Etkili bir uyum programının en temel, olmazsa olmaz elementlerinden biri ihbar mekanizmalarıdır. Uyum programının etkinliği ve işlerliğinin ölçülmesi ve takibi bakımından önemli bir fonksiyonu olan ihbar mekanizmaları uyum ihlallerinin tespitinde de en etkili yöntemdir. Nitekim Uluslararası Suistimal İnceleme Uzmanları Derneği (ACFE) tarafından yayınlanan 2024 yılına ilişkin suistimal raporunda da, suistimallerin ortaya çıkarılmasında açık ara en etkili aracın ihbar mekanizmaları olduğu belirtilmiştir.
İhbar mekanizmalarının kurulması ve işleyişinde iş hukuku, ceza hukuku, veri koruma gibi farklı hukuki disiplinleri ilgilendiren çeşitli hukuki konular gündeme gelmektedir. Fakat ülkemizde ihbar mekanizmalarına veya bildirimde bulunan kişilerin korunmasına özgülenmiş bir yasa bulunmamaktadır. Bu nedenle ihbar mekanizmalarına ve ihbarcıların korunmasına uygulanabilecek birtakım düzenlemeler için İş Kanunu, Türk Ceza Kanunu ve Kişisel Verilerin Korunması Kanunu gibi genel nitelikteki mevzuata bakmak gerekmektedir. Bu yazımızda ihbar mekanizmaları açısından karşımıza çıkabilecek farklı hukuk disiplinlerini ilgilendiren konulara değinmeye çalışacağız.
KVKK AÇISINDAN İHBAR MEKANİZMALARI
Şirketler bünyesinde dile getirme kültürünün yaygınlaştırılması ve bu kapsamda da etkin ihbar mekanizmalarının kurulması sürecinde ele alınması gereken en önemli konulardan biri şüphesiz kişisel verilerin korunmasıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmış olup bir gerçek kişinin kimlik bilgileri, irtibat bilgileri, mesleki deneyim bilgileri ve davranışları dâhil söz konusu gerçek kişi ile ilgili her türlü bilgi kişisel veri sayılmaktadır. Bu doğrultuda ihbar mekanizmaları, ister çalışan ister bir üçüncü taraf olsun, ihbarda bulunan ve hakkında ihbarda bulunulan gerçek kişilerle ilgili çeşitli kişisel verilerin işleneceği göz önünde bulundurularak kurgulanmalı, şirketler veri sorumlusu sıfatıyla kuracakları ihbar mekanizmalarının hukuka uygun bir şekilde kişisel veri işleme faaliyetlerini gerçekleştirdiğinden emin olmalıdır. KVKK’da öngörülen yükümlülüklerin yerine getirilmemesi durumunda Kişisel Verileri Korumu Kurumu’nun (“Kurum”) re’sen veya ilgili kişinin şikâyeti üzerine başlatabileceği soruşturma sonucunda veri sorumlusu sıfatıyla şirketlerin idari para cezası yaptırımı ile karşı karşıya kalabileceği unutulmamalıdır.
Şirketler ihbar mekanizmalarında öncelikle ilgili veri akışının kişisel verilerin işlenmesi için KVKK’da öngörülen genel ilkelere uygun olmasını sağlamalıdır. Buna göre süreç boyunca gerçekleştirilecek olan kişisel veri işleme faaliyetlerinde (i) hukuka ve dürüstlük kurallarına uygun olma; (ii) doğru ve gerektiğinde güncel olma; (iii) belirli, açık ve meşru amaçlar için işlenme; (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun bir şekilde hareket edilmelidir. Bu kapsamda şirketler söz konusu ihbar süreçlerinde ihbarda bulunan veya hakkında ihbarda bulunulan kişiyle ilgili olarak yalnızca amaç ile bağlantılı olduğu ölçüde sınırlı kişisel veri işlenmesini ve amaç ile bağlantılı olmayan kişisel verilerin işlenmesinin önüne geçilmesini sağlamaya dikkat etmelidir. Bu doğrultuda şirketler veri minimizasyonunu sağlamak adına ihbarda bulunan kişinin kimliğinin önemi olmayan durumlarda bu çalışana ait verilerin anonimleştirilerek kullanılacağı bir sistem kurgulanmasını değerlendirebilirler. Dikkat edilmesi gereken bir diğer önemli nokta da şirketler tarafından ihbar süreçleri kapsamında toplanan kişisel verilerin yalnızca amaç için gerekli olan süre kadar saklaması ve bu sürenin sona ermesinin ardından derhal silme, yok etme ve anonim hale getirme yoluyla imha edilmesi gereği olacaktır.
