Günümüzde bilgi teknolojilerinin gelişimi, uzaktan çalışma veya iş seyahati gibi esnek çalışma düzenlerinin artmasıyla çalışanın mahremiyeti konusu, etik ve hak olarak incelenmesi gerekli bir başlık haline gelmiştir. Çalışanın mahremiyetini etkileyen ve meşrulaştırılabilir amaçlar; işyerinin, ekipmanın, çalışanın, diğer ilgili kişilerin ve operasyonun güvenliğidir. Uzaktan gözetim faaliyetleri, ilgili kişilerin kişisel verilerinin korunmasında bir tedbir olarak işletilebilir. Buna ek olarak çalışan ve kaynakların kullanımıyla ilgili planlamaların yapılması, eşitliğin sağlanması ve iyileştirmelerin yapılması da bir diğer işleme amacı olarak öne çıkmaktadır. Uzaktan gözetim faaliyetleri kameralar aracılığıyla, e-postaların kontrol altında tutulmasıyla, çalışana zimmetlenen cihaza ait sabit diskteki belgelerin ve ziyaret edilen sitelerin incelenmesiyle gerçekleşebilmektedir. Bu faaliyetlerin birtakım yazılımlar vasıtasıyla gerçekleştirilmesi durumunda otomatik işleme söz konusu olacaktır ve sürecin hukuki yönden değerlendirilmesi de diğer izleme süreçlerine nazaran daha dikkatle incelenmesi gerekli bir hal alacaktır.

Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”)’ne geçiş sürecinde konuyu değerlendiren Madde 29 Çalışma Grubu (“WP29”) 2017 tarihli Opinion 2/2017 yazısında elektronik iletişimin izlenmesinde işverenin meşru menfaati ile çalışanın makul mahremiyet beklentisi arasında orantılılığın gözetilmesi gerektiğini bildirmektedir. WP29 ‘un adı geçen yazısında gözetim faaliyetlerinde işleme şartının genellikle açık rıza olamayacağını bildirmektedir. Bu tür faaliyetlerde işleme şartı “işverenin (veri sorumlusunun) meşru menfaati” olabilir; ancak meşru menfaatin belirlenmesi bir değerlendirme sürecini gerektirir. Bu değerlendirmede işverenin meşru menfaati ile çalışanın temel hak ve özgürlükleri arasında adil denge kurulamaz ise çalışandan alınacak açık rıza faaliyeti hukuka uygun hale getirmeyecektir.

Konuyu İnsan Hakları Avrupa Sözleşmesi’nin 8’inci maddesinde yer alan özel ve aile hayatına saygı hakkı kapsamında inceleyen İnsan Hakları Avrupa Mahkemesi (“İHAM”), 2017 tarihli Bărbulescu v. Romanya kararında işveren tarafından gerçekleştirilen izleme faaliyetinde çıkarlar arasında adil bir denge kurulmadığını vurgulamıştır.

Mevcut görüş ve kararlardan yola çıkılırsa izleme faaliyetindeki adil dengenin teminatı olarak şu hususların mutlaka işletilmesi gerekir:

  1. İzleme faaliyetinin amaçları belirlenmelidir ve faaliyet sınırlandırılmalıdır,
  2. Veri koruma / mahremiyet etki değerlendirmesi yapılmalıdır,
  3. İzleme faaliyetine başlanılmadan önce şeffaflık sağlanmalıdır ve ilgili kişi haklarının işletilebileceği kanallar kurgulanmalıdır.

1. İzleme faaliyetinin amaçları belirlenmeli ve faaliyet sınırlandırılmalıdır

Hem izleme faaliyeti hem de bunun amaçları sınırlandırılır ve bu sınırlandırmayı temin etmek üzere birtakım önlemler işletilirse faaliyet çalışanın tarafından anlayışla karşılanabilir ve hatta çalışanın işverenden uzaktan izleme konusunda bir beklentisi de olabilir.

İzleme faaliyetinin amacı çalışanın etik değerlerinin ölçülmesi, cinsel hayatı, sağlığı, dini, siyasi veya dünya görüşünün belirlenmesi olmamalıdır.

Yukarıda değinildiği üzere uzaktan gözetim faaliyetlerinde veri işleme şartı her ne kadar genel olarak şartı “işverenin (veri sorumlusunun) meşru menfaati” şeklinde tezahür etse de, amaçlar belirlendikten ve sınırlandırıldıktan sonra işleme şartının yeniden incelenmesi gerekebilir.

