Turkey: İşçilerin Bilgi Güvenliği Kurallarını İhlal Etmesi Sorunu: İşverenlerin Haklı Sebeple Fesih İmkanı Doğar mı? İlk Derece Mahkemeleri Bu Durumu Nasıl Ele Almalı?

GİRİŞ

Kişisel verilerin korunması ve bilgi güvenliğinin sağlanması kavramları her alanda olduğu gibi işçi-işveren ilişkisinde de gün geçtikçe önem ve değer kazanmaktadır. Bu durum sağladığı avantajlarla birlikte alınması gereken yükümlülükleri de beraberinde getirir. İşveren, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında veri güvenliğini sağlamakla yükümlü olup, yerine getirmediği takdirde yaptırımlara tabidir.

Bu kapsamda işçi tarafından işyerinde gerçekleştirilen bir veri güvenliği ihlali halinde; işverenin veri güvenliğini sağlama yükümlülüğünü düzenleyen Kanun'un 12. maddesi ile 4857 sayılı İş Kanunu'nun işverenin haklı fesih hallerini düzenleyen 25. maddesinin bir arada ele alınması gerekir. Bu yazıda da işveren açısından bir tarafta hak, bir tarafta da yükümlülüğün karşı karşıya olduğu bu konu, ilgili teknik bilgilerde kaybolmadan daha çok somut örnekler bağlamında tartışılacaktır. Bu kapsamda bir işçinin, iş yerinde bilgi güvenliği kurallarını ihlal etmesi şeklinde gerçekleşen olaylar ve bunun sonuçları açıklanacaktır.

Genel Olarak

Kişisel verilerin korunması ve bilgi güvenliği kavramlarının en çok etkileşimde olduğu alanlardan birini de, işçi-işveren ilişkisi oluşturur. İşverenler çalışan verilerinin işlenmesi açısından prensip olarak her zaman veri sorumlusu durumundadırlar.

Dolayısıyla özellikle işçi-işveren ilişkisinde kişisel verilerin korunması konusunda gerekli özen ve dikkat gösterilmelidir. Bunu yalnızca belli bir somut süreç bakımından düşünmek de yeterli değildir. Bu bağlamda veri güvenliğine ilişkin alınan bütün teknik ve idari tedbirlerin ötesinde bir unsur vardır: insan faktörü¹! Siz ne kadar önlem alırsanız alın, tümüyle mevzuata uyumlu hale gelin, düzenli eğitimler verin, bazen insan hareketinin önüne geçmeniz mümkün değildir. Bütün alınan tedbirlere rağmen işyerinde veri güvenliği kurallarını ihlal eden bir işçiyle karşı karşıya kalan işveren ne yapmalıdır? Aşağıda da açıklanacağı üzere Kanun, veri sorumlusunun veri güvenliğini sağlaması gerektiği noktasında yeterince açıktır. Kanun'un "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesi uyarınca işveren, veri sorumlusu sıfatını haiz olduğu her süreçte bu yükümlülükleri yerine getirmek durumundadır. Aksi takdirde Kanun ile belirlenen ağır yaptırımlarla karşı karşıya kalma tehlikesi bulunur.

İşverenin bu yükümlülüğünü yerine getirmek için her türlü idari ve teknik tedbiri aldığı bir durumda veri güvenliğini sağlama yükümlülüğüne bir çalışanın hukuka aykırı ya da ihmalkâr hareketiyle ket vurması sıklıkla karşılaşılabilen bir problemdir.

