İş Hukuku

Dijital Gözetim ve İşçi Hakları

0 7 7 dakika okuma süresi

Giriş

Çalışma hayatında dijital araçların yaygınlaşmasıyla birlikte işyerlerinde denetim yöntemleri de değişti. Kamera sistemleri, şirket e-postalarının denetimi, internet ve uygulama kullanım kayıtları, GPS ile konum takibi, hatta biyometrik doğrulama gibi uygulamalar gündelik iş pratiğinin parçası haline geldi. Bu tablo, işverenin yönetim ve denetim yetkisi ile işçinin özel hayatının ve kişisel verilerinin korunması arasındaki hassas dengeyi gündeme taşıyor. Türkiye’de bu dengenin hukuki zemini Anayasa, Türk Borçlar Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türk Ceza Kanunu ve iş hukuku mevzuatı ile çiziliyor. Aşağıda dijital gözetimin hukuki çerçevesini, uygulamadaki sınırlarını ve taraflar açısından kritik noktaları güncel ve güvenilir şekilde ele alıyoruz.

Konunun Hukuki Tanımı ve Kapsamı

Dijital gözetim, iş ilişkisinin yürütülmesi amacıyla işveren tarafından bilgi ve iletişim teknolojileri üzerinden gerçekleştirilen izleme, kayıt altına alma ve analiz faaliyetlerini ifade eder. Amaç; işin organizasyonu, iş güvenliği, varlık ve bilgi güvenliği, verimlilik veya mevzuata uyum gibi meşru ihtiyaçlar olabilir. Ancak araç ve yöntem ne olursa olsun; özel hayatın gizliliği, haberleşmenin gizliliği ve kişisel verilerin korunması hakları gözetilmek zorundadır.

İşyerinde yaygın dijital gözetim türleri

  • Kamera (CCTV) ile görüntü kaydı
  • Kurumsal e-posta ve mesajlaşma hesaplarının denetlenmesi
  • İnternet, uygulama ve ağ erişim loglarının tutulması
  • GPS ile araç veya saha personelinin konum takibi
  • Erişim kontrol sistemleri (kartlı geçiş, turnike), biyometrik doğrulama
  • Uzaktan çalışmada ekran süresi, aktiflik, ekran görüntüsü/tuş kaydı gibi yazılımlar

Kısa cevap: Dijital gözetim, meşru amaçla, açık ve öngörülebilir kurallarla, ölçülü yöntemlerle ve KVKK ilkelerine uygun yürütülürse hukuken kabul edilebilir; aksi halde hak ihlallerine ve yaptırımlara yol açabilir.

Şartlar ve Temel Hukuki Çerçeve

Anayasal koruma ve genel ilkeler

Anayasa çalışma hayatında da geçerli olmak üzere özel hayatın gizliliğini ve kişisel verilerin korunmasını güvence altına alır. Haberleşmenin gizliliği de anayasal bir haktır. İşverenin yönetim ve denetim yetkisi, bu hakların özüne dokunamaz; ancak kanuna uygun, meşru amaçlı ve ölçülü sınırlamalar mümkündür.

Türk Borçlar Kanunu uyarınca işveren, işçinin kişiliğini koruma yükümlülüğü altındadır. Bu yükümlülük, işyerinde gözetim uygulamalarının işçinin haysiyetini zedelemeyecek, özel alanını gereksiz ölçüde ihlal etmeyecek biçimde kurgulanmasını gerektirir. Öte yandan işçinin de sadakat borcu kapsamında işverenin meşru menfaatlerine riayet etmesi, iş sırlarını koruması ve kurumsal araçları dürüstlük kuralına uygun kullanması beklenir.

KVKK kapsamı: Veri işleme şartları ve ilkeler

Dijital gözetim, kişisel veri işleme faaliyetidir. KVKK; veri işlemenin açık, belirli ve meşru amaçla yapılmasını; veri minimizasyonu, doğruluk, güncellik, saklama süreleriyle sınırlılık ve veri güvenliği ilkelerine uyulmasını zorunlu tutar. İş ilişkisi bağlamında çoğu veri işleme faaliyeti, kanunda sayılan hukuki sebeplerden birine dayanmak zorundadır. Uygulamada en sık başvurulan dayanaklar; sözleşmenin kurulması/ifası için zorunluluk, veri sorumlusunun meşru menfaati ve kanuni yükümlülüklerin yerine getirilmesidir. Her durumda aydınlatma yükümlülüğü ayrıca ve açıkça yerine getirilmelidir.

