Çalışanın İşveren Tarafından Elektronik Olarak İzlenmesi

İZLEMEYE İLİŞKİN HUKUKİ KRİTERLER

Çalışanların elektronik yöntemlerle izlenmesine ilişkin hukukumuzda doğrudan özel bir düzenleme bulunmamaktadır. Bu nedenle, başta Avrupa İnsan Hakları Mahkemesi (“AİHM”), Anayasa Mahkemesi ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde belirlenen kriterlerin dikkate alınması gerekmektedir. 

Bu kapsamda, yargı kararlarına göre elektronik izleme yapılabilmesi için bir taraftan çalışanın özel hayatına ve yazışmalarına saygı gösterilmesi, diğer bir deyişle kişisel verilerinin korunmasını talep etme hakkına sahip olduğunu belirtirken diğer taraftan işverenin, işlerin düzgün işlemesi adına gerekli önlemleri alma ve denetim yapma hakkına sahip olduğunu ve yarışan bu iki hak arasında adil bir denge kurulması gerektiğini belirtmektedir. Söz konusu adil dengeyi sağlamak amacıyla aşağıda belirtilen kriterler yargı organları tarafından ortaya konulmuştur:

❖  İşverenin gerçekleştireceği elektronik izleme faaliyetinden, çalışanın önceden haberinin olması - Çalışan, elektronik izleme faaliyeti başlamadan önce, somut olayın özelliklerine uygun düştüğü ölçüde, ilgili izlemenin kapsamı, niteliği, hukuki dayanağı, yöntemleri, verilerin saklanacağı süre, ilgili kişinin hakları, izlemenin sonuçları ve elde edilecek verilerin muhtemel yararlanıcıları hakkında bilgilendirilmiş olmalıdır.

❖  İzleme ile çalışanın özel hayatına yönelik gerçekleştirilen müdahalenin seviyesinin makul olması - İzleme kapsamında cihazların yalnızca akışının mı (örn. çalışanın hangi uygulamada ne kadar süre geçirdiği) yoksa ayrıca içeriğinin de mi izlendiği, izlemenin zaman ile sınırlı olup olmadığı, izleme yetkisinin kaç kişiye verildiği gibi hususlar önem taşımaktadır. İçerik izlemesi için işverenin daha somut ve öncelikli gerekçeleri bulunmalıdır. Nitekim ülkemizdeki yetkili otoriteler tarafından kararları dikkate alınan İngiliz Veri Koruma Otoritesi de işverenin verimlilik takibi amacıyla yalnızca çalışanın cihaz üzerinde nerede ne kadar vakit harcadığını takip etmesi orantılı müdahele olarak değerlendirilebilecekken, çalışana tahsis ettiği cihazda sürekli içerik izlemesi gerçekleştirilmesinin gerekçesi ne olursa olsun meşru olarak nitelendirilemeyeceğini ve orantısız müdahele teşkil edeceği değerlendirilmektedir.

❖  İzlemeye yönelik mevcut ve meşru amaçların ortaya konması - İzlemenin kapsamına uygun olarak mevcut ve meşru amaçlar ortaya konmalıdır. Bu noktada yine, içerik izlenmesi özel hayata yönelik müdahale açısından daha ağır etkiler doğuracağından daha zorlayıcı bir amaç söz konusu olmalıdır.

❖  Her bir somut olay özelinde çalışan mahremiyetini daha az ihlal edebilecek alternatif yöntemler bulunup bulunmadığını kontrol etmesi ve daha az müdahaleci bir yöntem varsa bunun tercih edilmesi - İşveren, izleme gerçekleştirdiği her bir çalışan bakımından bu izleme ile hedeflenen meşru amaçlara, alternatif ve daha az müdahaleci yöntemler ile de ulaşılabilmesinin söz konusu olup olmadığını değerlendirmelidir.

❖  Gerçekleştirilen izleme faaliyetlerinin ilgili çalışan üzerindeki sonuçlarının belirlenmesi - İzleme faaliyeti sonucunda çalışan bakımından ortaya çıkabilecek muhtemel sonuçlar değerlendirilmeli ve çalışanlara yapılacak bilgilendirmede bu değerlendirmelere mutlaka yer verilmelidir.

❖  Çalışan açısından gerekli önlemlerin alınması - İzleme faaliyetlerine ilişkin raporlara sınırlı sayıda ve yalnızca ilgili yöneticiler tarafından ulaşılması, çalışana tahsis edilen cihazlar ile girilmesi talep edilmeyen internet siteler varsa bunların en başından işveren tarafından engellenmesi (örn. çalışana ait kişisel bilgi içerebilecek sosyal medya siteleri), tüm çalışanlara uygulanan topyekun bir izleme faaliyeti yerine, çalışanın pozisyonu özelinde, çalışma saatleri ile sınırlı izlemeler gerçekleştirilmesi gibi önlemlerin niteliğine uygun düştüğü ölçüde işveren tarafından alınması gerekmektedir.

