Çalışan Verileri İzleme: Kamera, GPS, E-posta/Log İzleme ve Performans Değerlendirmesinde KVKK Sınırları

Giriş

Dijitalleşme ile birlikte işverenlerin çalışanlarını çeşitli teknolojik araçlarla izlemesi yaygınlaşmıştır. Kamera sistemleri, GPS ile konum takibi, e-posta ve bilgisayar kullanım kayıtlarının denetimi gibi uygulamalar, çalışan verileri izleme yöntemi olarak işverenlerin güvenlik sağlama ve verimliliği artırma amacıyla sıklıkla başvurduğu araçlardır. Ancak bu tür dijital gözetim uygulamaları, işverenin yönetim hakkı ile çalışanın özel hayatın gizliliği ve kişisel verilerinin korunması hakları arasında hassas bir denge gerektirir. Bu dengeyi sağlamak için ulusal ve uluslararası bir dizi hukuki düzenleme mevcuttur.

Başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olmak üzere, 4857 sayılı İş Kanunu, Anayasa’nın 20. maddesi (özel hayata ve kişisel verilere saygı hakkı) ve Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi (özel hayata ve iletişime saygı) bu alandaki temel normları belirlemektedir. Ayrıca Avrupa İnsan Hakları Mahkemesi (AİHM) kararları ve Avrupa Konseyi’nin 108 No’lu Sözleşmesi (kişisel verilerin otomatik işlenmesiyle ilgili sözleşme) gibi uluslararası metinler de işverenin gözetim yetkisinin sınırlarını çizer. Bu çerçevede, işverenin çalışanlarına yönelik dijital izleme uygulamaları hem veri koruma hukuku hem de iş hukuku ilkelerine uygun olmak zorundadır.

İşverenler, KVKK ve ilgili mevzuat gereği aydınlatma yükümlülüğünü yerine getirerek, hangi verileri hangi amaçlarla ve ne süreyle işleyeceklerini çalışana bildirmelidir. Bunun yanı sıra, işverenin Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı, kişisel verilerin silinmesi ve imhası yönetmelikleri, ve Uzaktan Çalışma Yönetmeliği gibi ikincil düzenlemelere uyma yükümlülüğü vardır. Özellikle 10 Mart 2021 tarihli Uzaktan Çalışma Yönetmeliği’nin 5. maddesi, uzaktan çalışanların denetiminde kullanılacak yöntemlerin önceden belirlenmesini ve bu denetimin çalışanın kişilik haklarını ihlal etmemesini şart koşar. Uluslararası düzeyde de ILO’nun 155 sayılı Sözleşmesi gibi belgeler, çalışanların sağlık ve güvenlik yanında kişilik haklarının korunması gerektiğini vurgulayarak dolaylı da olsa dijital izleme uygulamalarına yön vermektedir.

Özetle, bir işveren çalışanın eylem ve performansını izlerken meşru bir amaca dayanmalı, hukuki dayanağını doğru belirlemeli, ölçülülük ve gereklilik ilkelerine uymalı ve çalışanlarını önceden bilgilendirmelidir. Aksi takdirde, hem KVKK kapsamında idari yaptırımlarla hem de iş hukuku ve anayasal düzeyde hak ihlali iddialarıyla karşılaşılması muhtemeldir. Aşağıda, çalışan verilerinin işyerinde izlenmesinin yaygın araçları olan kamera izlemesi, GPS ile konum takibi, e-posta/log denetimi ve performans değerlendirmesi bakımından geçerli hukuki sınırlar ayrı başlıklar halinde incelenmektedir.

Kamera ile İzleme

İşyerlerinde güvenlik amacıyla kapalı devre kamera (CCTV) kullanımı, üretim süreçlerinin kontrolü, iş disiplininin sağlanması veya hırsızlık gibi risklerin önlenmesi için birçok işverenin başvurduğu yöntemlerin başında gelir. Ancak çalışanların görüntülerinin kaydedilmesi, kişisel veri işleme faaliyeti olduğundan hem KVKK hükümleri hem de çalışanların özel hayatına saygı ilkesi kapsamında değerlendirilmelidir.

KVKK açısından, kamera ile izleme kural olarak ilgili kişinin açık rızasına tabidir. İşveren, kameralar devreye alınmadan önce çalışanları ayrıntılı şekilde bilgilendirerek açık rızalarını almalıdır. Aydınlatma metninde ve varsa rıza beyanında; kameraların nerelerde konumlandırıldığı, görüş alanları, kayıt süresi, ses kaydı yapılıp yapılmadığı, kayıtların hangi amaçlarla ve ne kadar süre saklanacağı gibi hususlar net olarak belirtilmelidir. Toplanan görüntü verileri, KVKK md.4’teki genel ilkelere uygun biçimde belirli, açık ve meşru amaçlarla, amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmelidir. Kayıtlar, ilgili amacın gerektirdiği süre boyunca saklanmalı; amacı kalmayan kayıtlar KVKK ve ilgili Veri İmha Yönetmeliği uyarınca silinmeli veya anonim hale getirilmelidir.

KVKK md.5/2 kapsamında, bazı hallerde açık rıza olmaksızın da kişisel veriler işlenebilmektedir. Nitekim kamera ile izleme, çoğu durumda işverenin meşru menfaatine dayanarak (KVKK md.5/2(f)) yürütülebilir. Örneğin işyerinin ve çalışanların güvenliğinin sağlanması veya üretim alanlarının kontrolü amaçları meşru menfaat kapsamına girebilir. Bu durumda dahi işveren, gözetim faaliyetinin çalışanın temel hak ve özgürlüklerine orantısız zarar vermemesini sağlamakla yükümlüdür. Ölçülülük ilkesi gereği, daha az müdahaleci alternatifler varken sürekli ve tam kapsamlı izleme yapmak hukuka aykırı kabul edilir. Özellikle gizli kamera ile izleme kesinlikle hukuka aykırı görülmekte; çalışanların haberleri olmaksızın kayıt altına alınması, KVKK’nın temel ilkelerini ihlal eder. Kişisel Verileri Koruma Kurulu da çeşitli kararlarında, önceden bilgilendirme yapılmadan geneli kapsayacak şekilde sürekli izleme yapılmasını hukuka aykırı bulmuştur. Kurul, ayrıca çalışanların mahrem alanlarında (örneğin soyunma odaları, tuvaletler, duşlar, dinlenme odaları gibi) kamera yerleştirilmesini, amaca aykırı ve çalışanların makul mahremiyet beklentisini ihlal edici bulmaktadır. Böyle alanlarda kamera bulundurulması durumunda, özel hayatın gizliliğinin ihlali söz konusu olacağından, hem KVKK kapsamında veri işlemenin hukuka aykırı olacağı hem de TCK md.134 uyarınca özel hayatın gizliliğini ihlal suçu gündeme gelebilecektir.

