Görüş19 dk okuma

Uzaktan Çalışanın İşveren Tarafından Teknik Takibi KVKK'ya Uygun mu?

İşverenin uzaktan çalışanı teknik araçlarla takip etmesi mutlak biçimde yasak değildir. Ancak takip; geçerli bir hukuki sebebe dayandığında, önceden bildirildiğinde, amaçla sınırlı ve ölçülü olduğunda KVKK'ya uygun sayılır. KVK Kurulu, AYM ve AİHM kararları ışığında sınırlar ve pratik ölçütler.

Z

Av. Umut Zorer

Kurucu Avukat

İşverenin çalışanı denetleme ve iş organizasyonunu yönetme yetkisi ile çalışanın özel hayatının gizliliği ve kişisel verilerinin korunmasını isteme hakkı arasındaki gerilim, uzaktan ve hibrit çalışmanın yaygınlaşmasıyla yeni bir boyut kazanmıştır. Ofis dışındaki bir çalışanın bilgisayarının, kurumsal e-postasının, internet trafiğinin veya konumunun teknik araçlarla izlenmesi; işverenin meşru menfaatlerini korurken aynı anda çalışanın konutuna ve özel yaşamına da uzanabilmektedir. Bu nedenle uzaktan çalışan takibi, yalnızca bir bilgi güvenliği veya verimlilik meselesi değil, doğrudan kişisel verilerin korunması hukukunun konusudur.

İşverenin uzaktan çalışanı teknik yollarla takip etmesi mutlak biçimde yasak değildir. Ancak bu takip; geçerli bir hukuki sebebe dayandığında, önceden ve açıkça bildirildiğinde, amaçla sınırlı ve ölçülü olduğunda ve en az müdahaleci yöntem tercih edildiğinde 6698 sayılı Kişisel Verilerin Korunması Kanunu'na (KVKK) uygun sayılır. Gizli, sürekli ve ayrım gözetmeyen izleme ise kural olarak hukuka aykırıdır; koşulları oluştuğunda cezai sorumluluk dahi doğurabilir.

Uzaktan Çalışan Takibi Ne Anlama Gelir?

Uzaktan çalışan takibi, işverenin çalışanın iş faaliyetini fiziksel gözetim yerine teknik araçlarla ölçmesi, kaydetmesi ve değerlendirmesidir. Bu izleme, işlenen verinin niteliğine ve müdahale yoğunluğuna göre birbirinden çok farklı biçimler alır. Bir uçta yalnızca erişim üstverisini (kim, ne zaman, hangi adresten bağlandı) tutan giriş kayıtları; diğer uçta çalışanın ekranını, tuş vuruşlarını, kamerasını ve mikrofonunu sürekli izleyen yazılımlar yer alır. Hukuki değerlendirme, aracın adına değil, o araçla çalışanın hangi verisine ne yoğunlukta ulaşıldığına bakılarak yapılır.

Türk Hukuki Çerçevesi: KVKK İlkeleri ve Hukuki Sebepler

İşyerinde ve uzaktan çalışmada teknik takip, çalışanın (ilgili kişinin) kişisel verilerinin işlenmesi anlamına gelir ve bu işleme faaliyeti veri sorumlusu sıfatındaki işvereni 6698 sayılı KVKK ile bağlar. Değerlendirmenin çekirdeğini üç unsur oluşturur: genel ilkeler (m.4), hukuki sebep (m.5) ve aydınlatma yükümlülüğü (m.10).

Ölçülülük İlkesi

KVKK'nın 4. maddesinin ikinci fıkrası, her işlemenin uyması gereken genel ilkeleri sayar: hukuka ve dürüstlük kurallarına uygunluk; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Bu ilkelerden takip tartışmasında belirleyici olan, m.4/2-ç'de yer alan ölçülülük ilkesidir. Ölçülülük denetimi üç alt ölçütle yürür: aracın amaca hizmet edip etmediği (elverişlilik), aynı amaca daha az müdahaleci bir yolla ulaşılıp ulaşılamayacağı (gereklilik) ve çalışanın mahremiyetine yapılan müdahale ile işverenin menfaati arasındaki dengenin korunup korunmadığı (orantılılık). Bir takip aracı meşru bir amaca hizmet etse bile, aynı sonuç daha az müdahaleci bir yöntemle elde edilebiliyorsa gereklilik ölçütü karşılanmaz ve işleme hukuka aykırı hale gelir.

