İşveren İçin Dijital Gözetim Rehberi 

Çalışan Verimliliği Takibi ve Hukuki Sınırlar Çerçevesinde

İşveren İçin Dijital Gözetim Rehberi

Dijitalleşmenin iş yaşamında da yaygınlaşmasıyla birlikte çalışanların performanslarının, davranışlarının ve çevrimiçi faaliyetlerinin çeşitli teknolojik araçlarla işveren tarafından izlenmesi giderek olağan hale gelmiştir. Kamera sistemleri, bilgisayar kullanım kayıtları, konum takibi, e-posta denetimi gibi yöntemler, işverenlerin verimlilik ve güvenlik amaçlı olarak başvurduğu başlıca dijital gözetim araçlarıdır. Ancak bu araçların kullanımı, işverenin yönetim hakkı ile çalışanın özel hayatının gizliliği ve kişisel verilerinin korunması arasında hassas bir denge kurulmasını zorunlu kılar.

Bu bağlamda başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere, 4857 sayılı İş Kanunu, Anayasa’nın 20. maddesi, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi, Avrupa İnsan Hakları Mahkemesi (“AİHM”) içtihatları ve Avrupa Konseyi 108 No’lu Sözleşme gibi ulusal ve uluslararası normlar, işverenin dijital denetim yetkisinin sınırlarını çizmektedir.

Buna ek olarak, işverenin uygulamalarını daha teknik düzeyde düzenleyen çeşitli ikincil mevzuatlar da yürürlüktedir. KVKK kapsamındaki Aydınlatma Tebliği, VERBİS Yönetmeliği, Veri İmha Yönetmeliği gibi düzenlemeler işverenin veri sorumlusu sıfatıyla hangi sınırlar içinde hareket etmesi gerektiğini belirlerken; 10.03.2021 tarihli Uzaktan Çalışma Yönetmeliği ise uzaktan çalışanların gözetimine ilişkin özel hüküm ve düzenlemeler içermektedir. Ayrıca, ILO 155 sayılı Sözleşme gibi uluslararası belgeler, çalışanların kişilik haklarının gözetilmesi gerektiğini vurgulayarak, dolaylı da olsa dijital gözetim uygulamalarına yön vermektedir.

Bu çalışmada, dijital gözetim uygulamalarının hukuki sınırları; işverenin yönetim hakkı, çalışanların temel hakları, veri güvenliği ve özel hayatın korunması ekseninde ele alınacaktır. Konu, hem normatif çerçevede hem de uygulamada karşılaşılan örnekler üzerinden değerlendirilecek; işverenin gözetim yetkisinin hangi koşullarda hukuka uygun olduğu açıklığa kavuşturulacaktır.

1. İşverenin Yönetim Hakkı ve Hukuki Sınırları

İşverenin yönetim hakkı, işin yürütülmesi kapsamında çalışanlara talimat verme, denetim yapma ve iş süreçlerini organize etme yetkisini ifade eder. Bu hak, esasen iş sözleşmesinden doğmakta olup 4857 sayılı İş Kanunu’nun 22. maddesi ile çerçevelenmiştir. Ancak bu yetki, mutlak nitelikte değildir; özellikle kişilik hakları, özel hayatın gizliliği ve kişisel verilerin korunması gibi anayasal güvencelerle ve uluslararası normlarla sınırlandırılmıştır.

Anayasa’nın 20. maddesi, herkesin özel hayatına ve kişisel verilerine saygı gösterilmesini güvence altına alırken, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 4. ve 5. maddeleri hükümleri, kişisel verilerin yalnızca belirli, açık ve meşru amaçlarla, ölçülü ve ilgili kişiye önceden yapılan aydınlatma çerçevesinde işlenebileceğini hükme bağlamaktadır. Bu bağlamda işveren, çalışanların işyeri içindeki davranışlarını ya da dijital faaliyetlerini izlemek istiyorsa, öncelikle aydınlatma yükümlülüğünü yerine getirmeli, veri işlemenin hukuki dayanağını açıkça belirlemeli ve veri minimizasyonu ilkesine sadık kalmalıdır.

İşverenin gözetim hakkı kapsamında gerçekleştirdiği denetim uygulamaları (örneğin kamera takibi, bilgisayar kullanımının izlenmesi, e-posta denetimi vb.) doğrudan kişisel verilerin işlenmesini kapsadığından, KVKK kapsamında ikincil düzenlemelere de tabidir.

Bu çerçevede:

  • “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” uyarınca, işveren veri sorumlusu sıfatıyla hangi verileri, hangi amaçlarla, ne kadar süreyle işleyeceğini açıkça çalışana bildirmelidir.
  • Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Yönetmeliği kapsamında işverenin VERBİS’e kayıtlı olması halinde çalışanlara dair işlenen veri kategorilerini bu sistemde beyan etmesi gereklidir.
  • “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” uyarınca, veriler yalnızca işleme amacı sürdüğü sürece saklanabilir; aksi takdirde imha edilmelidir.

