Kişisel verilerin korunması kişinin mahremiyetinin ve sosyal yaşamında oluşturduğu kimliğin korunmasına, bu yolla kişinin manevi bütünlüğünü sağlamasına hizmet eder. Kişisel verilerin bu açıdan önemine binaen, kişisel verilerin korunmasına mahsus bir düzenlemenin getirilmesine ilişkin hukuksal zemin oluşturma gayretiyle, ilk adım olarak Avrupa Konseyi, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ni 28 Ocak 1981 tarihinde imzaya açmıştır. Türkiye’nin de taraf olduğu bu sözleşme 17 Mart 2016 tarihli 29656 sayılı resmi gazetede yayımlanmıştır.
4857 sayılı İş Kanunu madde 75’te işverene, çalıştırdığı her işçinin özlük dosyasını düzenleme zorunluluğu getirir. Aynı maddenin ikinci fıkrası işvereni, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin yararı bulunan bilgileri açıklamamakla yükümlü tutmuştur. İşçinin bazı kişisel verilerinin işlenmesi işveren açısından kaçınılmazdır. Ancak çoğu zaman ihtiyaç olmayan veya kanunun öngördüğü çerçeveden çıkılan uygulamalarla karşılaşılmaktadır. İşçiden, işe girişte iş ilişkisinden kaynaklanan hukuki durumun gerektirdiğinden daha fazla kişisel veri istenebilmektedir. İşçinin işe girmek istemesi sebebiyle kendinden istenen, işlemesi hukuka uygun olmayan verileri işçi, çoğunlukla işverene vermektedir. Aslında işverenin kişisel verileri kanuna uygun olarak işleme, koruma ve imha etme gibi yükümlülüklerin her veri türü için daha çok artması sebebiyle, işçiden işe girişte alınan kişisel verilerin hukuka uygun olarak alınmasına daha çok ihtimam göstermesi işveren açısından daha faydalı olacaktır. İşyeri içinde buna yönelik eğitimler vermek ve işçiler arasında da olası ihlallerin önüne geçmek yükümlülüğü işverendedir.
KVKK madde 5’e göre kişisel verilerin işlenebilmesi için kural olarak kişinin açık rızası gereklidir. Ancak aynı maddenin ikinci fıkrasında rızanın aranmayacağı haller sıralanmıştır. Buna göre kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında kişinin açık rızası aranmaz.
Açık rızanın üç unsuru bulunmaktadır. Bunlar rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanmasıdır. Örneğin iş sözleşmesinin başında herhangi bir istisnai sebep bulunmadan işçinin, gireceği işten başka bir iş koluna ait önceki işyerinde ne kadar maaş aldığı bilgisini işverene açık rıza ile verdiğini söylemek doğru olmayacaktır. Çünkü işçi işe girme endişesiyle cevap vereceğinden burada alınan rıza özgür iradeyle alınmış sayılmamalıdır.
Özel nitelikli kişisel veriler başkaları tarafından öğrenildiğinde kişinin daha büyük mağduriyetler yaşayabileceği verilerdir. Özel nitelikli olmayan kişisel verilerin kural olarak açık rızaya tabii olduğunu belirtmiştik. KVKK madde 6/2’de özel nitelikli kişisel verilerin açık rıza olmadan alınmasının yasak olduğuna hükmedilmiştir. Kanun koyucunun kişisel verilerin özel bir hali olan özel nitelikli kişisel veriler açısından yeniden açık rıza kuralını hatırlatması, herhalde KVKK madde 5/2’de zikredilen özel olmayan kişisel verilerde açık rıza aranmayacak istisnai durumların özel nitelikli kişisel veriler açısından geçerliliği olmadığını belirtmek istemesindendir. Sağlık ve cinsel hayat dışındaki kişisel verilerin açık rıza aranmaksızın işlenebilmesi için kanunda öngörülen bir durum olmalıdır. Sağlık ve cinsel hayata ilişkin veriler kanun koyucu tarafından kişiyi, diğer özel nitelikli verilere göre daha fazla etkileyen ve hassas veriler olarak değerlendirmiş olmalıdır ki bu tür verilerin işlenmesini daha ağır şartlara bağlamıştır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Gerçek kişiyi belli eden her bilgi kişisel veridir. Kişisel verilerin özel nitelikli olanları kişiye daha büyük mağduriyet yaşatma potansiyelinde olduğundan koruma ve işleme şartları daha ağır olan verilerdir. Özel nitelikli kişisel veriler tahdidi olarak sayılmış olup bunlar ırk ve etnik köken, politik görüşler, dini veya felsefi inançlar, kılık, kıyafet, dernek, vakıf veya sendika üyeliği, cinsel hayat ve sağlığa ilişkin veriler, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik ve genetik verilerdir. İşçinin kişisel verilerini işlemek, işveren açısından çoğunlukla yükümlülüklerinin yerine getirilmesi maksadı taşır. Kişisel veriler ile ilgili sorumluluklar iş sözleşmesinden bağımsız olarak devam eder. İşverenin mesai takibini parmak izi sistemiyle yapması, işverence işçinin bir aplikasyondaki grup mesajlarına erişilmesi gibi konulara uygulama sıkça rastlanılmaktadır. İşverenin veri sorumlusu olarak iş hukukunun temel ilkelerine uygun olarak, ilgili kanunlara riayet etmesi yükümlülüğü vardır. İşveren, kanunun işverene emrettiği idari ve teknik tedbirleri alarak işlediği kişisel verilerin korunmasını sağlamalıdır.