İşte bu durumda İş Kanunu'nun "İşverenin haklı nedenle derhal fesih hakkı" başlıklı 25. maddesinin "Ahlak ve iyi niyet kurallarına uymayan haller ve benzerleri" düzenleyen 2. fıkrasını tartışmak gerekir. Bir işçinin işyerinde veri güvenliği kurallarını ihlal etmesi İş Kanunu'nun 25/2 maddesini, başka bir deyişle işverenin haklı nedenle fesih imkanını gündeme getirir mi? İşverenin bu yönde bir adım atması halinde işçi tarafından açılacak bir davada ilk derece mahkemelerinin bakış açısı nasıldır ve nasıl olmalıdır? Ne yazık ki Türkiye'de "bilgi, kişisel veri, bilgi güvenliği ve gizlilik" kavramlarına ilişkin farkındalığın henüz yeteri kadar gelişmemiş olması nedeniyle bilgi güvenliği kurallarına yönelik olarak gerçekleştirilen ihlallerin yeteri kadar önemsenmediğini gözlemlemekteyiz. Bu sorunun hukukun uygulanması ve bilgi güvenliğinin sağlanması noktasında oluşturulmaya çalışılan bilincin oturmasını zorlaştıracağı da açıktır. Bu tehlikenin giderilmesinin ise ancak yargı makamlarının özen ve gayretleriyle sağlanabileceği unutulmamalıdır.

1.Yargı Makamlarına Taşınan Olayların Özeti

Sizlerle paylaşmak istediğimiz değerlendirme konusu olaylar, işçi-işveren ilişkisinde bilgi güvenliğinin sağlanması ile ilgilidir.

Birinci olayda, ilgili çalışan, şirketin operatör hizmeti sunan biriminde çalışmaktadır. Burada görev ve yetkili olduğu konular net bir şekilde belirlidir. Buna karşın, söz konusu personel, bir başka personelin kullanıcı adı ve şifresini kullanarak bir yakının hattına taahhütlü telefon tanınmış ve ayrıca sistemi yanıltarak ikinci bir tanıma işlemi gerçekleştirmiştir. Ayrıca yine başka bir kullanıcı adı ve şifreyi kullanarak bir yakının hattına hat sahibinin herhangi bir talebi olmaksızın para yüklemesi yapmıştır.

İkinci olayda ise bir şirket personelinin çalışma ücreti, saatlik olarak belirlenmektedir. Sisteme kullanıcı adı ve şifresiyle giriş yapan personel, sistemin açık olduğu süre uyarınca maaş almaktadır. Öte yandan iş yerine giriş ve çıkışlar elektronik kart uygulamasıyla sağlanmaktadır. Şirket yetkilileri tarafından geçmişe dönük olarak yapılan rutin denetim ve kontroller esnasında, bazı çalışanların işe giriş ve çıkış saatleri ile sistemlerinin açık olduğu süre arasında uyumsuzluklar olduğu tespit edilmiştir. Bu tespitin genişletilmesi sonucunda ise olaya konu olan personelin fiziken iş yerinde bulunmamasına rağmen kullanıcı adını ve şifresini diğer çalışanlarla paylaştığı, diğer çalışanlar tarafından sistemine giriş yapıldığı ve bu yolla çalışma saatini haksız bir şekilde fazla gösterdiği ve haksız kazanç elde ettiği sonucuna ulaşılmıştır.

Her iki olayda da personellerin kendilerine tanımlanmış olan kullanıcı adı ve şifrelerini usulsüz bir biçimde paylaştıkları görülmektedir. Aşağıda detaylı olarak açıklanacağı üzere işçiler tarafından gerçekleştirdiği belirtilen süreçlericiddi bilgi güvenliği ihlallerine neden olabilmekte ve bu durum işveren bakımından tehlike barındırmaktadır.

Bu tehlike yalnızca yukarıda belirtilen somut olaylarla sınırlı olarak düşünülmemelidir. Günümüzde her işveren açısından bilgi güvenliğini sağlamak ve özellikle hizmet verilen gerçek kişiler nezdinde kişisel verileri korumak zaten yeterince zordur. Zira şirketler bunu sağlayabilmek için Kanun'a uyum projeleri yürütmekte, çeşitli aşamalardan geçmekte ve eğitimler düzenlemektedir. Bir tarafta bunun için bu kadar emek ve para harcanırken, diğer taraftan bunun ihmal edilmesi ve yeterli özenin gösterilmemesi kabul edilebilir bir durum değildir.

İşverenin gerekli dikkat ve özeni gösterip alması gereken önlemleri de aldıktan sonra işçinin bilgi güvenliği kuralını ihlal etmesi suretiyle veri güvenliğine ilişkin yükümlülükleri yerine getirmemekten sorumlu tutulması ve bu kapsamda idari para cezalarıyla karşı karşıya kalması hakkaniyete uygun düşmeyecektir.

2. İlk Derece Mahkemelerinin İş yerlerinde Gerçekleşen Bilgi Güvenliği İhlallerine Olan Bakış Açısı

Bu noktada mahkemelerin temel amacının bir tarafı haksız veya suçlu konumuna düşürmek değil; olaya bir bütün olarak yaklaşıp her bir tarafın üzerine düşen yükümlülükleri en iyi şekilde yerine getireceği bir düzen ve farkındalık oluşturmaktır. Aksi takdirde bu ihlallerin önünü almak mümkün olmadığı gibi, gelişen teknolojiyle birlikte muhtelif hukuk normlarının ihlali ve haksızlığın yoğunluğunda ciddi artışların gerçekleşmesi kaçınılmaz olacaktır. Bu, domino taşları gibi, verilerin tüm ilgililerini ve paydaşlarını etkisi altına alacaktır.

Bu nedenle yargı makamlarının yukarıda belirtilen ve benzeri şeklinde gerçekleşen ihlallere karşı nasıl bir yaklaşım benimsediği ve hangi yönde kararlar verdiği ile olması gereken yaklaşımın ne olduğu karşılaştırmalı olarak tartışılacaktır.

2.1. İlk derece mahkemelerine genel olarak hakim olan bakış açısı

Her şeyden önce belirtmek gerekir ki, iş davalarında ilk derece mahkemeleri yargılama esnasında işçi lehine olan hususları göz önüne alarak, başkaca bir incelemeye ihtiyaç duymaksızın karara gerekçe yapma eğilimi göstermektedirler. Ancak bu durum belki fazla mesai, eşitlik vb gibi çalışan için esaslı konular için anlamlı iken, çalışanın hukuka aykırı hatta bazen dolanlı eylemlerinin göz ardı edilmesi ve bu durumlarda dahi işveren aleyhine bir yorumun tercih edilmesi hukukun uygulanmasını zorlaştırmaktadır.

Bu konuda, özellikle işverenin diğer mevzuatlar gereği üstlendiği sır saklama, veri güvenliği gibi yükümlülükleri açısından mahkemelerin çok net bir yorum farklılığına gitmesi ihtiyacı vardır. Gerçek kişilerin kişiler verilerini işlemek ve güvenliği sağlamak konusunda, veri sorumlularının idari para cezalarına çarptırılabileceklerini, duruma göre cezai sorumluluklarını dahi gerektirebilecek nitelikte ağır yaptırımlara konu olabileceklerini unutmamak gerekir.

2.2. Somut olaylar bakımından

İlk derece mahkemelerinin yukarıda açıklanan olaylara karşı olan tavrına geldiğimizde mahkemenin karar ve gerekçelerini toplamak gerekir.

Personelin bir yakınının hattına herhangi bir talimat almaksızın para yüklemesi ve sistemi yanıltarak ikinci bir taahhütlü telefon tanımlaması şeklinde gerçekleyen birinci olayda verilen karar ve gerekçeler özet olarak şu şekildedir:

• Mahkeme, personelin sistemini yanıltması ve yakınının hattına bilgisi olmaksızın tanımlama yapılması eylemlerinin hukuka uygun olup olmadığının tespitinde ölçüt olarak şirketin zarara uğrayıp uğramadığına bakmıştır. Mahkemeye göre, her ne kadar haksız bir şekilde tanımlama yapılmışsa da bu tanımlama karşısında hat sahibi zaten faturayı ödeyeceğinden şirket herhangi bir zarara uğramayacaktır. Bu nedenle mahkeme bu açıdan herhangi bir sorun görmemiştir.
• Mahkeme ayrıca, personelin yakınının hattına para yüklemesine ilişkin olarak işveren ile arasında zaten husumet bulunan bir başka personelin beyanlarına dayanarak hatalı şekilde üst birimlerin onayı olduğu kanaatine varmıştır.

Belirtilen gerekçeler sonunda, Mahkeme söz konusu nedenlerle iş akdi feshedilen işçinin fesih nedeninin haklı sebeple fesih olmadığına karar vermiştir.

