılmalı, verilere erişim yetkisine sahip kullanıcıların yetki kapsamı ve süreleri net olarak tanımlanmalı ve yetki kontrolleri periyodik olarak gerçekleştirilmelidir.
• Özel nitelikli veriler elektronik ortamda saklanıyorsa kriptografik yöntemler kullanılarak korunmalı, veriler üzerinde gerçekleştirilen tüm işlemler güvenli bir şekilde loglanmalı ve uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanmalıdır. Bu veriler fiziksel ortamlarda saklanıyorsa ortamların fiziksel güvenliği sağlanmalı ve yetkisiz giriş çıkışlar engellenmelidir.
• Özel nitelikli kişisel verilerin aktarılması gerektiğinde ise eğer e-posta yoluyla aktarım söz konusuysa veriler şifrelenerek kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı üzerinden gönderilmelidir. Taşınabilir bellek, CD veya DVD gibi ortamlarda aktarım yapılacaksa, veriler kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı bir ortamda saklanmalıdır. Verilerin kağıt ortamında aktarılması gerekiyorsa evrakın çalınma, kaybolma veya yetkisiz kişiler tarafından görülme risklerine karşı gerekli önlemler alınmalı ve belge “gizlilik dereceli belgeler” formatında gönderilmelidir.

 

5. Toplu İş Sözleşmelerinde Kişisel Veri İşleme Faaliyetleri Sırasında Uyulması Gereken Temel İlkeler

Kişisel veri işleme faaliyetlerinde, KVKK’nın 4. maddesi uyarınca uluslararası düzenlemelerle (108 Sayılı Sözleşme ve 95/46/AB Direktifi) uyumlu şu temel ilkelere riayet edilmelidir:

• Hukuka ve Dürüstlük Kurallarına Uygunluk: İşlemler yasal çerçeve ve etik kurallara uygun yürütülmelidir.
• Doğruluk ve Güncellik: Veriler doğru olmalı, gerektiğinde güncellenmelidir.
• Belirli, Açık ve Meşru Amaç: Veriler yalnızca toplu iş sözleşmesi hazırlama, görüşme yürütme veya hak-yükümlülük belirleme gibi meşru amaçlarla işlenmelidir.
• Ölçülülük ve Sınırlılık: Toplanan veriler, amaçla doğrudan bağlantılı, asgari düzeyde ve gereksiz detaylardan arındırılmış olmalıdır.
• Sınırlı Saklama Süresi: Veriler, yasal zorunluluk veya amaç için gerekli olduğu süre boyunca saklanmalıdır.

Toplu iş sözleşmeleri kapsamında kişisel veriler, ilgili mevzuata ve dürüstlük kurallarıyla uyumlu şekilde işlenmeli; tarafların hak ve yükümlülükleri adil bir dengeyle korunmalıdır. İşçilere ait işlenen kişisel veriler (kimlik bilgileri, ücret bilgileri, çalışma süreleri vb.) doğru, güncel ve eksiksiz olmalı, sözleşme süreçlerinde yanıltıcı veya eksik bilgi kullanımından özenle kaçınılmalıdır.

Veri işleme faaliyetleri, yalnızca toplu iş sözleşmesinin hazırlanması, görüşmelerin yürütülmesi, işçi hak ve yükümlülüklerinin belirlenmesi gibi belirli, açık ve meşru amaçlarla sınırlandırılmalı; amaç dışı kullanıma izin verilmemelidir. Ayrıca veri minimizasyonu ilkesi gereği yalnızca zorunlu ve asgari düzeydeki veriler toplanmalı, gereksiz veya aşırı veri birikiminden kaçınılmalıdır.

Son olarak, bu veriler yasalarca belirlenen veya sözleşmenin gerektirdiği süre boyunca saklanmalı, süre sona erdiğinde ise derhâl silinmeli/yok edilmeli veya anonimleştirilerek veri imha tutanağına bağlanarak güvenli şekilde imha edilmelidir.

 

6. Toplu İş Sözleşmelerinde Kişisel Veri İşleme Faaliyetleri Sırasında Yerine Getirilmesi Gereken Yükümlülükler

 

1. Kişisel verilerin işlenme sebeplerinin ortadan kalkması halinde silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir.

KVKK’nın 7. maddesi gereğince KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilecektir.

Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır. Bu kapsamda toplu iş sözleşmeleri sürecinde işçilere ait kişisel veriler işlenme sebeplerin ortadan kalkması halinde ilgili mevzuatta belirtilen esaslara uygun yöntemlerle silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir.  