Hukuki Sebep Sorunu: Açık Rıza mı, Meşru Menfaat mi?

KVKK m.5/1 uyarınca kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez; ikinci fıkra ise açık rıza aranmaksızın işlemeye imkan veren istisnaları sayar. Bunlar arasında kanunlarda açıkça öngörülme (a), sözleşmenin kurulması veya ifasıyla doğrudan ilgili olma (c), veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (ç), bir hakkın tesisi, kullanılması veya korunması için zorunlu olma (e) ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati (f) yer alır.

İş ilişkisinde açık rızanın hukuki sebep olarak kullanılması özel bir sorun taşır. Çalışan ile işveren arasındaki bağımlılık ve güç dengesizliği nedeniyle, çalışanın izlemeye verdiği rızanın özgür iradeye dayandığını söylemek çoğu halde güçtür; rıza vermeyen çalışanın olası bir olumsuzlukla karşılaşabileceği bir ortamda verilen onay, geçerli açık rıza sayılmayabilir. Bu nedenle işyeri izlemesi uygulamada rızadan çok, iş sözleşmesinin ifası (m.5/2-c) ve meşru menfaat (m.5/2-f) dayanakları ile aydınlatma ve ölçülülük ekseninde değerlendirilir. Meşru menfaate dayanılan hallerde ise işverenin menfaati ile çalışanın temel hak ve özgürlükleri arasında bir denge testi yapılması ve bu değerlendirmenin belgelenmesi beklenir.

Aydınlatma Yükümlülüğü

KVKK m.10, veri sorumlusuna verileri elde ederken ilgili kişiyi bilgilendirme yükümlülüğü yükler. Aydınlatmanın kapsamına; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi ve hukuki sebebi ile m.11'de sayılan hakların anlatılması girer. Teknik takip bakımından aydınlatma yalnızca bir formalite değil, ölçülülüğün ve hukuka uygunluğun ön koşuludur: çalışanın hangi araçla, hangi amaçla ve ne kapsamda izlendiğini önceden bilmesi gerekir. Önceden ve açıkça bildirilmeyen bir izleme, kural olarak dürüstlük ilkesine ve aydınlatma yükümlülüğüne aykırıdır.

Gizli Takibin Cezai Boyutu

Teknik takip yalnızca idari yaptırım riski doğurmaz; belirli hallerde cezai sorumluluğa da yol açabilir. 5237 sayılı Türk Ceza Kanunu m.132, haberleşmenin gizliliğini ihlal edeni bir yıldan üç yıla kadar hapis cezasıyla cezalandırır ve ihlalin haberleşme içeriğinin kaydı suretiyle gerçekleşmesi halinde cezanın bir kat artırılacağını öngörür. Aynı Kanun'un 135. maddesi ise kişisel verileri hukuka aykırı olarak kaydeden kimseyi bir yıldan üç yıla kadar hapisle cezalandırır. Çalışanın haberi olmadan kurulan casus yazılım, gizli ekran ya da tuş kaydı gibi uygulamalar, koşulları oluştuğunda bu suç tiplerinin kapsamına girebilir. Bu durum, gizli izlemenin sadece geçersiz değil, aynı zamanda potansiyel olarak suç oluşturan bir davranış olduğunu gösterir.

Türkiye'den Kararlar

Uzaktan çalışan takibi konusunda Türk hukuku, hem Kişisel Verileri Koruma Kurulu (KVK Kurulu) hem de yüksek mahkeme içtihadı düzeyinde belirli bir çerçeve oluşturmuştur.