WP29, açık rıza gerektirir bir gözetim faaliyetinin söz konusu olduğu hallerde, çalışana teslim edilen cihazda kurulu olan uzaktan izleme/gözetim yazılımının teslim edilme anında varsayılan ayarlar doğrultusunda devrede olmasının ve bunun çalışan tarafından değiştirilmemesinin çalışandan alınan bir açık rıza olarak kabul edilemeyeceğini vurgulamaktadır.

Faaliyetin sınırlandırılmasında şu durumlar dikkate alınabilir: Uzaktan gözetim faaliyeti dosya veya iletişim içeriği yerine veri odaklı olabilir, gözetim faaliyeti süre veya işlem ile sınırlandırılabilir. En makul çözüm etki değerlendirmesiyle birlikte ortaya konulacaktır.

Uzaktan izleme faaliyetlerinin amaçları ve sınırları belirlendikten sonra süreç bir politikaya bağlanmalıdır.

2. Veri koruma / mahremiyet etki değerlendirmesi yapılmalıdır

Veri Koruma /Mahremiyet Hukukundaki genel ilkeler de gözetilerek izleme faaliyetinin çalışanın özel hayatına etkisi derecelendirilmelidir ve faaliyet amacının gerçekleştirilmesinde bu derecenin altında bir önlemin işletilip işletilemeyeceği incelenmelidir. Uzaktan izleme faaliyeti gerekli ve ölçülü olmalıdır. Faaliyet en az müdahaleci şekilde kurgulanmalıdır.

Etki değerlendirmesinde çalışan mahremiyetine ilişkin ne tür teknik ve idari/yönetsel önlemlerin alındığına yer verilmelidir. Bu önlemler; faaliyetin sınırlandırılması olabileceği gibi, uzaktan gözetim faaliyetinde görevli kişilerin düzenli eğitimleri, faaliyete müdahil olan ilgili kişi dâhil tüm kişilerin işbirliği içerisinde olmasının sağlanması, bu faaliyetler vasıtasıyla üretilen veya bu faaliyetler kapsamında görülen kişisel verilere erişim yetkilerinin düzenlenmesi ve kontrol altına alınması olabilir.

3. İzleme faaliyetine başlanılmadan önce şeffaflık sağlanmalıdır

İHAM, 2007 tarihli Copland v. Birleşik Krallık[1] kararında çalışana işyerinin tahsis ettiği telefon, e-posta ve internet kullanımıyla ilgili herhangi bir uyarı yapılmamış olmasının, işveren tarafından çalışan mahremiyetinin gözetildiği konusunda makul beklenti yaratacağını bildirmektedir.

Dikkate değer bir husus uzaktan izleme faaliyeti konusunda işveren farkındalığıdır. Özellikle uzaktan izleme yazılımlarının işveren tarafından satın alınarak işleme konulduğu hallerde işverenin dahi bu izleme faaliyeti hakkında yeterince bilgi sahibi olmadığı görülebilmektedir. Bu ihtimalde izleme faaliyeti işveren için bir önlem veya iyileştirme aracından ziyade bir riske dönüşmektedir. Bu yazılımda yer alan açıklar veya yazılımın tasarım aşamasında gözetilmeyen etik ve hukuk kuralları, her ne kadar yazılımı üreten, satışını yapan veya fikri hak sahibi kişi tarafından gerekli taahhütler sunulsa da bunlar, işverenin Veri Koruma / Mahremiyet Hukuku bakımından idari sorumluluklarından kurtulmasını sağlamaz. Bu taahhütler sadece risk gerçekleştikten sonra işverenin uğrayacağı itibar kaybı ve diğer zararların bu kişilere rücu edilmesine imkân tanır ki bu oldukça yıpratıcı ve uzun bir süreçtir. Uzaktan izleme yazılımlarının satın alınmasından ve işleme konulmasından önce gerçekleştirilecek etki değerlendirmesi işveren bakımından faaliyeti daha anlaşılabilir ve kontrol edilebilir hale getirecektir.

 

[1] Karar tarihi eski olmakla birlikte İHAM ‘ın burada izleme faaliyetinin iç hukukta bir dayanağı bulunmaması halinde hukuka uygun kabul edilemeyeceği görüşü de dikkat çekicidir. Bu karar çalışan takibinin biyometrik veri sistemleriyle yapılmasının kanuni dayanağı bulunmadığı gerekçesiyle hukuka aykırı olduğuna dair Danıştay yaklaşımıyla benzerdir.