Dava Konusu ve Sürecin Arka Planı
Federal İş Mahkemesi’nin 8 AZR 209/21 dosya numaralı kararında, bir işverenin Genel Veri Koruma Tüzüğü (GDPR) Madde 15 uyarınca bilgi verme yükümlülüğünün koşulları ve sınırları merkezdeydi. Olayda, iş sözleşmesi sona eren bir çalışan, eski işvereninden istihdamı kapsamında hangi kişisel verilerinin işlendiğine dair bilgi talep etti. Ayrıca davacı, ilgili belgelerin kopyalarının da kendisine verilmesini istedi.
Özel ihtilaf noktası, işverenin veri koruma hukuku çerçevesinde sağlamakla yükümlü olduğu bilgilerin kapsamıydı. Özellikle, belgelerin hangi ölçüde kopyalarının talep edilebileceği ve işverenin çalışanı ilgilendiren tüm dahili yazışma, e-posta ve notları sunmak zorunda olup olmadığı tartışmalıydı.
GDPR Madde 15 Uyarınca Bilgilendirme Hakkında Hukuki Hususlar
GDPR Uyarınca Bilgilendirme Yükümlülüğünün Kapsamı
GDPR Madde 15, ilgili kişilere kendileriyle ilgili saklanan verilere dair kapsamlı bilgi edinme ve bu verilerin bir kopyasını alma hakkı tanır. Burada önemli olan, bu bilgi verme yükümlülüğünün kapsamı ve bilgilendirmenin ne kadar detaylı olması gerektiğidir. İş hukuku pratiğinde bu durum büyük önem taşır; çünkü çalışanlar hakkında çoğunlukla hassas ve geniş veri kayıtları tutulmaktadır.
Yargı kararlarında defalarca vurgulanmıştır ki, bilgi verme yükümlülüğü, ilgiliye şirket dahilinde mevcut tüm belgelerin sınırsız olarak erişime açılması anlamına gelmemektedir. Bilakis, bilgi edinme hakkı kapsamında açıklanması gereken kişisel veriler ile bu kapsam dışı kalan diğer belgeler arasında her zaman ayrım yapılmalıdır – özellikle, belgelerin sadece iç değerlendirmeler veya yalnızca dolaylı olarak çalışanı ilgilendiren notlar olması halinde.
Sınırlar ve Koruma Menfaatleri
Bilgi alma hakkının kapsamı değerlendirilirken, diğer ilgili kişilerin korunması ve şirketin meşru menfaatleri – örneğin ticari sırlar veya dahili işleyiş süreçleri – de dikkate alınmalıdır. GDPR’nin kendisi de üçüncü kişilerin hak ve özgürlüklerinin gözetilmesi gerektiğini öngörmektedir (bkz. Madde 15 Fıkra 4 GDPR).
Federal İş Mahkemesi ayrıca, bilgi hakkının işvereni her türlü yazışma, görüşme notu veya dahili iletişimi sınırsız şekilde ifşa etmeye zorlamaması gerektiğini vurgulamıştır. Asıl önemli olan, belirli belgelerde gerçekten “kişisel veriler” bulunup bulunmadığıdır – sadece bu takdirde bilgi hakkı doğar. Burada her somut durumda verilerin talep eden için önemli olup olmadığı ve üçüncü kişilerin korunmaya değer menfaatlerinin karşısında durup durmadığı incelenmelidir.
Belge Kopyalarının Teslimine İlişkin Gereklilikler
Belgelerin hangi ölçüde kopyalarının talep edilebileceği sorusu, hem işveren hem çalışan için büyük pratik önem taşımaktadır. Özellikle, ilgili dokümanların büyük ölçüde otomatik olarak mevcut olması veya organizasyonel olarak kolayca sağlanabilmesi halinde teslim uygun olabilir. Buna karşılık, şirket bünyesinde saklanan “tüm” belgelerin, notların veya e-postaların teslimi, Federal İş Mahkemesi’nin yorumuna göre GDPR kapsamında doğrudan gerekmemektedir.
Bir teslim yükümlülüğü genellikle, talebin belirli bir konuyla doğrudan bağlantılı olması ve ilgili belgelerin gerçekten kişisel veriler içermesi durumunda ortaya çıkar. Yüksek mahkeme içtihadına göre, genel ve kapsamlı teslim talepleri sınırlara çarpmaktadır; özellikle, çok kapsamlı dosyaların incelenmesinin orantısız bir çaba gerektireceği durumlarda.
Değerlendirme ve Uygulamadaki Önemi
Çalışanlar ve Şirketler İçin Sonuçlar
Federal İş Mahkemesi’nin kararı, çalışma ilişkilerinde bilgilendirme talepleriyle dengeli bir şekilde başa çıkmanın ne kadar önemli olduğunu göstermektedir. Şirketler, mevcut ve eski çalışanlarının şeffaflık taleplerini karşılarken aynı zamanda işyeri menfaatlerini ve üçüncü kişilerin veri koruma çıkarlarını gözetmek üzere süreçlerini gözden geçirmelidir.
Çalışanlar ise bu karardan, bilgi alma haklarının sınırsız olmadığını, her zaman bilgilendirme amacına uygun olarak ve yasal çerçevede hareket etmeleri gerektiğini çıkarabilirler.
Uygulamada Hayata Geçirme ve Zorluklar
Özellikle kişisel verilerin işlenmesi ve saklanması konusunda, mevcut dokümantasyon ve arşivleme süreçlerinin düzenli olarak gözden geçirilmesi tavsiye edilir. Böyle bir bilgi talebinin hukuki karmaşıklığı, genellikle hem veri koruma hukukunun gerekliliklerinin hem de işletme ve organizasyonel ihtiyaçların titizlikle değerlendirildiği özenli bir durum incelemesi gerektirir.
Sonuç
Federal İş Mahkemesi’nin kararı (8 AZR 209/21), iş ilişkisinde GDPR uyarınca bilgi alma hakkının kapsamına yönelik bir netlik daha kazandırmakta ve menfaatlerin özenli şekilde değerlendirilmesinin gerekliliğini vurgulamaktadır. İşverenin bilgi verme yükümlülüğü geniştir, ancak orantılılık ilkesi, üçüncü kişilerin haklarının ve işletme menfaatlerinin korunması gibi çeşitli sınırlamalara tabidir.
Şirketler ve Çalışanlar İçin Not
Mevcut veya sona ermiş iş ilişkilerinde GDPR uyarınca bilgi taleplerinin kapsamı ve uygulanmasına ilişkin sorular doğarsa, bireysel hukuki danışmanlık yasal gerekliliklerle etkin şekilde başa çıkılmasına yardımcı olabilir. MTR Legal ekibi, faaliyet alanı kapsamında şirketlere ve bireylere gizli ve çözüm odaklı danışmanlık hizmeti sunmaktadır.
Kaynak: Bundesarbeitsgericht, Urteil v. 16.2.2023 – 8 AZR 209/21