 

1. Kişisel veri aktarımının mevzuatta öngörülen şartlara uygun olarak gerçekleştirilmesi gerekmektedir.

Toplu iş görüşmeleri sürecinde sendika işçilerin yukarıda yer verilen işçilerin kişisel verilerine ilişkin paylaşımı KVKK anlamında veri aktarımı olarak değerlendirilmektedir. KVKK’nın 8. maddesi uyarınca genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Ancak KVKK’nın 5. ve 6. maddesindeki şartların kişisel veri aktarımı açısından sağlanması halinde açık rıza aranmaksızın kişisel verilerin üçüncü kişilere aktarılabileceğine hükümde yer verilmiştir.

Somut olay bağlamında işçilerin sendika üyeliklerine ilişkin özel nitelikli kişisel veriler KVKK’nın 6. maddesinin 1. fıkrasının (g) ve (f) bentleri nedeniyle işlendiğinden açık rıza aranmaksızın toplu iş görüşmeleri sırasında veri aktarımı sağlanabilecektir.

Toplu iş sözleşmesi görüşmesi sürecinde sendika ile kişisel veri aktarımı söz konusu olacağından sendika ile kişisel verilerin korunmasına ilişkin taahhütname yapılması uygun olacaktır.

1. İşçiler toplu iş sözleşmeleri kapsamında veri işleme sürecine ilişkin açık ve net bir şekilde bilgilendirilmelidir.

KVKK’nın 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. Aydınlatma yükümlülüğü işlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmektedir.

Aydınlatma yükümlülüğünün yerine getirilebilmesi için asgari olarak KVKK’nın 10.maddesinde[6] yer alan şartlara yer verilmesi ve aydınlatma yükümlülüğüne ilişkin Tebliğ’e uyulması gerekmektedir.  

Bu kapsamda işçiler (ilgili kişiler) veri işleme süreçleri hakkında açık ve net bir şekilde bilgilendirilmelidir. Örneğin, işçi sendikal faaliyetler nedeniyle sendika üyeliğine ilişkin özel nitelikli kişisel verilerinin işçi sendikasıyla paylaşılacağı hususunda bilgilendirilmelidir. Yapılacak bilgilendirme; işlenen veriler, işleme amacı, hukuki dayanak ve veri sahibinin haklarını kapsamalıdır.

 

1. İşçilerin KVKK’nın 11. maddesi uyarınca sahip oldukları hakların kolayca kullanabilmeleri sağlanmalıdır.

Kişisel verisi işlenen işçilerin hakları KVKK’nın 11. maddesinde düzenleme bulmaktadır. İlgili düzenleme uyarınca işçilerin sahip oldukları erişim, düzeltme, silme, itiraz gibi haklarının kolayca kullanabilmeleri sağlanmalıdır.

1. Kişisel verilerin yetkisiz erişim, kayıp veya kötüye kullanım riskine karşı korunması için gerekli teknik ve idari tedbirler alınmalıdır.

KVKK’nın 12. maddesi uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda kılınmıştır.

Bu nedenle toplu iş sözleşmeleri sürecinde işlenen kişisel verilerin yetkisiz erişim, kayıp veya kötüye kullanım riskine karşı korunması için gerekli teknik ve idari tedbirler alınmalıdır. Kurum’un yayımlamış olduğu Kişisel Veri Güvenliği Rehberi uyarınca alınabilecek birtakım önlemler aşağıdaki gibidir;

• Taraflar arasındaki yazışmalar (e-posta, belge paylaşımı) şifreli platformlar (örn. ProtonMail, SharePoint şifreli paylaşım) üzerinden yapılmalıdır.
• Sadece TİS komisyon üyeleri ve yetkili HR çalışanları, çalışan verilerine erişebilmeli; diğer çalışanların verilere erişimi engellenmelidir.
• TİS görüşmelerine katılan tüm taraflar (işveren temsilcileri, sendika yetkilileri) KVKK uyumlu gizlilik anlaşması imzalamalıdır.
• Görüşmelerde ihtiyaç duyulmayan veriler talep edilmemeli; yalnızca ücret, kıdem, çalışma koşulları gibi doğrudan sözleşmeyle ilgili veriler işlenmelidir.
• TİS metinlerinde yapılan tüm değişiklikler ve erişimler detaylı log kayıtları ile izlenmeli, bu kayıtlar en az 2 yıl saklanmalıdır.
• Basılı TİS metinleri ve çalışan verileri kilitli arşiv odalarında saklanmalı, erişim yetkisi sınırlandırılmalıdır.
• Süreç tamamlandıktan sonra gereksiz veriler (örn., taslak belgeler, geçici çalışan listeleri) anonimleştirilme, silme veya yok etme yöntemlerinden biriyle imha edilmelidir.
• Veri ihlali durumunda hızlı bildirim protokolleri devreye alınmalıdır.

 

2. SONUÇ

Toplu iş sözleşmeleri sürecinde işveren ile işçi arasında kurulan ilişki ve sendikal ilişkiler kapsamında taraflara ait çeşitli kişisel verilerin işlenmesini gerekli kılmaktadır. Söz konusu veriler; kimlik, iletişim, mesleki yeterlilik, sendika üyelik durumu ve finansal bilgilere kadar uzanan geniş bir yelpazeyi kapsamaktadır.