Aydınlatma yükümlülüğü ve açık rıza

İşveren; hangi verileri, hangi amaçlarla, hangi yöntemlerle, kimlere aktararak, ne kadar süreyle işleyeceğini ve ilgili kişinin haklarını çalışanlara anlaşılır bir dille bildirmelidir. Uygulamada bu bilgilendirme “aydınlatma metni”, “işyeri gözetim politikası” ve “BT kullanım politikası” ile yapılır. Çalışanın salt rızasına dayanmak çoğu zaman uygun bir hukuki zemin değildir; zira iş ilişkisi içindeki bağımlılık rızanın özgür iradeyle verilmesini tartışmalı kılar. Bu nedenle gözetim uygulamaları, öncelikle rıza dışı uygun hukuki sebeplere dayanılarak ve ölçülülük ilkesine riayet edilerek kurgulanmalıdır. Açık rıza, ancak zorunlu ve başka bir hukuki sebebin yetersiz kaldığı hallerde, gerçek bir serbest irade koşuluyla ve geri alınabilir şekilde tercih edilmelidir.

Özel nitelikli veriler ve biyometri

Sağlık verileri ve biyometrik veriler (parmak izi, yüz tanıma vb.) KVKK uyarınca özel nitelikli kişisel veridir. İşlenmeleri sıkı teknik-idari tedbirler ve istisnai hukuki sebepler gerektirir. Örneğin salt devam kontrolü için biyometrik sistem kullanımı, daha az müdahaleci alternatiflerle aynı amaca ulaşılabiliyorsa ölçülülük denetiminden geçmeyebilir. Bu tür sistemlere başvurulacaksa güçlü bir gereklilik analizi yapılmalı, erişimler yetkilendirilmeli ve saklama süreleri sıkı şekilde sınırlandırılmalıdır.

Ceza hukuku boyutu

Haberleşmenin gizliliğini ihlal etmek, kişisel verileri hukuka aykırı şekilde elde etmek veya yaymak Türk Ceza Kanunu kapsamında suç teşkil edebilir. Özellikle gizli ses kaydı yapılması, kişisel veri niteliğindeki kayıtların izinsiz paylaşılması gibi eylemler, taraflar açısından ceza sorumluluğu doğurabilir. Bu nedenle gözetim yöntemlerinin “gizli” ve “sürekli” bir müdahaleye dönüşmemesi; meşru, açık ve ölçülü olması kritik önemdedir.

Süreç Nasıl İşler?

Hukuka uygun bir dijital gözetim sistemi, baştan sona uyum odaklı bir süreç yönetimi gerektirir. Temel adımlar şöyledir:

