Basindan edinilen bilgiye göre, Türkiye'deki bir çok isveren, isçilerini ve isyerlerini COVID-19 salginindan korumak adina sosyal mesafenin saglanmasi için isçilerini mobil uygulama veya giyilebilir teknoloji araciligi ile "sosyal mesafe" ölçerler ile dijital olarak izleyecegini, akilli termometreler veya termal kamera ile isçilerinin vücut sicakliklarini anlik takip edecegini ve ise giris ve çikislarda temasi asgari düzeye indirmek için yüz tanima teknolojilerinin kullanilacagi belirtmislerdir. Ancak, isverenlerin bu yöndeki uygulamalari asagida ifade edilecegi üzere isçilerin mahremiyet hakkini ihlal edecegi kanisindayiz.
A) Mobil uygulama veya giyilebilir teknoloji araciligi ile "sosyal mesafe" ölçer ile dijital izleme:
Isverenin, isçisini ve isyerini salgindan korumak için is sagligi ve güvenligi hükümleri çerçevesinde önlem almasi mümkündür. Ancak, alinan önlemler ile isçinin temel hak ve hürriyetleri arasinda adil bir dengenin kurulmasi gerekir. Isyerinde isçinin sosyal hayati sifira indirilemeyecegi1 gibi isyerinde isçinin mahremiyet hakkina iliskin makul bir beklentisinin bulundugu da unutulmamalidir.2 Bu sebeple, sosyal mesafenin saglanmasi adina teknik cihazlar ile isçinin isyerindeki konum bilgisi dahil gün boyu tüm faaliyetlerinin izlenmesi özel hayata ölçüsüz bir müdahale teskil edecegi açiktir. Isveren, dijital izleme neticesinde isçinin sosyal iliski kurdugu kisileri tespit edebilir, tuvalette, molada veya yemekte geçirdigi süreleri kolaylikla takip edebilir. Isyerindeki bu yönlü bir izleme, isçinin mahremiyet hakkina dair makul beklentisini zedeleyecektir.
Isçiyi belirlenebilir sekilde dijital olarak izlemek bir veri isleme faaliyetidir. 6698 sayili Kisisel Verilerin Korunmasi Kanunun ("Kanun") 4/2-ç maddesi uyarinca, veri isleme faaliyetinin ölçülü olmasi/veri minimizasyonu ilkesine uygun olmasi gerekir. Bu ilke, isleme amacini gerçeklestirmek için minimum düzeyde veri islenmesini zorunlu kilmaktadir. Daha az müdahaleci bir yöntem ile veri islenmesi mümkün ise o yöntemin tercih edilmesi bu ilkenin geregidir. Bu açiklamalar çerçevesinde, isveren, sosyal mesafenin takibi için isçiyi belirleyebilecek sekilde teknik cihazlarla dijital olarak izlemek yerine, daha az müdahaleci sekilde örnegin; anonim sekilde veri toplayarak veyahut sosyal mesafenin önemi konusunda isçileri egitip ve olusturacagi idari tedbirlerle izlemeye gerek kalmadan pekala gerçeklestirmesi mümkündür. Bu yollar tercih edilmeyip, isyerindeki isçinin özel hayatina orantisiz müdahale teskil edecek mahiyette dijital izlemek veri minimizasyonu ilkesine aykiridir. Nitekim, Ispanyol Veri Koruma Otoritesince (AEPD), "isyerindeki kameralarin isçileri izledigi, bu durumun veri minimizasyonu ilkesine aykirilik teskil ettigine" karar vermistir.
CM/REc(2015) 5 sayili Is Iliskisinde Kisisel Verilerin Islenmesine Dair Avrupa Konseyi Tavsiye Kararinin 15. Maddesinde, "isçilerin faaliyetlerini ve davranislarini dogrudan izleyen bilgi teknoloji sistemlerin kullanilmamasini", 16. Maddesinde ise, "isçilerin yerini gösteren ekipmanlarin sürekli izlenmeye yol açmamasi gerektigi" ifade edilmistir. Bu karar da, isverenin sosyal mesafenin takibi amaciyla isçisini dijital izleme hakkinin bulunmadigini ortaya koymaktadir.
