Makale
İşyerlerinde yürütülen gözetim faaliyetlerinin hukuka uygun kabul edilebilmesi için 6698 sayılı KVKK hükümlerine titizlikle uyulması şarttır. İşverenler, çalışan verilerini işlerken genel ilkelere, işleme şartlarına ve aydınlatma yükümlülüğüne riayet etmelidir. Bu metin, gözetimin yasal meşruiyet zeminini hukuki bir perspektifle ele alır.
KVKK Kapsamında İşyerinde Gözetimin Şartları
Çalışma yaşamında teknolojinin gelişmesiyle birlikte işverenlerin yönetim hakkı çerçevesinde başvurduğu gözetim faaliyetleri, doğrudan çalışanların kişisel verilerinin işlenmesi sonucunu doğurmaktadır. İşçilere ait kimlik bilgileri, konum kayıtları, iletişim içerikleri veya biyometrik veriler gibi tüm bilgiler, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında koruma altındadır. Bir veri sorumlusu sıfatını haiz olan işverenin, bu verileri toplama, kaydetme ve analiz etme süreçlerinde kanunun emredici hükümlerine uygun hareket etmesi yasal bir zorunluluktur. Gözetim uygulamalarının hukuka uygunluk denetimi yapılırken, öncelikle veri koruma hukukunun evrensel nitelikteki temel ilkeleri değerlendirilmeli ve ardından kanunda öngörülen meşru işleme şartlarından en az birinin mevcut olup olmadığı incelenmelidir. İşletme menfaatleri ne kadar güçlü olursa olsun, yasal zemine oturmayan ve KVKK uyum süreçleri tamamlanmadan gerçekleştirilen her türlü personel takibi, hukuka aykırı bir veri işleme faaliyeti olarak idari yaptırımlara konu olacaktır.
Veri Koruma Hukukunun Temel İlkeleri
İşyerinde gerçekleştirilen tüm gözetim süreçlerinde, işverenlerin Kanun'un 4. maddesinde düzenlenen temel ilkelere riayet etmesi zorunludur. İşçiye ait kişisel veriler işlenirken en başta hukuka ve dürüstlük kurallarına uygunluk ilkesi gözetilmelidir. Bu ilke, işverenin veri toplarken şeffaf olmasını ve işçinin makul beklentilerini dikkate alarak dürüst davranmasını emreder. Toplanan verilerin doğru ve gerektiğinde güncel olması, gözetim mekanizmasının adil işlemesi açısından son derece kritiktir. Ayrıca, kişisel veriler yalnızca belirli, açık ve meşru amaçlar için işlenebilir; başlangıçta salt işyeri güvenliği veya mesai takibi amacıyla kurulan bir kamera sisteminin sonradan habersizce performans denetimine dönüştürülmesi, kanundaki amaçla bağlantılı, sınırlı ve ölçülü olma kuralını doğrudan ihlal eder. Son olarak, elde edilen izleme verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, bu yasal veya fiili süre dolduğunda ise derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
KVKK Kapsamında Hukuka Uygunluk Sebepleri
İşçilerin verilerinin yasalara uygun biçimde işlenebilmesi için KVKK'nin 5. maddesinde belirtilen hukuka uygunluk sebeplerinden en az birine kati suretle dayanılması şarttır. Pratikte kamuoyunda en çok bilinen veri işleme şartı açık rıza müessesesi olsa da, iş ilişkisinin doğası gereği taraflar arasında var olan yapısal güç eşitsizliği, işçinin verdiği rızanın gerçekten bağımsız ve özgür bir iradeye dayanıp dayanmadığını tartışmalı hale getirmektedir. İşçinin işini kaybetme korkusuyla veya dezavantajlı duruma düşmemek için verdiği rıza sakat kabul edilebilir. Bu sebeple işverenlerin gözetim planlaması yaparken, öncelikli olarak açık rıza dışındaki meşru veri işleme şartlarına odaklanması, kurumsal hukuki güvenliği sağlamlaştırması açısından çok daha isabetli bir yöntemdir. Gözetim süreçlerinde, mevzuatın işverenlere sağladığı ve sıklıkla dayanılan yasal zeminler şu şekilde sınıflandırılabilir:
- Kanunlarda Açıkça Öngörülmesi: İş Kanunu'ndaki özlük dosyası tutma yükümlülüğü veya İş Sağlığı ve Güvenliği Kanunu'ndaki denetim sorumlulukları gibi yasal yükümlülüklerin ifası amacıyla açık rızaya gerek duyulmadan veri işlenmesidir.