Bu süreçte gerçekleştirilen kişisel veri işleme faaliyetleri, KVKK ve ilgili mevzuat çerçevesinde yürütülmelidir. İşveren tarafından gerçekleştirilen veri işleme faaliyetleri; sözleşmenin ifası, hukuki yükümlülüklerin yerine getirilmesi ve ilgili kişinin temel hak ve özgürlüklerine zarar vermeme koşuluyla meşru menfaat gerekçelerine dayanmalıdır.

Toplu iş sözleşmeleri süreçlerinde işçilerin sendika üyeliklerine ilişkin bilgiler, KVKK’nın 6. maddesi gereği özel nitelikli kişisel veri kapsamında değerlendirilecektir. Bu kapsamda işçilere ait sendika üyelik bilgileri, KVKK’nın 6. maddesinin 1. fıkrasının (f) ve (g) bendi  kapsamında açık rıza olmaksızın işlenebilecek ve toplu iş görüşmeleri sırasında aktarılabilecektir. Bu kapsamda Kişisel Verileri Koruma Kurulunun 31.01.2018 tarih ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararı uyarınca belirlenen yeterli önlemlerin alınması şarttır.

Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla işlenmeli; veri minimizasyonu ilkesine uygun şekilde yalnızca gerekli olan veriler toplanmalıdır. Toplu iş sözleşmesinin hazırlanması, uygulanması ve işçilerin sendikal haklardan yararlandırılması gibi amaçlarla işlenen verilerin, amacı ortadan kalktığında silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir.

Ayrıca, işçilerin veri işleme faaliyetleri hakkında açık ve anlaşılır biçimde bilgilendirilmesi, aydınlatma yükümlülüğünün yerine getirilmesi ve veri öznesinin (ilgili kişinin) KVKK’nın 11. maddesi kapsamındaki haklarını kolaylıkla kullanabilmesi sağlanmalıdır.

Son olarak, kişisel veri işleme envanterinde sendikal süreçlere özgü veri türleri, işleme amaçları, saklama süreleri ve yasal dayanaklara açık biçimde yer verilmelidir. Böylece hem işverenin yükümlülükleri hem de işçinin hakları güvence altına alınarak, toplu iş sözleşmesi süreçlerinde veri koruma ilkeleri ile çalışma hayatı dengeli şekilde birlikte yürütülebilecektir.

KAYNAKÇA

ÇELİK, Nuri, Toplu İş Sözleşmesinin Yapılması, İstanbul, Beta, 2009, s. 534–535.

EKMEKÇİ, Ömer, Toplu İş Sözleşmesi Hukuku, 5.Baskı, İstanbul, Oniki Levha, 2023, s. 278.

KİŞİSEL VERİLERİ KORUMA KURULU, 31.01.2018 Tarih ve 2018/10 Sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler, Resmî Gazete, 07.03.2018, Sayı: 30353.

https://www.kvkk.gov.tr/Icerik/4110/2018-10 (Erişim Tarihi: 26.05.2025)

 

KİŞİSEL VERİLERİ KORUMA KURUMU, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), Ankara, KVK Kurumu Yayınları, 2025.

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf (Erişim Tarihi: 29.01.2025)

KİŞİSEL VERİLERİ KORUMA KURUMU, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, Ankara, KVK Kurumu Yayınları, 2025.
https://www.kvkk.gov.tr/Icerik/8184/Ozel-Nitelikli-Kisisel-Verilerin-Islenmesine-Iliskin-Rehber (Erişim Tarihi: 29.01.2025)

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Resmî Gazete, 28.10.2017, Sayı: 30224.
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=24038&MevzuatTur=7&MevzuatTertip=5 (Erişim Tarihi: 29.01.2025)

Kişisel Verilerin Korunması Kanunu, 24.03.2016 tarihli ve 6698 sayılı Kanun, Resmî Gazete, 07.04.2016, Sayı: 29677.

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5  

(Erişim Tarihi: 29.01.2025)

Sendikalar ve Toplu İş Sözleşmesi Kanunu, 18.10.2012 tarihli ve 6356 sayılı Kanun, Resmî Gazete, 07.11.2012, Sayı: 28460.

https://mevzuat.gov.tr/mevzuat?MevzuatNo=6356&MevzuatTur=1&MevzuatTertip=5 (Erişim Tarihi: 29.01.2025)

SÜZEK, Sarper, İş Hukuku, 17. Baskı, İstanbul, Beta, 2020, s. 690–691.

Türkiye Cumhuriyeti Anayasası, 07.11.1982 tarihli ve 2709 sayılı Kanun, Resmî Gazete, 09.11.1982, Sayı: 17863.

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=2709&MevzuatTur=1&MevzuatTertip=5 (Erişim Tarihi: 29.01.2025)