Giriş

İşyeri kamera kayıtları, kişiyi belirlenebilir kılması halinde bir veri işleme1 faaliyetidir. Bu faaliyet genel olarak işyeri güvenliğinin sağlanması amacıyla (özel nitelikli kişisel veri halleri saklı kalmak kaydıyla) “meşru menfaat2 işleme şartına dayalı şekilde gerçekleştirilmektedir3. Ancak bu durum da dahi, işleme faaliyetinin ilgili kişinin temel hak ve hürriyetlerini ihlal etmemesi, veri koruma ilkelerine uygun olması ve meşru menfaat testleri4 açısından olumlu sonuç vermesi gerekmektedir.

Peki, güvenlik amaçlı kameralar, işçileri izlemek, takip etmek veya performanslarını değerlendirmek amacıyla da kullanılabilir midir?

Kişisel verilerin korunması hukukuna hâkim ilkelerden birisi amaçla sınırlılık ilkesidir5. Bu ilke, işleme faaliyetinden önce (belirli, açık ve meşru şekilde) belirlenen amaç dışındaki bir başka amaçla kişisel veri işlenemeyeceğini ifade etmektedir. Ancak, veri işleme sürecinde ilk belirlenen amaçtan sonra farklı bir amaca ihtiyaç duyulması da olası bir durumdur.

6698 sayılı Kişisel Verilerin Korunması Kanunun (“KVKK”) 4. maddesine ilişkin gerekçede, amaç değişikliği halinde işlemeye ilk kez başlıyor gibi, kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekeceği belirtilmiştir. Yine, Kişisel Verileri Koruma Kurulunun (“Kurul”) 2019/78 sayılı kararında da, gerekçeyle paralel şekilde, ilk işleme amacından farklı olarak başka amaca yönelik yeni bir veri işleme faaliyetinin gerçekleştirilebilmesi için, yeni amacın veri koruma ilkelerinin tümüne uyumlu olması ve veri işleme şartlarından en az birine dayanılması gerektiği ifade edilmiştir. Bunun yanında, Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) düzenlemelerinde ise (5/1-b maddesi gereği) toplanma amacıyla uyumlu olmayan sonraki başka bir amaç çerçevesinde kişisel verilerin işlenemeyeceği hüküm altına alınmıştır.

Tüm bu düzenlemeler çerçevesinde, güvenliğin sağlanması için işlenen kamera kayıtlarının daha sonra işçilerin izlenmesi, takip edilmesi veya performanslarının değerlendirilmesi amacıyla işlenebilmesi için, yeni amacın “veri koruma ilkelerine tümüyle uygun olması”,  “veri işleme şartlarından en az birisine dayanması” ve “toplanma amacıyla uyumluluk göstermesi” gerekmektedir.  

“Veri koruma ilkelerine tümüyle uygun olması” bakımından değerlendirme

Öncelikle, KVKK'nin 4/2-(c) maddesi ile GDPR'nin 5/1-(b) maddesi uyarınca, amaç değişikliğinin işleme faaliyetinden önce ilgili kişiye belirli ve açık şekilde bildirilmesi gerekmektedir. Aksi halde, güvenlik amacıyla işlenen kişisel verilerin işçinin izlenmesi, takip edilmesi veya performansının değerlendirilmesi amacıyla da kullanımı “belirli ve açık amaçlar için işlenme” ilkesinin ihlalini doğuracaktır. Yine, güvenlik amacıyla işlenen kişisel verinin bildirim yapılmaksızın başkaca amaçlar için de işlenmesi KVKK'nin 4/2-(a) maddesi ile GDPR'nin 5/1-(a) maddesinde öngörülen dürüstlük ve şeffaflık ilkelerinin aykırılığını gündeme getirecektir. 

Bunun yanında, işçinin güvenlik kameraları vasıtasıyla izlenmesi veri minimizasyonu (ölçülülük) ilkesine de aykırılık teşkil etmektedir. KVKK'nin 4/2-(ç) maddesi ile GDPR'nin 5/1-(c) maddesinde veri minimizasyonu ilkesi düzenlenmiş olup, bu ilke, işleme amacını gerçekleştirmek için minimum düzeyde veri işlenmesini zorunlu kılmaktadır. Daha az müdahaleci bir yöntem ile veri işlenmesi mümkün ise o yöntemin tercih edilmesi yine bu ilkenin bir gereğidir. Bu çerçevede, kamera kayıtları yerine daha az müdahaleci bir yöntemle işçilerin kontrol edilmesi/takibinin sağlanması mümkün olduğundan bu amaç için kamera kaydının kullanılması ölçüsüz olacaktır. Nitekim İspanyol Veri Koruma Otoritesi (AEPD), "işyerindeki güvenlik kameralarının işçileri izlediği, bu durumun veri minimizasyonu ilkesine aykırılık teşkil ettiği" 6 ve Fransız Veri Koruma Otoritesi (CNIL) “çalışanların kameralarla sürekli izlenmesinin mahremiyet hakkına orantısız bir müdahale olduğu” 7 yönünde kararlar vermiştir.

Avrupa İnsan Hakları Mahkemesi (“AİHM”) ve Anayasa Mahkemesinin (“AYM”) güncel kararlarında da8, işçilerin işyerinde de makul bir mahremiyet hakkının bulunduğu ve sürekli izlemenin işçinin özel hayatına ölçüsüz müdahale teşkil ettiği ifade edilmektedir. Söz konusu kararlarda, işverenin çıkarları ile işçinin özel hayatına saygı hakkı arasında kurulması gereken adil dengeye ilişkin bir takım kriterler belirlenmiştir9. İnsan haklarının yatay uygulanabilirliği çerçevesinde işverenin güvenliği sağlanması veya mülkiyetinin korunması hakkı ile işçinin özel hayatı/mahremiyet hakkı arasında adil bir dengenin kurulması gerekmektedir.

CM/REc(2015) 5 sayılı İş İlişkisinde Kişisel Verilerin İşlenmesine Dair Avrupa Konseyi Tavsiye Kararının10 15. Maddesinde, "işçilerin faaliyetlerini ve davranışlarını doğrudan izleyen bilgi teknoloji sistemlerin kullanılmamasını, dolaylı olarak izleyen sistemlerin ise temel haklara zarar vermeyecek şekilde özel olarak tasarlanması gerektiğine" karar verilmiş, 1997 tarihli Uluslararası Çalışma Örgütü (ILO) Kişisel Veri Uygulama Kodunun11 5.6 maddesinde “elektronik izleme ile toplanan kişisel veriler çalışanın performans değerlendirmesinde tek faktör olamayacağı” ve 6.14-(3) maddesinde “sağlık, güvenlik veya mülkün korunması dışında sürekli izlemeye izin verilemeyeceği” ifade edilmiştir. Tüm bu karar ve düzenlemeler çerçevesinde, işçinin özel hayatına ölçüsüz bir müdahale ederek izlenmesi veri minimizasyonu/ölçülülük ilkesinin yanında, KVKK 5/2-(a) maddesinde ve GDPR 5/1-(a) maddesinde yer alan hukuka uygunluk ilkesini de ihlal etmektedir.

“Veri işleme şartlarından  en az birine dayanması” bakımından değerlendirme

            Veri işleme şartları, esasen veri koruma ilkelerinin doğal bir sonucu olarak karşımıza çıkmaktadır. Veri koruma ilkelerine aykırılık söz konusu olduğunda veri işleme şartlarına uygunluktan bahsedilmeyecektir. Kaldı ki, bu konu özelinde zaten veri işleme şartları bakımından da uygunluk bulunmamaktadır.