Ayrıca işverenin gözetim araçları uzaktan çalışma gibi yeni modellerde de kullanılıyorsa, bu kez 10.03.2021 tarihli Uzaktan Çalışma Yönetmeliği devreye girer. Yönetmeliğin 5. maddesi uyarınca işveren, uzaktan çalışanın denetim yöntemlerini ve süresini önceden belirlemeli ve bu bilgileri çalışana açıkça bildirmelidir. Bu denetimlerin çalışanın kişilik haklarına aykırı olmaması gerekliliği ise bilahare özel olarak vurgulanmıştır.

İşverenin gözetim hakkı ile çalışanın temel hakları arasındaki dengeyi belirleyen yalnızca iç hukuk değildir. Türkiye’nin taraf olduğu Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) 8. maddesi, özel hayatın ve haberleşmenin gizliliğini koruma altına alır. Avrupa İnsan Hakları Mahkemesi (AİHM), özellikle Barbulescu v. Romania kararında işverenin dijital denetim uygulamalarının ancak şeffaflık ve ölçülülük ilkesine uygun biçimde gerçekleştirilebileceğini vurgulamıştır.

Ayrıca Türkiye’nin onayladığı Avrupa Konseyi 108 No’lu Sözleşme ve Ek Protokolü, kişisel verilerin otomatik işlenmesi sırasında kişilerin özel hayatına yönelik güvenceleri içerir ve KVKK’nın oluşturulmasına da zemin hazırlamıştır. ILO 155 sayılı Sözleşme ise doğrudan gözetim tekniklerine odaklanmasa da, işçilerin sağlık ve güvenliği yanında kişilik haklarının da korunmasını zorunlu kılar.

Tüm bu düzenlemelerden çıkan ortak sonuç şudur: İşverenin yönetim hakkı; meşru bir hak olmakla birlikte, ancak belirli kurallara bağlı olarak ve çalışan haklarını zedelemeyecek şekilde kullanıldığında hukuka uygun kabul edilir. Aksi takdirde, hem KVKK nezdinde idari yaptırımlar hem de özel hukukta tazminat sorumluluğu doğabilir.

2. Çalışan Verimliliğinin Takibi: Meşru Ama Sınırlı

İşverenin çalışanlarının verimliliğini ölçmek ve iş süreçlerini optimize etmek istemesi, iş ilişkisi açısından meşru bir beklentidir. Ancak bu amaçla yapılan izleme ve denetim faaliyetlerinin, çalışanların özel hayatına ve kişisel verilerine müdahale oluşturabileceği dikkate alınmalıdır. Bu nedenle çalışan verimliliğinin takibinde hukuka uygunluk, şeffaflık ve ölçülülük ilkeleri esas alınmalıdır.

6698 sayılı KVKK uyarınca, işverenin çalışanlara ait kişisel verileri işlemesi için, bu işlemenin meşru bir amaca dayanması, belirli ve açık olması, sınırlı ve ölçülü şekilde gerçekleştirilmesi ve çalışanın aydınlatılmış olması gerekir (KVKK m.4). Uygulamada, verimlilik takibi kapsamında:

  • Oturum süreleri,
  • Giriş-çıkış saatleri,
  • Görev tamamlama oranları,
  • Bilgisayar ve internet kullanımı gibi veriler izlenmekte ve işlenmektedir.

Bu tür uygulamalar, genellikle “veri sorumlusunun meşru menfaati” veri işleme şartına dayandırılabilir (KVKK m.5/2-f). Ancak bu gerekçe, ölçülülük ve gereklilik ilkesiyle birlikte değerlendirilmelidir. Örneğin bir çalışanı sürekli ekran kaydı ile izlemek, meşru menfaat kapsamında değerlendirilemez; bu tür izleme ancak olağanüstü durumlarda ve açık rıza ile mümkündür.

İşverenin çalışanını izlemeye başlamadan önce, aydınlatma yükümlülüğünü eksiksiz biçimde yerine getirmesi gerekir. Aydınlatma Tebliği’ne göre; izleme faaliyeti başlamadan önce hangi verilerin ne amaçla, ne kadar süreyle ve hangi hukuki sebeple işlendiği açıkça belirtilmelidir. Bu belgelerin gerçekten bilgilendirici içerikte olması ve çalışan tarafından içeriğinin anlaşılmış olması önemlidir.