İşveren kamera izleme sistemi kurarken, aydınlatma yükümlülüğünü yerine getirip çalışanlara bu durumu önceden bildirdiği sürece, işyerinin açık alanlarında güvenlik ve denetim amacıyla kayıt yapması prensip olarak mümkündür. Örneğin ofis giriş-çıkışlarında veya üretim alanlarında çalışanların görüntülerinin kaydedilmesi, amaçla sınırlı ve orantılı olduğu müddetçe meşru görülebilir. Bununla birlikte, ses kayıt özellikli kameralar kullanılması gibi daha ağır müdahale oluşturan uygulamalar, ekstra özen gerektirir. Kişisel Verileri Koruma Kurulu 12/03/2020 tarih ve 2020/212 sayılı kararında, ses kayıt özelliği bulunan kameraların kullanımını özel hayatın gizliliğine daha ciddi bir müdahale olarak değerlendirmiştir. Bu nedenle, görüntü kaydının yanısıra ses kaydı da alan kameralar kullanılıyorsa, bunun gerçekten zorunlu ve amaç bakımından gerekli olduğunun ispatı gerekir; aksi halde hukuka aykırılık oluşur.

Biyometrik veri boyutu da kamera izleme bağlamında önemlidir. Kameraların yüz tanıma sistemi ile entegre çalışması veya işe giriş-çıkışlarda yüz tanıma kullanılması, çalışanın biyometrik veri niteliğindeki yüz bilgilerini işleyeceği için özel nitelikli kişisel veri işlemesi sayılır. KVKK md.6 gereği biyometrik verilerin işlenmesi, kanunda açıkça öngörülen haller dışında ancak ilgili kişinin açık rızasıyla mümkündür. Bu konuda yakın tarihli bir Kurul kararı, bir fabrika işyerinde yüz tanıma sistemiyle giriş kontrolü yapılmasını değerlendirmiş; çalışanlardan alınan genel nitelikli bir “KVKK rıza ve aydınlatma metni” ile bu işlem yapılmasının, özgür iradeye dayalı ve belirli konuya yönelik bir rıza olarak kabul edilemeyeceğini vurgulamıştır. Kurul, yüz tanıma gibi biyometrik yöntemlerin kullanımında zorunluluk bulunmadıkça alternatif yöntemlere başvurulmasını, aksi halde açık rıza alınsa bile bunun iş ilişkisi bakımından geçerli bir rıza olmayabileceğini belirtmiştir. Nitekim Türk hukukunda da işçi-işveren ilişkisinde verilen rızanın özgürlüğü tartışmalıdır; zira çalışanın rıza vermemesi işini kaybetme korkusuyla mümkün olmayabilir. Bu nedenle uygulamada, özellikle parmak izi, avuç içi, retina taraması, yüz tanıma gibi biyometrik sistemlerle personel takibi genel bir kural olarak yasaklanmakta ve ancak istisnai durumlarda, kanuni bir dayanak varsa veya çalışanların özgür iradesiyle rıza verdiği çok açık durumlarda söz konusu olabilmektedir. Danıştay 5. Dairesi’nin 2013 tarihli bir kararında da (Konya Eğitim ve Araştırma Hastanesi parmak izi uygulaması olayı) mesai takibinde parmak izi gibi biyometrik yöntemlerin kullanılmasının, açık yasal dayanak olmaksızın özel hayatın gizliliğini ihlal ettiği belirtilerek bu uygulama hukuka aykırı bulunmuştur.

Anayasal ve uluslararası ölçütler de kamera ile izlemeye sınırlar çizmektedir. Anayasa md.20 herkese özel hayatına saygı gösterilmesini garanti eder. AİHM içtihatlarında işyerinde kamera ile izleme, özel yaşama bir müdahale olarak kabul edilir ve meşruluğu belirli kriterlere göre değerlendirilir. Özellikle Lopez Ribalda / İspanya davasında (AİHM Büyük Daire, 2019) mahkeme, süpermarket kasiyerlerinin hırsızlık şüphesiyle gizli kamerayla izlenmesi olayında, çalışanların önceden bilgilendirilmemiş olmasını ve izlemenin genel, sürekli ve tüm çalışanları kapsar şekilde yapılmasını ele almıştır. Mahkeme, her ne kadar hırsızlık şüphesi meşru bir amaç olsa da yöntemin bu denli kapsamlı ve habersiz olması nedeniyle özel hayatın ihlal edildiğine hükmetmiştir. Bu karar, işverenin izleme amacının haklı olması tek başına yeterli olmayıp, kullanılan yöntemin de orantılı ve gerekli olması gerektiğini ortaya koymaktadır. AİHM ve Anayasa Mahkemesi kararlarında, kamera takibinin hukuka uygun sayılması için şu hususlar özellikle vurgulanır: çalışanın önceden haberdar edilmesi, izleme süresi, alanı ve sıklığının amaçla bağlantılı ve sınırlı olması, daha hafif bir izleme yöntemiyle amaca ulaşılamayıp ulaşılmadığının değerlendirilmesi, elde edilen kayıtların belirtilen amaca uygun kullanılıp kullanılmadığı ve verilerin güvenliğinin sağlanması gibi kriterler. Bu şartlar sağlanmadığında, kamera ile izleme uygulaması hem KVKK’ya aykırılık teşkil eder hem de çalışanların anayasal haklarının ihlaline yol açabilir.

Sonuç olarak, işveren işyerinde kamera sistemi kurabilir ve çalışanları izleyebilir ancak bunu yaparken sıkı kurallara riayet etmelidir. Meşru ve açık bir amaç olmadan, habersiz veya aşırı şekilde sürekli izleme yapılması hukuka aykırı sayılır. Kameralar yalnızca gerekli alanlara yönlendirilmeli, mahrem bölgelere asla konulmamalı, kayıtlar makul süre sonunda silinmeli ve çalışanlara izleme konusunda şeffaf bilgi verilmelidir. Bu ilkelere uyulduğu takdirde kamera ile izleme, KVKK md.5/2’nin meşru menfaat istisnası kapsamında değerlendirilebilir ve hukuka uygun sayılabilir. Aksi halde işveren, KVKK kapsamında idari para cezalarıyla ve çalışanların maddi-manevi tazminat talepleriyle karşı karşıya kalabilecektir.

GPS ile Konum Takibi

Birçok işveren, özellikle saha çalışması gerektiren sektörlerde, çalışanlarına tahsis ettiği araçlara GPS tabanlı konum takip sistemleri yerleştirmektedir. Araç takip sistemleri sayesinde işveren; aracın anlık konumunu, kat edilen güzergahı, hızı, belirlenen alanların dışına çıkılıp çıkılmadığını ve benzeri bilgileri izleyebilir. Bu uygulamanın temel amacı, çalışanların iş saatleri içindeki saha faaliyetlerini kontrol etmek, işin verimli yürütülmesini sağlamak ve araçların amacı dışında kullanımını önlemektir. Bunun yanı sıra, araçların ve taşınan malların güvenliği de konum takibinin gerekçelerinden biri olabilir. Ancak çalışanın konum verisi, onun gün içinde nerelere gittiği, kimlerle görüştüğü gibi son derece özel bilgileri de açığa çıkarabilir; dolayısıyla konum takibi de bir tür kişisel veri işleme faaliyetidir ve özel hayatın gizliliği boyutuyla hassas değerlendirme gerektirir.

KVKK kapsamında, bir çalışanın konum bilgisinin işlenmesi, diğer kişisel veriler gibi KVKK md.4’teki ilkelere tabiidir. Konum verisi her ne kadar KVKK md.6’da sayılan özel nitelikli veriler arasında açıkça yer almasa da, kişinin hareketlerine ve davranışlarına dair doğrudan bilgi sunduğu için hassas kabul edilir. Bu nedenle işveren, araçlardaki GPS takibini belirli ve meşru bir amaçla sınırlamalıdır. Örneğin filo yönetimi ve işin gereği rotaların planlanması gibi amaçlar meşru görülebilir. Takip faaliyetinden önce çalışanlara aydınlatma yapılması şarttır: Hangi araçların izlendiği, takibin ne zaman, hangi zaman aralığında yapıldığı, verilerin ne kadar süre saklanacağı, kimlerin erişebileceği gibi bilgiler çalışanlara önceden açıkça bildirilmelidir. Kişisel Verileri Koruma Kurulu, bir kararında işverenin araç takip sistemi kullanırken aydınlatma yapmamasını, takibin kapsamını belirsiz bırakmasını ve gereğinden uzun süre veri saklamasını hukuka aykırı bulmuştur. Bu da gösterir ki işveren, konum takibi faaliyetini şeffaf ve sınırlı şekilde kurgulamalıdır.

Ölçülülük ilkesi, GPS ile izleme için de kritik önem taşır. Aracın iş amaçlı kullanımı ile sınırlı bir takip, kural olarak işverenin meşru menfaati kapsamında değerlendirilebilir. Yani çalışan, mesai saatleri içinde ve sadece iş için kullanılması gereken bir araç tahsis edilmişse, o aracın konumunun iş saatleri dahilinde izlenmesi makul karşılanabilir. Ancak mesai saati dışında veya işverenin özel kullanıma da izin verdiği zamanlarda aracın izlenmesi, çalışanın özel hayatına müdahale anlamına gelecektir. İşçiye tahsis edilen aracın kişisel amaçlı kullanımına izin verilmişse, işverenin çalışanı mesai dışında izlemesi kesinlikle sınırlandırılmalıdır. Doktrinde de vurgulandığı üzere, eğer çalışan iş saatleri dışında aracı özel işlerinde kullanabiliyorsa, araç takip sistemini kapatma imkanı sunulması veya en azından mesai harici dönemde veri toplanmaması gerekir. Aksi halde çalışan kendini sürekli izleniyor hissine kapılarak psikolojik baskı altında kalacaktır ki bu durum hem verimlilik hem de çalışan hakları açısından sakıncalıdır.

Nitekim Yargıtay içtihatları da bu dengeyi gözetmektedir. Yargıtay 12. Ceza Dairesi 2019 tarihli bir kararında, kişinin gün içinde nerelere gittiği, kimlerle görüştüğü gibi bilgilerin sürekli izlenerek toplanmasını, o kişinin başkalarınca bilinmesini istemeyeceği özel yaşam faaliyetleri kapsamında görmüştür. Kararda, bir bireyin toplum içinde kamusal alanlarda görünmesinin, onun özel hayatının olmadığı anlamına gelmediği, kişi hakkında sürekli konum bilgisi derlenmesinin özel hayatın gizliliğini ihlal edebileceği belirtilmiştir. Bu yaklaşım, çalışanların da mesai dışındaki hareketlerinin mahrem bir alan olarak görülmesi gerektiğini teyit etmektedir. Ayrıca Türk Ceza Kanunu md.134, kişilerin özel hayatına ilişkin görüntü veya bilgilerin hukuka aykırı şekilde ifşasını suç olarak düzenlemiştir. Bu bağlamda, işverenin araç takip sistemiyle çalışanın özel hayatına dair veri toplaması durumunda sadece idari yaptırım değil, ceza hukuku sorumluluğu dahi gündeme gelebilir.

Hukuka uygun GPS takibi için şu sınırlar çizilebilir: Araç takibi, sadece iş saatleri ve iş amaçlarıyla sınırlı olmalıdır. Eğer çalışan aracı yalnız iş için kullanmak zorundaysa, mesai sırasında aracın rotasının dijital olarak izlenmesi işin organizasyonu ve güvenliği açısından meşru kabul edilebilir. Ancak çalışan, iş aracıyla mesai dışında serbestçe hareket etme hakkına sahipse (örneğin aracı eve götürebiliyor veya hafta sonu kullanabiliyorsa), bu süre zarfında izleme yapılması özel hayatın ihlali anlamına gelir. İşverenin gerçekten acil bir durum veya haklı bir menfaat söz konusu olmadıkça mesai harici konum takibi yapmaması gerekir. Zorunlu hallerde (örneğin araçla birlikte çalışanın ve malzemenin kaybolması riski vb. acil durumlarda) dahi, işveren öncelikle çalışana diğer iletişim araçlarıyla ulaşmaya çalışmalı; sadece ulaşamadığı ve ciddi risk bulunan durumlarda geçici olarak aracın yerini tespit etmeyi düşünmelidir. Bu gibi istisnalar dışında sürekli ve otomatik konum kaydı almak, amacı aşan ve orantısız bir veri işleme olacaktır.

Sonuç olarak, işyeri araçlarının GPS ile takibi belirli koşullarda hukuka uygun kabul edilebilir: Takip yalnızca araçların iş amaçlı kullanımını denetlemek için yapılmalı, mesai saatleriyle sınırlı olmalı, çalışan önceden bilgilendirilmiş olmalı ve toplanan veriler amacı dışında kullanılmamalıdır. Bu şartlar sağlanırsa KVKK md.5/2(f) kapsamında işverenin meşru menfaati gerekçesine dayanmak mümkün olabilir. Bununla birlikte, takip kapsamı genişletilip çalışanın sürekli gözetimine dönüşürse, artık işçinin özel yaşam alanına haksız bir müdahale söz konusu olur. Böyle bir durumda çalışan, gerek KVKK’ya aykırılık nedeniyle Kurul’a şikayette bulunabilir, gerekse kişilik haklarının ihlali iddiasıyla tazminat talep edebilir. Uygulamada bazı iş mahkemeleri, işçiye sadece iş için verilen aracın amacı dışında kullanıldığının ciddi emarelerle ispatlanması halinde takipten elde edilen verileri fesih için kullanmanın haklı olabileceğine hükmetse de, eğer işçi aracı özel işlerinde kullanma iznine sahipse bu verilerin kullanımı genelde hukuka aykırı sayılmaktadır. Bu nedenle işverenler, araç tahsis politikalarını ve takip uygulamalarını açıkça tanımlamalı; çalışanların özel hayat sınırlarına saygı göstermelidir.