Kullanıcı adı ve şifresini arkadaşlarıyla paylaşarak işyerinde olmadığı saatlerde sisteme giriş yapılmasını sağlayan ve haksız kazanç sağlayan personelin söz konusu olduğu ikinci olay hakkında varılan kanaatler ise genel olarak şu şekildedir:

• Mahkeme, yaptığı değerlendirmede çalışanların şifrelerini zaten birbiriyle paylaştıkları kanaatine varmıştır.
• Ayrıca tanık beyanına dayanarak yöneticilerin bu durumdan haberdar olduğunu belirtmiştir.

Belirtilen gerekçelerle Mahkeme, iş akdi feshedilen işçinin fesih nedeninin her ne kadar geçerli sebeple fesih olabilecek olsa da haklı sebep olamayacağına kanaat getirmiştir.

3. Genel Olarak Mahremiyet ve Bilgi Güvenliği

Yukarıda belirtilen somut olaylar karşısında ilk derece mahkemelerinin verdiği kararlara bakıldığında ulusal mahkemelerin, Avrupa Birliği ülkelerinin tam aksine bilgi güvenliği konusunda çalışanların ihmal veya kasıtlı hukuka aykırı davranışlarını olağanlaştırma ve önemsememe eğiliminde olduğu söylenebilir. Ancak konuyla ilgili yeterli hassasiyetin gösterilmesi ancak bu kavramların anlam ve öneminin anlaşılmasıyla sağlanabilir. Bu nedenle kısaca bu kavramlara değinmek gerekir.

3.1. Mahremiyet - Kişisel Verilerin Korunması – Bilgi Güvenliği

Mahremiyet kavramı gereğine bilgilerin kullanılmaması esastır ancak bilgi, elektronik olarak veya başka bir şekilde saklanması gerektiğinde bunu saklayanlar tarafından güvenli bir şekilde tutulması beklenir. Kişisel verilerin korunmasını düzenleyen usul ve esaslar da bu noktada ortaya çıkar.

Kişisel verilerin korunması, aynı zamanda bu veriler üzerinde mahremiyetin ve güvenliğin sağlanmasını da ifade eder ancak temel olarak baştan sona bir veri koruma sürecidir. Bu, verilerin imha edilmesini, bozulmasını, izinsiz kopyalanmasını ve paylaşılmasını veya başka bir şekilde çalınmasını önlenmesinin gerektiği anlamına gelir.

Bilgi güvenliği ise, verilerin izinsiz kullanım ve paylaşıma konu olmayacağı, güvenli ortamda güvenli bir şekilde saklanacağı, bozulmayacağı ve bu verilere erişim izni olmayan kişiler tarafından erişilemeyeceği bakımından gizlilik beklentisinin yerine getirildiğini garanti eder. Bu beklentiler yerine getirilmediği takdirde bir güvenlik ihlali var demektir. Öyleyse bilgi güvenliği sayılan bu işlevleri bakımından "fiziksel, idari ve teknik güvenlik" olmak üzere üç farklı yönden oluşur².

İşte işverenin de kişisel verileri koruma ve bu kapsamda da bilgi güvenliğini sağlama yükümlülüğü bulunur. Bu yükümlülük hem ulusal hem uluslararası mevzuatlar tarafından kendisine yüklenmiş olup, uyulmaması halinde de ağır yaptırımlara tabi tutulmuş olan bir zorunluluktur. Dolayısıyla ilk derece mahkemeleri tarafından beğenilsin veya beğenilmesin, önemsensin veya önemsenmesin işverenlerin kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin yükümlülüğünü inkar etmek artık mümkün değildir.

4. Değerlendirme Konusu Somut Olaylar ve Bilgi Güvenliği

Yukarıda öncelikle somut olaylar özetlendi ve bu olaylar karşısında uygulanan, diğer bir ifadeyle olan hukuk açıklandı. Bundan sonra değerlendirme konusu somut olayların temel konusu olan bilgi güvenliği kavramı çeşitli yönlerden ele alınarak bu kavramın öneminin anlaşılması sağlanmaya çalışıldı. Yazımımızın bu kısmında da bilgi güvenliği kapsamında verilen bilgiler ışığında somut olaylarda ne olmalıydı, diğer bir ifadeyle olması gereken uygulama neydi, sorusunun cevabına ulaşılmaya çalış.

