Basından edinilen bilgiye göre, Türkiye'deki bir çok işveren, işçilerini ve işyerlerini COVID-19 salgınından korumak adına sosyal mesafenin sağlanması için işçilerini mobil uygulama veya giyilebilir teknoloji aracılığı ile "sosyal mesafe" ölçerler ile dijital olarak izleyeceğini, akıllı termometreler veya termal kamera ile işçilerinin vücut sıcaklıklarını anlık takip edeceğini ve işe giriş ve çıkışlarda teması asgari düzeye indirmek için yüz tanıma teknolojilerinin kullanılacağı belirtmişlerdir. Ancak, işverenlerin bu yöndeki uygulamaları aşağıda ifade edileceği üzere işçilerin mahremiyet hakkını ihlal edeceği kanısındayız.
A) Mobil uygulama veya giyilebilir teknoloji aracılığı ile "sosyal mesafe" ölçer ile dijital izleme:
İşverenin, işçisini ve işyerini salgından korumak için iş sağlığı ve güvenliği hükümleri çerçevesinde önlem alması mümkündür. Ancak, alınan önlemler ile işçinin temel hak ve hürriyetleri arasında adil bir dengenin kurulması gerekir. İşyerinde işçinin sosyal hayatı sıfıra indirilemeyeceği1 gibi işyerinde işçinin mahremiyet hakkına ilişkin makul bir beklentisinin bulunduğu da unutulmamalıdır.2 Bu sebeple, sosyal mesafenin sağlanması adına teknik cihazlar ile işçinin işyerindeki konum bilgisi dahil gün boyu tüm faaliyetlerinin izlenmesi özel hayata ölçüsüz bir müdahale teşkil edeceği açıktır. İşveren, dijital izleme neticesinde işçinin sosyal ilişki kurduğu kişileri tespit edebilir, tuvalette, molada veya yemekte geçirdiği süreleri kolaylıkla takip edebilir. İşyerindeki bu yönlü bir izleme, işçinin mahremiyet hakkına dair makul beklentisini zedeleyecektir.
İşçiyi belirlenebilir şekilde dijital olarak izlemek bir veri işleme faaliyetidir. 6698 sayılı Kişisel Verilerin Korunması Kanunun ("Kanun") 4/2-ç maddesi uyarınca, veri işleme faaliyetinin ölçülü olması/veri minimizasyonu ilkesine uygun olması gerekir. Bu ilke, işleme amacını gerçekleştirmek için minimum düzeyde veri işlenmesini zorunlu kılmaktadır. Daha az müdahaleci bir yöntem ile veri işlenmesi mümkün ise o yöntemin tercih edilmesi bu ilkenin gereğidir. Bu açıklamalar çerçevesinde, işveren, sosyal mesafenin takibi için işçiyi belirleyebilecek şekilde teknik cihazlarla dijital olarak izlemek yerine, daha az müdahaleci şekilde örneğin; anonim şekilde veri toplayarak veyahut sosyal mesafenin önemi konusunda işçileri eğitip ve oluşturacağı idari tedbirlerle izlemeye gerek kalmadan pekala gerçekleştirmesi mümkündür. Bu yollar tercih edilmeyip, işyerindeki işçinin özel hayatına orantısız müdahale teşkil edecek mahiyette dijital izlemek veri minimizasyonu ilkesine aykırıdır. Nitekim, İspanyol Veri Koruma Otoritesince (AEPD), "işyerindeki kameraların işçileri izlediği, bu durumun veri minimizasyonu ilkesine aykırılık teşkil ettiğine" karar vermiştir.
CM/REc(2015) 5 sayılı İş İlişkisinde Kişisel Verilerin İşlenmesine Dair Avrupa Konseyi Tavsiye Kararının 15. Maddesinde, "işçilerin faaliyetlerini ve davranışlarını doğrudan izleyen bilgi teknoloji sistemlerin kullanılmamasını", 16. Maddesinde ise, "işçilerin yerini gösteren ekipmanların sürekli izlenmeye yol açmaması gerektiği" ifade edilmiştir. Bu karar da, işverenin sosyal mesafenin takibi amacıyla işçisini dijital izleme hakkının bulunmadığını ortaya koymaktadır.