Sonuç olarak işverenin yönetim ve denetim hakkı çerçevesinde çalışanlara tahsis edilen elektronik iletişim araçlarının hangi kapsamda kullanılacağına karar verme ve belirlediği sınırlara uyulup uyulmadığını kontrol etme hakkı bulunmaktadır. Ancak, işverenin yönetim ve denetim hakkı kapsamında yapabileceği işlemler sınırsız değildir. Konuya ilişkin yukarıda detaylarına yer verilen yargı içtihatları dikkate alındığında, çalışanın iş hayatında da kişisel verilerinin hukuki koruma altında olduğu ve işverenin çalışan üzerinde yönetim ve denetim hakları bulunmakla birlikte çalışanın özel yaşamının gizliliğinin ve kişisel verilerinin korunması hakları ile işverenin yönetim ve denetim hakları arasında bir denge kurulması gerektiği şüphesizdir. Söz konusu yargı içtihatlarında işverenin kurumsal cihazlar üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmenin çalışanın demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacağı ifade edilmektedir.

HUKUKA AYKIRI İZLEMENİN SONUÇLARI

İşveren tarafından hukuka uygun bir elektronik izleme yapılabilmesi için yukarıda yargı kararlarıyla açıkça belirlenen hukuki kriterlere uyulması gerekmektedir. Aksi durumda, işveren tarafından yapılan izleme hukuku aykırı olup aşağıdaki sonuçlara sebebiyet vermesi söz konusu olabilecektir: 

Kişilik Hakları Bakımından

Yukarıda da belirtildiği üzere, AİHM, AYM, Yargıtay ve KVK Kurulu Kararları uyarınca izlemenin, işverenin meşru çıkarları için gerçekleştirilmesi önemle vurgulanmıştır. İşverenin elektronik izleme yapması çalışanın kişilik haklarına müdahale niteliği taşımakta olduğundan izlemenin yapılabilmesi için hukuka uygunluk sebeplerinin varlığına ihtiyaç vardır. Kanun’un verdiği yetkinin kullanılması, işverenin üstün nitelikli menfaati ve kamu yararı hukuka uygunluk sebeplerinden bazılardır. Anılan hukuka uygunluk sebeplerinin yanı sıra izlemenin, hukuka, dürüstlük kurallarına, amaca uygun, amaçla bağlantılı ve orantılı olması gerektiğine de dikkat edilmelidir. Türk Borçlar Kanunu (“TBK”) m.417’de açık bir şekilde işverenin, işçinin kişiliğini korumak, saygı göstermek ve işyerinde dürüstlük ilkelerine uygun bir düzeni sağlamakla yükümlü olduğu belirtilmiştir. Bu haklı menfaat ancak amaçla bağlantılı ve orantılı bir izlemeye izin verdiğinden, bu menfaatle bağlantılı olmayan veya orantılı olmayan bir izleme (örneğin, çalışanın profillenmesi, iş dışı e-postalarının izlenebiliyor olması vs.) sonucu çalışanın kişiliği hakkında bilgi edinilmesi mümkün hale geleceğinden, yapılacak olan izleme çalışanın kişilik haklarına saldırı niteliği taşıyabilecektir.

Bu sebeple işverenin elektronik izlemesi neticesinde kişilik hakkı ihlal edilen işçiler Türk Medeni Kanunu m.25’te yer alan saldırı tehlikesinin önlenmesine, sürmekte olan saldırıya son verilmesine, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitine yönelik davaları açabileceklerdir. Ayrıca TBK m.58 hükmüne göre de, kişilik hakkı zedelenen işçi, uğradığı manevi zarara karşılık olarak tazminat talebinde bulunabilecektir.

İş Sözleşmelerine Etkisi Bakımından

Çalışanlara tahsis edilen kurumsal cihazların izlenmesi kapsamında çalışanların iş sözleşmeleri detaylı olarak incelenmeli (yalnızca revize gerçekleştirilen güncel iş sözleşmesinin içeriği geniş anlamda KVKK düzenlemesine haizdir) izlemeye ilişkin bilgi bulunup bulunmadığı kontrol edilmelidir. Şayet sözleşmelerde yeterli düzeyde izlemeye ilişkin bilgilendirme yoksa ek olarak çalışan, izleme hakkında kapsamlı ve detaylı şekilde bilgilendirilmelidir. Bu izleme, iş ilişkisinin başlamasından sonra mevcut personele yapılacağından bu durumun çalışma koşullarında esaslı değişiklik sayılabileceği gerekçesiyle bilgilendirmenin İş Kanunu m. 22’deki şartlara uygun olarak çalışana yazılı olarak iletilmesi ve onayının gerekli olduğunu ifade eden görüşler de mevcuttur.