  • Amaç ve gereklilik analizi: Güvenlik, üretim kalitesi, mevzuata uyum gibi somut amaçları yazılı hale getirin. Her bir yöntem için “daha az müdahaleci bir seçenekle aynı amaca ulaşılabilir mi?” sorusunu sorun.
  • Hukuki dayanak tespiti: KVKK’daki veri işleme şartlarını ve iş hukuku çerçevesini somut faaliyete eşleştirin. Açık rızaya ancak istisnai durumlarda başvurun.
  • Aydınlatma ve politika: Çalışanlara açık, sade ve kapsamlı aydınlatma metni sunun. E-posta/internet kullanımı, cihaz politikası ve gözetim çerçevesi yazılı olsun.
  • Teknik ve idari tedbirler: Erişim yetkilendirmesi, şifreleme, loglama, saklama süresi yönetimi, düzenli silme/anonimleştirme, denetim izleri ve veri güvenliği prosedürlerini kurun.
  • Konum ve kamera planlaması: Kamera kör noktalarını değil riskli alanları kapsasın; soyunma odası, tuvalet ve ibadet alanları gibi mahrem yerlerde kayıt yapılmaması esastır. Ses kaydı kural olarak tercih edilmemelidir.
  • Uzaktan çalışma düzeni: Evden çalışma sözleşmelerine izleme araçlarını, kapsam ve sınırlarını ekleyin; özel alan müdahalesinden kaçının.
  • Tedarikçi yönetimi: Güvenlik şirketi, yazılım sağlayıcısı gibi veri işleyenlerle KVKK’ya uygun sözleşmeler yapın; veri aktarımı, güvenlik ve alt yüklenici hükümlerini netleştirin.
  • Yurt dışına veri aktarımı: Sınır ötesi aktarım gündemdeyse KVKK’daki aktarıma ilişkin şartlara ve Kurul tarafından belirlenen usullere uyun.
  • Eğitim ve farkındalık: Çalışanlara kişisel veri, bilgi güvenliği ve gözetim politikaları hakkında düzenli eğitim verin.
  • Hak başvurusu süreci: Çalışanların KVKK kapsamındaki başvurularını alacak, sürelere uyacak ve geri bildirim yapacak mekanizma kurun.
  • Periyodik gözden geçirme: Uygulamaları yılda en az bir kez güncel risk ve ihtiyaçlara göre gözden geçirin; ölçülülük değerlendirmesini tazeleyin.

İşçi ve İşveren Açısından Dikkat Edilmesi Gerekenler

İşverenler için pratik ilkeler

  • Şeffaflık: “Sürpriz izleme” yapmayın. Aydınlatma, politika ve görsel işaretlemeler net olsun.
  • Ölçülülük: Amaç için gerekli olandan fazlasını toplamayın; örneğin ses kaydı yerine yalnızca görüntü kaydı, genel ekran kaydı yerine yalnızca kurumsal uygulama logları gibi daha az müdahaleci seçenekleri tercih edin.
  • Mahrem alanlar: Soyunma odası, tuvalet, emzirme odası gibi alanlarda kamera bulundurmayın. Dinlenme alanlarında kayıt, istisnai ve güçlü gerekçeler olmadıkça kaçınılmalıdır.
  • Kurumsal-özel ayrımı: Kurumsal cihaz ve hesaplar üzerinden dahi olsa “özel” ibareli, kişisel nitelikte haberleşmeye mümkün olduğunca müdahale etmeyin. İnceleme yapılması gerekiyorsa hedefli ve sınırlı inceleme yapın, içerik yerine meta verilerle yetinmeyi değerlendirin.
  • BYOD ve kişisel cihazlar: Kişisel cihaza izleme yazılımı kurulması, kapsam ve veri ayrımı netleştirilmeden yapılmamalıdır. Ayrı kurumsal profil/uygulama konteyneri kullanın.
  • Biyometrik sistemler: Zorunluluk ve uygun güvenlik tedbirleri sağlanmadıkça biyometrik çözümleri tercih etmeyin; alternatif kimlik doğrulama yöntemlerini önceleyin.
  • Veri minimizasyonu ve silme: Saklama sürelerini yazılı belirleyin; süre sonunda veriyi güvenli şekilde imha edin.
  • Eşitlik ve sendikal haklar: Gözetim, ayrımcı veya sendikal faaliyeti hedef alan bir araca dönüşmemelidir. Profil çıkarma ve puanlama algoritmalarında önyargı risklerini denetleyin.

İşçiler için hak ve yükümlülükler

  • Bilgilendirme hakkı: Hangi verilerinizin, hangi araçlarla işlendiğini öğrenme; yanlış/eksik verilerin düzeltilmesini veya silinmesini talep etme hakkınız vardır.
  • Kurallara uyum: Kurumsal cihazları ve hesapları politika ve talimatlara uygun kullanın; gizlilik ve bilgi güvenliği süreçlerine riayet edin.
  • Özel hayat sınırı: Kişisel yazışmalar için kişisel hesapları ve cihazları tercih edin; kurumsal hesaplarda “özel” kullanım risk oluşturabilir.
  • Başvuru yolları: Önce işverene/KVKK başvuru usulüne uygun şekilde yazılı başvurun; sonuç alamazsanız Kişisel Verileri Koruma Kurumu’na şikâyet, iş uyuşmazlıkları için İş Mahkemeleri’ne başvuru veya gerekli hallerde savcılığa suç duyurusu imkanları vardır.