- Sözleşmeden Doğan Gereklilik: Taraflar arasındaki iş sözleşmesinin kurulması veya sözleşmenin doğrudan doğruya ifa edilebilmesi için personelin kişisel verilerinin işlenmesinin hukuken mecburi olması durumudur.
- Veri Sorumlusunun Meşru Menfaati: İşçinin temel hak ve özgürlüklerine ağır zararlar vermemek kaydıyla, işyeri fiziki güvenliği ve üretim süreçlerinin verimliliği gibi işverenin meşru menfaatlerinin gözetim ve veri işlemeyi zorunlu kılmasıdır.
- Hukuki Yükümlülüğün Yerine Getirilmesi: Yargı makamlarının kararları veya 5651 sayılı kanun gibi idari ve adli düzenleyici işlemlerin işverene yüklediği kanuni görevleri eksiksiz yerine getirebilmesi için yapılan veri işlemleridir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Çalışma ortamında biyometrik erişim sistemlerinin veya giyilebilir sağlık teknolojilerinin kullanılması, işçilerin özel nitelikli kişisel verilerinin toplanması anlamına gelir. KVKK'nin 6. maddesi uyarınca parmak izi, yüz tanıma veya retina taraması gibi biyometrik veriler ile sağlık verilerinin işlenmesi çok daha sıkı koruma kurallarına ve ağır yasal şartlara bağlanmıştır. Kural olarak bu nitelikteki hassas veriler, ancak ilgili çalışanın açık rızasının bulunması halinde hukuka uygun biçimde işlenebilir. Kanunlarda açıkça öngörülen istisnai haller mevcut olsa da, iş ilişkisinde biyometrik verilerin rızasız işlenmesi büyük ölçüde yargısal ihlal kararlarına konu olmaktadır. Veri sorumlusu işverenlerin, hassas verileri işlerken yalnızca rıza almakla yetinmemesi; aynı zamanda Kişisel Verileri Koruma Kurulu tarafından ilan edilen yeterli idari ve teknik tedbirleri de eksiksiz şekilde tesis etmesi zorunlu bir yasal gerekliliktir. Aksi takdirde şirketler, veri ihlalleri sebebiyle ağır idari para cezaları ve tazminat yükümlülükleriyle karşı karşıya kalacaktır.
Gözetimde Aydınlatma Yükümlülüğü ve Şeffaflık
Kanunun 10. maddesi gereğince veri sorumlusu işverenler, kişisel veri toplama aşamasında veya en geç gözetim faaliyeti başlamadan önce çalışanlarına karşı aydınlatma yükümlülüğünü yerine getirmek zorundadır. Bu yükümlülük, açık rızaya dayanılan durumlarda da, diğer kanuni işleme şartlarının bulunduğu istisnai hallerde de koşulsuz bir şekilde uygulanmalıdır. İşçi; hangi verilerinin toplandığı, bu verilerin hangi spesifik veri işleme amaçları için kullanılacağı, toplanma yöntemi, dayandığı hukuki sebep ve kanun kapsamındaki yasal hakları konusunda net, şeffaf ve anlaşılır bir dille bilgilendirilmelidir. Şeffaflık ilkesinin açıkça ihlal edildiği, işçiden gizli olarak kurulan kamera veya gizli yazılım takip sistemleri ile yürütülen gözetim faaliyetleri, hukuka aykırı kabul edilmekte ve TCK bağlamında yasadışı dinleme veya izleme suçlarına dahi vücut verebilmektedir. Dolayısıyla, işyerlerinde uygulanan her türlü teknolojik gözetim aracının hukuka uygunluk kazanabilmesi için, çalışanların süreçten usulüne uygun şekilde haberdar edilmesi vazgeçilmez bir ön koşuldur.