Avrupa Insan Haklari Mahkemesi Büyük Dairesinin "isçinin internet iletisiminin izlenmesi" hakkindaki Barbulescu/Romanya Kararinda ve "isçinin isyerinde video kamera ile gözetlenmesi" hakkindaki Lopez Ribalda ve Digerleri/Ispanya Kararinda, isverenin çikarlari ile isçinin özel hayatina saygi hakki arasinda kurulmasi gereken adil dengeye iliskin bir takim kriterler belirlenmistir3. Bu kriterler çerçevesinde de, isverenin sosyal mesafenin takibi amaçli izleme faaliyetini gerçeklestirmesinde hukuka uyarlik bulunmamaktadir. Bunun yaninda, isverenligin izleme faaliyeti, Kanunda yer alan veri isleme sartlari bakimindan da hukukilikten uzaktir. Isçi-isveren iliskisinde (güç dengesizligi sebebiyle) açik rizanin geçerliligi zaten tartismalidir4. Açik riza disindaki hukuki yükümlülük, mesru menfaat gibi diger veri isleme sartlari bakimindan aranilan "zorunluluk/gereklilik" kriteri de bu durum özelinde bulunmadigi kanaatindeyiz.
Ayrica, bir hususu da burada belirtmekte fayda bulunmaktadir. Isveren, sosyal mesafenin saglanmasi amaciyla gerçeklestirecegi veri isleme faaliyetini baskaca bir amaç için (örn: isçinin performans degerlendirmesi için) kullanmamalidir. Bu yöndeki olasi bir kullanim, 6698 sayili Kisisel Verilerin Korunmasi Kanunun 4/2-ç maddesindeki "islendikleri amaçla baglantili ve sinirli olma" ilkesine aykirilik teskil edecektir. Yine, Kanunun 4/2-d ve 7. Maddeleri uyarinca isveren, isleme amacinin (salgin riskinin) ortadan kalkmasi ile birlikte bu yöndeki faaliyetini de derhal sona erdirmelidir.
Son olarak, isveren, 6698 sayili Kanun 4/2-a maddesinde yer alan "hukuka ve dürüstlüge uygun olma" ilkesi, 4/2-c maddesinde yer alan " açik, belirli amaçlar için isleme" ilkesi ve 10. Maddesinde yer alan aydinlatma yükümlülügü geregi, veri isleme faaliyetine baslamadan önce detayli olarak isçiyi bilgilendirmesi zorunludur. 1997 tarihli Uluslararasi Çalisma Örgütü (ILO) tarafindan hazirlanan "Isçilerin Kisisel Verilerinin Korunmasi" kurallarinin 12. Maddesinde de, isçinin yaninda ayrica isçi temsilcilerinin de (özellikle elektronik izleme durumunda) bilgilendirilmesi gerektigi ifade edilmistir.
B) Akilli termometre veya termal kamera ile isçinin vücut sicakliginin takip etme:
Covid-19 salgininin belirtilerinden birisi yüksek ates oldugu ifade edilmektedir. Bu nedenle, isveren, salgindan korunmak adina isçisinin vücut sicakligi teknik cihazlar ile düzenli olarak takip etme gayreti içindedir. Ancak, yüksek atesi sadece Covid-19 salgini ile iliskilendirilmek mümkün degildir. Isvereni ilgilendirmeyen, is sagligi ve güvenligini tehlikeye düsürmeyen veya bulasici olmayan bir saglik sorunu (örn: vücuttaki bir iltihap) veya yasamsal bir süreç belirtisi (örn: menopoz, andropoz gibi) durumlarda da yüksek ates görülebilir. Isveren, isçisini salgindan korunmak amaçli vücut sicakligi takibinde bu durumlarin ortaya çikmasina sebebiyet vermesi, Kanunun 4/2-c maddesinde yer alan "mesru amaçla veri isleme" ilkesine ve 4/2-ç maddesinde yer alan "islendikleri amaçla baglantili, sinirli ve ölçülü olma" ilkesine aykirilik dogurabilir, isçinin kisilik hakki ihlal edilebilir. Bu sebeple, bu yöndeki hak ihlallerinin olusmayacagi bir güvencenin tesisi gereklidir.
Her ne kadar Kisisel Verileri Koruma Kurulunca yapilmis olan basin açiklamasinda5 akilli termometre, termal kamera gibi teknik cihazlarla ölçüm yapilmasi hakkinda detayli bir açiklama bulunmasa da, Fransa, Hollanda gibi bir çok Avrupa'daki Veri Koruma Otoriteleri termal kamera gibi otomatik sistemler ile sicaklik ölçümü ve takibinin veri koruma ilkeleri bakimindan yasak oldugunu ifade etmistir. Bu açidan da, isleme faaliyeti sakincali görünmektedir.