İspat, Deliller ve Uygulamadaki Önemli Noktalar

İş uyuşmazlıklarında delilin hukuka uygun elde edilmesi esastır. Aydınlatma yapılmadan, yasak alanda veya ölçüsüz şekilde elde edilen kayıtlar hem KVKK bakımından ihlal hem de yargılama bakımından “hukuka aykırı delil” niteliğinde değerlendirilebilir. Çoğu durumda mahkemeler bu tür delilleri dikkate almaz veya sınırlı değer atfeder.

Kamera kayıtları bakımından; cihazların yerleri, açıları, çözünürlük/saklama ayarları, kayıtların bütünlüğünü gösteren loglar ve yetkilendirme listeleri önem taşır. Kurumsal e-posta ve internet kullanım verileri açısından; yazılı politika, bilgilendirme tarihi, teknik sistem kayıtları, erişimin nasıl ve ne süreyle yapıldığı yargılamada belirleyici olabilir. İşveren, olayla ilgisi bulunmayan geniş çaplı veri incelemesi yaparsa ölçülülük ilkesi ihlal edilmiş sayılabilir.

Uluslararası ve ulusal içtihat, kurumsal e-posta denetiminin meşru amaçlarla ve önceden bilgilendirme yapılarak, hedefli ve sınırlı şekilde yürütülmesi halinde kabul edilebilir olduğunu; ancak gizli ve kapsamlı izleme ile özel yazışmaların içerik denetiminin ağır ihlal doğurabileceğini vurgular. Keza, ses kaydı yapan kameralar ve sürekli ekran/tuş kaydı alan yazılımlar çoğu durumda gereğinden fazla müdahaleci kabul edilir.

Sık Sorulan Sorular

İşveren şirket e-postalarımı okuyabilir mi?

Kurumsal e-posta hesaplarının işin yürütülmesi ve bilgi güvenliği amacıyla denetlenmesi mümkündür. Ancak bunun için önceden açık aydınlatma yapılmalı, kapsam ve sınırlar politika ile belirlenmeli, denetim hedefli ve ölçülü olmalıdır. “Özel” ibareli veya bariz kişisel nitelikteki yazışmaların içerik denetimi, çok istisnai ve güçlü gerekçeler olmadıkça önerilmez.

İşyerinde kamera ile ses kaydı yapılabilir mi?

Kural olarak görüntü kaydı, güvenlik ve iş sağlığı gibi meşru amaçlarla ve şeffaf biçimde yapılabilir. Ses kaydı ise özel hayatın ve haberleşmenin gizliliğine daha yoğun müdahale içerdiğinden çoğu durumda ölçüsüz kabul edilir. Mahrem alanlarda (tuvalet, soyunma odası, emzirme odası gibi) kamera bulundurmak hukuka aykırıdır.

Evden çalışırken ekran görüntüsü veya tuş kaydı alınması yasal mı?

Uzaktan çalışmada da ölçülülük ve şeffaflık esastır. Sürekli ekran görüntüsü veya tuş kaydı genellikle aşırı müdahalecidir. Zorunlu güvenlik ihtiyacı varsa bile kapsamı dar, süresi sınırlı ve önceden bildirilmiş olmalıdır. Çalışanın özel alanına ve kişisel cihaz/hesaplarına müdahale edilmemelidir.

GPS ile konum takibi yapılabilir mi?

İşin niteliği gerektiriyorsa (saha, dağıtım, servis vb.) araç veya cihaz bazlı konum takibi meşru kabul edilebilir. Amaç, zaman, sıklık ve hassasiyet yönünden ölçülülük gözetilmeli; mesai dışı takibe son verilmelidir. Çalışanlar açıkça bilgilendirilmelidir.

Parmak izi veya yüz tanıma ile giriş zorunlu tutulabilir mi?