KVKK’nın 10. maddesi uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusunun gerçekleştireceği kişisel veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. Bu kapsamda söz konusu ihbar mekanizmasının faaliyete geçmesinden ve bu kapsamda kişisel veri toplanmasından önce şirketler tarafından aydınlatma metinleri aracılığıyla gerçekleştirilmesi planlanan kişisel veri işleme faaliyetlerine dair bilgilendirme yapılmalıdır. Bu amaçla sunulacak olan aydınlatma metinlerinde (i) veri sorumlusunun ve varsa temsilcisinin kimliği; (ii) kişisel verilerin hangi amaçla işleneceği; (iii) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; (iv) kişisel veri toplamanın yöntemi ile hukuki sebebi ve (v) KVKK’nın 11. maddesinde yer alan ilgili kişi hakları konularına ilişkin bilgi verilmesi gerekmektedir.
Şirketler nezdinde ihbar mekanizmalarının kurulmasını kişisel verilerin korunması açısından değerlendirdiğimizde karşımıza çıkan bir diğer önemli konu, yapılacak kişisel veri işleme faaliyetlerinin hukuki dayanağının belirlenmesidir. KVKK’nın 5. maddesi uyarınca genel prensip olarak kişisel veriler ilgili kişinin açık rızası olması halinde işlenebilmekte olup aynı hükümde sınırlı olarak sayılan hukuka uygunluk sebeplerinden birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür. Söz konusu hukuka uygunluk sebepleri arasında yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” durumunun ihbar mekanizmaları süreçlerinde çalışanların kişisel verilerinin işlenmesinde uygulama alanı bulabileceği değerlendirilebilir. Kurum’un kararlarına istinaden söz konusu hukuka uygunluk sebebinin uygulanabilmesi için işveren şirketin meşru menfaati ile ihbar mekanizması kapsamında kişisel verileri işlenecek olan çalışanlarının temel hak ve hürriyetleri arasında bir denge testi yapılmalıdır. Bu kapsamda (i) kişisel verilerin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması; (ii) söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi; (iii) meşru menfaatin hâlihazırda mevcut, belirli ve açık olması; (iv) ilgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması; (v) şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması; (vi) ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması ve (vii) kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması şartlarının sağlanması gerekmektedir. Bu kapsamda meşru menfaat hukuka uygunluk sebebinin uygulama alanı bulup bulmayacağının her bir somut olay özelinde ayrıca değerlendirilmesi gerektiği göz önünde bulundurulmalıdır.
Kişisel verilerin yurt dışına aktarımı ihbar mekanizmaları bağlamında da önem arz eden ve çok merak edilen konulardan biridir. Çok uluslu şirketlerde ihbar süreçlerinin yurtdışından takip edilmesi veya sunucuları yurt dışında bulunan bilgi teknolojileri sistemleri kullanılması gibi durumlarda kişisel verilerin yurt dışına aktarılması söz konusu olacaktır. KVKK’nın kişisel verilerin yurt dışına aktarılmasına ilişkin hükümlerinde yapılan son değişiklikler 1 Haziran 2024 tarihi itibariyle yürürlüğe girmiş olup yeni kurallar uyarınca yurt dışına kişisel veri aktarımı (i) Kurum’un yeterlilik kararı vermiş olması; (ii) uygun güvencelerden birinin mevcut olması veya (iii) süreklilik arz etmeyen durumlarda diğer istisnai hallerden birinin varlığı halinde (örneğin açık rıza alınması halinde) mümkün olacaktır. Bu kapsamda KVKK’da kişisel veri işleme için öngörülen açık rıza alınmasına istisna niteliğindeki hukuka uygunluk sebeplerinden birinin varlığı durumunda ve Kurum tarafından ülke, sektör veya uluslararası kuruluş bazında alınmış yeterli koruma kararının olması veya kanunda sayılan uygun güvencelerden birinin sağlanmış olması halinde (örneğin Kurum tarafından onaylanmış bağlayıcı şirket kurallarının, Kurum’a bildirimi yapılmış standart sözleşme hükümlerinin veya Kurum tarafından izin verilmiş taahhütnamenin varlığı halinde) kişisel veriler yurt dışına hukuka uygun bir şekilde aktarılabilecektir. Kanun değişikliği ile yeni getirilen söz konusu kurallara ilişkin olarak Kurum tarafından daha detaylı yol gösterici düzenlemeler yapılması beklenmekte olup ihbar mekanizmaları kapsamında yurt dışına kişisel veri aktarımında bulunacak olan şirketlerin kişisel veri işleme kurgularını söz konusu kurallara uygun olarak gerçekleştirmeleri önem arz etmektedir.