Uzaktan çalışan personelin verimliliği söz konusu olduğunda, bu denetim daha da karmaşık hale gelir. Uzaktan Çalışma Yönetmeliği’nin 5. maddesi, bu tür denetimlerin önceden belirlenmiş yöntemlerle yapılması ve çalışanın kişilik haklarını zedelememesi gerektiğini açıkça düzenlemiştir. Bu nedenle ekran paylaşımı, konum takibi veya ekran görüntüsü alma gibi uygulamalar yalnızca zorunluluk halinde ve açık sınırlarla kullanılabilir.

Sonuç olarak, işverenin çalışan performansını ve verimliliğini izleme hakkı tanınmakla birlikte, bu hakkın kullanımı belirli sınırlarla çevrilidir. İzleme amacı, yöntemi, kapsamı ve süresi net olarak belirlenmeli; veri işleme faaliyetleri her zaman ölçülü, meşru ve şeffaf olmalıdır. Aksi hâlde, işverenin uygulamaları hem KVKK ihlâli hem de Anayasa’da güvence altına alınan kişilik haklarının ihlâli sonucunu doğurabilir.

Uluslararası Normlar ve AİHM İçtihatları

Ulusal mevzuatla paralel biçimde, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi, bireylerin özel hayatına ve haberleşmelerine saygı gösterilmesini güvence altına alır. AİHM, işverenin çalışan üzerinde uyguladığı izleme ve denetim faaliyetlerinin özel hayata müdahale teşkil edebileceğini kabul etmektedir.

Bu bağlamda en dikkat çeken karar, Barbulescu v. Romania (2017) davasıdır. AİHM, işverenin çalışanın anlık mesajlaşma uygulamasını denetleyip işten çıkarmasını değerlendirirken şu ilkeleri belirlemiştir:

  • Çalışan önceden açık ve yeterli şekilde bilgilendirilmiş mi?
  • İzleme faaliyetinin kapsamı ve derecesi nedir?
  • Elde edilen veriler nasıl ve ne ölçüde kullanılmış?
  • İzleme amacına ulaşmak için daha az müdahaleci yollar var mıydı?

Mahkeme, çalışanın yeterince bilgilendirilmemesi ve izleme faaliyetinin ölçüsüz biçimde yürütülmesini özel hayatın ihlali olarak değerlendirmiştir. Bu karar, yalnızca haberleşmenin değil, genel olarak dijital denetim araçlarının da hangi sınırlar içinde kullanılabileceğine dair referans niteliğindedir.

Sonuç

Verimlilik amacıyla yapılan izlemeler, ancak işin doğası ve işletmenin ihtiyaçlarıyla sınırlı kalmak koşuluyla hukuka uygundur. Bu çerçevede:

  • İzlemenin amacı net olmalı,
  • Daha az müdahaleci yöntemler değerlendirilmiş olmalı,
  • Çalışan zamanında ve açıkça bilgilendirilmiş olmalı,
  • Toplanan veriler sadece gerekli olduğu sürece saklanmalı,
  • İzleme, ölçüsüz bir baskıya dönüşmemelidir.

Aksi halde, işverenin bu uygulamaları yalnızca KVKK bakımından değil, Anayasal haklar ve AİHS kapsamındaki özel hayatın korunması bakımından da ihlale yol açabilir. Ayrıca, işverenin veri işlemedeki hukuki gerekçesi çoğu zaman “meşru menfaat” olarak gösterilse de, bu yeterli olmayabilir. İzleme faaliyeti çalışanın özel alanına derin müdahale niteliğindeyse (örneğin ekran görüntüsü alma, ses kaydı, konum takibi gibi yöntemler kullanılıyorsa) bu durumda açık rıza alınması gerekir. KVKK sistematiğinde meşru menfaat, yalnızca çalışanın temel hak ve özgürlüklerine üstün gelmediği durumlarda veri işleme gerekçesi olabilir. Bu ayrım gözetilmeden yapılan işlemler veri ihlâli niteliği taşır.

3. CCTV ve Kamera İzleme

Kamera ile izleme, işverenlerin işyerinde güvenlik, üretkenlik kontrolü veya disiplinin sağlanması gibi amaçlarla sıkça başvurduğu gözetim araçlarının başında gelir. Ancak bu izleme faaliyetleri, çalışanların görüntü verilerinin işlenmesi anlamına geldiğinden doğrudan kişisel veri niteliği taşır ve dolayısıyla hem KVKK hem de özel hayatın gizliliği ilkesi kapsamında değerlendirilmelidir.

KVKK Kapsamında Kamera İzlemenin Sınırları

KVKK m.5’e göre kamera izleme, açık rıza olmaksızın ancak “veri sorumlusunun meşru menfaati”ne dayalı olarak gerçekleştirilebilir. Ancak bu durumda dahi izleme:

  • Belirli bir amaca yönelmeli,
  • Ölçülü olmalı,
  • Çalışanlara önceden bildirilmiş olmalı ve
  • Aydınlatma yükümlülüğü yerine getirilmiş olmalıdır.