Avrupa İnsan Hakları Mahkemesi Büyük Dairesinin "işçinin internet iletişiminin izlenmesi" hakkındaki Bărbulescu/Romanya Kararında ve "işçinin işyerinde video kamera ile gözetlenmesi" hakkındaki Lopez Ribalda ve Diğerleri/İspanya Kararında, işverenin çıkarları ile işçinin özel hayatına saygı hakkı arasında kurulması gereken adil dengeye ilişkin bir takım kriterler belirlenmiştir3. Bu kriterler çerçevesinde de, işverenin sosyal mesafenin takibi amaçlı izleme faaliyetini gerçekleştirmesinde hukuka uyarlık bulunmamaktadır. Bunun yanında, işverenliğin izleme faaliyeti, Kanunda yer alan veri işleme şartları bakımından da hukukilikten uzaktır. İşçi-işveren ilişkisinde (güç dengesizliği sebebiyle) açık rızanın geçerliliği zaten tartışmalıdır4. Açık rıza dışındaki hukuki yükümlülük, meşru menfaat gibi diğer veri işleme şartları bakımından aranılan "zorunluluk/gereklilik" kriteri de bu durum özelinde bulunmadığı kanaatindeyiz.
Ayrıca, bir hususu da burada belirtmekte fayda bulunmaktadır. İşveren, sosyal mesafenin sağlanması amacıyla gerçekleştireceği veri işleme faaliyetini başkaca bir amaç için (örn: işçinin performans değerlendirmesi için) kullanmamalıdır. Bu yöndeki olası bir kullanım, 6698 sayılı Kişisel Verilerin Korunması Kanunun 4/2-ç maddesindeki "işlendikleri amaçla bağlantılı ve sınırlı olma" ilkesine aykırılık teşkil edecektir. Yine, Kanunun 4/2-d ve 7. Maddeleri uyarınca işveren, işleme amacının (salgın riskinin) ortadan kalkması ile birlikte bu yöndeki faaliyetini de derhal sona erdirmelidir.
Son olarak, işveren, 6698 sayılı Kanun 4/2-a maddesinde yer alan "hukuka ve dürüstlüğe uygun olma" ilkesi, 4/2-c maddesinde yer alan " açık, belirli amaçlar için işleme" ilkesi ve 10. Maddesinde yer alan aydınlatma yükümlülüğü gereği, veri işleme faaliyetine başlamadan önce detaylı olarak işçiyi bilgilendirmesi zorunludur. 1997 tarihli Uluslararası Çalışma Örgütü (ILO) tarafından hazırlanan "İşçilerin Kişisel Verilerinin Korunması" kurallarının 12. Maddesinde de, işçinin yanında ayrıca işçi temsilcilerinin de (özellikle elektronik izleme durumunda) bilgilendirilmesi gerektiği ifade edilmiştir.
B) Akıllı termometre veya termal kamera ile işçinin vücut sıcaklığının takip etme:
Covid-19 salgınının belirtilerinden birisi yüksek ateş olduğu ifade edilmektedir. Bu nedenle, işveren, salgından korunmak adına işçisinin vücut sıcaklığı teknik cihazlar ile düzenli olarak takip etme gayreti içindedir. Ancak, yüksek ateşi sadece Covid-19 salgını ile ilişkilendirilmek mümkün değildir. İşvereni ilgilendirmeyen, iş sağlığı ve güvenliğini tehlikeye düşürmeyen veya bulaşıcı olmayan bir sağlık sorunu (örn: vücuttaki bir iltihap) veya yaşamsal bir süreç belirtisi (örn: menopoz, andropoz gibi) durumlarda da yüksek ateş görülebilir. İşveren, işçisini salgından korunmak amaçlı vücut sıcaklığı takibinde bu durumların ortaya çıkmasına sebebiyet vermesi, Kanunun 4/2-c maddesinde yer alan "meşru amaçla veri işleme" ilkesine ve 4/2-ç maddesinde yer alan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırılık doğurabilir, işçinin kişilik hakkı ihlal edilebilir. Bu sebeple, bu yöndeki hak ihlallerinin oluşmayacağı bir güvencenin tesisi gereklidir.
Her ne kadar Kişisel Verileri Koruma Kurulunca yapılmış olan basın açıklamasında5 akıllı termometre, termal kamera gibi teknik cihazlarla ölçüm yapılması hakkında detaylı bir açıklama bulunmasa da, Fransa, Hollanda gibi bir çok Avrupa'daki Veri Koruma Otoriteleri termal kamera gibi otomatik sistemler ile sıcaklık ölçümü ve takibinin veri koruma ilkeleri bakımından yasak olduğunu ifade etmiştir. Bu açıdan da, işleme faaliyeti sakıncalı görünmektedir.