4.1. Bilgi güvenliği kurallarının ihlal edilmiş olması

Yukarıda açıklanan her iki olayda da işçiler tarafından diğer bir işçinin kullanıcı adı ve şifresi kullanılarak onun sistemine giriş yapılması suretiyle bilgi güvenliğinin en temel kurallarının ihlal edilmiş olduğu noktasında herhangi bir tereddüt yoktur. Zira bu şekilde yetkili kılınmayan bir sisteme giriş yapılmış ve yetkisiz erişim sağlanmıştır.

4.2. İhlallerin hukuka aykırılığı

İşçiler tarafından bilgi güvenliği kurallarının ihlal edilmiş olduğu noktasında herhangi bir tereddüt olmadığına göre kuralı ihlal eden işçinin işveren nezdinde yaptırıma tabi tutulması gerekir. Ancak ilk derece mahkemeleri bu ihlalleri çeşitli gerekçelerle meşrulaştırmaya çalışmaktadır. Bu da işverenler açısından büyük zorluk yaratmaktadır. Zira bu ihlalleri "haklı fesih" sebebi olarak kabul etmeyen ilk derece mahkemeleri işçinin bütün tazminat haklarını da kazandığına hükmetmektedir. Bu da işçinin gerçekleştirdiği bir ihlal dolayısıyla işvereni cezalandırmak anlamına gelir. Uygulamada yaşanan bu büyük problemin anlaşılması ve çözülmesi adına bu noktada ilk derece mahkemelerinin yaşanan ihlalleri hangi gerekçelere dayanarak meşrulaştırmaya çalışıldığına bakılacaktır. Bu gerekçeler gerçekten gerçekleştirilen bilgi güvenliği ihlallerini meşrulaştırmak için haklı mıdır?

Bilgi güvenliği ihlalinin hukuka aykırı kabul edilmesi için ihlal sonucunda zararın doğması gerekir mi?

Mahkeme, diğer bir işçinin kullanıcı adı ve şifresiyle giriş yapıp bilgi güvenliği kuralını ihlal etmek suretiyle sistemi yanıltarak aynı hatta ikinci bir taahhütlü telefon tanıması yapan işçi hakkında verdiği kararda işçinin bu fiili sonucu şirket nezdinde herhangi bir zararın oluşup oluşmadığına bakmıştır. Mahkemeye göre hat sahibi yine de o telefonun parasını ödeyecektir. Mahkeme bu kanaati sonucunda şirketin herhangi bir zarara uğramamış olduğundan bahisle işçinin fiilini meşrulaştırmıştır.

Dolayısıyla mahkeme bir bilgi güvenliği ihlalinin hukuka aykırı olarak kabul edilebilmesi için ayrıca maddi bir zarar oluşmasını aramıştır. Ancak gözden kaçırdığı husus şudur: Bilgi güvenliği ihlalleri açısından ihlalin gerçekleşmesi yeterlidir, ayrıca bir zarar doğması gerekmez. Kaldı ki, aksi de kabul edilseydi dahi, bu kuralların ihlal edilmiş olması bizatihi bir zarar değil midir, zararın illa ki maddi bir zarar mı olması gerekir? Kararını verirken, mahkemenin işyerlerinde sağlanan bilgi güvenliği kurallarını açıklayarak, bunları işçinin fiili bağlamında tartışması ve fiilin niteliğini belirlemesi gerekirdi. Ancak bununla ilgili hiçbir açıklamaya yer vermemiş ve işçinin fiilini hayatın olağan akışına aykırı çeşitli gerekçelerle meşrulaştırmaya çalışmıştır. Mahkemenin zararın doğmamış olduğu gerekçesi, işyerinde yasak olan bir uygulamanın sistemin yanıltmasıyla gerçekleştirilmiş olması ve bunun sonucunda kişisel verilerin korunması ve bilgi güvenliği kuralının ihlal edilmiş olması ile işverenin uğrayabileceği itibar kaybı karşısında hiçbir şekilde haklı bir gerekçe olarak kabul edilemez. Maddi zararın oluşup oluşmadığı değerlendirilmesi, ancak kararın verilmesinde bir tazminat davası söz konusu olsaydı haksızlık içeriğinin ve tazminatın miktarının belirlenmesinde bir ölçüt olarak kullanılabilirdi.