KVK Kurulu, kamera izleme ile ilgili çok sayıda kararında bu ilkelere vurgu yapmıştır. Özellikle:

  • Gizli kamera ile izleme,
  • Soyunma odası, tuvalet, dinlenme alanı gibi mahrem alanlarda kamera bulundurulması,
  • Kayıtların süresiz saklanması gibi uygulamalar açıkça hukuka aykırı kabul edilmektedir.

Kurul kararlarında soyunma odasında kamera ile izleme yapılmasının veri güvenliği ve özel hayatın gizliliğini ihlal ettiği ve kişisel verilerin hukuka aykırı işlendiği sonucuna varılmıştır. Ayrıca kamera kayıtlarının saklama süresi konusunda da “amaçla sınırlılık” ilkesi gereği, süre makul tutulmalı ve amaca ulaşılınca kayıtlar silinmelidir. Bu konuda Veri İmha Yönetmeliği de işverene açık sorumluluk yükler.

Anayasal Koruma ve AİHM Standartları

Anayasa m.20 uyarınca, herkesin özel hayatına ve kişisel verilerine saygı gösterilmesini isteme hakkı vardır. Bu bağlamda kamera ile izleme, kişisel veri işlemenin yanı sıra özel hayatın sınırlarına müdahale anlamı da taşır. AİHM, bu konuda içtihatlarında işverenlerin kamera izleme faaliyetlerini değerlendirirken şu unsurları dikkate alır:

  • İzleme öncesinde çalışan bilgilendirilmiş mi?
  • Kameraların kapsamı, yerleşimi ve izleme süresi ne kadar?
  • Amaç ve müdahale arasında ölçülülük var mı?
  • Alternatif, daha az müdahaleci yöntemler denenmiş mi?

Lopez Ribalda v. Spain (Büyük Daire, 2019) kararında, işverenin hırsızlık şüphesiyle kasiyerleri gizli kamerayla izlemesini değerlendiren Mahkeme, dijital gözetim kapsamında çalışanların önceden açıkça bilgilendirilmemiş olması ve genel, sürekli ve yaygın bir izleme yapılması nedeniyle özel hayatın ihlal edildiğine hükmetmiştir. Bu karar, izleme amacının haklılığı tek başına yeterli olmadığını, yöntemin de orantılı olması gerektiğini göstermektedir.

Uzaktan Çalışma Durumunda Kamera Kullanımı

Uzaktan Çalışma Yönetmeliği m.5, evden çalışan personelin denetimi için kullanılacak dijital gözetim yöntemlerinin önceden belirlenmesini ve bu yöntemlerin kişilik haklarına uygun olmasını şart koşar. Kamera ile izleme, ev ortamında uygulanıyorsa, bu durum özel hayatı doğrudan ihlâl eder. Dolayısıyla açık rıza olmadan uzaktan çalışanın evine yönelik izleme yapılması kesin biçimde hukuka aykırıdır.

Sonuç

İşverenin kamera sistemi kurma ve izleme hakkı, yalnızca şu koşullar altında hukuka uygundur:

  • Meşru ve sınırlı bir amaca yönelmiş olmalı,
  • İzlenecek alanlar çalışanlara açık şekilde bildirilmiş olmalı,
  • İzleme mahrem alanları kapsamamalı,
  • Kayıtlar sadece gerekli olduğu kadar saklanmalı,
  • Aydınlatma ve veri güvenliği yükümlülükleri eksiksiz yerine getirilmelidir.

Aksi takdirde, kamera ile izleme uygulamaları hem KVKK bakımından idari yaptırıma, hem de özel hayatın ihlali nedeniyle tazminat sorumluluğuna yol açabilir.

4. Bilgisayar, İnternet ve Yazılım Kullanımının Takibi

İşverenin, çalışanlara tahsis ettiği bilgisayar, yazılım ve internet altyapısının iş amaçlı kullanılıp kullanılmadığını denetlemesi, yönetim hakkı kapsamında mümkündür. Ancak bu takibin kapsamı, yöntemi ve amacı, çalışanın kişilik haklarını zedelemeyecek şekilde kurgulanmalıdır. Bu tür dijital gözetim faaliyetleri de kişisel veri işleme anlamına geldiğinden, KVKK hükümleri ve özel hayatın gizliliği ilkesi doğrultusunda hukuki sınırlar içinde yürütülmelidir.