E-posta ve Log Kayıtlarının İzlenmesi

İşverenlerin, çalışanlarına tahsis ettiği bilgisayar, şirket e-posta hesabı ve internet erişimi gibi dijital iletişim araçlarını denetlemesi, özellikle bilgi güvenliği ve çalışma düzeninin sağlanması amacıyla sıkça gündeme gelir. İşverenin yönetim hakkı kapsamında, çalışanların bu araçları iş amaçları dışında kullanmalarını sınırlamak veya kötüye kullanımını önlemek istemesi doğaldır. Ancak burada da işçinin haberleşme hürriyeti ve özel hayatının gizliliği devreye girer. Çalışanın şirket tarafından verilen bilgisayarındaki kişisel dosyaları, e-posta yazışmalarının içerikleri veya internet kullanım alışkanlıkları, uygun olmayan şekilde denetlenirse, hem KVKK hükümleri hem de Anayasa md.22 (haberleşmenin gizliliği) ihlal edilmiş olabilir. Bu nedenle işverenin elektronik iletişim araçları üzerindeki denetimi sınırsız ve keyfi bir yetki değildir; belirli kriterlere tabi olarak kullanılabilir.

Öncelikle, KVKK md.4 ve 5 çerçevesinde, çalışanın e-posta ve bilgisayar kayıtlarının işlenmesi için meşru bir amaç ve hukuki dayanak olmalıdır. Genellikle işverenin meşru menfaati (KVKK md.5/2(f)) bu denetim için gerekçe gösterilir: Örneğin şirket sırlarının dışarı sızmasını önlemek, ağ güvenliğini sağlamak, çalışanların mesai saatinde iş dışında uğraşmamasını temin etmek gibi menfaatler. Ancak meşru menfaat gerekçesi, şeffaflık ve ölçülülük şartıyla sınırlıdır. İşveren, çalışanların e-postalarını veya bilgisayar aktivitelerini izleyecekse, önceden bir politika dahilinde çalışanı bilgilendirmelidir. Bu bilgilendirme genellikle iş sözleşmesindeki bir madde, iç yönetmelik veya ayrı bir aydnlatma metni ile yapılır. Çalışana, işverenin kendisine tahsis ettiği cihaz ve hesapları denetleyebileceği, bu denetimin kapsamı (örneğin sadece trafik/işlem kayıtlarının izlenmesi mi yoksa içerik incelemesi de yapılabileceği), amacı ve süresi açıkça anlatılmalıdır. Aydınlatma Yükümlülüğü Tebliği uyarınca, kişisel verilerin elde edilmesi sırasında bu bilgilendirme yapılmazsa, sonradan elde edilen verilerin hukuka uygun kullanılması mümkün olmayacaktır.

Yargısal içtihatlar, işverenin iletişim araçlarını denetleme yetkisini belli ilkelere bağlamıştır. Anayasa Mahkemesi (AYM) ve AİHM kararları, çalışanların işyerinde de makul bir özel hayat beklentisi olabileceğini kabul etmektedir. AYM’nin çeşitli kararlarında çizdiği çerçeveye göre, işverenin sağladığı bilgisayar, telefon, e-posta gibi araçların denetlenmesinde şu kriterler dikkate alınır:

• Kısıtlayıcı düzenlemelerin belirlenmesi: İşveren, çalışanlarına tahsis ettiği araçların kullanımına dair ne gibi kural ve yasaklar getirmiştir? Örneğin “şirket e-postası sadece işle ilgili kullanılmalıdır, kişisel yazışma yapılmamalıdır” şeklinde bir kural varsa bu önemlidir.
• Bilgilendirme: Çalışanlar, bu kurallar ve olası denetim hakkında önceden bilgilendirilmiş midir? İşverenin izleme yapabileceği olasılığından haberdarlar mı?
• Meşru amaç ve ölçülülük: İşverenin denetime başvurması ne gibi meşru bir nedene dayanıyor ve kullanılan izleme yöntemi bu amaca göre ölçülü mü? Örneğin sadece belirli bir güvenlik şüphesi durumunda e-postaların incelenmesi ile sürekli tüm yazışmaların kontrol edilmesi arasında orantılılık farkı vardır.
• Sonuçların kullanım şekli: Elde edilen veriler, işten çıkarma gibi bir yaptırımda kullanıldıysa, bu yaptırım ölçülü ve haklı bir tepki midir? İzleme sonucu elde edilen bulgu, iş sözleşmesinin feshi gibi ağır bir sonuca yol açarken başka destekleyici deliller var mıydı?

AİHM de Barbulescu / Romanya (2017) kararında benzer kriterler ortaya koymuştur. Bu karara göre, bir çalışanın internet ve mesajlaşma faaliyetlerinin izlenmesinde, çalışanın önceden böyle bir izleme olabileceğinden haberdar edilmesi, izleme faaliyetinin kapsam ve derinliği (içeriğin okunup okunmadığı gibi), işverenin izlemeyi haklı kılan meşru gerekçelerinin bulunması, aynı sonuca daha az müdahaleci yöntemlerle ulaşılıp ulaşılamayacağı, izleme sonucunda elde edilen verilerin başka amaçlar için kullanılıp kullanılmadığı ve çalışana bu verilerle ilgili güvence ve itiraz imkanları tanınıp tanınmadığı gibi hususlar dikkate alınmalıdır. Bu kriterler, ulusal düzeyde mahkemeler ve KVKK Kurulu kararlarına da yön vermektedir.