KVK Kurulu Kararları

KVK Kurulu, işyerinde izleme uyuşmazlıklarında Avrupa İnsan Hakları Mahkemesi (AİHM) ve Anayasa Mahkemesi (AYM) kriterlerini içselleştiren bir çizgi izlemektedir. 19.01.2023 tarihli ve 2023/86 sayılı kararı, veri sorumlusunun çalışana tahsis ettiği kurumsal e-posta içeriğini izleme, bu içeriğe erişme ve depolama yoluyla veri işlemesine ilişkindir. Kurul bu kararında AYM'nin 17.09.2020 tarihli 2016/13010 sayılı kararına ve AİHM'nin Barbulescu kararındaki ölçütlere atıfla; işverenin önceden ve açık bilgilendirmesini, izlemenin kapsamını ve mahremiyete müdahale derecesini, daha az müdahaleci bir yöntemin mümkün olup olmadığını, meşru gerekçenin varlığını, sonuçlara erişen kişi sayısını ve çalışana sağlanan güvenceleri değerlendirmiştir.

25.11.2021 tarihli ve 2021/1187 sayılı karar ise işveren tarafından eski çalışanın kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesine ilişkindir ve bu erişim nedeniyle idari para cezası uygulanmıştır. Bu kararlar birlikte değerlendirildiğinde, Kurul'un kurumsal araç üzerinde işverenin bir denetim menfaati bulunduğunu kabul ettiği; ancak bu menfaatin önceden bilgilendirme, amaçla sınırlılık ve ölçülülükle sınırlandığını ortaya koyduğu görülür.

Anayasa Mahkemesi Kararları

AYM'nin bu alandaki temel kararı, Genel Kurul tarafından verilen 17.09.2020 tarihli, E.Ü. başvurusu (B. No: 2016/13010) kararıdır. Özel bir avukatlık ortaklığında çalışan başvurucunun kurumsal e-posta içeriğinin işveren tarafından incelenmesi ve iş sözleşmesinin feshedilmesine ilişkin bu başvuruda AYM; özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkının ve haberleşme hürriyetinin ihlal edildiğine karar vermiştir. Karar, işverenin çalışan üzerindeki denetim yetkisinin ve bu yetkinin sınırlarının önceden çalışana bildirilmesi gerektiği ölçütünü ortaya koymuştur.

Dengeyi görmek için karşı yöndeki bir karar da anılmalıdır. AYM'nin 12.01.2021 tarihli, Celal Oraj Altunörgü başvurusu (B. No: 2018/31036) kararında, özel bir bankada çalışan başvurucunun kurumsal e-posta içeriğinin incelenmesi ve fesih söz konusu olmuş; ancak iş sözleşmesinde kurumsal e-postanın haber verilmeksizin denetlenebileceği düzenlendiğinden önceden bilgilendirme koşulunun karşılandığı kabul edilmiş ve oybirliğiyle ihlal bulunmadığına karar verilmiştir. İki karar birlikte okunduğunda belirleyici ayrımın açık olduğu görülür: önceden ve şeffaf bir bildirim yapılıp yapılmadığı, sonucu doğrudan etkileyen unsur olmaktadır.

Yargıtay Yaklaşımı

İş yargısı düzeyinde de aynı ilke geçerlidir. Yargıtay 22. Hukuk Dairesi'nin 07.05.2019 tarihli, E. 2017/21857 K. 2019/9884 sayılı kararında işverenin, yönetim hakkının bir sonucu olarak işçiyi elektronik ortamda izlemesinin ve takip etmesinin her zaman mümkün olduğu, ancak bunun için işçinin bu izleme hakkında bilgilendirilmiş olmasının şart olduğu belirtilmiştir. Kararda, bilgilendirmenin yapıldığının ispat yükünün işverende olduğu ve gizlice ya da bilgilendirme yapılmadan yürütülen izleme yoluyla elde edilen verinin hukuka aykırı sayılacağı, dolayısıyla fesihte delil olarak kullanılamayacağı ortaya konmuştur. Bu içtihat, gizli izlemenin sadece bir veri koruma sorunu değil, aynı zamanda bir delil ehliyeti sorunu olduğunu göstermesi bakımından önemlidir.