Çalışanın Sözleşmeyi Fesih Hakkına ve İşçilik Alacaklarına Etkisi Bakımından 

İşveren tarafından izlemeye ilişkin hukuki kriterlere uyulmadan bir izleme yapılması halinde çalışanın iş sözleşmesini haklı nedenle fesih hakkı doğabilecek ve izleme faaliyeti neticesinde elde edilen veriler işçilik alacakları davalarında delil olarak kullanılabilecektir.

Eşit Davranmama İlkesi Bakımından Değerlendirme

Kullanılması planlanan izleme programında, program özelliklerinin farklı yöneticiler tarafından farklı şekilde uygulanması da işveren ve yöneticilerin eşit davranmama (İşK m.5, TBK m.417), mobbing iddialarını gündeme getirebilecek ve bundan kaynaklı olarak işçi tarafından iş sözleşmesinin feshi durumları ortaya çıkarabilecektir. Örneğin işyerinde e-postalarının izlenmesi gibi uygulamalarda, haklı bir neden olmaksızın bu uygulamanın sadece bazı işçilere yönelik uygulanması, işverenin eşit davranma borcuna aykırılık teşkil eder. Benzer şekilde yöneticilerden biri çalışanın sosyal medya sitelerini takip ediyorken bir başka yöneticinin çalışanın bu hareketlerini takip etmemesi eşit davranma ilkelerine aykırılık teşkil edebilecektir.

Kayıtların Delil Niteliği Bakımından Değerlendirme

Ayrıca, ilgili elektronik izleme faaliyetinin gerçekleştirileceği programın içeriği hakkında İnsan Kaynakları ve BT birimleri ile gerçekleştirdiğimiz kısa toplantı neticesinde; program içeriğinde çalışanın gün içerisinde kaç saat çevrimiçiolduğuna dair verilerin de kayıt altına alındığı görülmüştür. Bu veriler, günlük, haftalık ve yıllık düzeyde kanunlarda belirlenen çalışma süresinin üzerinde çalışma gerçekleştiren çalışan açısından olası yargılamalarda “yazılı ve somut delil” niteliğinde olacaktır. İlgili programın beyaz yaka çalışanlara ait bilgisayarlara kurulacağı ve beyaz yaka çalışanlara halihazırda fazla mesai ücreti ödenmediği göz önünde bulundurulduğunda, olası işçilik alacağı uyuşmazlıklarında mahkemeler tarafından ilgili kayıtlar çalışanlar açısından fazla mesainin açık, somut ve yazılı ispatı niteliğinde değerlendirilebilecek olup, işveren tarafından ödenmeyen fazla mesai ücretlerine ilişkin olarak hem çalışanlara iş sözleşmesi haklı nedenlerle fesih hakkı verebilecek hem de işveren tarafından çalışanlara fazla mesai ücreti ödenmesi sonucunu doğurabilecektir.

Kişisel Verilerin Korunması Hukuku Bakımından

Çalışanlara Şirket tarafından tahsis edilen cihazların işveren tarafından izlenmesine ilişkin kişisel verilerin korunması hukuku çerçevesinde açık bir düzenleme bulunmamaktadır. Bununla birlikte, yargı makamları ve veri koruma otoriteleri tarafından kişisel verilerin korunması hukukundaki genel kurallar esas alınarak çalışanlara tahsis edilen bilgisayarların işveren tarafından takibine ilişkin sınırlar çizilmiştir.

Çalışanlara tahsis edilen kurumsal cihazların takibi, izlenmesi ve raporlanması KVKK çerçevesinde veri işleme faaliyeti teşkil etmektedir. KVKK kapsamında her veri işleme faaliyetinin hukuki bir şarta dayanması gerekmektedir. Söz konusu faaliyetin, yukarıda açıklanan yargı kararlarındaki kriterlere uygun olması kaydıyla, KVK Kurulu kararlarına paralel olarak “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayandırılabileceği kanaatindeyiz. Dolayısıyla, izleme faaliyetinin yargı kararlarındaki kriterlere uygun olması halinde çalışanlardan açık rıza alınmasına gerek bulunmamakta olup, çalışanların yalnızca konu hakkında ispata elverişli bir şekilde aydınlatılması ve veri güvenliği bakımından gerekli tedbirlerin alınması yeterli olacaktır. Bu noktada meşru menfaat hukuki sebebine dayanılarak gerçekleştirilecek veri işleme faaliyetli bakımından KVK Kurulu’nun 25/03/2019 tarihli ve 2019/78 sayılı kararı uyarınca denge testi yapılması gerektiğinden, izlemeye yönelik çalışanın kişisel verilerinin korunmasını talep etme hakkı ile işverenin yönetim hakkından doğan meşru menfaatinin karşılaştırıldığı bir denge testi yapılarak meşru menfaatin varlığı somut olarak ortaya konmalıdır. 

Yargı kararlarındaki kriterlere uygun olmayan, yahut meşru bir menfaate dayandırılamayan her türlü izleme faaliyeti ise kişisel verilerin korunması mevzuatı kapsamında hiçbir koşulda hukuka uygun bir izleme teşkil etmeyecek olup, bu durumda çalışanların açık rızaları alınsa bile herhangi bir uyuşmazlıkta bu rızalar KVK Kurulu tarafından geçersiz sayılabilecektir.

SONUÇ VE ÖNERİLER

Yukarıda yer alan açıklamalar kapsamında işverenin elde etmek istediği amaç ile çalışanın kişilik hakları arasında denge kurulması oldukça kritik bir konudur. Çalışanın yaptığı işin niteliği ve özellikler, unvanı, kapsamına göre izleme programındaki hangi özelliklerin ne derecede kullanılacağı titiz bir çalışma ile tespit edilmeli ve bu izleme yalnızca amaca yönelik hizmet etmelidir. İzleme yalnızca işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olmalıdır. İşyerinde kullanılan araçların sırf işverene ait olması hususundan yola çıkılarak işverenin bu iletişim araçları üzerinde sınırsız ve mutlak bir izleme yetkisinin olduğunu kabul etmek, çalışanın işyerinde de bulunan makul mahremiyet beklentisine aykırı olacaktır.

İşverenin yönetim hakkı çerçevesinde elektronik yöntemlerle yaptığı izleme sonucunda, çalışanın iş görme edimini yerine getirmediğini, kötü ifa ettiğini veya sadakat borcuna aykırı davrandığını, itaat borcuna aykırı davrandığını tespit edebilir. Öte yandan söz konusu program içeriğinde çalışanın günlük, haftalık ve yıllık çalışma sürelerinin açık şekilde kayıt altına alınması çalışan açısından olası yargılamalarda somut ve yazılı delil niteliğinde kabul edilecek olup işbu kayıtlara istinaden çalışan kendisine ödenmeyen fazla mesai ücret alacakları nedeniyle iş sözleşmesi haklı nedenlerle feshedebileceği gibi ikame edeceği işçilik alacağı davaları ile fazla mesai ücretine de hak kazanabilecektir.

Somut olayın özelliklerine göre işverenin de haklı veya geçerli nedenle fesih hakkı doğabilecektir. Ancak işveren bakımından fesih koşullarının oluşabilmesi için izleme programları neticesinde gerekli tespitler yapılsa dahi bunların çalışanın çalışmasını ne düzeyde etkilediği ve işi ne ölçüde aksattığı ispatlanmalıdır. Bu ispat yöntemi kullanılırken çalışanın hukuka aykırı olarak elde edilmiş kişisel verilerinin çalışan aleyhine delil olarak değerlendirilmesi mümkün olamayacaktır. Dolayısıyla izleme çerçevesinde yürütülen kişisel veri işleme faaliyetlerinin hukuka uygun olması bu kapsamda oldukça büyük önem taşımaktadır.

Bu kapsamda çalışanlara tahsis edilen kurumsal cihazların izlenmesine ilişkin kişisel verilerin korunması çerçevesinde dikkat edilmesi gereken, yargı kararlarında belirlenen kriterlerin tamamlanması, somut ve meşru bir menfaatin denge testi ile ortaya konması ve veri güvenliği bakımından gerekli tedbirlerin alınmasıdır. Aksi takdirde gerçekleştirilecek izleme faaliyetlerinin KVKK’ya aykırı bulunabileceğini ve her bir hukuka aykırılık bakımından ayrı ayrı 9.463.213-Türk lirasına kadar idari para cezası uygulanabilecektir. Öte yandan, KVK Kurulu’nun kararlarını internet sitesinde ilan etme yetkisi bulunduğu dikkate alındığında, şirketimiz aleyhine bir cezaya ilişkin ilanın ticari itibar kaybına da sebebiyet verebileceği göz ardı edilmemelidir.