Nitekim AYM’nin ve Yargıtay’ın incelediği bazı uyuşmazlıklar, işverenin çalışan yazışmalarına erişiminin sınırlı olduğunu göstermiştir. Fırat Gerçek başvurusunda AYM, çalışanın şirket telefonundan yaptığı özel mesajlaşmaları inceleyerek fesih yapan işverenin, haberleşme gizliliğini ihlal ettiğine karar vermiştir. Bu olayda çalışanın özel iletişim içerikleri denetlenmiş ve sırf bu içerikler feshe dayanak yapılmıştır, AYM bunu özel hayata ölçüsüz müdahale saymıştır. Buna karşılık Esin Ağar başvurusunda, çalışanın bilgisayarında bulunan bazı fotoğraflar ve şirket e-posta hesabından gönderdiği e-postalar da fesih dosyasına girmiş, ancak fesih kararının asıl gerekçesi çalışanının sık sık rapor alıp tatil yapması ve şirket bilgilerini dışarı sızdırması gibi konular olmuştur. AYM bu durumda, dijital kayıtların tek başına belirleyici olmadığını, başka delillerle birlikte değerlendirildiğini belirterek özel hayatın ihlal edilmediğine hükmetmiştir. Yine AYM’nin Ömür Kara ve Onursal Özbek kararı, çalışanların kurumsal e-posta hesaplarını kişisel amaçla kullanmamaları konusunda önceden uyarıldıklarını, işverenin de e-posta içeriklerini değil başlık ve zaman bilgilerini denetlediğini ortaya koymuş ve bu koşullarda ihlal olmadığına karar vermiştir. Görüldüğü üzere, e-posta denetiminde önceden uyarı ve içeriğe tamamen girmeme gibi faktörler belirleyici olabilmektedir.

Kişisel Verileri Koruma Kurulu da, işe ilişkin iletişim araçlarının incelenmesi konusunda AYM ve AİHM çizgisini benimseyen kararlar vermektedir. Örneğin Kurul’un 25.11.2021 tarih ve 2021/1187 sayılı kararında, bir işverenin ayrılan eski çalışanının kurumsal e-posta hesabına, herhangi bir aydınlatma yapmaksızın erişmesi ve e-postalarını kontrol etmesi şikayet konusu olmuştur. Kurul, şirket e-posta adresinin dahi kişisel veri niteliğinde olduğunu, işverenin önceden bildirim yapmadan çalışanın e-posta kayıtlarını incelemesinin KVKK’ya aykırı olduğunu tespit etmiş ve ilgili işverene 250.000 TL idari para cezası vermiştir. Karar gerekçesinde, işverenin aydınlatma yükümlülüğüne aykırı davrandığı, ayrıca e-posta içeriklerinin incelenmesinin gerçekten gerekli olup olmadığının ispat edilemediği vurgulanmıştır. Bu karar, işverenlerin çalışan e-postalarını ancak şeffaf bir bilgilendirme sonrasında ve zorunlu hallerde inceleyebileceğini, aksi takdirde yaptırımla karşılaşacaklarını göstermektedir.

Özetlemek gerekirse, işverenler çalışanlarına tahsis ettikleri bilgisayar, ağ ve e-posta sistemlerini belirli ölçüde denetleyebilirler, ancak bunun için iş sözleşmelerine veya iç politikalara açık hükümler koymaları ve çalışanı önceden haberdar etmeleri şarttır. İşçiler de şirkete ait araçları kullanırken dikkatli olmalı, kişisel iletişim ve özel işleri için mümkünse kendi özel cihazlarını/hesaplarını kullanmalıdır. Kural olarak, haber verilmeksizin bir çalışanın özel e-posta yazışmalarının ya da kişisel dosyalarının incelenmesi hukuka aykırıdır ve elde edilen veriler delil olarak dahi geçersiz kabul edilebilir. Yargıtay kararlarında, işçilerin kendi aralarında kurduğu WhatsApp gruplarındaki yazışmalar bile, eğer mesai saatleri dışında ve özel nitelikte ise kişisel veri ve haberleşme gizliliği kapsamında korunmaktadır. Örneğin Yargıtay 9. Hukuk Dairesi, çalışanların WhatsApp grubunda işveren aleyhine konuştuklarının bir işçi tarafından yönetime iletilmesi üzerine yapılan toplu işten çıkarmaları hukuka aykırı bulmuş; bu özel yazışmaların gizli kalmasının esas olduğunu ve hukuka aykırı yolla elde edilen bu içeriklerin feshe dayanak yapılamayacağını belirtmiştir. Diğer bazı kararlarda da Yargıtay, çalışanların mesajlarının gizlilik taşıyan kişisel veri niteliğinde olduğunu, bunların nasıl elde edildiğinin belirsiz olduğu durumlarda delil olarak kullanılamayacağını vurgulamıştır. Bu, Anayasa’nın 38/6 maddesindeki “hukuka aykırı elde edilmiş bulgular delil olamaz” kuralının ve KVKK ilkelerinin iş hukuku alanında yansımasıdır. Bununla birlikte, istisnaen bazı ağır durumlarda (örneğin WhatsApp grubunda ağır küfür ve hakaret içeren mesajlar atılması gibi) Yargıtay, bu mesajların işyeri içi olumsuzluk yarattığı gerekçesiyle feshin geçerli sayılabileceğine de karar vermiştir. Yani içerik aşırı derecede iş ilişkisini bozucu ise, o özel iletişim bile sınırlı bir meşruiyet kazanabilmektedir. Ancak genel olarak trend, çalışanların kişisel iletişimlerinin mahrem olduğu ve işverenin keyfi biçimde bunları izleyemeyeceği yönündedir.

Sonuç olarak, işverenin şirket iletişim araçlarını izleme hakkı, sınırsız ve mutlak bir hak değildir. İşveren öncelikle çalışanlarını aydınlatmalı, mümkünse onlardan (geçerli sayılacaksa) rıza almalı veya en azından bu denetime dair onaylarını iş sözleşmesinde imza altına almalıdır. İzleme yapılacaksa, hedeflenen amaçla bağlantılı olmasına dikkat edilmeli: Örneğin sadece iş güvenliğini tehdit eden durumlar veya performans değerlendirmesi için gereken metrikler izlenmeli, bunun dışında çalışanın kişisel mahremiyetine girecek detaylar toplanmamalıdır. Şirket e-postası ve bilgisayar sistemi üzerinde rastgele taramalar yerine, ancak makul bir şüphe veya belirlenmiş bir politika ihlali halinde ve mümkün olduğunca içeriğe girmeden denetim yapılması en doğru yaklaşımdır. Çalışanlar da, işyeri araçlarını kişisel işleri için kullanmamaları gerektiğini bilmeli; kullanırlarsa bunların görülebileceği riskini göze aldıklarını unutmamalıdır. Son kertede, KVKK, Anayasa ve AİHM içtihatları, çalışanların iletişim ve veri mahremiyetine işverenin saygı göstermesini zorunlu kılmaktadır. Bu denge gözetilmezse, işveren elde ettiği verilere dayanarak uyguladığı yaptırımlarda haksız duruma düşebilir ve hukuki sorumlulukla karşılaşabilir.