Avrupa Çerçevesi: AİHM ve Veri Koruma Otoriteleri

Türk hukukundaki ölçütler, Avrupa insan hakları ve veri koruma pratiğiyle büyük ölçüde örtüşür. Bu çerçeve, Türkiye bakımından doğrudan bağlayıcı olmasa da (AİHM içtihadı hariç), KVK Kurulu ve mahkeme kararlarına ilham veren ve karşılaştırmalı değer taşıyan bir kaynaktır.

AİHM: Barbulescu ve López Ribalda

AİHM'nin bu alandaki dönüm noktası, Büyük Daire tarafından verilen Barbulescu / Romanya kararıdır (Başvuru No: 61496/08, 05.09.2017). Büyük Daire, işverenin çalışanın kurumsal iletişim hesabını önceden yeterli bilgilendirme yapmadan izlemesinde Sözleşme'nin 8. maddesinin (özel hayata ve haberleşmeye saygı) ihlal edildiğine karar vermiştir. Karar, ulusal mahkemelerin işveren izlemesini denetlerken gözetmesi gereken ölçütleri sıralar: çalışanın önceden bilgilendirilip bilgilendirilmediği, izlemenin kapsamı ve mahremiyete müdahale derecesi, izleme için meşru bir gerekçenin bulunup bulunmadığı, daha az müdahaleci bir yöntemin mümkün olup olmadığı, izleme sonuçlarının nasıl kullanıldığı ve çalışana sağlanan güvenceler.

Buna karşılık López Ribalda ve Diğerleri / İspanya kararı (Başvuru No: 1874/13 ve 8567/13, 17.10.2019), gizli izlemenin istisnaen meşru olabileceği dar koşulları gösterir. Market kasiyerlerinin gizli kamerayla izlendiği bu olayda Büyük Daire, somut koşulları (makul bir hırsızlık şüphesinin varlığı, izlemenin sınırlı süresi ve kapsamı) değerlendirerek Sözleşme'nin 8. maddesinin ihlal edilmediğine karar vermiştir. Bu iki karar birlikte, gizli izlemenin kural olarak yasak olduğunu, ancak somut ve ciddi bir şüpheye dayanan, süresi ve kapsamı sıkı biçimde sınırlı istisnai hallerde meşru sayılabileceğini ortaya koyar.

WP29 Opinion 2/2017 ve GDPR

Avrupa Birliği düzeyinde işyerinde veri işlemeye ilişkin temel referans, Madde 29 Çalışma Grubu'nun (WP29) 8 Haziran 2017'de kabul ettiği Opinion 2/2017 (WP249) belgesidir. Belge, işveren ile çalışan arasındaki güç dengesizliği nedeniyle rızanın kural olarak geçerli hukuki dayanak olamayacağını; işverenin meşru menfaate dayanabileceğini, ancak işlemenin meşru amaç için kesinlikle gerekli, ölçülü ve ikincillik ilkesine uygun olması gerektiğini belirtir. Belgenin ifadesiyle işyerinde veri işleme mümkün olan en az müdahaleci biçimde yürütülmeli ve belirli risk alanına hedeflenmelidir.

Genel Veri Koruma Tüzüğü'nün (GDPR) 88. maddesi, üye devletlere istihdam bağlamında daha ayrıntılı kurallar getirme yetkisi verir ve özellikle işyerindeki izleme sistemleri bakımından çalışanın insan onurunu, meşru menfaatlerini ve temel haklarını koruyan uygun ve özel tedbirler öngörülmesini şart koşar. GDPR m.5'te düzenlenen ilkeler (hukuka uygunluk, dürüstlük ve şeffaflık; amaç sınırlaması; veri en aza indirme; doğruluk; saklama sınırlaması; bütünlük ve gizlilik; hesap verebilirlik) de izlemenin sınırlarını çizer. İşyerinde kamerayla gözetim bakımından güncel EDPB metni ise Guidelines 3/2019 (final sürüm 30 Ocak 2020) belgesidir.

