I. GİRİŞ
Teknolojik gelişmelerin hız kazandığı günümüzde, güvenlik kameraları iş yerlerinde güvenlik, disiplin ve işyeri düzenini sağlama amacıyla sıklıkla kullanılmaktadır. Ancak bu teknolojilerin kullanımı, çalışanların ve işyeri ziyaretçilerinin kişisel haklarını, özellikle de mahremiyet haklarını etkileme potansiyeline sahiptir. Kişisel verilerin korunması, bireylerin özel hayatına müdahale edilmemesi açısından büyük önem taşır ve bu sebeple, güvenlik kameralarıyla toplanan görüntülerin hukuka uygun olarak işlenmesi gereklidir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verilerin işlenmesini sıkı kurallara bağlamış ve veri sorumlularına birçok yükümlülük getirmiştir. Bu kanun, hem kamu kurumlarını hem de özel sektörü kapsamakta olup kişisel veri işleyen tüm tarafları ilgilendirir. Güvenlik kameraları tarafından kaydedilen görüntüler de kanun kapsamında kişisel veri olarak değerlendirilir, zira bu görüntüler aracılığıyla kişilerin kimlikleri belirlenebilir ya da kimlik tespiti yapılabilir.
Bu bağlamda, işverenlerin işyerlerinde güvenlik amacıyla kullandıkları kameralarla elde edilen görüntülerin KVKK’ya uygun bir şekilde işlenmesi gerekmektedir. Hem çalışanların hem de işyerine gelen diğer bireylerin kişisel verilerinin korunması, işverenlerin yasal sorumluluğu altındadır. Bunun yanı sıra, işverenlerin kişisel verilerin işlenmesinde veri minimizasyonu ilkesine uyması, yani yalnızca gerekli verilerin ve ölçülü bir şekilde toplanması zorunluluğu da göz ardı edilmemelidir.
Bu makalede, işyerlerinde kullanılan güvenlik kameraları aracılığıyla elde edilen görüntülerin iş hukuku mevzuatı ve KVKK çerçevesinde nasıl değerlendirilmesi gerektiği ele alınacak, işverenlerin uyması gereken temel yükümlülükler ve kişisel verilerin işlenmesinde dikkat edilmesi gereken hususlar incelenecektir. Ayrıca, güvenlik kameralarının hukuka uygun olarak kullanılması için alınması gereken teknik ve idari tedbirler, KVKK’da öngörülen veri işleme ilkeleri doğrultusunda tartışılacaktır.
II. İŞ HUKUKU MEVZUATI KAPSAMINDA DEĞERLENDİRMELER
İşverenin öncelikle iş hukuku mevzuatı uyarınca hem işçinin hem de işyerinin güvenliğini sağlama yükümlülüğü bulunmakta olup bu durumun ihlal ya da ihmal edilmesi halinde hukuki ve cezai sorumluluğu doğabilecektir. Bu minvalde özellikle güvenlik kamerasıyla görüntü alınmasına ilişkin iş hukuku mevzuatında doğrudan düzenleme 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun (“İSG Kanunu”) 4. maddesinde yer almaktadır. Anılan madde uyarınca;
İşverenin genel yükümlülüğü
MADDE 4 – (1) İşveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olup bu çerçevede;
(..)
b) İşyerinde alınan iş sağlığı ve güvenliği tedbirlerine uyulup uyulmadığını İZLER, denetler ve uygunsuzlukların giderilmesini sağlar.
c) Risk değerlendirmesi yapar veya yaptırır.
ç) Çalışana görev verirken, çalışanın sağlık ve güvenlik yönünden işe uygunluğunu göz önüne alır.
d) Yeterli bilgi ve talimat verilenler dışındaki çalışanların hayati ve özel tehlike bulunan yerlere girmemesi için gerekli tedbirleri alır.
Bununla birlikte İSG Kanunu’nun “İş Kazası ve Meslek Hastalıklarının Kayıt ve Bildirimi” başlıklı 14. maddesi; “(1) İşveren; a) Bütün iş kazalarının ve meslek hastalıklarının kaydını tutar, gerekli incelemeleri yaparak bunlar ile ilgili raporları düzenler. b) İşyerinde meydana gelen ancak yaralanma veya ölüme neden olmadığı halde işyeri ya da iş ekipmanının zarara uğramasına yol açan veya çalışan, işyeri ya da iş ekipmanını zarara uğratma potansiyeli olan olayları inceleyerek bunlar ile ilgili raporları düzenler.” hükmünü haizdir.
Öte yandan, İSG Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinde tehlike sınıfının, iş sağlığı ve güvenliği açısından, yapılan işin özelliği, işin her safhasında kullanılan veya ortaya çıkan maddeler, iş ekipmanı, üretim yöntem ve şekilleri, çalışma ortam ve şartları ile ilgili diğer hususlar dikkate alınarak iş yeri için belirlenen tehlike grubu şeklinde tanımlanmış olup tehlike sınıfına dahil olan işverenler için meydana gelebilecek iş kazası vb. durumların önlenmesi ve aynı zamanda kusur durumlarının ispatı noktasında kamera kayıtları önem arz edecektir.
Diğer taraftan, iş yerinde kasıtlı olarak gerçekleştirilen zararlara ilişkin olarak; 4857 sayılı İş Kanunu’nun 25. maddesinde işverenin haklı nedenle derhal fesih sebebi olarak “İşçinin kendi isteği veya savsaması yüzünden işin güvenliğini tehlikeye düşürmesi, iş yerinin malı olan veya malı olmayıp da eli altında bulunan makineleri, tesisatı veya başka eşya ve maddeleri otuz günlük ücretinin tutarıyla ödeyemeyecek derecede hasara ve kayba uğratması.” sayılmakta olup buna ek olarak, 6098 sayılı Türk Borçlar Kanunu’nun “Özen ve Sadakat Borcu” başlıklı 396. maddesinde işçinin yüklendiği işi özenle yapmak ve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorunda olduğu, işçinin, işverene ait makineleri, araç ve gereçleri, teknik sistemleri, tesisleri ve taşıtları usulüne uygun olarak kullanmak ve bunlarla birlikte işin görülmesi için kendisine teslim edilmiş olan malzemeye özen göstermekle yükümlü olduğu düzenlenmiştir.
Bu minvalde işverenin hem işçilerin güvenliğini hem işyeri güvenliğini hem de işin olması gerektiği gibi yerine getirilmesini sağlamak bakımından bazı tedbirleri alması gerekli olup kanunen de bu hususların sağlanabilmesi için kendisine izleme yetkisi verilmiştir.
Ancak bu noktada belirtmek gerekir ki her ne kadar kanunen işverene bir izleme yükümlülüğü ve yetkisi verilmiş ise de işveren tarafından bu hususun kötüye kullanımı engellenmeli ve kamera sistemleri ile kişisel veri işleme faaliyetinin işçinin temel hak ve özgürlüklerine zarar vermeden, mahremiyet beklentilerine uygun olarak, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak meşru amaçlarla yürütülmesinin ve veri güvenliğine ilişkin olarak teknik ve idari tedbirlerin alınmasının önceliklendirildiği bir düzen gözetilmelidir.
III. KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA DEĞERLENDİRMELER
KVKK uyarınca kural olarak veri işleme faaliyeti aydınlatmaya bağlı açık rıza ile gerçekleştirilebilecektir. Bununla birlikte kanunda öngörülen bazı istisnai hallerde açık rıza bulunmaksızın da veri işlenebilecektir. Ancak her halükârda veri işleme faaliyetinin KVKK’nın 4. maddesinde belirtilen; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma (iii) belirli, açık ve meşru amaçlar için işlenme (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olması gerekmektedir.
Yukarıda da belirtildiği üzere KVKK’nın 5. maddesi uyarınca; kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu minvalde yukarıda yer verilen iş hukuku kapsamındaki değerlendirmelerden hareketle işverenin ve özellikle tehlike sınıfında yer alan iş kollarına ilişkin faaliyet gösterilen yerlerde işveren tarafından güvenlik kameraları vasıtasıyla iş yerlerinde, çalışanların iş sağlığı ve güvenliğinin sağlanması kapsamındaki yükümlülüklerin yerine getirilmesi, üretim süreçlerinin kontrolü, iş yerinin ve müşterinin korunması, çalışanın kim olduğunu belirleme, yetkisiz kişilerin tehlikeli alanlara girmesinin önlenmesi, işçinin performansının değerlendirilmesi ve suç şüphesinin aydınlatılması gibi birçok amaç ile genel ve özel nitelikte kişisel verilerin işlenmesi mümkündür. Bu çerçevede, öncelikli olarak veri sorumlusu tarafından kameralar ile görüntülerin işlenmesinin özel nitelikli veya genel nitelikli kişisel veri işleme olup olmadığının değerlendirilmesi gerekmektedir.
Kural olarak kamera vasıtasıyla görüntü alınması açık rızaya tabi olup işveren, işçiyi bu yönde detaylı olarak aydınlatmalı ve açık rızasını almalıdır. Bu aydınlatma ise; güvenlik kameralarının konumları, görüş açıları ve mesafeleri, kameraların sayıları, ses kaydı yapıp yapmadığı, ne kadar süre ile kayıt yaptığı, hangi saatler arasında kayıt yaptığı, yapılan kayıtların nerede ve ne kadar süre ile muhafaza edildiği, yapılan kayıtların imha süresi ve imha usulü hakkında açık, kolaylıkla anlaşılabilir nitelikte, detaylı ve kapsayıcı olmalıdır. Aksi halde işveren, veri sorumlusu olarak KVKK’da öngörülen nitelikle aydınlatma yükümlülüğünü yerine getirmemiş sayılacak ve işçi tarafından rıza verilse bile aydınlatma yükümlülüğü yerine getirilmediği için verilen rızalar geçersiz sayılacaktır. Bu durum ise tüm veri işleme faaliyetini hukuka aykırı hale getirecek olup işverenin hukuki ve cezai yaptırımla karşılaşma riski doğacaktır.
Bununla birlikte şayet işveren, veri işleme faaliyeti olarak kamera kayıtları ile aynı zamanda biyometrik veri işliyor ise diğer bir ifade ile kameraların biyometrik veri işleme özelliğine sahip bir teknolojiyi kullanıyor olması halinde (iris tanıma, yüz tanıma, retina tanıma vb.) bu durum özel nitelikli kişisel veri işleme faaliyeti oluşturacak olup bu durumun ayrıca aydınlatma metninde belirtilmesi ve açık rıza metninde özel nitelikli kişisel verilerin işlenebileceğine de ayrıca ve özellikle yer verilmesi gerekmektedir. Bu işleme faaliyeti yönünden ise yukarıda sayılan ilkelere uygunluk durumu daha titiz ve sıkı sıkıya incelenmektedir. Diğer bir ifade ile biyometrik veri işlenmesini zorunlu kılacak bir sebep yoksa diğer yöntemler kullanılmalıdır. Kişisel Verileri Koruma Kurulu’nun emsal nitelikteki kararında bu husus şu şekilde vurgulanmıştır;
“İşe giriş-çıkışlarda yüz tanıma sistemi kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin açık rızaya dayanılarak gerçekleştirilmiş olması durumunda dahi, bu veri işleme faaliyetlerinin her halükârda Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygun olarak yerine getirilmesi gerektiği, bu çerçevede, veri sorumlusunun iş sağlığı ve güvenliği çerçevesindeki amaçlarını giriş-çıkış esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar, ayrıca işçilerin başkası yerine imza atma veya kart okutma gibi yöntemlere başvurmaması adına uyarılması ve tespit edildiğinde uygulanabilecek yaptırımlar belirlenerek bu hususta işçilere bilgilendirme yapılmak suretiyle kötü niyetli kullanımların önüne geçilmesi ile sağlanması mümkünken çalışanların biyometrik verisi niteliğindeki yüz tanıma verisinin işlendiği, sonuç olarak, sınırlı ve ilgili kişilerin kişilik haklarına daha az müdahale edecek nitelikteki kişisel verileri işlemek suretiyle amaca ulaşılabilecek ve yürütülebilecek işlemlerin, gereğinden fazla ve daha çok müdahaleci nitelikteki kişisel verinin işlenmesi suretiyle gerçekleştirilmesinin, Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen kişisel verilerin işlenmesinde “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uyulması zorunluluğuna aykırılık teşkil ettiği,”
Diğer bir husus olarak her ne kadar işveren, veri sorumlusu olarak izleme faaliyeti yapabilecek ise de çalışanların soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu dikkate alındığında veri sorumlusu tarafından söz konusu alanlarda veri işleme faaliyeti gerçekleştirilmesi çalışanların mahremiyet beklentilerini zedeler nitelikte özel alanlarını işgal niteliğinde sayılabilecektir.
Ek olarak güvenlik kamerası ile kayıt alınması KVKK’nın 5. maddesinde yer alan açık rıza aranmaksızın veri işlenebileceği hallerden “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” durumuyla ilişkilendirilebilecek olup veri sorumlusu olan işverenin, iş yerinin güvenliği, işçilerin güvenliği, iş ekipmanlarının güvenliği ve hasara uğramaması, haklı fesih durumlarında kusur durumunun ispatı, iş kazalarında kusur durumunun ispatı vb. durumlarda meşru menfaatlerinin ispatı ve korunması açısından nispeten zorunlu hale getirmektedir.
IV. SONUÇ OLARAK
- İşyerleri ve özellikle yüksek risk teşkil eden saha alanlarında çalışan personellerin güvenlik kameraları ile izlenmesi ve kayıt altına alınması hususu iş hukuku mevzuatı uyarınca hem işçilerin güvenliğini hem işyeri güvenliğini hem de işin olması gerektiği gibi yerine getirilmesini sağlamak bakımından bir yükümlülük olarak değerlendirilebilecektir. Bu minvalde bu yükümlülüğün yerine getirilmesi bakımından da KVKK’nın öngördüğü usul ve şartlara riayet edilmesi önem arz etmektedir.
- İşçilere; yukarıda belirtildiği şekil ve kapsamda güvenlik kameralarının konumları, görüş açıları ve mesafeleri, kameraların sayıları, ses kaydı yapıp yapmadığı, ne kadar süre ile kayıt yaptığı, hangi saatler arasında kayıt yaptığı, yapılan kayıtların nerede ve ne kadar süre ile muhafaza edildiği, yapılan kayıtların imha süresi ve imha usulü hakkında açık, kolaylıkla anlaşılabilir nitelikte, detaylı ve kapsayıcı bir bilgilendirme yapılmalıdır. Bu bilgilendirmenin yazılı olması ispat açısından önem arz etmektedir. Bu bilgilendirme işçilere işe giriş veya sonrasında yazılı bir metin olarak verilebileceği gibi, işyeri ve saha alanında herkesin kolaylıkla görüp okuyabileceği bir noktada konumlandırılan bir pano, levha veya uyarı yazısıyla da yapılabilecektir.
- Şayet kullanılan kameralar biyometrik veri işleme özelliğine sahip bir teknolojiye sahipse (iris tanıma, yüz tanıma, retina tanıma vb.) bu durum özel nitelikli kişisel veri işleme faaliyeti oluşturacak olup bu durumun ayrıca aydınlatma metninde belirtilmesi ve açık rıza metninde özel nitelikli kişisel verilerin işleneceğine de ayrıca ve özellikle yer verilmesi gerekmektedir.
- Bununla birlikte güvenlik kamerası ile kayıt alınması KVKK’nın 5. maddesinde yer alan açık rıza aranmaksızın veri işlenebileceği hallerden “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” durumuyla ilişkilendirilebilecek olup veri sorumlusu olan işverenin, iş yerinin güvenliği, işçilerin güvenliği, iş ekipmanlarının güvenliği ve hasara uğramaması, haklı fesih durumlarında kusur durumunun ispatı, iş kazalarında kusur durumunun ispatı vb. durumlarda meşru menfaatlerinin ispatı ve korunması açısından nispeten zorunlu hale getirmektedir. Bu nedenle olası bir ihtilaf ve/veya şikâyet halinde bu istisnai veri işleme hususuna dayanarak savunma yapılabilecek ise de her halükârda Kurum’un ihlal nedeniyle cezai yaptırıma hükmetme riski bulunmaktadır. Bu durumu bertaraf edebilmek için aydınlatma metni ve açık rıza unsurlarının eksiksiz ve usulüne uygun bir şekilde tamamlanması gerekmektedir.
- Yukarıda belirtilen tüm esaslara uyulmuş olması halinde çalışanların yüzünün bulanıklaştırılmamış olması tek başına bir ihlal niteliği taşımamakta olup aydınlatma yükümlülüğünün yerine getirilmesi, usulüne uygun açık rıza alınmış olması ve toplanan kişisel verilerin ölçülülük ilkesine uygun şekilde işlenmesi halinde yüzü görünür şekilde güvenlik kamerası kaydı alınması hukuka uygun bir veri işleme teşkil edecektir.
- İşyerinde güvenlik kameraları aracılığıyla görüntü alınması, kişisel verilerin korunmasına ilişkin yasal düzenlemelere sıkı sıkıya bağlı kalınarak gerçekleştirilmelidir. Bu sürecin KVKK hükümleriyle uyumlu şekilde yönetilmesi hem çalışanların haklarının korunması hem de işverenlerin hukuki yükümlülüklerini yerine getirmesi açısından kaçınılmazdır. İşyerinde güvenliğin sağlanması için kamera sistemlerinin kullanımı, kişisel verilerin korunmasına yönelik bilincin artırılması ve bu süreçte gereken tüm yasal yükümlülüklerin yerine getirilmesiyle mümkün olacaktır.
Saygılarımızla,
Kılınç Hukuk ve Danışmanlık
Konuyla İlgili Kurul Kararları:
Kişisel Verileri Koruma Kurulu’nun 04/08/2022 tarihli ve 2022/797 sayılı Karar Özeti
Kişisel Verileri Koruma Kurulu’nun 12/03/2020 tarihli ve 2020/212 sayılı Karar Özeti