Makale
Tele çalışma ilişkilerinde çalışanlara ait kişisel verilerin işlenmesi, Kişisel Verilerin Korunması Kanunu ve uluslararası normlar çerçevesinde sıkı şartlara tabidir. Bu makalede, işverenlerin tele çalışma süreçlerinde uyması gereken temel veri koruma ilkeleri ile veri işlemenin hukuka uygunluk sebepleri hukuki bir perspektifle incelenmektedir.
Tele Çalışmada Veri İşleme Şartları ve Hukuki İlkeler
Dijitalleşme ile birlikte ivme kazanan tele çalışma modeli, işçi ve işveren arasındaki bağımlılık ilişkisini fiziksel mekândan dijital ortama taşımıştır. Bu dönüşüm, işverenin yönetim hakkını bilgi ve iletişim teknolojileri üzerinden kullanmasını zorunlu kılarken, çalışanların kişisel verilerinin işlenmesi boyutunda yeni hukuki meseleleri beraberinde getirmiştir. İşverenlerin tele çalışma kapsamında personel yönetimi, işin ifasının takibi veya idari süreçlerin yürütülmesi amacıyla topladığı veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) gibi uluslararası düzenlemelere tabidir. Tele çalışmanın kendine has dinamikleri, ev ile iş yeri arasındaki sınırları flulaştırdığından, işverenin veri işleme faaliyetlerinin hukuka uygunluğu çok daha hassas bir teraziyle değerlendirilmelidir. Bu kapsamda, kişisel verilerin toplanmasından imhasına kadar geçen tüm süreçlerde yasal şartların eksiksiz bir şekilde sağlanması ve hukuka uygunluk sebeplerine sıkı sıkıya bağlı kalınması, işverenler için sadece kanuni bir zorunluluk değil, aynı zamanda idari ve cezai yaptırımlardan kaçınmanın da temel koşuludur.
Tele Çalışmada Veri İşlemenin Temel İlkeleri
KVKK’nın 4. maddesi uyarınca, tele çalışma süreçlerindeki tüm veri işleme faaliyetlerinin, hukuka ve dürüstlük kurallarına uygun olma ilkesine dayanması şarttır. İşveren, çalışanın verilerini işlerken dürüstlük kuralı gereği şeffaf davranmalı, çalışanın makul beklentilerini aşan ve özel hayatın gizliliğini ihlal eden gizli veya orantısız veri toplama yöntemlerinden kaçınmalıdır. Bununla birlikte, verilerin belirli, açık ve meşru amaçlar için işlenmesi esastır. İşveren, tele çalışanın verilerini yalnızca "performans yönetimi" veya "kurumsal iletişim" gibi soyut ve muğlak amaçlarla değil, açıkça tanımlanmış sınırlar dâhilinde toplayabilir. Amacın baştan net bir şekilde belirlenmesi, işverenin aydınlatma yükümlülüğünün yerine getirilmesi açısından da kritik bir role sahiptir. Toplanan bu verilerin aynı zamanda işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması yasal bir gerekliliktir. Tele çalışma modelinde işveren, iş sözleşmesinin ifası için gereğinden fazla veriyi toplamamalı, veri minimizasyonu ilkesi doğrultusunda sadece asgari düzeyde veriyi işlemelidir.
Saklama Süresi ve Veri Güncelliği
Temel ilkelerden bir diğeri, kişisel verilerin doğru ve gerektiğinde güncel olma zorunluluğudur. Tele çalışmada dinamik olarak toplanan performans veya görev takip verilerinin hatalı ölçümler içermesi veya bağlamdan kopuk değerlendirilmesi, işçi aleyhine haksız kararlar alınmasına yol açabileceğinden veri doğruluğunun teyidi elzemdir. Öte yandan, elde edilen verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. İşverenler, tele çalışma sırasında üretilen devasa boyutlardaki kurumsal verileri süresiz olarak ellerinde tutamazlar. İlgili kayıtların, toplanma amacının gerçekleşmesinin ardından silinmesi, yok edilmesi veya anonim hâle getirilmesi mecburidir. Gerekli süreyi aşan veri depolama pratikleri, doğrudan kişisel verilerin korunması mevzuatına aykırılık teşkil etmektedir.