Avrupa Veri Koruma Otoritelerinden Örnekler

Avrupa veri koruma otoritelerinin son dönem kararları, izleme yoğunluğu ile veri saklama sürelerinin ölçülülük denetiminde ne kadar belirleyici olduğunu somutlaştırır.

Fransa'da CNIL, depo çalışanlarının el tarayıcılarıyla aşırı ve otomatik biçimde izlenmesi nedeniyle Amazon France Logistique hakkında 27 Aralık 2023 tarihli SAN-2023-021 sayılı kararıyla 32.000.000 Euro idari para cezası uygulamıştır. Karar, GDPR'ın 5(1)(a), 5(1)(c), 6, 12, 13 ve 32. maddelerinin ihlaline dayanmakta; çalışan faaliyetinin çok ayrıntılı ve neredeyse sürekli biçimde ölçülmesini ve verilerin 31 gün boyunca saklanmasını orantısız bulmaktadır. Bu ceza, Fransız Danıştayı (Conseil d'Etat) tarafından 23 Aralık 2025 tarihli 492830 sayılı kararla bazı izleme göstergeleri yönünden reforme edilerek 15.000.000 Euro'ya indirilmiş; ancak veri en aza indirme ve güvenlik ihlallerine ilişkin tespitler korunmuştur. Karar, aşırı ölçüm ve gereğinden uzun saklamanın orantısız kabul edildiğini, bu yöndeki temel değerlendirmenin üst yargı denetiminden de geçtiğini gösterir.

İtalya'da Garante, işyerinde e-posta üstverisi (metadata) ve izleme kayıtları konusunda ayrıntılı bir çizgi geliştirmiştir. 6 Haziran 2024 tarihli 364 sayılı yönlendirme belgesi, e-posta yönetim yazılımlarının topladığı üstverinin altyapının işleyişi için gereken, birkaç günü ve her halükarda 21 günü aşmayan bir süreyle sınırlı tutulması gerektiğini belirtir; bu süreyi aşan saklama, kanıtlanmış teknik zorunluluğa ve veri koruma etki değerlendirmesine (DPIA) dayandırılmalıdır. Garante, 17 Temmuz 2024 tarihli 472 sayılı kararıyla çalışan e-postalarının yedeklerini iş ilişkisi sona erdikten sonra üç yıla kadar saklayan ve erişim kayıtlarını en az altı ay tutan Selectra S.p.A. hakkında 80.000 Euro idari para cezası uygulamıştır. 29 Nisan 2025 tarihli 243 sayılı kararında ise Regione Lombardia'nın e-posta üstverisini 90 gün, internet gezinme kayıtlarını 365 gün saklamasını ölçülülük ve saklama sınırlaması ilkelerine aykırı bulmuştur. Bu kararlar, uzaktan izlemeye elverişli araçların kullanımını çalışanları koruyucu güvencelere bağlayan İtalyan İşçi Statüsü (Statuto dei Lavoratori) 4. maddesine ve GDPR m.88'e dayanır.

Birleşik Krallık'ta ICO'nun "Employment practices and data protection: monitoring workers" rehberi (Ekim 2023), uzaktan çalışma bakımından özellikle dikkat çekicidir. Rehber, çalışanların evdeki mahremiyet beklentisinin işyerine göre daha yüksek olduğunu ve aile ile özel yaşama ilişkin bilgilerin yakalanma riskinin arttığını vurgular. İzleme yöntemlerine ilişkin alt sayfa, ekran görüntüsü, webcam görüntüsü ve tuş vuruşu izleme (davranışsal biyometrik veri olarak sınıflandırılır) ile video ve ses gözetimi öncesinde yüksek risk nedeniyle DPIA yapılmasının zorunlu olduğunu ve webcam görüntüsü yakalamanın haklı gösterilmesinin özellikle güç olduğunu belirtir. Bu rehber Türkiye bakımından bağlayıcı olmasa da, uzaktan çalışan takibinde risk değerlendirmesi ve en az müdahaleci yöntem pratiği açısından karşılaştırmalı bir ölçüt sunar.