İşyeri faaliyet ve kuralları ile işçi – işveren arasındaki taahhüt ve sözleşmelerin ihlal edilmesi

Açıklanan olayların her ikisinde de işçi ile işveren arasında verilerin korunması ve güvenlik bilinci konulu doküman bulunmakta ve bu dokümanın üzerinde işçinin okuduğunu ve onayladığını belirten şerh bulunmaktadır. Bu dokümanda bilgilerin gizli tutulması kapsamlı bir şekilde düzenlenmiş ve işçilerin bilgi güvenliği konusundaki yükümlülükleri belirtilmiştir. Dolayısıyla somut olayda yer alan işveren yürüttüğü faaliyet dolayısıyla da olması gerektiği gibi bilgi güvenliğine büyük önem ve hassasiyet göstermektedir. Zira aksi bir durumda diğer faaliyetlere kıyasla daha büyük zararlar doğacaktır.

Dolayısıyla bu şekilde gerçekleşen bir olayda işverenin yürüttüğü faaliyet ile bilgi güvenliği ilişkisi de göz önünde bulundurulmalıdır. Günümüzde hemen her şirketin bilişim sistemlerini yoğun bir şekilde kullanması nedeniyle verilerin korunması ve veri güvenliği tüm işverenler açısından büyük önem arz eder. Ancak işverenlerin yürüttükleri faaliyet dolayısıyla bunun ağırlığı değişecektir ve her bir somut olayda ilgili sektöre özgü faktörlerin dikkate alınması gereklidir.

Çalışanların zaten şifrelerini birbiriyle paylaşmakta oldukları iddiası

Bireylere ve çalışanlara verilen kullanıcı adı parolaları (şifreler) üçüncü kişilerle paylaşılmamak üzere verilir. En temel veri güvenliği ilkeleri, bilgisayarın başından kalkıldığında monitörün kapatılması ve kullanıcı şifrelerinin hiçbir surette bir başkasıyla paylaşılmasıdır (bu kişi iş arkadaşı dahi olsa). Dolayısıyla iş yerinde şifrelerin çalışanlar arasında paylaşılıyor olması gibi bir savunma hukuka uygun olmadığı gibi kabul de edilemez.

Kanun uyarınca teknik ve idari tedbileri almakla yükümlü olan veri sorumlusu durumundaki işverenin, Kişisel Verileri Koruma Kurulu tarafından yayınlanan idari tedbirleri hayata geçirmesi gereklidir. Bunların arasında, çalışanların veri güvenliği konusunda eğitilmesi ve veri güvenliği ihlali durumunda hangi yaptırımlara tabi olacaklarına dair sonuçların da düzenlenmiş olması vardır. Bunları yapan işverenin, ihlal durumunda haklı sebeple fesih yoluna gidememesi yaptırımları uygulanamaz kılar.

İhlalin tek bir işçi özelinden çıkarılarak bir uygulama sorunu olarak ele alınması ve diğer işçiler üzerindeki etkilerinin göz önünde bulundurulmaması

Yukarıda açıklanan olaylar işçiler tarafından gerçekleştirilen bilgi güvenliği ihlalleri sonucunda işverenin zarara uğramış olup olmadıyla sınırlanmıştır. Oysa, ihlallerin bir bütün olarak ele alınması ve bu ihlallere günümüzde yaşanan bilgi çağının bilincine varılarak bilgi güvenliği ekseninde yaklaşılması gerekir.

Bunun en tehlikeli sonuçlarından biri de şüphesiz diğer işçiler üzerindeki etkisidir. Mahkemeler, olaya tek bir işçi özelinde bakmış, fesih haklı değildir demiş, kıdem ve ihbar tazminatları ödenmeli demiş ve varsayalım ki bu kararlar kesinleşmiş ve işveren tarafından da bu tazminatlar ödenmiştir. Bu senaryo ortaya çıkan ihlalleri hiçbir şekilde çözüme kavuşturamayacak olmakla birlikte bunun daha da ötesinde diğer işçilerin de bu şekilde ihlallerde bulunması açısından itici güç haline gelecek, örnek oluşturacaktır, yani mahkeme kararıyla hukuksuzluk teşvik edilmiş olacaktır. Bir işyerinde işçilerin "yasak ama nasılsa uyulmasa da bir şey olmuyor" gibi bir algıya kapılması ve bu doğrultuda hareket etmesi işveren tarafından son derece sakıncalıdır.