Hukuki Dayanaklar ve Uygulama Koşulları

Çalışanın işyerinde kullandığı bilgisayar ve internetin kullanımına ilişkin denetimlerde:

  • KVKK m.4 uyarınca veri işleme; “hukuka uygun”, “ölçülü” ve “meşru amaçlı” olmalıdır.
  • KVKK m.5/2(f) çerçevesinde “veri sorumlusunun meşru menfaati” veri işleme dayanağı olabilir. Ancak bu menfaatin, çalışanın temel hak ve özgürlüklerine zarar vermemesi gerekir.

Aydınlatma Yükümlülüğü Tebliği gereğince işveren, çalışana hangi araçların ne şekilde izlendiğini, ne amaçla veri toplandığını ve ne kadar süreyle işlendiğini bildirmelidir. Yargıtay 9. Hukuk Dairesi’nin yerleşik içtihatlarında da işverenin tahsis ettiği bilgisayarın iş dışında ve/veya kötüye kullanılması durumunda haklı nedenle fesih gündeme gelebilir. Ancak bunun hukuka uygun bir delil olarak kabul edilmesi için izleme faaliyetinin önceden açıkça bildirilmiş olması ve genel, sürekli ve her çalışana eşit biçimde uygulanıyor olması gerekir.

AİHM ve Uluslararası Yorumlar

AİHM’in Barbulescu v. Romania kararında olduğu gibi, çalışanın dijital araçlarla gerçekleştirdiği işlemlerin işveren tarafından denetlenmesi özel hayatın gizliliğine müdahale niteliği taşır. Mahkeme, aşağıdaki kriterlere göre denetimin hukuka uygunluğunu değerlendirir:

  • Denetimin açıkça bildirimi yapılmış mı?
  • Kullanılan aracın niteliği (örneğin: iş amaçlı e-posta mı, kişisel mi?),
  • Gözetim kapsamı ve süresi,
  • Alternatif, daha az müdahaleci yolların bulunup bulunmadığı.

Bu bağlamda, çalışanın özel yaşamına ilişkin verileri (örneğin kişisel e-postalar, sosyal medya erişimi vs.) içeren denetim uygulamaları, açık rıza olmaksızın veya uygun aydınlatma yapılmadan gerçekleştirildiğinde, AİHM içtihatlarına göre ihlal olarak kabul edilmektedir.

Denetim Araçlarında Ölçülülük İlkesi

Yazılım ve bilgisayar takibinde kullanılan araçlar (örneğin tuş kaydediciler, ekran görüntüsü alma yazılımları, anlık erişim analizleri) yalnızca aşağıdaki koşullar altında hukuka uygun olabilir:

  • Yalnızca işle ilgili faaliyetler izlenmeli,
  • İzleme sürekli ve kesintisiz olmamalı,
  • Otomatik sistemler yoluyla toplanan veriler, insan kaynakları birimi ya da doğrudan yetkili kişilerce değerlendirilmelidir,
  • Toplanan verilerin ne kadar süreyle saklanacağı açıkça belirlenmelidir.

Aksi halde, bu tür uygulamalar hem KVKK kapsamında idari para cezası, hem de Borçlar Kanunu m.58 ve TMK m.25 çerçevesinde kişilik hakkı ihlali nedeniyle tazminat sonuçları doğurabilir.

5. İşveren Şirket Mailini İçerik Olarak Denetleyebilir mi?

İşverenin, çalışana tahsis ettiği şirket e-posta hesabını denetlemesi, günümüzde en tartışmalı dijital gözetim araçlarından biridir. Bu tür denetimlerde yalnızca sistemsel bilgiler değil, aynı zamanda haberleşme içeriği de incelenebildiğinden, mesele yalnızca kişisel veri işleme sınırlarını değil, aynı zamanda iletişimin gizliliği ve özel hayatın dokunulmazlığı ilkelerini de doğrudan ilgilendirir nitelikte bir dijital gözetim meselesidir.

Özellikle kurumsal hayatta e-posta sistemi, sadece şirket içi yazışmalar için değil, aynı zamanda dış dünyayla kurulan iletişimin de temel aracıdır. Bu nedenle şirket mail hesapları üzerinden yürütülen iletişimler, kurumun itibarını, hukuki yükümlülüklerini ve iş süreçlerinin gizliliğini doğrudan etkiler nitelikte dijital gözetimdir. Bu yönüyle e-posta sisteminin denetimi, hem işverenin çıkarlarını koruma aracı hem de çalışanın özel hayatına müdahale potansiyeli taşıyan bir uygulamadır.

Temel Ayrım: Tahsis Edilen Mail Adresi ve Kullanım Amacı

İlk olarak, söz konusu e-posta hesabının şirket tarafından iş amaçlı tahsis edilmiş olup olmadığı belirleyicidir. Eğer çalışan, yalnızca kurumsal yazışmalar için kullanılan bir adresi kullanıyorsa ve bu durum işyeri politikalarında açıkça belirtilmişse, işveren bu hesabı teknik olarak denetleyebilir. Ancak bu denetim, sınırsız ve içerik odaklı bir müdahale anlamına gelmemelidir.