Son olarak KVKK uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olup şirketler söz konusu tedbirlerin ihbar süreçlerinde gerçekleştirilecek olan kişisel veri işleme faaliyetlerinde de uygulanmasını sağlamalıdır. Ayrıca ilgili çalışanların ihbar mekanizmaları kapsamında işlenecek olan kişisel verilerine yönelik taleplerinin alınması ve en geç otuz gün içerisinde sonuçlandırılması amacıyla etkin başvuru mekanizmalarının yürürlüğe konulması gerekmektedir.
İŞ HUKUKU BAKIMINDAN İHBAR MEKANİZMALARI
İhbar mekanizmaları ve ihbarda bulunan çalışanın korunması konusu, özellikle ihbar hatlarının yaygınlaşması, çalışanların bu konudaki bilinçlerinin ve işyerindeki uyum ihlallerine ilişkin farkındalıklarının artmasıyla birlikte iş hukuku uygulaması açısından daha da önemli hale gelmiştir. İş hukukunda bu konuda özel yasal düzenlemelerin bulunmaması çeşitli tartışmaları gündeme getirmiş, “whistleblowing” kavramının ve sınırlarının yargı kararları ve genel ilkeler çerçevesinde yorumlanması gereğini ortaya çıkarmıştır.
Çalışanlara bildirim yükümlülüğü getiren açık kanuni bir dayanak bulunmamakla birlikte Türk Borçlar Kanunu’nun 396. maddesi çalışanlara işi özenle yapma ve işverenin haklı menfaatinin korunmasında sadakatle davranma yükümlülüğü getirmektedir. Bu çerçevede “whistleblowing”, çalışanın sadakat yükümlülüğünün bir parçası olarak tezahür etmekte ve işyeri bünyesinde gerçekleşen her türlü kural dışı iş ve eylemin bildirilmesi “whistleblowing” kapsamında değerlendirilmektedir. Çalışanların işverenin menfaatlerini gözetmesini gerektiren sadakat yükümlülüğü esasen işe ve işverene ilişkin gizli bilgileri ifşa etmeme, işverenin menfaatine aykırılık oluşturabilecek her türlü davranıştan kaçınma ve işyerinde tanık olunan herhangi bir suistimali işverene bildirme şeklindeki alt yükümlülükleri de içermektedir. Bu kapsamda işverene zarar verebilecek ve işyerinin düzenini bozabilecek durumların işverenin menfaati gözetilerek kurum içinde bildirmesi çalışanın sadakat yükümlülüğünün bir gereği olarak değerlendirilirken, işverenin kural dışı eylemlerinin kurum dışı mercilere bildirilmesinin çalışanın gizlilik yükümlülüğünü ve sadakat borcunu ihlal edip etmediği sorusunu da gündeme getirmektedir. Sadakat yükümlülüğünün bu iki görünümü bir arada değerlendirilmekle birlikte kamu yararı için önemli olan bildirme yükümlülüğünün, işverenin ticari sırların korunmasına ilişkin menfaatinden üstün olduğu sonucuna ulaşılmaktadır. Nitekim Yargıtay 7. Hukuk Dairesi 2016 tarihli bir kararında işverenin menfaatleri ile çalışanın hakları arasında bir denge sağlanması gerektiğini, çalışanın hukuka aykırılığı öncelikle işyeri içi mercilere bildirmesi gerekmekle birlikte her durumda işletme içi ihbarın öncelikli olmadığını, olayın özelliklerine göre işçinin doğrudan işletme dışı mercilere ihbarda bulunmasının da mümkün olduğu ve korunması gerektiğini ifade etmiştir.