SONUÇ

Yaşadığımız çağ, "bilişim, teknoloji veya bilgi" kavramlarıyla adlandırılmakta, başka bir deyişle bilginin yaşadığımız çağa adını verdiği bir dönemde bulunmaktayız.

Bilgi güvenliği kuralları da işte bu bilinç sonucunda ortaya çıkmış olan ve günümüzde uyulmadığı takdirde hemen herkes tarafından ağır sonuçları olan önemli bir alanı ifade eder. İşçi – işveren ilişkisinin özellikle nicelik bakımından en yoğun ilişki olduğunu düşündüğümüzde bilgi güvenliği kurallarının oluşması ve uygulanması gereken en temel alanlardan biri burasıdır.

Nitekim Kanun ve Kanun'un peşi sıra yürürlüğe giren ilgili düzenlemeler, işverene bilgi güvenliğini sağlamak konusunda bir dizi yükümlülük getirmiştir. Kanun'un 12. maddesi bu yükümlülüklerin en tepesinde bulunan en genel hükümdür ve son derece açıktır.

Bu yükümlülüklerin yerine getirilmesi, işverenlerin bu yükümlülüklerini yerine getirmeleri yönünde atmaları gereken adımlar kadar, yükümlülüğün yerine getirmesini engelleyen hallerin de ortadan kaldırılmasını ifade eder. Dolayısıyla işyerinde bilgi güvenliği kurallarına riayet etmeyerek işverenin bilgi güvenliği konusunda yükümlülüklerini yerine getirmesini engelleyen bir işçi hakkında gerekli aksiyonlar alınabilmelidir, hatta kanuni bir yükümlülük olarak alınmış olmalıdır.

Ancak işverenlerin, bilgi güvenliğini ihlal eden işçi hakkında haklı nedenle fesih imkanını kullanmalarına izin verilmemesi, bu yükümlülüğün yerine getirilmesini imkansız hale getireceği gibi, işverene "sen bilgi güvenliğini yerine getirmek zorundasın ama bunu yerine getirmeni engelleyen halleri de ortadan kaldıramazsın" dahası "kaldırırsan bir de üzerine tazminat ödersin" demekten farksızdır.

Oysa böyle bir durumda işverene, işyerinde yapılacak gerekli soruşturmalardan sonra veri ihlali olduğunu tespit etmiş olması halinde, İş Kanunu'nun 25/2 maddesi gereğince haklı nedenle fesih imkanı net olarak tanınmalıdır.

Sonuç olarak, işverenlerin işyerlerinde gerçekleştirilen bilgi güvenliği ihlallerine karşılık bu bilinçle hareket etmesi önemlidir. Ancak bu ihlallerin en aza indirilmesi açısından yeterli değildir. Bundan daha önemlisi yargı makamlarının bu olaylar karşısındaki tavır ve kararlarıdır. Bu açıdan beklentimiz, yargı makamlarının kişisel verilerin korunması ile bilgi güvenliğinin sağlanması bağlamında bilgi çağını yakalayan kararlara imza atmalarıdır.

Footnotes

1. Konuyla ilgili KVKK Blog'umuzda yer alan yazı için bkz: Selin Özbek Cittone, Kişisel Verilerin Korunması ve Güvenliğine Dair Uyumda "İnsan Faktörünün" Yönetiminin Önemi, 2019, https://www.ozbek.av.tr/kvk-blog/kisisel-verilerin-korunmasi-ve-guvenligine-dair-uyumda-insan-faktorunun-yonetiminin-onemi/.

2. Leslie P. Francis/John G. Francis, Privacy - What Everyone Needs to Know, Oxford University Press, Oxford, 2017, s. 243.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.