Kişisel verilerin korunmasını isteme hakkı 7 Mayıs 2010 tarihinde 5982 sayılı Kanunun ikinci maddesi ile Anayasanın Özel Hayatın Gizliliği başlıklı 20 inci maddesinin üçüncü fıkrasına ek fıkra olarak ilave edilmiştir. Buna göre, Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Medeni Kanunda doğrudan özel yaşamı korumaya ilişkin bir hüküm bulunmamaktadır. Ancak TMK.m.23-25 de kişiliğin korunmasına ilişkin düzenlemeler getirilmiştir. Bu hükümler, kişilerin ve aynı zamanda işçilerin kişisel verilerinin korunması bakımından bir araç olabilir. TMK.m.24’e göre, “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” Kişilik hakları hukuka aykırı olarak saldırıya uğrayan kişi TMK.m.25 çerçevesinde, saldırının tespiti amacıyla tespit, saldırının sona erdirilmesi için men, saldırı tehlikesinin önlenmesi maksadıyla önleme ve kişilik haklarının zarar görmesi nedeniyle uğradığı zararın giderilmesi için maddi veya manevi tazminat davalarını açabilir. İşçinin kişisel verilerinin işveren ya da işveren vekili tarafından hukuka aykırı olarak kullanılması halinde, gizli kalması gereken kişisel verilerinin kullanılması dolayısıyla kişilik hakları zedelenen işçi de söz konusu genel hükümlerden yararlanarak dava açabilme imkanına sahiptir.
Teknolojik gelişmeler sonucu günlük yaşantının bir parçası hâline gelen ve bilgisayar ortamında saklanabilen verilerin kullanılması konusunda işçinin korunması amacıyla bazı sınırlamalar yapılmış ve bu gerekçe ile Türk Borçlar Kanununun 419 uncu maddesi düzenlenmiştir31. Buna göre, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.”
5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Kişisel verilerin kaydedilmesini düzenleyen TCK.m.135 e göre, “ Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.” Verileri hukuka aykırı olarak verme veya ele geçirme başlığı altında TCK.m.136 ya göre, “ Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” Verileri yok etmemenin yaptırımı düzenleyen TCM.m.138 e göre, “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.” TCK.m.139 çerçevesinde kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
İş Kanunumuzda işçilerin kişisel verilerinin korunmasına ilişkin olarak 75. madde ile bir düzenleme getirilmiştir. Söz konusu maddeye göre, “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” Bu düzenleme dürüstlük, kuralının yansıması olarak yerinde bir düzenlemedir. Bu madde çerçevesinde işverenin işçisi ile sözleşme yaptığı andan itibaren işçi hakkında tutacağı kayıtları gizli tutmak ve kimseye açıklamamak yükümlülüğü doğar. İşçinin özlük dosyasında yer alan bilgileri açıklamama yükümlülüğü, sır saklama yükümlülüğü kapsamında değerlendirilebilir. İşverenin bu yükümlülüğe aykırı davranarak işçinin dosyasında yer alan kişisel verileri üçüncü kişilere açıklaması halinde sır saklama yükümlülüğünün ihlal edildiği söylenebilir.
İşverenin, işçinin özlük dosyasında bulunan bilgileri saklaması, işçi hakkında edindiği bilgileri hukuka uygun olarak kullanması ve gizli kalması gereken bilgileri açıklamaması gerekmesine karşın; bu yükümlülüğü ihlal etmesi halinde yaptırım olarak sadece İş K.m.104/1’de, özlük dosyalarını düzenlemeyen işveren ve işveren vekilinin para cezası ödeyeceği düzenlenmiştir. İşçinin kişisel verilerinin bu şekilde hukuka aykırı olarak kullanılması halinde işçi İş K.m.24/II çerçevesinde iş sözleşmesini haklı sebeple feshedebilir ya da genel hükümler çerçevesinde tazminat talep edebilir.
İş Sağlığı ve Güvenliği Kanununun 15 inci maddesinde “Sağlık gözetimi” düzenlenmiştir. Buna göre işveren; çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlar. Bununla birlikte işe girişlerinde, iş değişikliğinde, iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde talep etmeleri hâlinde ve işin devamı süresince, çalışanın ve işin niteliği ile işyerinin tehlike sınıfına göre Bakanlıkça belirlenen düzenli aralıklarla çalışanların sağlık muayenelerinin yapılmasını sağlamak zorundadır. Tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacaklar, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlatılamaz. Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur.
İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliğinin “İşverenin sağlık ve güvenlik kayıtları ve onaylı deftere ilişkin yükümlülükleri” başlıklı yedinci maddesine göre işveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kayıt ile işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdür. Çalışanın işyerinden ayrılarak başka bir işyerinde çalışmaya başlaması halinde, yeni işveren çalışanın kişisel sağlık dosyasını yazılı olarak talep ederse, önceki işveren dosyanın bir örneğini onaylayarak bir ay içerisinde gönderir. Onaylı defterin asıl sureti işveren, diğer suretleri ise iş güvenliği uzmanı ve işyeri hekimi tarafından saklanır. Defterin imzalanması ve düzenli tutulmasından işveren sorumludur. İşveren, teftişe yetkili iş müfettişlerinin her istediğinde işveren onaylı defteri göstermek zorundadır. İşçinin kişisel verilerinin işlenebilmesi için, KVKK’da öngörülen ilk şart, işçinin açık rızasının bulunmasıdır.