Biyometrik veriler özel nitelikli kişisel veridir. Devam kontrolü gibi amaçlar için daha az müdahaleci yöntemlerle aynı sonuca ulaşılabiliyorsa biyometrik yöntem tercih edilmemelidir. Zorunluluk ortaya konulsa dahi sıkı güvenlik tedbirleri, sınırlı erişim ve kısa saklama süreleri şarttır.

Çalışanın rızası varsa her şey yapılabilir mi?

Hayır. İş ilişkisindeki bağımlılık nedeniyle rızanın özgür iradeyi yansıtması tartışmalıdır. Rızaya dayanmak, diğer hukuki sebeplerin bulunmadığı istisnai hallerle sınırlı tutulmalıdır. Ayrıca rıza, bilgilendirmeye dayalı olmalı ve her zaman geri alınabilir olmalıdır.

İşverenin hukuka aykırı elde ettiği kayıtlar mahkemede delil olur mu?

Genel ilke, hukuka aykırı delilin yargılamada dikkate alınmamasıdır. Aydınlatma yapılmadan, yasak alanda veya ölçüsüz yöntemlerle alınmış kayıtlar çoğu durumda delil olarak kabul edilmez ve ayrıca idari/cezai sorumluluk doğurabilir.

İşyerindeki internet kullanımım kaydedilebilir mi?

Bilgi güvenliği ve işin organizasyonu amacıyla erişim logları tutulabilir. Ancak hangi verilerin, ne kadar süreyle ve hangi amaçla tutulacağı aydınlatma metninde açıklanmalı; çalışanların özel hayatına müdahale etmeyecek şekilde sınırlandırılmalıdır.

İşten ayrıldıktan sonra verilerim ne olur?

Veriler, işleme amacının gerektirdiği süre boyunca saklanabilir; süre dolduğunda KVKK’ya uygun şekilde silinmeli, yok edilmeli veya anonim hale getirilmelidir. Çalışanın başvurusu üzerine silme/anonimleştirme talepleri mevzuat çerçevesinde değerlendirilmelidir.

Sendikal faaliyetim gözetim kapsamına girebilir mi?

Hayır. Gözetim uygulamaları sendikal faaliyetleri hedef alamaz; ayrımcı kullanımlara kesinlikle yer verilmemelidir. Bu tür uygulamalar ciddi hak ihlalleri ve yaptırımlar doğurabilir.

Sonuç ve Hukuki Değerlendirme

Dijital gözetim, doğru kurgulandığında işin güvenli ve verimli yürütülmesine katkı sağlayan meşru bir araçtır. Ancak hukuka uygunluk; şeffaflık, ölçülülük, veri minimizasyonu ve güçlü veri güvenliği önlemleriyle mümkündür. İşverenler, her bir gözetim yöntemini ayrı ayrı amaç-gereklilik testinden geçirmeli; aydınlatma ve politika metinlerini güncel tutmalı; teknik/idari tedbirleri uygulamalıdır. Çalışanlar ise hak ve yükümlülüklerinin farkında olarak kurumsal kurallara uymalı; gerektiğinde başvuru ve itiraz mekanizmalarını işletmelidir.

Uygulamada ince ayar çoğu zaman somut olayın koşullarına bağlıdır. İşin niteliği, risk profili, mahremiyet derecesi ve elde edilmek istenen amacın ağırlığı; hangi yöntemin kabul edilebilir olduğunu belirler. Bu nedenle, yeni bir gözetim uygulamasına geçmeden önce hukuki risk analizi yapmak ve süreçleri yazılı hale getirmek en sağlıklı yaklaşımdır.

Bu içerik genel bilgilendirme amacıyla hazırlanmıştır. Somut olayınıza ilişkin hukuki değerlendirme için bir avukattan destek alınması önerilir.

0 7 7 dakika okuma süresi

İlgili Makaleler

İşten çıkarılan işçi işe geri dönebilir mi

İşçi dava açarsa ne kadar kazanır

İşçi hangi durumlarda tazminat alır

İşçi işvereni nereye şikayet eder

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu