Makale
İşyerinde izleme faaliyetleri yürüten işverenlerin, işçilerin kişisel verilerini koruyan aydınlatma ve veri güvenliği yükümlülükleri bulunmaktadır. Bu makale, kanunlar kapsamında işverenin şeffaflık sağlama, teknik ve idari tedbirleri alma ile aydınlatma borçlarını uzman bir hukuki perspektifle incelemektedir.
İşverenin Aydınlatma ve Veri Güvenliği Borcu
İş ilişkisinde teknolojinin gelişmesiyle birlikte işverenlerin dijital izleme uygulamalarını kullanması giderek yaygınlaşmıştır. Bu durum, işverenin yönetim hakkı ile işçinin özel hayatının gizliliği ve kişisel verilerin korunması hakkı arasında hassas bir terazi oluşturur. Yürürlükteki Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu sıfatını haiz olan işveren, işçilerin kişisel verilerini işlerken kanunun öngördüğü yükümlülüklere sıkı sıkıya uymak zorundadır. Bu yükümlülüklerin en temel iki ayağını aydınlatma yükümlülüğü ve veri güvenliğini sağlama borcu oluşturur. İşçi, doğası gereği iş sözleşmesinin zayıf tarafı olduğundan, verilerinin hukuka uygun, adil ve şeffaf bir biçimde işlendiğinden emin olmalıdır. İşverenin bu kapsamda üzerine düşen borçları yerine getirmemesi, idari sorunlara yol açabileceği gibi işyerindeki güven ilişkisinin de zedelenmesine yol açar. Bu bağlamda işveren, izleme faaliyetinin niteliği ne olursa olsun, ilgili idari ve hukuki adımları atmadan veri işleme sürecine asla başlamamalıdır.
İşverenin Aydınlatma Yükümlülüğü
İşverenin aydınlatma yükümlülüğü, iş ilişkisinde şeffaflık ilkesinin en önemli ve temel yansımasıdır. Kanunun onuncu maddesi uyarınca işveren; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile işçinin kanundan doğan hakları konusunda tam ve eksiksiz bir bilgilendirme yapmak zorundadır. Bu yükümlülük, işçinin veya ilgili kişinin talebine bağlı olmaksızın, veri işleme faaliyetinden önce mutlaka yerine getirilmelidir. Hukuka uygunluk sebeplerinden herhangi biri (örneğin kanunlarda açıkça öngörülme veya sözleşmenin ifası) mevcut olsa dahi, işverenin aydınlatma borcu hiçbir şekilde ortadan kalkmaz. Özellikle dijital izleme faaliyetlerinde, işverenlerin kamera, e-posta veya araç takip sistemleri gibi araçlarla yürüttüğü süreçler hakkında işçiyi net ve anlaşılır bir dille bilgilendirmesi şarttır. Aksi takdirde, genel ve muğlak ifadelerle hazırlanan personel yönetmelikleri geçerli bir aydınlatma metni olarak kabul edilmez.
Aydınlatma Metninin Asgari Unsurları
İşverenin KVKK onuncu madde ve yürürlükteki tebliğler uyarınca hazırlayacağı aydınlatma metninde bulunması zorunlu olan temel unsurlar kanunla net bir şekilde çizilmiştir. Aydınlatma yükümlülüğünün usulüne uygun şekilde yerine getirilmiş sayılması için metinde şu asgari unsurların bulunması yasal bir zorunluluktur:
- Veri sorumlusu olan işverenin veya varsa temsilcisinin tam kimliği,
- İşçiye ait kişisel verilerin hangi spesifik ve meşru amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi yasal amaçla aktarılabileceği,
- Kişisel verileri toplamanın temel hukuki sebebi ve işlenme yöntemi,
- İlgili kişi sıfatıyla işçinin kanunun on birinci maddesinde sayılan kanuni hakları.
İşveren, hazırladığı belgelerde bu unsurlara eksiksiz yer vererek şeffaf bir veri işleme süreci yürüttüğünü her zaman ispatlamakla yükümlüdür. İspat yükü tamamen işverenin üzerindedir. Ayrıca işçinin haklarını etkin bir şekilde kullanabilmesi için erişilebilir ve hızlı bir başvuru mekanizması da şirket içi idari prosedürlerle kati suretle garanti altına alınmalıdır.
Katmanlı Aydınlatma ve Bilgilendirme Yöntemleri
İzleme araçlarının çeşitliliği, işverenin bilgilendirme sürecinde katmanlı aydınlatma yöntemini kullanmasını pratik ve aynı zamanda hukuka uygun bir seçenek haline getirir. Katmanlı aydınlatma, işçinin kişisel verilerinin elde edildiği ilk anda kısa görsel veya metinsel işaretlerle ön bilgilendirme yapılması ve ardından detaylı aydınlatma metnine yönlendirilmesi sürecini ifade eder. Örneğin; işyerinde kamera gözetlemesi yapılıyorsa, kameraların bulunduğu alanlara sadece kayıt alındığına dair uyarı levhalarının asılması yeterli değildir, işçilerin detaylı aydınlatma metnine erişimlerinin de sağlanması gerekir. İnternet trafiği veya kurumsal e-posta hesapları izleniyorsa, sisteme giriş esnasında açılan pop-up pencerelerle veya uyarı metinleriyle ön bilgilendirme muhakkak yapılmalıdır. Sunulan aydınlatma metinleri uzun, karmaşık veya anlaşılması güç hukuki terimlere boğulmuş olmamalı, işçinin hangi verisinin neden işlendiğini şüpheye yer bırakmayacak şekilde anlayabileceği bir sadelikte titizlikle hazırlanmalıdır.
İşverenin Veri Güvenliğini Sağlama Borcu
Kanunun on ikinci maddesi uyarınca işveren, işlediği kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla kesin olarak yükümlüdür. Dijital izleme vasıtasıyla toplanan veriler, işverenin veya yetkilendirdiği üçüncü kişilerin sistemlerinde tutulduğundan, siber saldırılara, yetkisiz erişimlere veya kurumsal veri sızıntılarına karşı en üst düzeyde korunmalıdır. Bu kapsamda işveren, ağ güvenliğini aktif olarak sağlamalı, şifreleme yöntemleri kullanmalı, güçlü güvenlik duvarları oluşturmalı ve tüm çalışanlarına veri güvenliği eğitimleri vererek idari tedbirleri eksiksiz bir biçimde uygulamalıdır. Veri sorumlusu olan işveren, dijital izleme süreçlerini bir veri işleyen tedarikçi aracılığıyla yürütüyorsa, alınması gereken sistem güvenliği tedbirleri konusunda bu veri işleyen kurumla her zaman müştereken sorumlu olur.
Özel Nitelikli Kişisel Verilerde Ek Güvenlik Tedbirleri
İşyerinde kullanılan bazı modern izleme ve denetim yöntemleri, işçilerin özel nitelikli kişisel verilerinin doğrudan veya dolaylı olarak işlenmesine neden olabilir. Parmak izi okuyucuları, yüz tanıma sistemleri veya işçinin sağlık durumunu, kalp atışını ve anlık stres seviyesini takip eden giyilebilir teknolojiler doğrudan biyometrik veri ve sağlık verisi toplar. Kanun kapsamında, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, sağlığı veya cinsel hayatı gibi veriler özel nitelikli kişisel veri olarak kabul edilir ve bu verilerin korunması kanun koyucu tarafından çok daha sıkı şartlara bağlanmıştır. İşverenin bu hassas verileri hukuka uygun şekilde işleyebilmesi için, kurul kararlarında açıkça belirtilen asgari koruma tedbirlerini eksiksiz bir biçimde alması zorunludur. İşveren, bu özel nitelikli verilere erişim yetkisi olan personeli kesin olarak sınırlandırmalı, tüm erişim loglarını düzenli olarak tutmalı ve bu verilerin sızmasını önlemek için kriptografik yöntemler dâhil en üst düzeyde teknik güvenlik altyapısını kurum içinde fiilen kurmalıdır.