İşyeri güvenliğinin sağlanması amacıyla kamera kullanımı genel olarak “meşru menfaat” işleme şartına dayalı şekilde yapılabilmekteyse de, aynı durum işçilerin izlenmesi/takip edilmesi amacına ilişkin olma halinde geçerli değildir. İşverenlerin, yönetim haklarından doğan meşru menfaati ileri sürerek kameralarla izleme yapabileceğini düşünmesi hatalıdır. KVKK 5/2-(f) maddesi ile GDPR 6/1-(f) maddesi uyarınca meşru menfaate dayalı kişisel verinin işlenebilmesi için, meşru menfaatin mevcut, belirli ve açık olması, işçinin temel hak ve hürriyetlerinin ihlal etmemesi ve meşru menfaat kapsamında veri işlemenin zorunlu olması gerekmektedir. Yukarıdaki açıklamalar çerçevesinde ise, kameralı izleme faaliyeti işçinin mahremiyet hakkını ihlal ettiğinden meşru menfaat için aranılan kriterlerin sağlanmadığı ortadadır. Yine, KVKK 5/2-(c) maddesi ile GDPR 6/1-(b) maddesinde yer alan “sözleşmenin doğrudan ifası ile ilgili olmak üzere sözleşme taraflara ait kişisel verilerin işlenmesinin zorunlu olması” şartının da uygulanması olanaksızdır. Pekâlâ, iş sözleşmesinin ifası kapsamında işçinin sürekli bir şekilde izlenmesini meşru kılan bir zorunluluk bulunmamaktadır. Bunun dışında, bazı işyerleri için hukuki yükümlülük kapsamında kamera kullanımı yasal olabilse de, işçinin sürekli izlenmesi veya takibine yönelik kanuni düzenleme de bulunmadığından, KVKK 5/2-(ç) maddesi ile GDPR 6/1-(c) maddesinde yer alan “kanundan doğan bir hukuki yükümlülüğün yerine getirme” kapsamındaki işleme şartının da uygulanması söz konusu olmayacaktır. Yine, KVKK 5/2-(d) maddesi uyarınca “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartı da zorunluluk unsuru oluşmadığından somut olayda uygulanabilir değildir.   Son olarak, açık rızaya dayalı şekilde işleme faaliyetinde işçi-işveren ilişkisindeki güç dengesizliği sebebiyle açık rızanın geçerliliği de zaten tartışmalıdır12. Ayrıca, usulüne uygun bir açık rıza alınsa veya diğer işleme şartlarına uygun olarak işlem tesis edilse bile yukarıda ifade ettiğimiz üzere veri koruma ilkelerine aykırılık söz konusu olduğundan bu işleme şartlarının hukukiliği bulunmayacaktır.

“Yeni amacın toplanma amacıyla uyumluluğu” bakımından değerlendirme

            GDPR 5/1-(b) maddesinde, toplanma amacıyla uyumlu olmayan sonraki başka bir amaç çerçevesinde kişisel verilerin işlenemeyeceği ifade edilmiştir. GDPR'nin 6/4. maddesinde ise, uyumluluğun tespiti için bir takım kriterler13 belirlenmiştir. Söz konusu kriterler bağlamında bir değerlendirme yapıldığında da, güvenliğin sağlanması amacıyla, işçilerin izlenmesi, takibi veya performansının değerlendirilmesi amaçları arasında bir bağlantı bulunduğunu söylemek güçtür. Bu sebeple, güvenliğin sağlanması amacıyla kullanılan kameralar ile işçinin takibi/izlenmesi uyumlu olmayıp hukuka aykırıdır. Nitekim, Norveç Veri Koruma Otoritesi (Datatilsynet), Norveç Karayolları İdaresi tarafından yol güvenliğinin sağlanması amacıyla kurulan kamera sistemlerini bakım onarım hizmeti sunan şirket ve çalışanlarının takibi için kullanmasına ilişkin olayda, güvenlik sağlanmasına ilişkin toplanma amacıyla sonraki takip amacının uyumlu olmadığına karar vermiş ve amaçla sınırlılık ilkesinin ihlaline karar vermiştir.  Bu konu özelinde her ne kadar, KVKK'de açık bir hüküm bulunmasa da, ülkemizin veri koruma uygulamalarında GDPR düzenlemelerini de referans aldığı görülmektedir. Bu sebeple, amaç değişikliğine değerlendirmelerde GDPR bu hükmünün de gözetilmesi gerektiği kanaatindeyiz.

Sonuç

Yukarıda da izah ettiğimiz üzere, işyerindeki güvenlik amaçlı kamera kayıtlarını, işçinin izlenmesi, takibi veya performansının değerlendirilmesi amacıyla kullanımı veri koruma ilkelerine ve işlenme şartlarına aykırılık teşkil etmektedir. İşyerindeki kameralar vasıtasıyla işçinin sürekli izlenmesi, takip edilmesi (suç veya makul şüphesi halleri saklı kalmak kaydıyla) kural olarak hukuka aykırıdır. Eski tarihli yargı kararlarında, işçinin işyerindeki özel hayatı oldukça dar yorumlanmakta, işverenin yönetim hakkı kapsamında işçisini izlemesi, takip etmesi hukuka uygun kabul edilmekteyse de, günümüzde artık yorumun geçerliliği bulunmamaktadır. İşçinin işyerinde de makul bir mahremiyet hakkı olduğu işverenlerce kabul edilmelidir. İşyerinde işçinin mahremiyet hakkı, sadece soyunma odaları, tuvaletler gibi özel alanlar için değil daha geniş mahiyette çalışma alanlarında da geçerli olmalıdır. İşverenler, kendi meşru hakları ile işçinin özel hayatı arasında adil bir denge kurarak işlem tesis etmelidir.

Footnotes

1 Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

2 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 5/2-(f) maddesi ile Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) 6/1-(f) maddesinde meşru menfaat işleme şartı düzenlenmiştir.

3 Avrupa Veri Koruma Otoritesi (EPDB) tarafından hazırlanan “video araçlarıyla işlenen kişisel verilere ilişkin” kılavuz, sayfa 7, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf

4 Amaç Testi: Meşru Menfaatin halihazırda mevcut, belirli ve açık olması gerekir. Gereklilik Testi: Meşru menfaat için işlemenin gerekliliği. Denge Testi: Meşru menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması.

5 108 sayılı sözleşmenin 5. maddesinde, 6698 sayılı Kişisel Verilerin Korunması Kanununun (“KVKK”) 4/2-ç maddesinde ve 2016/679 sayılı Avrupa Veri Koruma Tüzüğünün (“GDPR”) 5/1-b maddesinde bu ilkeye ilişkin düzenlemelere yer verilmiştir.

6 https://www.aepd.es/es/informes-y-resoluciones/resoluciones

7 https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/

8 Anayasa Mahkemesinin 2016/13010 Başvuru Numaralı Kararı, Avrupa İnsan Hakları Mahkemesinin  Lopez Ribalda ve Digerleri/Ispanya Kararı, Avrupa İnsan Hakları Mahkemesinin Antović and Mirković ve Karadağ Kararı.

9 İlk kriter, izleme faaliyetinden işçinin bilgilendirilip bilgilendirilmediği hususudur. (6698 sayılı Kanunun 4/2-a maddesinde yer alan hukuka ve dürüstlük kuralına uygun olma ilkesi, 4/2-c maddesinde yer alan açık ve belirli amaçlarla işleme ilkesi ve 10. Maddesindeki aydınlatma yükümlülüğünün de bir gereğidir.) İkinci kriter, izlemenin kapsamı ve işçinin mahremiyetine giriş derecesi. Üçüncü kriter, işverenin izleme ve kapsamı hakkında meşru gerekçelerinin olup olmadığı ( 6698 sayılı Kanunun 4/2-c maddesinde yer alan meşru amaçla işleme ilkesinin de bir gereğidir.) Dördüncü kriter, daha az müdahaleci bir yöntemin uygulanma imkanın olup olmadığı (Veri minimizasyonu ilkesinin de gereğidir.) Beşinci kriter, işçinin izlenmesinin sonuçları, amaca uygun kullanılıp kullanılmadığı (6698 sayılı Kanun 4/2-ç maddesinde yer alan işleme amacı ile bağlantılı ve sınırlı olma ilkesini de gereğidir.) Altıncı kriter, izleme faaliyeti ile ilgili olarak işçiye usuli güvencelerin verilip verilmediği.

10 https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805c3f7a

11 https://www.ilo.org/wcmsp5/groups/public/---ed_protect/---protrav/---safework/documents/normativeinstrument/wcms_107797.pdf

12 Avrupa Veri Koruma Otoritesi (European Data Protection Board), Rıza Kılavuzu, 05/2020 , Par.21.

13 GDPR 6/4 maddesi uyarınca ; (a) kişisel verilerin toplanma amaçları ile planlanan diğer işleme amaçları arasındaki herhangi bir bağlantı; (b) veri sahipleri ve kontrolör arasındaki ilişki başta olmak üzere kişisel verilerin toplandığı bağlam; (c) 9. madde uyarınca özel kategorilerdeki kişisel verilerin işlenip işlenmediği veya 10. madde uyarınca mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenip işlenmediği başta olmak üzere kişisel verilerin mahiyeti; (d) planlanan diğer işleme faaliyetlerinin veri sahiplerine olası yansımaları; (e) şifreleme veya takma ad kullanımı da dahil olmak üzere uygun güvencelerin bulunması

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.