Performans İzleme ve Değerlendirme

Çalışan performansının ve verimliliğinin ölçülmesi, işverenler açısından meşru ve anlaşılabilir bir ihtiyaçtır. İş süreçlerini optimize etmek, verim düşüklüğünü tespit etmek veya ödüllendirme yapmak gibi amaçlarla işverenler çeşitli performans izleme araçlarına başvurabilir. Geleneksel yöntemlerin (yüz yüze değerlendirmeler, hedef gerçekleşme takibi vb.) yanı sıra, dijital çağda birçok şirket yazılım tabanlı performans izleme sistemleri kullanmaya başlamıştır. Örneğin çağrı merkezlerinde arama sayıları ve çağrı kalitesi kayıtları, yazılım ekiplerinde proje yönetim araçları üzerinden çalışma süreleri ve çıktı kontrolü, satış ekiplerinde GPS ve CRM verileri üzerinden performans ölçümü gibi uygulamalar yaygınlaşmıştır. Uzaktan çalışma modelinin de kalıcı hale gelmesiyle, çalışanların çevrimiçi aktivitelerini, sisteme giriş-çıkış saatlerini, klavye/faare hareketlerini izleyen veya belli aralıklarla ekran görüntüsü alan yazılımlar (örn. “bossware” olarak anılan takip yazılımları) piyasaya sürülmüştür. Bütün bu yöntemler, çalışanların kişisel verilerinin işlenmesi sonucunu doğurur ve bu nedenle KVKK başta olmak üzere hukuki kısıtlamalara tabidir.

KVKK md.4 genel ilkeleri, performans izleme verilerinde de tam olarak uygulanmalıdır. Yani işveren, çalışanların performansına ilişkin verileri toplarken belirli, açık ve meşru bir amaç gütmelidir. Örneğin “çalışan verimliliğinin artırılması ve görev takibinin sağlanması” gibi bir amaç belirlenebilir, ancak “çalışanı her an gözetlemek” gibi genel ve belirsiz bir amaç hukuken meşru sayılamaz. Toplanacak veriler amaçla bağlantılı ve sınırlı olmalıdır (veri minimizasyonu ilkesi): İşveren gerçekten değerlendirme için gerekli olmayan aşırı ayrıntıda veriler toplamamalıdır. Örneğin bir müşteri temsilcisinin günlük çağrı adedi ve müşteri memnuniyeti skoru performans takibi için yeterliyken, o çalışanın bilgisayar ekranının tüm gün video kaydını yapmak ölçüsüz bir veri toplama olacaktır. Bu noktada KVKK md.5/2(f) kapsamındaki meşru menfaat şartı devreye girer: İşverenin çalışan performansını ölçme menfaati vardır, ancak bu menfaatin kullanımı çalışanın temel hak ve özgürlüklerine orantısız zarar vermemelidir. Aşırı ve sürekli gözetim, çalışan üzerinde baskı ve strese yol açarak kişinin manevi varlığına zarar verebilir; bu durumda meşru menfaat dengesi işçi aleyhine bozulur ve veri işlemenin hukuka aykırı olduğu kabul edilir.

Uygulamada performans takibi için toplanan başlıca veriler şunlardır:

• Sisteme giriş-çıkış saatleri ve oturum süreleri: Çalışanın işe vaktinde başlayıp başlamadığı, günlük kaç saat aktif çalıştığı.
• Görev/Proje tamamlama oranları: Belirli bir süre içinde tamamlanan işler, hedeflere ulaşma durumu.
• Üretkenlik metrikleri: Örneğin dakikada basılan tuş sayısı, işlenen evrak adedi, çağrı sayısı, satış rakamları vb. somut çıktılar.
• Bilgisayar ve internet kullanımı logları: Hangi uygulamaların ne kadar süre kullanıldığı, internetten hangi sitelere girildiği (iş amaçlı olmayan kullanımın tespiti için) gibi kayıtlar.

Bu tür veriler, işçinin performansını sayısal olarak değerlendirmek için kullanılabilir ve genellikle işverenin meşru menfaati veri işleme şartına dayandırılır. Ancak burada kritik olan, şeffaflık ve rızaya dayalı olmama dengesidir. Daha önce de belirtildiği gibi, iş ilişkilerinde çalışanın “rıza” göstermesi çoğu zaman zorunluluktan kaynaklanabileceği için güvenilir kabul edilmez; bu yüzden performans verileri işlemeyi meşrulaştırmak için çoğunlukla rızadan ziyade meşru menfaat veya sözleşmenin ifasıyla ilgili gereklilik (KVKK md.5/2(c)) ileri sürülür. Örneğin bir çağrı merkezi çalışanının konuşma kayıtlarını kalite kontrol amacıyla dinlemek, iş sözleşmesinin ifasıyla ilgili sayılabilir. Keza satış personelinin satış adetlerini kaydetmek de işin doğası gereği zorunludur. Bu gibi durumlarda açık rıza aranmayabilir; ancak ölçülülük kriteri her zaman saklıdır. Performansı izlemek için her yöntem uygun değildir. Sürekli ekran kaydı almak, çalışanın haberleşmelerini kopyalamak, işyeri ortamını sesli dinlemek gibi yöntemler kural olarak orantısız müdahaleler olup hukuka uygun sayılamaz. Kişisel Verileri Koruma Kurulu da kararlarında, amaç dışına çıkan veya gereğinden fazla veri toplayan gözetim uygulamalarını ihlâl olarak değerlendirmektedir.

Uzaktan çalışma alanında performans takibi ayrı bir hassasiyet kazanır. Çalışan evinden çalışırken, işverenin onu izleme arzusu ile özel hayat alanı iç içe geçebilir. Bu nedenle Uzaktan Çalışma Yönetmeliği md.5 açıkça, işverenin uzaktan çalışanı denetleyebileceğini, ancak bunun yöntem, araç ve süresinin önceden belirlenip çalışana bildirileceğini ve denetimin çalışanın kişilik haklarına aykırı olamayacağını düzenlemiştir. Örneğin uzaktan çalışan bir kişinin bilgisayarına işveren tarafından yüklenen bir yazılım, belirli aralıklarla ekran görüntüsü alacaksa, bunun hangi sıklıkla olacağı, neyi ölçmek için yapılacağı önceden çalışanla paylaşılmalıdır. Ev ortamı, işyeri değildir – evde kamera ile sürekli gözetime maruz kalmak, çalışanın ailesinin ve birlikte yaşadığı kişilerin mahremiyetini de ihlal eder. Bu sebeple, evden çalışma durumunda açık rıza olmaksızın evin içine yönelik kamera izleme kesinlikle hukuka aykırı kabul edilir. İşveren en fazla, bilgisayarın kullanımına veya çevrimiçi hareketlere ilişkin verileri izleyebilir; o da yine ölçülü olmak şartıyla. AİHM’in Antović ve Mirković / Karadağ kararında da vurgulandığı üzere, işyeri her ne kadar kamusal bir alan gibi görülse de çalışanların özel hayat kavramı işyerinde de korunmaktadır. Uzaktan çalışma, bu özel hayat alanını fiziksel olarak eve taşıdığı için, işverenin denetim hakkı çok daha sınırlı yorumlanmalıdır. Bu kapsamda, çevrim içi durum takibi, görev yönetimi yazılımları gibi araçlar kullanılabilir fakat webcam ile sürekli izleme, mikrofonla ortam dinleme, mesai boyunca video konferans açık tutma gibi uygulamalardan kaçınılmalıdır.