Buna karşılık, eğer işveren çalışanlara şirket e-postasını kişisel amaçlarla da kullanabileceği izlenimini vermişse (örneğin bu konuda herhangi bir sınırlayıcı politika yoksa veya yazışmalarda bu tolerans gösterilmişse) o zaman e-posta içeriğine müdahale etmek özel hayatın ihlali anlamına gelebilir.

KVKK ve Haberleşmenin Gizliliği Açısından Durum

KVKK m.5’e göre, e-posta içeriklerinin işlenmesi için çalışanın açık rızası veya işverenin meşru menfaati bulunmalıdır. Ancak haberleşme içerikleri, yalnızca kişisel veri değil, aynı zamanda özel hayatın parçası ve bazı durumlarda özel nitelikli veri niteliği taşıyabilir. Bu nedenle dijital gözetim maksadıyla içerik denetimi yapılacaksa:

  • Aydınlatma yükümlülüğü eksiksiz şekilde yerine getirilmeli,
  • Denetimin içeriğe değil, teknik verilere odaklanması tercih edilmeli,

Zorunlu hallerde içerik denetimi yapılacaksa, kapsamı önceden belirlenmeli ve ölçülülük ilkesi gözetilmelidir.

AİHM Yaklaşımı: Barbulescu Kararı

AİHM’in 2017 tarihli Barbulescu v. Romania kararı, e-posta ve diğer dijital iletişim araçlarının denetimiyle ilgili dijital gözetim kapsamında temel içtihatlardan biridir. Mahkeme, işverenin çalışanın anlık mesajlaşma hesabını izleyip işten çıkarmasını değerlendirirken şu hususları esas almıştır:

  • Çalışan izleme hakkında önceden yeterli bilgilendirmeye sahip miydi?
  • İzleme yalnızca teknik bilgilerle mi sınırlıydı yoksa içerik de incelendi mi?
  • Alternatif, daha az müdahaleci yöntemler mümkün müydü?

Sonuç olarak Mahkeme, çalışanın iletişim gizliliğinin ihlal edildiği kanaatine varmıştır. Bu karar, özellikle şirket e-posta denetimlerinde şeffaflık ve orantılılık ilkelerini evrensel düzeyde teyit etmiştir.

Yargıtay ve İç Hukuk Uygulaması

Yargıtay kararlarında, işverenin şirkete ait e-posta sistemini kötüye kullanan çalışan hakkında disiplin yaptırımı uygulayabileceği kabul edilmiştir. Ancak bu kararların da çoğunda, denetimin hukuka uygun olabilmesi için:

  • Çalışanın önceden bilgilendirilmiş olması,
  • E-posta sisteminin yalnızca iş amaçlı kullanılması gerektiğinin açıkça belirtilmiş olması gibi koşullara vurgu yapılmıştır.

Sonuç

İşveren, çalışana tahsis ettiği şirket e-posta hesabını denetleyebilir; ancak bu denetimin iletişim içeriğini kapsaması, yalnızca zorunluluk hallerinde ve hukuki sınırlar içinde mümkündür. Aksi halde hem KVKK ihlali hem de iletişimin gizliliğine yönelik Anayasal ihlal söz konusu olur. Bu nedenle şirketler, denetim politikalarını netleştirerek çalışanlara önceden bildirmeli ve yalnızca gerekli ve ölçülü biçimde işlem yapmalıdır.

6. Uzaktan Çalışanların Gözetimi ve Verimlilik Denetimi

Pandemiyle birlikte yaygınlaşan uzaktan çalışma modeli, çalışma hayatında kalıcı bir yer edinmiş ve işverenler için yeni bir denetim gündemi yaratmıştır. Fiziksel işyeri sınırlarının ortadan kalkması, çalışanların verimliliğinin dijital yollarla izlenmesini zorunlu kılarken; bu izleme faaliyetleri çoğu zaman özel hayatın alanına doğrudan temas etmektedir. Bu nedenle uzaktan çalışanların gözetimi, hem teknik hem de hukuki düzeyde daha hassas ölçütlerle ele alınmalıdır.

Uzaktan Çalışma Yönetmeliği ve Hukuki Sınırlar

10.03.2021 tarihli Uzaktan Çalışma Yönetmeliği’nin 5. maddesi, bu konuda açık ve bağlayıcı bir çerçeve sunar. Hükme göre:

  • İşveren, uzaktan çalışanı denetleyebilir.
  • Ancak denetim yöntemi, araçları ve süresi önceden belirlenmiş olmalı,
  • Ve bu denetim, çalışanın kişilik haklarına aykırı olmamalıdır.