Veri İşleme Faaliyetinde Hukuka Uygunluk Şartları
KVKK’nın 5. maddesi uyarınca, genel nitelikli kişisel verilerin işlenmesi kural olarak ilgili kişinin açık rızasına bağlıdır. Ancak iş hukuku bağlamında işçi ile işveren arasındaki güç dengesizliği nedeniyle, rızanın özgür iradeyle verilip verilmediği daima tartışmalı bir konudur. Bu sebeple işverenler, veri işleme süreçlerini mümkün olduğunca rıza dışındaki alternatif hukuka uygunluk sebeplerine dayandırmalıdır. İş sözleşmesinin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi bu alternatiflerin başında gelir. Örneğin, tele çalışana kurumsal e-posta adresi tahsis edilmesi veya uzaktan bağlantı için gerekli IP atamalarının yapılması, doğrudan sözleşmenin ifası kapsamında değerlendirilerek hukuka uygun kabul edilmektedir. Buna karşın, sözleşmenin ifasını aşan faaliyetler bu kapsama dâhil edilemez.
Hukuki Yükümlülüğün İfası ve Meşru Menfaat
Tele çalışma modelinde veri işlemenin bir diğer önemli dayanağı, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hâlidir. İşverenin, iş sağlığı ve güvenliği, vergi mevzuatı veya sosyal güvenlik kanunlarından doğan yükümlülüklerini ifa ederken çalışanların asgari kişisel verilerini işlemesi hukuka uygundur. Ayrıca, KVKK kapsamında ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesi de önemli bir istisnadır. İşverenin bilgi sistemlerinin güvenliğini sağlama veya kurum içi iletişimi koordine etme menfaati bulunabilir. Ancak tele çalışmada, ev ortamındaki makul gizlilik beklentisi daha yüksek olduğundan, işverenin meşru menfaati ile çalışanın mahremiyet hakkı arasındaki denge titizlikle gözetilmelidir. Aksi durumda, işverenin orantısız veri toplama girişimleri açık bir hak ihlali doğurur.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kişilerin sağlığı, sendika üyeliği, ırkı, biyometrik ve genetik verileri gibi bilgiler özel nitelikli kişisel veriler kategorisinde yer alır ve çok daha sıkı koruma rejimine tabidir. Kanunda yapılan güncel değişikliklerle birlikte, bu verilerin işlenmesinde aşağıdaki hukuka uygunluk şartları aranmaktadır:
- İlgili kişinin özgür iradesiyle ve aydınlatılmaya dayalı olarak açık rızasının bulunması,
- İlgili veri işleme faaliyetinin kanunlarda açıkça öngörülmüş olması,
- Fiili imkânsızlık sebebiyle rızasını açıklayamayacak durumda olan kişinin hayati menfaatinin korunması için veri işlemenin zorunlu olması,
- İlgili kişinin bizzat alenileştirdiği verilerin, alenileştirme iradesine uygun olarak işlenmesi,
- Bir hakkın tesisi, kullanılması veya korunması amacıyla veri işlemenin zorunlu olması,
- İstihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin ifası için zorunlu olması.
Tele çalışmada özellikle sağlık verileri veya sisteme uzaktan erişimde kimlik doğrulama süreçleri için kullanılan biyometrik veriler sıklıkla gündeme gelmektedir. İşverenler, çalışanların özel nitelikli verilerini işlerken yukarıda belirtilen katı kurallardan en az birine dayanmak zorundadır. Örneğin, bir tele çalışanın sağlık durumuna ilişkin bilgilerin, yalnızca iş sağlığı ve güvenliği yükümlülüklerinin ifası kapsamında ve ölçülülük ilkesi sınırlarında işlenmesi mümkündür. Amacı aşan nitelikte özel nitelikli veri toplanması, ağır idari para cezalarının yanı sıra Türk Ceza Kanunu kapsamında suç teşkil edebileceğinden, işverenlerin bu süreçlerde hukuki danışmanlık rehberliğinde titiz bir veri yönetimi politikası izlemeleri yasal bir zorunluluktur.