Performans değerlendirmesinde teknolojinin kullanılmasının bir diğer boyutu da otomatik karar sistemleri ve yapay zeka olabilir. Henüz Türk KVKK mevzuatında GDPR’daki gibi özel bir “otomatik karar alma” yasağı veya koşulu düzenlenmemiş olsa da, işçilerin performansının salt bir algoritma ile değerlendirilip işten çıkarma ya da prim verme gibi kararlara varılması durumunda, bunun şeffaflığı ve adil olup olmadığı tartışma konusu olacaktır. İşveren böyle bir sistem kullanıyorsa, çalışanına hangi kriterlerin değerlendirildiğini açıklamalı ve çalışanın bu değerlendirme sonuçlarına karşı itiraz hakkı olmalıdır. Aksi takdirde, genel ilkeler (dürüstlük, ölçülülük) bağlamında haksız bir uygulama söz konusu olabilir. Örneğin bir performans yazılımı, klavye ve fare hareketlerini baz alarak “aktif çalışma süresi” ölçümü yapıp belirli bir eşiğin altında kalanları verimsiz ilan ediyorsa, bu yöntem yanıltıcı olabilir (çalışan iş düşünürken klavye kullanmıyor olabilir, ama çalışıyordur). Bu nedenle algoritmik performans izleme araçlarının çıktıları mutlaka insan tarafından gözden geçirilmeli, gerektiğinde çalışanlara kendilerini ifade etme imkanı tanınmalıdır.

Hem Türkiye’de hem de dünyada, çalışan gözetiminde aşırıya kaçılmasının sonuçlarına dair örnekler görülmektedir. Türkiye’de KVKK kararlarının yanı sıra, Almanya gibi GDPR kapsamındaki ülkelerde de ciddi yaptırımlar uygulanmıştır. Örneğin 2020 yılında Almanya’da Hamburg Veri Koruma Otoritesi, ünlü bir perakende şirketine (H&M) 35,3 milyon avro tutarında rekor ceza vermiştir. İncelemede, şirketin yöneticilerinin çalışanların özel hayatlarına (ailevi sorunlar, sağlık durumu, dini inançlar vb.) dair ayrıntıları sistematik şekilde toplayıp depoladığı ortaya çıkmıştır. Bu düzeyde aşırı veri biriktirme ve mahremiyete tecavüz, çalışan haklarına ciddi saldırı sayılarak bu yüksek idari para cezası ile neticelenmiştir. Bu örnek, performans veya işyeri refahı adı altında bile olsa, işle bağlantısı olmayan özel hayat verilerinin kaydedilmesinin ne denli riskli olduğunu göstermektedir.

Sonuç olarak, çalışanların performans ve verimlilik takibi yapılabilir ve bu iş ilişkisinin gereği olarak meşru bir amaçtır. Ancak bu takip: belirli ilkelere uygun planlanmalı ve yürütülmelidir. İşveren, performans izleme faaliyetini çalışanlarına önceden duyurmalı, hangi verileri ne amaçla toplayacağını açıkça belirtmelidir. Keyfi veya sürekli gözetim görüntüsü verecek uygulamalardan kaçınılmalı; mümkün olan en hafif araçlarla hedef gözetim yapılmalıdır. Elde edilen veriler, sadece açıklandığı amaca hizmet etmelidir (örneğin performans puanlaması için kullanılan veriler, disiplin soruşturması için kullanılmamalı, amacını aşmamalıdır). Gizlilik derecesi yüksek kişisel bilgiler (sağlık, aile, inanç gibi) performans değerlendirmesine konu edilmemelidir. Çalışanların motivasyonunu ve onurunu zedelemeden, şeffaf ve adil kriterlere dayalı bir performans yönetimi, hem hukuken doğru hem de iş barışı açısından en faydalı yöntemdir. Aksi halde, işverenin iyi niyetle başlattığı bir verimlilik takibi, KVKK ihlali iddialarına ve çalışan nezdinde güven kaybına yol açabilir.

Sonuç

Günümüzde dijital gözetim teknikleri, işverenlere çalışanlarını izleme konusunda pek çok imkan tanımaktadır. Kamera ile güvenlik takibi, GPS ile araç izleme, e-posta ve internet loglarının denetimi, uzaktan çalışma yazılımları ve benzeri yöntemler iş yaşamının parçası haline gelmiştir. Ancak işverenin yönetim hakkı, hukuki olarak kesin sınırlarla çevrilidir. Bu sınırları belirleyen temel prensip, çalışanın temel hak ve onurunun korunmasıdır. Hem KVKK ve İş Hukuku, hem Anayasa ve AİHM içtihatları, bu dengeyi sağlamak üzere ortak bir çerçeve çizmektedir. Bu çerçevede işverenler, dijital denetim yaparken aşağıdaki ilkelere uymalıdır:

• Amaçla Sınırlılık: İzleme faaliyeti, yalnızca işin yürütülmesi için zorunlu hallerde başvurulacak bir araç olmalıdır. Keyfî, sebepsiz veya alışkanlık haline getirilmiş sürekli denetim meşru kabul edilemez.
• Ölçülülük ve Orantılılık: Bir ihtiyacı karşılamak için daha hafif bir yöntemle sonuca ulaşmak mümkünse, daha müdahaleci bir izleme aracı kullanılamaz. İzleme kapsamı ve sıklığı, elde edilmek istenen fayda ile dengede olmalıdır.
• Şeffaflık ve Aydınlatma: Çalışanlar, izleme faaliyetine başlanmadan önce haberdar edilmelidir. Hangi verilerin işleneceği, ne amaçla ve ne süreyle saklanacağı, hukuki dayanağın ne olduğu açıkça çalışanlara bildirilmeli; mümkünse yazılı politika şeklinde herkesin erişimine sunulmalıdır. Gizli veya sonradan ortaya çıkan gözetim uygulamaları güven zedeler ve hukuka aykırıdır.
• Veri Güvenliği ve Gizliliğe Saygı: İzleme yoluyla elde edilen veriler, sadece belirlenen amaç doğrultusunda kullanılmalı; yetkisiz kişilerin erişimine karşı korunmalıdır. İşlenme amacına ulaşıldığında veriler derhal imha edilmeli veya anonim hale getirilmelidir. Ayrıca izleme, çalışanların özel hayatının çekirdeğine nüfuz etmemeli; özel hayat ile iş hayatı arasındaki çizgiye saygı duyulmalıdır.
• Eşitlik ve Ayrımcılık Yasağı: Dijital denetimler herkese eşit ve tutarlı biçimde uygulanmalıdır. Sadece belirli çalışanları hedef alan veya keyfi şekilde bazı gruplara yapılıp bazılara yapılmayan izlemeler, ayrımcılık iddialarına neden olabilir. İşveren, kuralları ve uygulamaları tüm çalışanlar için adil biçimde uygulamalıdır.

Türk hukukunda KVKK, İş Kanunu md.75, Borçlar Kanunu md.419, Anayasa md.20-22 gibi maddeler ile uluslararası sözleşmeler (AİHS md.8, KVKK’nın ilham aldığı Convention 108 gibi) ve AİHM/AYM içtihatları, çalışan verilerinin korunmasına güçlü bir koruma kalkanı sağlamaktadır. İşverenlerin, teknoloji kullanımını artırırken bu yasal çerçeveyi göz ardı etmemeleri gerekir. Özellikle KVKK Kurumu’nun yayınladığı rehberler ve verdiği idari para cezaları, bu alanda dikkatli olunmazsa küçük ve büyük işletmelerin ciddi yaptırımlarla karşılaşabileceğini göstermiştir. Son dönemde Kurul’un verdiği yüksek para cezaları, şirketlerin itibarını da zedeleyebilmektedir.

Bu nedenle KOBİ’lerden büyük şirketlere tüm işverenler, çalışanlarını dijital olarak izlemeye yönelik sistemler kurarken bir yandan teknolojik imkanlara, diğer yandan da hukuki sorumluluklarına odaklanmalıdır. Yapılacak her izleme uygulaması için önceden hukuki risk analizi (gerekirse bir Veri Etki Değerlendirmesi) yapılmalı, politika ve prosedürler yazılı hale getirilip çalışanlarla paylaşılmalıdır. Çalışanlar da bu hak ve yükümlülüklerin farkında olmalı; kendi mahremiyet haklarını bilmeli ve işverenin yasal sınırlar içinde hareket etmesini talep etmelidir. Ancak bu şekilde, dijitalleşen iş hayatında güven ve şeffaflık ortamı korunabilir. Aksi halde, aşırı izleme uygulamaları işyerinde motivasyon kaybına, hukuki ihtilaflara ve sonuçta her iki taraf için de kayıplara yol açacaktır.

Kaynakça

• KVKK Kurulu, 2021/1187 – “İşverenin eski çalışanın kurumsal e-posta hesabına aydınlatma yapılmaksızın erişmesi” karar özeti.
  https://www.kvkk.gov.tr/Icerik/7269/2021-1187

• KVKK Kurulu, 2022/797 – “İş yerinde güvenlik kamerası ve işe giriş-çıkışlarda yüz tanıma sistemi kullanımı” karar özeti.
  https://www.kvkk.gov.tr/Icerik/7434/2022-797

• Anayasa Mahkemesi (GK), Ramazan Şahin (B. No: 2018/11988, 10.03.2022) – Parmak izi ile mesai takibi. Karar metni
  https://kararlarbilgibankasi.anayasa.gov.tr/BB/2018/11988
  Basın duyurusu: https://www.anayasa.gov.tr/tr/haberler/bireysel-basvuru-basin-duyurulari/parmak-izi-kayit-sistemiyle-mesai-takibi-nedeniyle-kisisel-verilerin-korunmasini-isteme-hakkinin-ihlal-edilmesi/

• AİHM (Büyük Daire), López Ribalda ve Diğerleri/İspanya (2019) – İşyerinde gizli kamera.
  https://hudoc.echr.coe.int/eng?i=001-179881

• AİHM (Büyük Daire), Bărbulescu/Romanya (2017) – Çalışanın elektronik yazışmalarının izlenmesi.
  https://hudoc.echr.coe.int/eng?i=001-159906

• AİHM, Antović ve Mirković/Karadağ (2017) – Dersliklerde kamera gözetimi.
  https://hudoc.echr.coe.int/eng?i=001-178904

• EDPB Kılavuz 3/2019 – Video cihazları üzerinden kişisel veri işleme (nihai sürüm, PDF).
  https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices.pdf

• WP29 Görüş 2/2017 – Çalışma hayatında kişisel veri işleme.
  https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169

• Hamburg DPA – H&M (2020) çalışan izleme nedeniyle 35,3 milyon € GDPR cezası (EDPB duyurusu).
  https://www.edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_en

• Çalışma Bakanlığı – Uzaktan Çalışma Yönetmeliği’nin yayımlandığına dair duyuru (kapsam ve amaç).
  https://www.csgb.gov.tr/cgm/haberler/10-03-2021/

İlgili Mevzuat

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (konsolide metin, PDF – KVKK)
  https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/ca752cda-c3df-4645-8d5e-e2a507e63200.pdf

• Aydınlatma Yükümlülüğü Tebliği (KVKK)
  https://www.kvkk.gov.tr/Icerik/5443/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESINDE-UYULACAK-USUL-VE-ESASLAR-HAKKINDA-TEBLIG

• 4857 sayılı İş Kanunu (Çalışma Bakanlığı – Mevzuat sayfası)
  https://www.csgb.gov.tr/cgm/mevzuat/

• Uzaktan Çalışma Yönetmeliği (10.03.2021, RG 31419 – PDF)
  https://www.verginet.net/Dokumanlar/2021/Uzaktan-Calisma-Yonetmeligi.pdf

• 5237 sayılı Türk Ceza Kanunu (Adli Sicil – PDF; m.134 özel hayatın gizliliği dâhil)
  https://adlisicil.adalet.gov.tr/Resimler/SayfaDokuman/19820191510085237%20Say%C4%B1l%C4%B1%20T%C3%BCrk%20Ceza%20Kanunu.pdf

• AİHS (Avrupa İnsan Hakları Sözleşmesi) – Türkçe metin, m.8 özel hayata saygı
  https://www.echr.coe.int/documents/d/echr/convention_tur

• Avrupa Konseyi 108/108+ Sözleşmesi (kişisel verilerin otomatik işlenmesi)
  https://www.coe.int/en/web/data-protection/convention108-and-protocol

• KVKK Kurulu İlke Kararı 2018/10 – Özel Nitelikli Kişisel Verilerde Yeterli Önlemler
  https://www.kvkk.gov.tr/Icerik/4110/2018-10