Dolayısıyla işverenin uzaktan çalışanı gözetlemesi bir hak değil, yalnızca hukuka uygun şekilde düzenlenmişse geçerli bir dijital gözetim yetkisidir. Yöntemlerin çalışana bildirilmemesi, kapsamın belirsiz olması ya da sürekli izlemeye dönüşmesi halinde uygulama, doğrudan özel hayatın ihlali anlamına gelir.

Kullanılan İzleme Araçları ve KVKK Açısından Değerlendirme

  • Uzaktan çalışmada yaygın olarak kullanılan denetim araçları şunlardır:
  • Ekran görüntüsü veya paylaşımı,
  • Çevrim içi durum/aktivite izleme,
  • Mouse/klavye hareket kaydı (input tracking),
  • İş planı takibi ve zaman yönetimi yazılımları,
  • Video konferans sırasında eş zamanlı ekran kontrolü.

Bu araçların tamamı, kişisel veri işleme faaliyeti anlamına gelir. Dolayısıyla KVKK m.4 ve m.5 çerçevesinde;

  • İşleme amacı açıkça belirlenmeli,
  • Yalnızca gerekli veriler işlenmeli (veri minimizasyonu),
  • İşlemeye başlamadan önce çalışan aydınlatılmalı,

Uygulama meşru menfaat gerekçesine dayanıyorsa, bu menfaat çalışanın temel haklarına üstün gelmemelidir.Aksi halde, özellikle ev ortamına uzanan izleme teknikleri, özel yaşamın sınırlarının aşılması ve veri güvenliğinin ihlali sonucunu doğurabilir.

Uluslararası Perspektif: Özel Hayatın Genişleyen Alanı

AİHM içtihatlarında da, evde çalışan bireyin izlenmesi konusu özel bir hassasiyetle değerlendirilir. Uzaktan çalışma, çalışanın fiziksel olarak özel hayatının merkezinde yer alan mekânda gerçekleştirdiği bir iş faaliyetidir. Bu nedenle izleme faaliyetleri:

  • Önceden açıkça tanımlanmalı,
  • Süre, kapsam ve amaç bakımından ölçülü olmalı,
  • Alternatif gözetim yöntemlerinin değerlendirilmiş olması gereklidir.

Bu ilkeler, özellikle Antovic and Mirkovic v. Montenegro kararında öne çıkmış ve işyerinin niteliğine bakılmaksızın özel hayatın mahremiyetinin korunması gerektiği belirtilmiştir. Uzaktan çalışma bu sınırı daha da genişletmektedir.

Sonuç

Uzaktan çalışanların gözetimi mümkündür ancak:

  • Hukuki dayanağı açık olmalı,
  • Kapsamı belirlenmiş ve çalışanla paylaşılmış olmalı,
  • Sürekli gözetimden kaçınılmalı,
  • Ev ortamının mahremiyetine özen gösterilmeli,
  • Gözetim araçları verimlilik amacının ötesine geçmemelidir.

Aksi halde bu uygulamalar, yalnızca KVKK bakımından değil, aynı zamanda Anayasa ve AİHS nezdinde özel hayatın korunması ilkesi çerçevesinde de açık ihlal niteliği taşır.

7. Şirket Aracının Anlık Takibi

İşverenlerin çalışanlara tahsis ettiği araçlara konum takip sistemleri (GPS, navigasyon, filo yönetim yazılımları vb.)entegre etmesi, özellikle saha çalışması yapılan sektörlerde yaygın ve işlevsel bir uygulamadır. Ancak bu sistemlerin çalışan bazlı izleme amacıyla kullanılması halinde konu, kişisel veri işleme ve özel hayatın ihlali boyutuyla değerlendirilmelidir.

Konum Verisi ve Kişisel Veri Niteliği

KVKK m.6 kapsamında konum verileri, her durumda “özel nitelikli kişisel veri” olarak sınıflandırılmasa da, kişinin davranışlarına ve hareketlerine dair doğrudan bilgi sunması nedeniyle hassas nitelikli veridir. Bu nedenle, konum takibine ilişkin sistemler:

  • Meşru ve açık bir amaca dayanmalı,
  • Aydınlatma yükümlülüğü eksiksiz yerine getirilmeli,
  • İşe tahsis edilen aracın hangi gün ve saat aralığında izleneceği, verinin ne süreyle saklanacağı, kimlerin erişeceği gibi bilgiler çalışana önceden bildirilmelidir.

KVK Kurulu, işverenin araç takibi yaparken gerekli bilgilendirmeleri yapmamasını, veri minimizasyonu ilkesine uymamasını ve kapsamı belirsiz tutmasını hukuka aykırı bulmuştur.