Uygulamada: Hukuka Uygun ve Aykırı Takip Örnekleri

Tüm bu çerçeve, uygulamada iki temel soruya indirgenebilir: işverenin ulaşmak istediği meşru amaca daha az müdahaleci bir yolla ulaşılabilir mi ve çalışan bu izlemeden önceden ve açıkça haberdar mı? Aşağıdaki örnekler bu iki soru ekseninde düzenlenmiştir.

Hukuka Uygunluğu Değerlendirilebilecek Uygulamalar

  • VPN ve bilgi sistemlerine giriş çıkış kayıtlarının, erişim güvenliği amacıyla, önceden aydınlatma yapılarak ve sınırlı süreyle tutulması.
  • Uygulama kullanım sürelerinin, birey bazlı disipline değil iş yükü planlamasına hizmet edecek biçimde toplulaştırılmış olarak raporlanması.
  • Kurumsal e-postanın süreklilik ve felaketten kurtarma amacıyla yedeklenmesi ile zararlı yazılım ve veri sızıntısına karşı otomatik güvenlik taraması yapılması; içeriğin ise ancak somut ve haklı bir şüphe halinde, dar kapsamda ve gerekçeyle incelenmesi.
  • Saha işlerinde (kurye, turizm aracı operasyonu, lojistik), yalnızca mesai saatleriyle sınırlı ve güvenlik amaçlarıyla bağlantılı konum takibi.
  • Kuruma ait cihazlarda, yalnızca güvenlik işlevleriyle sınırlı MDM uygulaması.

Hukuka Aykırı Sayılan Uygulamalar

  • Çalışanın haberi olmadan kurulan tuş kaydı (keylogger), gizli ekran yakalama ve casus yazılımlar. Bu araçlar ayrım gözetmeden, gizlice ve sürekli veri toplar; TCK kapsamında cezai sorumluluk dahi doğurabilir.
  • Uzaktan çalışanın konutundan sürekli veya rastgele webcam ile izlenmesi ya da mikrofonla dinlenmesi. Bu, mahremiyet çekirdeğine ve fiilen konut dokunulmazlığına müdahaledir.
  • Masa başı bir işte, işin niteliği gerektirmediği halde konum takibi yapılması veya mesai bittikten sonra da açık kalan bir izlemenin sürdürülmesi.
  • İnternet gezinmesinin bireysel olarak kaydedilerek çalışanın sağlık, siyasi görüş veya inanç gibi özel nitelikli verilerine dair çıkarımlar yapılmasına imkan veren profilleme.
  • Önceden ve açıkça bildirilmemiş her türlü izleme. Yargıtay içtihadı uyarınca bu yolla elde edilen veri fesihte delil olarak kullanılamaz.

İşverenler İçin Kontrol Listesi

Uzaktan çalışan takibinde hukuka uygunluğun en sağlam yolu, aracı kurmadan önce aşağıdaki adımların yazılı olarak tamamlanmasıdır:

  1. Amacın belirlenmesi: İzlemenin hangi somut, açık ve meşru amaca hizmet ettiği tanımlanmalı; genel bir verimlilik veya güven gerekçesiyle yetinilmemelidir.
  2. Hukuki sebebin seçilmesi: Açık rıza yerine, iş sözleşmesinin ifası veya meşru menfaat dayanakları değerlendirilmeli; meşru menfaate dayanılıyorsa denge testi belgelenmelidir.
  3. En az müdahaleci yöntemin tercih edilmesi: İçerik yerine üstveri, birey bazlı gözetim yerine toplulaştırma tercih edilmeli; aynı amaca daha hafif bir yolla ulaşılabiliyorsa daha ağır yöntem kullanılmamalıdır.
  4. Aydınlatmanın yapılması: Çalışan; izlemenin amacı, kapsamı, yöntemi, hukuki sebebi, saklama süresi ve hakları konusunda önceden ve açıkça bilgilendirilmeli; gizli izlemeden kaçınılmalıdır.
  5. Saklama süresinin asgariye indirilmesi: Veriler, amaç için gerekli süreyle sınırlanmalı ve bu süre belgelenmelidir.
  6. Yüksek riskli izlemede DPIA yapılması: Ekran, tuş, kamera ve ses gibi yoğun izleme ile sistematik izleme öncesinde veri koruma etki değerlendirmesi hazırlanmalıdır.
  7. Kapsamın sınırlanması: İzleme mesai saatleriyle ve kurumsal alanla sınırlandırılmalı; çalışanın konutuna ve özel yaşamına taşan uygulamalardan kaçınılmalıdır.
  8. Belgeleme ve denetim: Erişim yetkileri asgaride tutulmalı, kimlerin veriye eriştiği kayıt altına alınmalı ve uygulama düzenli olarak gözden geçirilmelidir.

Sıkça Sorulan Sorular

İşveren çalışanın kurumsal e-postasını okuyabilir mi?

Kurumsal e-posta işverene ait bir araç olsa da, içeriğinin okunması haberleşmenin gizliliğine ve özel hayata müdahale oluşturur. AYM'nin 2016/13010 sayılı kararı, işverenin denetim yetkisini ve sınırlarını önceden çalışana bildirmesini şart koşar. Önceden ve açıkça bildirim yapılmışsa, içeriğe erişim ancak somut ve haklı bir şüpheyle, dar kapsamda ve gerekçeyle mümkün olabilir. Bildirim yapılmadan yapılan inceleme ise kural olarak hukuka aykırıdır.

Uzaktan çalışanın bilgisayarına gizli izleme yazılımı kurulabilir mi?

Çalışanın haberi olmadan kurulan keylogger, gizli ekran yakalama veya casus yazılım gibi araçlar kural olarak hukuka aykırıdır. Bu tür yazılımlar ayrım gözetmeksizin, gizlice ve sürekli veri toplar; ölçülülük ilkesinin üç ölçütünü de (elverişlilik, gereklilik, orantılılık) ihlal eder. Ayrıca koşulları oluştuğunda TCK kapsamında cezai sorumluluk doğurabilir.

Çalışanın açık rızası, işyerinde izleme için yeterli hukuki sebep midir?

Çoğu durumda değildir. İş ilişkisindeki bağımlılık ve güç dengesizliği nedeniyle çalışanın rızasının özgür iradeye dayandığını söylemek güçtür ve bu nedenle geçerli açık rıza sayılmayabilir. Bu husus WP29 Opinion 2/2017 belgesinde de vurgulanır. Uygulamada izlemenin dayanağı rızadan çok, iş sözleşmesinin ifası veya meşru menfaat ile aydınlatma ve ölçülülük olur.

İşveren çalışanı takip ederken hangi bilgilendirmeyi yapmak zorundadır?

KVKK m.10 uyarınca işveren, izlemeye başlamadan önce çalışanı; veri sorumlusunun kimliği, işleme amacı, verilerin kimlere aktarılabileceği, toplama yöntemi ve hukuki sebebi ile m.11'de sayılan hakları konusunda bilgilendirmek zorundadır. Teknik takipte bu bilgilendirme, izlemenin kapsamını ve yöntemini de somut biçimde içermelidir. Yargıtay içtihadına göre bilgilendirmenin yapıldığını ispat yükü işverendedir.

Uzaktan çalışanın konumu (GPS) izlenebilir mi?

Konum takibi ancak işin niteliği bunu zorunlu kıldığında (turizm aracı operasyonu, lojistik) ve mesai süresiyle sınırlı olduğunda ölçülü sayılabilir. Masa başı veya uzaktan büro işinde konum takibinin meşru bir gerekçesi bulunmaz ve orantısızdır. Ölçülü uygulamada dahi mesai dışında takibin kapatılması ve amaçla sınırlılık esastır.

Gizli izlemeyle elde edilen kayıtlar iş davasında delil olur mu?

Çalışan önceden bilgilendirilmeden ya da gizlice yürütülen izleme yoluyla elde edilen veri hukuka aykırı sayılır ve fesihte delil olarak kullanılamaz. Dolayısıyla gizli izleme, hem veri koruma hukuku bakımından hukuka aykırı hem de iş hukuku bakımından delil değeri taşımayan bir yöntemdir.