İhbar mekanizmaları iş hukuku bakımından değerlendirildiğinde gündeme gelebilecek bir diğer konu ihbarda bulunan çalışanın korunmasıdır. Hukukumuzda konuyu doğrudan ihbar mekanizmaları bağlamında düzenleyen bir hüküm bulunmamakta ise de, uyum ihlaline tanıklık eden çalışanın sadakat borcu kapsamındaki “whistleblowing” yükümlülüğü karşısında işverenin de çalışanı koruma ve gözetme yükümlülüğü bulunduğu söylenebilir. Bu kapsamda çalışanların anonim olarak bildirimde bulunabileceği ihbar hatlarının kurulması, ihbar hatlarının nasıl kullanılacağı ve yapılan ihbarların kimler tarafından değerlendirileceği hakkında çalışanların bilgilendirilmesi, ihbar mekanizmalarının kurum içi politika ve prosedürlerle düzenlenmesi, teşvik edilmesi ve bildirimde bulunan çalışanların misillemeye karşı korunarak etkin bir ihbar süreci yürütülmesi gerekmektedir.
İşverenin bu yükümlülüklerinin temelinde çalışanlara iş güvenliği güvencesi sağlanması yer almaktadır. İş Kanunu’nun 18. maddesi uyarınca, çalışanların mevzuattan doğan haklarını yerine getirmek için işveren aleyhine idari veya adli makamlara başvurması veya bu hususta başlatılmış bir sürece katılması, diğer bir ifadeyle, çalışanın tanık olduğu veya şüphe duyduğu bir suistimali yetkili mercilere bildirmesi iş akdinin feshi açısından geçerli bir sebep teşkil etmemektedir. Nitekim İş Kanunu’nun 25. maddesinde de işveren hakkındaki şeref ve haysiyet kırıcı ihbar ve isnatların “asılsız olması” hali fesih için haklı neden olarak düzenlenmiş olup asılsız olmayan veya çalışanın doğru olduğuna inanmak için makul sebeplerinin olduğu ve iyi niyetle yapılan ihbarlar iş akdinin feshine doğrudan neden olmayacaktır.
Bununla birlikte çalışanların iş güvenliğinin korunması bakımından ihbar hatlarının etkin ve doğru kullanımının sağlanması, “whistleblowing” eylemlerinin normalleştirilmesi ve bildirimde bulunan çalışanların işyerinde “ispiyoncu” gibi etiketlerle misillemeye maruz kalmasının önlenmesi de önem arz etmektedir. Bu kapsamda bildirimde bulunan çalışana disiplin veya mali ceza uygulanmasına, ayrımcılığa maruz bırakılmasına veya korkutulmasına neden olan ya da bildirimde bulunan çalışanı herhangi bir şekilde misillemeye uğratan kişilere karşı etkili ve ölçülü yaptırımlar uygulanması tavsiye edilmektedir.
Yazı: Serdar Paksoy, Stéphanie Beghe Sönmez, Gülce Saydam Pehlivan, Emre Kotil, Özge Mizrahi, Mert Karakaşlar, İrem Sabuncu, Doğa Pınarlı, – Paksoy Ortak Avukat Bürosu – Mevzuata Uyum ve Soruşturmalar Ekibi
Kaynak: INmagazine 34. Sayı
Diğer Sayıları İçin: INmagazine
Not: Makalelerdeki Görüş Ve Yorumlar Yazar Veya Yazarlara Ait Olup , Etik Ve İtibar Derneği’nin Konu Ile Ilgili Düşüncelerini Yansıtmamaktadır.
