İşverenin Denetim Hakkı vs. Çalışanların Özel Hayata İlişkin Hakları!
İş hayatının en önemli unsurlarından birisi şüphesiz çalışanların düzenli olarak performans değerlendirmesine tabi tutulması ve işyerini gereksiz risklere maruz bırakmamak adına denetlenmesidir. Gelişen teknolojiyle birlikte denetim yöntemleri de değişiklik göstermektedir. Bu yöntemlere paralel olarak yasalar da bir taraftan çalışanların haklarını korumak için aynı hızda gelişmek zorundadır. Günümüzde iş yerinde çalışanın denetlenmesi çoğu şirket tarafından uygulanmaktadır. Bazı şirketler ise, bu durumun çalışanın güvenini sarsacağını düşündüğü için denetim yapmamayı, bunun yerine koruyucu önlemler almayı yeğlemektedir. Her halükarda, çalışanlar belirli kurallara tabidir ve bu kurallara uyarken temel hak ve özgürlüklerinin ihlal edilip edilmediğini bilmek en temel haklarıdır.
Elektronik denetim ve gözetim beraberinde kişisel verilerin işlenmesini getirdiği için, kişisel verilerin korunması kanununa uygun olmak zorundadır. Uluslararası alanda uzun yıllar 1995 tarihli Kişisel Verilerin Korunması Direktifi geçerliliğini korumuş, 2018 yılının Mayıs ayı itibariyle GDPR tam anlamıyla yürürlüğe girerek kişisel verilerin işlenmesi kapsamında oluşabilecek her türlü ihlale karşı temel regülasyon olarak yerini almıştır. GDPR aynı zamanda, kişisel verilerin ne gibi şartların yerine getirilmesiyle işlenebileceğini açıkça yazarak, şirketlere bir nevi kılavuzluk yapmaktadır.
Genel olarak kişisel verilerin işlenmesi, veri sahibinin açık rızasına bağlıdır. Nitekim, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında da, açık rıza zorunluluğu ehemmiyetini korumaktadır. İşyerinde denetim söz konusu olduğunda ise tek başına rıza yetmemektedir. İşveren ve çalışanın arasındaki ilişkinin şartları açısından, çalışanın verdiği rızanın her durumda serbestçe ve özgür iradeyle verildiğini kabul etmemiz mümkün değildir. Çalışanın rıza vermeye zorlanması veya işini kaybetme korkusuyla istemsizce rıza göstermesi olasıdır. Dolayısıyla, çalışanın verilerinin işlenmesi için rıza değil hukuki bir temel gereklidir. İş yerinde denetim yapmak ve elde edilen verileri işleyebilmek için ortada hukuki bir temel olmalı ve bu hukuki temel meşru bir menfaate dayanmalıdır. Örneğin, çalışanların güvenliği için kişisel veri işlemek geçerli bir sebeptir. Ayrıca, iş yerinin risk analizi kapsamında maruz kalabileceği riskleri an aza indirgemek için de kişisel verileri işlemek geçerli bir neden sayılabilir. Burada önemli olan çalışanın Avrupa İnsan Hakları Sözleşmesi’nin 8. Maddesi kapsamında sahip olduğu özel hayata saygı hakkını ihlal etmeden söz konusu denetimi gerçekleştirmektir. Bunu başarmanın yolu ise belirli kriterleri yerine getirmekten geçmektedir. Bu kriterlerin başında şeffaflık ilkesi gelmektedir. İşveren, çalışanıyla şeffaf olduğu ve hangi denetimlerin hangi amaçla yapılacağını ve elde edilen verilerin hangi şartlar altında kullanılabileceğini açıkça beyan ettiği sürece, kişisel hakların ihlal edilme riski azalacaktır. Buna ek olarak, GDPR ve bilumum kişisel verilerin korunması kanunlarına istinaden, elde edilen verilerin sadece belirli durumlarda kullanılabilmesi ve ihtiyaç duyulmadıklarında yok edilmeleri gerekmektedir. Tüm bu prensiplere uyulduğu takdirde, gerek çalışan gerekse de işveren için daha uyumlu bir iş ortamı sağlanacaktır. [1]