Olaya mevzuat hükümleri çerçevesinde bakildiginda ise, isçinin vücut sicakligi bilgisi saglik verisi olup, özel nitelikli kisisel veri kapsamindadir. Bu sebeple, kural olarak (veri koruma ilkelerine uygun olmak sartiyla) Kanunun 6/1. Maddesi uyarinca açik riza veya 6/3. Maddesinde belirtilen haller çerçevesinde açik rizaya gerek kalmaksizin sir saklama yükümlülügü altindaki kisilerce (örn: isyerindeki saglik personelince) veya yetkili kurumlarca islenmesi gerekir. Ancak, Isçi-isveren iliskisindeki güç dengesizligi sebebiyle açik riza temelli bir isleme faaliyetinde hukuki sorunlar yasanabilir. Bunun disinda, usulüne uygun açik riza alinmaksizin saglik verisinin islenebilmesi sadece sir saklama yükümlülügü altindaki kisiler veya yetkili kurumlar tarafindan yapilmasina baglidir. Buna aykiri sekilde, isveren veya yetkililerince bu verilerin islenmesi, isyerindeki diger isçilerle paylasilmasi hukuka aykiridir. Teknik cihazlar ile takip edilen vücut sicaklik bilgisinin kim tarafindan toplandigi, bu bilgilere kimlerin erisim saglayacagi mevzuata uygun sekilde belirlenmelidir. Teknik cihazlari tasarlayan yüklenici firma ve yetkililerince veri koruma hukukuna aykiri olarak söz konusu verilere erisim imkani bulunmasi isçinin kisisel verisinin korunmasi hakkini ihlal edecektir. Nitekim, 1997 tarihli Uluslararasi Çalisma Örgütü (ILO) tarafindan hazirlanan "Isçilerin Kisisel Verilerinin Korunmasi" kurallarinin 8. Maddesinde de, "saglik verilerinin tibbi gizlilik kurallarina bagli personellerince saklanmasi gerektigi" ifade edilmistir.
Vücut sicakligi bilgisinin saglik verisi olmasi sebebiyle, isveren, veri koruma ilkelerine ve isleme sartlarina uygun sekilde veri isleme faaliyeti gerçeklestirse bile, Kanunun 6/4. Maddesi uyarinca Kisisel Verileri Koruma Kurulunun 31.01.2018 tarih ve 2018/10 sayili Kararinda ifade edilen "Özel Nitelikli Kisisel Verilerin Islenmesinde Veri Sorumlularinca Alinmasi Gereken Yeterli Önlemlere" de uygun hareket etmek zorundadir. Aksi halde, hukuka aykiri veri isleme gündeme gelecektir.
Kisisel Verilerin hukuka uygun islenmesinin yaninda, söz konusu verilerin güvenliginin saglanmasi da Kanunun 12. Maddesine göre isverenin veri sorumlusu sifatiyla yükümlülügüdür. Bu yükümlülük özel nitelikli kisisel veriler bakimindan daha büyük önem arz etmektedir. Isveren, verilerin yanlislikla, yetkisiz veya yasadisi erisim, kullanim, degisiklik, açiklama, kayip, imha veya zararlara karsi korunmasi için gerekli tüm teknik ve idari tedbir alinmis olmalidir6. Veri güvenliligin yaninda, isveren, Kanunun 4/2-b maddesi geregi, verilerin dogru sekilde de islenmesi yükümlülügü de göz ardi edilmemelidir.
Nihayetinde, Kanunun 4/2-d ve 7. Maddeleri uyarinca isveren, islenen saglik verisini islendigi amaç için gerekli olan süre kadar muhafaza etmesi gerekmektedir. Bu kapsamda, isveren gerekli olan süre içerisinde derhal bu verileri ( en geç salginin sona ermesinde) silmeli, yok etmeli veya anonim hale getirmelidir. Avrupa Insan Haklari Mahkemesinin bir çok içtihadinda "usuli güvencelerden yoksun sekilde belirsiz süreli saklanan kisisel veriler bakimindan" ihlal karari vermistir7.
C) Ise giris ve çikistaki temasi asgari düzeye indirmek için yüz tanima teknolojilerini kullanma:
Covid-19 salgini ile mücadele için temasin asgari düzeye indirilmesi etkin bir yoldur. Ancak, isverence, temasi azaltmak adina yüz tanima teknolojilerine basvurulmasi veri koruma hukukuna aykirilik teskil edecektir.
Yüz tanima teknolojileri ile isçinin biyometrik verisi islenebilmektedir. Kanunun 6. Maddesine göre, biyometrik veri özel nitelikli kisisel veridir. 95/46/EC sayili Direktifin 29. Maddesi geregi kurulan Çalisma Grubunun 2/2017 sayili görüsün 5.6. maddesinde, yüz tanima teknolojilerinden kaçinilmasi gerektigi ifade edilmistir. CM/REc(2015) 5 sayili Is Iliskisinde Kisisel Verilerin Islenmesine Dair Avrupa Konseyi Tavsiye Kararinin 18. Maddesinde ise, biyometrik verilerin daha az müdahaleci bir baska yolu mümkün olmamasi halinde kati güvenlik önlemlerinin alinmasi sartiyla istisnai olarak islenebilecegi belirtilmistir. Danistay 11. Dairesinin 2017/816 E., 2017/4906 K. Sayili Kararinda, "idarede mesainin takibi amaciyla yüz tanima siteminin kullanilmasini" özel hayata ölçüsüz bir müdahale olduguna karar vermistir. Kisisel Verileri Koruma Kurulunun 27.02.2020 tarih ve 2020/167 sayili Kararinda, "spor salonu hizmeti sunan veri sorumlusunun üyelerinin giris ve çikis kontrolü için biyometrik veri kullanmasini" Kanunun 4/2-ç maddesinde yer alan "islendikleri amaç için ölçülü olma" ilkesine aykiri olarak degerlendirmistir. Isveç Veri Koruma Otoritesi de, "ögrencilerin derse katiliminin kontrolü için yüz tanima teknolojisinin kullanilmasini" veri minimizasyonu ilkesine aykiri bulmustur. Tüm bu görüs ve kararlar çerçevesinde, isverenin salgin gerekçesiyle temasi azaltmak adina ise giris - çikisin kontrolü için yüz tanima teknolojisini kullanmasi ölçüsüz bir uygulama olacaktir. Isveren, özel nitelikli kisisel veriye ihtiyaç duymadan daha az müdahaleci bir yöntem ile temasi asgariye indirmesi de mümkündür.
SONUÇ:
Isveren, yükümlülüklerini yerine getirmek veya çikarlarini korumak için bir takim önlemler alabilir. Ancak, bu önemler isçinin temel hak ve hürriyetlerini ihlal etmemesi gerekir. Isveren, veri isleme faaliyetlerini yerine getirirken Kanunda belirtilen isleme sartlarina uygun hareket etmesi yeterli degildir. Isveren, veri koruma ilkelerini ve Kurul kararlarini da dikkate almak zorundadir. Kisisel verilerin hukuka uygun islenmesinin yaninda veri güvenliginin de saglanmasi gerekmektedir. Dijital teknolojiler kullanim kolayligi saglasa da, veri güvenligi açisinda bir takim riskleri de barindirmaktadir. Isveren, bu riskleri iyi analiz etmeli ve buna göre uygun tüm tedbirleri almalidir. Isveren veri isleme faaliyetine baslatmadan önce mutlaka usulüne uygun sekilde tüm detaylari ile bilgilendirme yapmakla yükümlüdür.
Footnotes
1. Avrupa Insan Haklari Mahkemesinin Barbulescu/Romanya (BD), 61496/08 Basvuru No., Par. 80.
2. Avrupa Insan Haklari Mahkemesinin Copland/Birlesik Krallik, 62617/00 Basvuru No, Par. 42.
3.Ilk kriter, izleme faaliyetinden isçinin bilgilendirilip bilgilendirilmedigi hususudur. (6698 sayili Kanunun 4/2-a maddesinde yer alan hukuka ve dürüstlük kuralina uygun olma ilkesi, 4/2-c maddesinde yer alan açik ve belirli amaçlarla isleme ilkesi ve 10. Maddesindeki aydinlatma yükümlülügünün de bir geregidir.) Ikinci kriter, izlemenin kapsami ve isçinin mahremiyetine giris derecesi. Üçüncü kriter, isverenin izleme ve kapsami hakkinda mesru gerekçelerinin olup olmadigi ( 6698 sayili Kanunun 4/2-c maddesinde yer alan mesru amaçla isleme ilkesinin de bir geregidir.) Dördüncü kriter, daha az müdahaleci bir yöntemin uygulanma imkanin olup olmadigi (Veri minimizasyonu ilkesinin de geregidir.) Besinci kriter, isçinin izlenmesinin sonuçlari, amaca uygun kullanilip kullanilmadigi (6698 sayili Kanun 4/2-ç maddesinde yer alan isleme amaci ile baglantili ve sinili olma ilkesini de geregidir.) Altinci kriter, izleme faaliyeti ile ilgili olarak isçiye usuli güvencelerin verilip verilmedigi.
4. European Data Protection Board, Guidelines 05/2020 on Consent under Regulation 2016/679, Par.21.
5. Kisisel Verileri Koruma Kurumunun Resmi Internet sayfasinda yayinlanan 27.03.2020 tarihli Kamuoyu Duyurusu, https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-
6. Avrupa Veri Koruma Mevzuati El Kitabi, Avrupa Konseyi, 2018 sy.131
7. Avrupa Insan Haklari Mahkemesinin Gaughran/Birlesik Krallik Karari, B.N: 45245/15.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