Olaya mevzuat hükümleri çerçevesinde bakıldığında ise, işçinin vücut sıcaklığı bilgisi sağlık verisi olup, özel nitelikli kişisel veri kapsamındadır. Bu sebeple, kural olarak (veri koruma ilkelerine uygun olmak şartıyla) Kanunun 6/1. Maddesi uyarınca açık rıza veya 6/3. Maddesinde belirtilen haller çerçevesinde açık rızaya gerek kalmaksızın sır saklama yükümlülüğü altındaki kişilerce (örn: işyerindeki sağlık personelince) veya yetkili kurumlarca işlenmesi gerekir. Ancak, İşçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rıza temelli bir işleme faaliyetinde hukuki sorunlar yaşanabilir. Bunun dışında, usulüne uygun açık rıza alınmaksızın sağlık verisinin işlenebilmesi sadece sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından yapılmasına bağlıdır. Buna aykırı şekilde, işveren veya yetkililerince bu verilerin işlenmesi, işyerindeki diğer işçilerle paylaşılması hukuka aykırıdır. Teknik cihazlar ile takip edilen vücut sıcaklık bilgisinin kim tarafından toplandığı, bu bilgilere kimlerin erişim sağlayacağı mevzuata uygun şekilde belirlenmelidir. Teknik cihazları tasarlayan yüklenici firma ve yetkililerince veri koruma hukukuna aykırı olarak söz konusu verilere erişim imkanı bulunması işçinin kişisel verisinin korunması hakkını ihlal edecektir. Nitekim, 1997 tarihli Uluslararası Çalışma Örgütü (ILO) tarafından hazırlanan "İşçilerin Kişisel Verilerinin Korunması" kurallarının 8. Maddesinde de, "sağlık verilerinin tıbbı gizlilik kurallarına bağlı personellerince saklanması gerektiği" ifade edilmiştir.
Vücut sıcaklığı bilgisinin sağlık verisi olması sebebiyle, işveren, veri koruma ilkelerine ve işleme şartlarına uygun şekilde veri işleme faaliyeti gerçekleştirse bile, Kanunun 6/4. Maddesi uyarınca Kişisel Verileri Koruma Kurulunun 31.01.2018 tarih ve 2018/10 sayılı Kararında ifade edilen "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere" de uygun hareket etmek zorundadır. Aksi halde, hukuka aykırı veri işleme gündeme gelecektir.
Kişisel Verilerin hukuka uygun işlenmesinin yanında, söz konusu verilerin güvenliğinin sağlanması da Kanunun 12. Maddesine göre işverenin veri sorumlusu sıfatıyla yükümlülüğüdür. Bu yükümlülük özel nitelikli kişisel veriler bakımından daha büyük önem arz etmektedir. İşveren, verilerin yanlışlıkla, yetkisiz veya yasadışı erişim, kullanım, değişiklik, açıklama, kayıp, imha veya zararlara karşı korunması için gerekli tüm teknik ve idari tedbir alınmış olmalıdır6. Veri güvenliliğin yanında, işveren, Kanunun 4/2-b maddesi gereği, verilerin doğru şekilde de işlenmesi yükümlülüğü de göz ardı edilmemelidir.
Nihayetinde, Kanunun 4/2-d ve 7. Maddeleri uyarınca işveren, işlenen sağlık verisini işlendiği amaç için gerekli olan süre kadar muhafaza etmesi gerekmektedir. Bu kapsamda, işveren gerekli olan süre içerisinde derhal bu verileri ( en geç salgının sona ermesinde) silmeli, yok etmeli veya anonim hale getirmelidir. Avrupa İnsan Hakları Mahkemesinin bir çok içtihadında "usuli güvencelerden yoksun şekilde belirsiz süreli saklanan kişisel veriler bakımından" ihlal kararı vermiştir7.
C) İşe giriş ve çıkıştaki teması asgari düzeye indirmek için yüz tanıma teknolojilerini kullanma:
Covid-19 salgını ile mücadele için temasın asgari düzeye indirilmesi etkin bir yoldur. Ancak, işverence, teması azaltmak adına yüz tanıma teknolojilerine başvurulması veri koruma hukukuna aykırılık teşkil edecektir.
Yüz tanıma teknolojileri ile işçinin biyometrik verisi işlenebilmektedir. Kanunun 6. Maddesine göre, biyometrik veri özel nitelikli kişisel veridir. 95/46/EC sayılı Direktifin 29. Maddesi gereği kurulan Çalışma Grubunun 2/2017 sayılı görüşün 5.6. maddesinde, yüz tanıma teknolojilerinden kaçınılması gerektiği ifade edilmiştir. CM/REc(2015) 5 sayılı İş İlişkisinde Kişisel Verilerin İşlenmesine Dair Avrupa Konseyi Tavsiye Kararının 18. Maddesinde ise, biyometrik verilerin daha az müdahaleci bir başka yolu mümkün olmaması halinde katı güvenlik önlemlerinin alınması şartıyla istisnai olarak işlenebileceği belirtilmiştir. Danıştay 11. Dairesinin 2017/816 E., 2017/4906 K. Sayılı Kararında, "idarede mesainin takibi amacıyla yüz tanıma siteminin kullanılmasını" özel hayata ölçüsüz bir müdahale olduğuna karar vermiştir. Kişisel Verileri Koruma Kurulunun 27.02.2020 tarih ve 2020/167 sayılı Kararında, "spor salonu hizmeti sunan veri sorumlusunun üyelerinin giriş ve çıkış kontrolü için biyometrik veri kullanmasını" Kanunun 4/2-ç maddesinde yer alan "işlendikleri amaç için ölçülü olma" ilkesine aykırı olarak değerlendirmiştir. İsveç Veri Koruma Otoritesi de, "öğrencilerin derse katılımının kontrolü için yüz tanıma teknolojisinin kullanılmasını" veri minimizasyonu ilkesine aykırı bulmuştur. Tüm bu görüş ve kararlar çerçevesinde, işverenin salgın gerekçesiyle teması azaltmak adına işe giriş – çıkışın kontrolü için yüz tanıma teknolojisini kullanması ölçüsüz bir uygulama olacaktır. İşveren, özel nitelikli kişisel veriye ihtiyaç duymadan daha az müdahaleci bir yöntem ile teması asgariye indirmesi de mümkündür.
SONUÇ:
İşveren, yükümlülüklerini yerine getirmek veya çıkarlarını korumak için bir takım önlemler alabilir. Ancak, bu önemler işçinin temel hak ve hürriyetlerini ihlal etmemesi gerekir. İşveren, veri işleme faaliyetlerini yerine getirirken Kanunda belirtilen işleme şartlarına uygun hareket etmesi yeterli değildir. İşveren, veri koruma ilkelerini ve Kurul kararlarını da dikkate almak zorundadır. Kişisel verilerin hukuka uygun işlenmesinin yanında veri güvenliğinin de sağlanması gerekmektedir. Dijital teknolojiler kullanım kolaylığı sağlasa da, veri güvenliği açısında bir takım riskleri de barındırmaktadır. İşveren, bu riskleri iyi analiz etmeli ve buna göre uygun tüm tedbirleri almalıdır. İşveren veri işleme faaliyetine başlatmadan önce mutlaka usulüne uygun şekilde tüm detayları ile bilgilendirme yapmakla yükümlüdür.
Footnotes
1. Avrupa İnsan Hakları Mahkemesinin Bărbulescu/Romanya (BD), 61496/08 Başvuru No., Par. 80.
2. Avrupa İnsan Hakları Mahkemesinin Copland/Birleşik Krallık, 62617/00 Başvuru No, Par. 42.
3.İlk kriter, izleme faaliyetinden işçinin bilgilendirilip bilgilendirilmediği hususudur. (6698 sayılı Kanunun 4/2-a maddesinde yer alan hukuka ve dürüstlük kuralına uygun olma ilkesi, 4/2-c maddesinde yer alan açık ve belirli amaçlarla işleme ilkesi ve 10. Maddesindeki aydınlatma yükümlülüğünün de bir gereğidir.) İkinci kriter, izlemenin kapsamı ve işçinin mahremiyetine giriş derecesi. Üçüncü kriter, işverenin izleme ve kapsamı hakkında meşru gerekçelerinin olup olmadığı ( 6698 sayılı Kanunun 4/2-c maddesinde yer alan meşru amaçla işleme ilkesinin de bir gereğidir.) Dördüncü kriter, daha az müdahaleci bir yöntemin uygulanma imkanın olup olmadığı (Veri minimizasyonu ilkesinin de gereğidir.) Beşinci kriter, işçinin izlenmesinin sonuçları, amaca uygun kullanılıp kullanılmadığı (6698 sayılı Kanun 4/2-ç maddesinde yer alan işleme amacı ile bağlantılı ve sınılı olma ilkesini de gereğidir.) Altıncı kriter, izleme faaliyeti ile ilgili olarak işçiye usuli güvencelerin verilip verilmediği.
4. European Data Protection Board, Guidelines 05/2020 on Consent under Regulation 2016/679, Par.21.
5. Kişisel Verileri Koruma Kurumunun Resmi İnternet sayfasında yayınlanan 27.03.2020 tarihli Kamuoyu Duyurusu, https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-
6. Avrupa Veri Koruma Mevzuatı El Kitabı, Avrupa Konseyi, 2018 sy.131
7. Avrupa İnsan Hakları Mahkemesinin Gaughran/Birleşik Krallık Kararı, B.N: 45245/15.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