2017 yılında sonuçlanan Barbulescu v Romania davası, işverenin denetim hakkı ile çalışanın özel hayatına saygı hakkı arasında nasıl bir denge sağlanabileceği hususunda bizlere fikir vermektedir. Özel bir firmada satış mühendisi olarak görev yapan Barbulescu, işyeri yazışma hesabı Yahoo Messenger üzerinden kardeşi ve sevgilisiyle görüşmeler yapmıştır. Patronu tarafından denetleneceği uyarısı yapılmış olmasına rağmen, denetimin kapsamı hakkında kendisine açık bilgi verilmemiştir. Patronu yazışmaları okuduktan sonra Barbulescu’nun işine son vermiştir. Mahkeme, her ne kadar işverenin yaptığı denetimim hukuki bir temele dayandığına ve orantılı olduğuna hükmetmiş olsa da, denetimin kapsamı konusunda davalıya yeterli bilgiyi sağlamadığı için haksız bulunmuştur. İnsan Hakları Mahkemesi, davalının Avrupa İnsan Hakları Sözleşmesi’nin 8. Maddesi ışığında sahip olduğu özel hayat, aile hayatı ve iletişim kaynaklarının mahremiyetine saygı hakkının ihlal edildiğine karar vermiştir. [2]
25 Mayıs 2018 tarihinde tam anlamıyla yürürlüğe girmiş bulunan GDPR’ın 88. Maddesi, tamda bu konuda, yani işyerinde denetimin çalışanların haklarını ihlal etmeden nasıl yapılabileceği konusunda işverene kılavuzluk yapma potansiyeline sahip ölçüler içermektedir. İlgili kanunun 88. (1) maddesine göre, Kişisel verilerin iş hayatında işlenmesine olanak verecek olan başlıca durumlar şöyledir;
· İşe-Alım Süreci,
· Sözleşme dâhilinde yer alan yükümlülüklere göre performans değerlendirmesi yapmak,
· Yükümlülüklerin yerine getirilmesini sağlamak,
· Görevlerin yönetilmesi, planlanması ve organizasyonu için gerekli olduğu takdirde,
· İşyerinde çeşitlilik ve eşitlik ilkelerinin uygulanması için,
· İşyerinde sağlık ve güvenlik kurallarını güvenceye almak için,
· Mülkiyet haklarını korumak için,
· İşten doğan hakları ve ayrıcalıkları koruma altına almak için,
· İş akdini sonlandırmak için.
Aynı maddenin (2) fıkrasında, yapılacak olan denetimlerin ancak çalışanın itibarını, meşru menfaatini ve temel hak ve özgürlüklerini güvence altına alarak yapılabileceği vurgulanmaktadır. İşveren bu doğrultuda gerekli olan tüm önlemleri almakla yükümlüdür.
Netice itibariyle, işyerinde çalışanın denetime maruz kalması belirli şartlar yerine getirildiği sürece mümkündür. En temel şart ise işverenin hakları ve çalışanın hakları arasında orantılı bir denge kurulmasıdır. İşveren kendi şirketinin güvenliğini sağlamak ve kendini zarardan korumak için çalışanın elektronik postalarını görüntüleyebilir, random denetimler yapabilir ve hatta hangi işi yaptığına bağlı olarak iş yerine güvenlik kameraları yerleştirip görüntü dahi kaydedebilir. İşveren aynı zamanda etik dışı davranıştan veya kriminal aktiviteden şüphelendiği takdirde, çalışanın iletişim araçlarını kontrol etmek isteyebilir. Bu durumda habersiz denetimler yapılabilir. Bu ve bunun gibi durumların dışında kalan tüm denetimlerin hukuka uygun şekilde yapılabilmesi içinse uyulması gereken en önemli şart çalışanın açıkça bilgilendirilmesidir. Çalışan görüntülerinin kaydedildiğini bilmelidir. Dahası, kayıt altında tutulan tüm verilerinin nerede ve hangi şartlar altında kullanılacağını, amacını ve ne kadar süreyle saklanabileceğini bilmelidir. Çalışan ve işveren arasında şeffaf bir ilişki kurulduğu sürece, işveren tüm bu bilgileri doğrudan ve açıkça paylaştığı takdirde, kişisel hakların ihlal edilme olasılığı ortadan kalkacaktır. Son olarak, uzmanlar denetim yapmadan önce iş yerinde PIA, yani Privacy Impact Assessment yapılasının faydalı olacağını öngörüyorlar. PIA yapılarak olası riskler ekarte edilebilir ve ileride çıkabilecek olan sorunların önüne geçilebilir.
[1] https://www.taylorwessing.com/globaldatahub/article-employee-monitoring-update.html
[2] https://strasbourgobservers.com/2017/10/19/barbulescu-v-romania-and-workplace-privacy-is-the-grand-chambers-judgment-a-reason-to-celebrate/