Araç Takibinde Sınırlar: İş Amaçlı mı, Sürekli mi?

Konum takibi yalnızca araç iş amaçlı kullanılıyorsa ve iş süresiyle sınırlı olarak yapılabilir. İşe tahsis edilmiş aracın mesai dışı kullanımı yasaklanmamışsa veya izne bağlıysa, mesai dışı saatlerde izleme yapılması özel hayatın ihlali niteliği taşır. Burada temel prensip şudur:

  • Takip edilecek veri: aracın konumu,
  • Amaç: iş organizasyonunun ve güvenliğinin sağlanması,
  • Zaman: iş saatleriyle sınırlı,
  • Bildirim: açık ve önceden yapılmış olmalıdır.

Bu unsurlar gerçekleşmeden dijital gözetim mahiyetinde yapılacak olan bir GPS takibi, süreklilik kazanırsa, çalışanın yaşam tarzı, alışkanlıkları, hareket rotaları gibi verilerin elde edilmesi anlamına gelir. Bu da orantısız ve ölçüsüz veri işleme olarak değerlendirilir.

Sonuç

Şirket aracının anlık takibi, yalnızca şu koşullarda hukuka uygundur:

  • Araç yalnızca iş amaçlı tahsis edilmişse,
  • İzleme süresi ve kapsamı sınırlandırılmışsa,
  • Takip sisteminin varlığı ve kapsamı önceden açıkça bildirilmişse,
  • Toplanan veriler yalnızca gerektiği kadar saklanıyor ve amaca uygun kullanılıyorsa.

Aksi takdirde araç takibi, çalışan üzerinde sürekli bir baskı ve denetim aracına dönüşebilir; bu da hem KVKK kapsamında idari yaptırıma hem de özel hayatın ihlali nedeniyle tazminat sorumluluğuna yol açabilir.

8. Sonuç ve Öneriler

İşverenin çalışanı denetleme yetkisi, modern iş yaşamında dijital gözetim teknikleriyle geniş bir uygulama alanı bulmuştur. Ancak bu yetki, hukuki olarak sınırsız değildir. Gözetimin şekli ne olursa olsun (kamera kaydı, bilgisayar ve internet kullanımı, e-posta denetimi, uzaktan çalışmada ekran izleme ya da araç takibi) her durumda kişisel veri işleme ve özel hayatın gizliliği ilkeleri devreye girer. Bu nedenle işverenin yönetim hakkını kullanırken uyması gereken temel ilkeler şunlardır:

  • Amaçla sınırlılık: Gözetim yalnızca işin yürütülmesi için zorunlu hallerde başvurulacak bir araçtır. Keyfî veya sürekli denetim meşru kabul edilemez.
  • Ölçülülük ve gereklilik: Daha az müdahaleci yöntemlerle aynı sonuca ulaşmak mümkünse, daha yoğun izleme araçlarının kullanımı hukuka aykırıdır.
  • Aydınlatma yükümlülüğü: Çalışanlara, izleme faaliyetleri öncesinde; hangi verilerin ne amaçla, ne kadar süreyle, hangi hukuki dayanakla işleneceği açıkça bildirilmelidir.
  • Şeffaflık ve denetlenebilirlik: Gözetim politikaları yazılı olmalı, herkes için erişilebilir hâle getirilmeli, çalışanlar bu politikalardan haberdar edilmelidir.
  • Kayıtların işlenmesi ve saklanması: Elde edilen veriler yalnızca belirlenen amaç için kullanılmalı, amaca ulaşıldığında veri silme veya anonimleştirme yükümlülüğüne uyulmalıdır.

İç hukukta KVKK ve İş Kanunu; uluslararası düzeyde ise AİHS, AİHM kararları ve Avrupa Konseyi Sözleşmeleri, bu sınırların temel kaynaklarını oluşturur. Ayrıca Uzaktan Çalışma Yönetmeliği, KVK Kurulu kararları ve Aydınlatma Tebliği gibi ikincil düzenlemeler, uygulayıcılara somut yol haritaları sunmaktadır.

Bu çerçevede işverenler, dijital denetim sistemlerini kurgularken yalnızca teknolojik imkânlara değil, hukuki sorumluluklara da odaklanmalı; çalışanlar ise bu haklara ilişkin farkındalık sahibi olmalıdır. Aksi durumda, işyerinde güven ve şeffaflık kaybolur; yerine ihlal, dava ve yaptırımlar gelir.

Av. Mustafa ERGEN (mustafa@cetinavukatlik.com)

Av. Alper ÇETİN (alper@cetinavukatlik.com)

Ofisimizin konu ile alakalı hizmetlerine ilişkin detaylı bilgi almak için: