Çalışan Gizliliği: İşverenlerin Hangi Verileri Elde Etme Hakkı Yoktur?

Dijital çağımızda bilgi en yüksek değerdir. Görünmeyen ayrıntılı algoritmalar, hedefli reklamlar için ayrıntılı portremizi oluşturmak üzere çevrimiçi her tıklamamızı takip ediyor. Sosyal medya bizim hakkımızda kabul edebileceğimizden çok daha fazlasını biliyor ve söyleyebiliyor. İşverenlerimiz bile ofis duvarları içinde ve bazen de dışında yaptığımız her şeyi takip edebilir.

2022 yılında Amerikalı bir muhasebeci World Naked Bike Ride'a katıldıktan sonra işini kaybetti. Hobisinin kariyeriyle bir ilgisi yoktu; bisiklet sürerken mesai saatleri dışındaydı ve internette herhangi bir fotoğrafını paylaşmamıştı. Yine de patronu, başka bir katılımcının paylaştığı fotoğrafta tanıdık bir yüz gördükten sonra onu kovmaya karar verdi.

Bu durum benzersiz değildir. Çalışanlar, temel iletişim bilgileri ve geçmiş iş deneyimlerinden sağlık bilgileri ve siyasi görüşlere kadar çalışanları hakkında çok geniş veriler toplayabilir. Temel verilerin toplanması bordro, performans yönetimi veya diğer meşru iş amaçları için gereklidir. Diğer kişisel bilgileri toplamak ve bunlara dayanarak yönetimsel kararlar almak yasa dışı ve etik dışıdır, ancak çizgi nerededir?

Bu makale bu çizgiyi çizmeye ve işverenlerin hangi verileri elde etmeye hakkı olmadığı gibi kritik bir soruyu irdelemeye çalışmaktadır. Nihayetinde amacımız, işverenlerin çalışan verilerini toplarken uyması gereken sınırları anlamak için bir başlangıç noktası sağlamaktır.

Bir işverenin hangi verileri toplayabileceğinin sınırları, gizlilik ve çalışma mevzuatı tarafından belirlenir. Ancak, bu yasalar dünya çapında önemli ölçüde değişiklik gösterebilir. Bu makalede, sadece birkaç önemli yargı alanını kısaca inceleyeceğiz. Bölgenizin yasal özellikleri hakkında bilgi edinmek için avukatınıza danışmanızı öneririz.

Çoğu gizlilik yasasının işyerinde veri toplanmasını özel olarak kapsamadığını belirtmek gerekir. Bunun yerine, daha sonra işveren-çalışan ilişkileri için yorumlanması gereken kişisel verilerin işlenmesi için genel gereklilikler belirlerler. Bu makalenin amacı doğrultusunda, bu yasaları "işveren" ve "çalışan" terimlerini kullanarak açıklayacağız.

• Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) çalışanların sağlık bilgilerini koruyan temel yasadır. İşverenlerin çalışanların tıbbi kayıtlarına erişimini kısıtlar ve bunların yalnızca belirli amaçlar için ve hastanın izniyle kullanılabileceğini ve ifşa edilebileceğini belirtir.

• Engelli Amerikalılar Yasası (ADA) engelli bireyleri ayrımcılığa karşı korur. Bu kanun aynı zamanda işverenin çalışanların tıbbi bilgilerine erişimini de kısıtlamaktadır. Özellikle, işveren tıbbi bilgileri yalnızca işle ilgiliyse veya çalışanın engeli için özel bir düzenlemeye ihtiyacı varsa alabilir.

• Adil Kredi Raporlama Yasası (FCRA) işverenlerin çalışan kredi bilgilerini nasıl toplayacağını, kullanacağını ve ifşa edeceğini düzenler. İşverenler genellikle kredi bilgilerini almadan önce izin verilen bir amaca (geçmiş kontrolü gibi) ve çalışanın yazılı onayına ihtiyaç duyarlar.

• Ulusal Çalışma İlişkileri Yasası (NLRA) özellikle çalışanların sosyal medya da dahil olmak üzere birbirleriyle çalışma koşullarını tartışma haklarını korur. Bununla birlikte, sosyal medyada tam bir mahremiyeti garanti etmez ve işverenler, işyeri için yıkıcı veya tehdit edici olduğu düşünülen paylaşımlar için çalışanları disipline etme konusunda bir miktar serbestliğe sahip olabilir.

• 1974 tarihli Gizlilik Yasası: Bu yasa öncelikle federal kurumların kişisel bilgileri nasıl ele aldığına uygulanmaktadır, ancak bazı içgörüler sunmaktadır. "Adil bilgi uygulamaları" gibi ilkeler getirerek kurumların veri toplama konusunda şeffaf olmalarını ve bu bilgilerin kullanımını meşru amaçlarla sınırlandırmalarını gerektirmektedir.

Bunlar veri koruma ile ilgili sadece birkaç temel düzenlemedir. Ayrıca, Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi, çalışanlara kişisel verilerinin işverenler tarafından toplanmasına ilişkin belirli haklar tanıyan birkaç eyalet yasası da bulunmaktadır.

Genel Veri Koruma Yönetmeliği veya GDPR, AB'de veri koruma ve gizliliği düzenleyen ana yönetmeliktir. İşverenlerin toplayabileceği verilerin kapsamını sınırlandırarak ve çalışanlara işverenler tarafından toplanan verileri üzerinde önemli bir kontrol sağlayarak gizlilik hakları için yüksek bir çıta belirler.

GDPR hangi kişisel verilerin toplanıp toplanamayacağını açıkça belirtmese de, işverenleri şeffaflık ve gereklilik ilkelerine uymakla yükümlü kılmaktadır. Başka bir deyişle, her bir bilgi türünü toplamak için geçerli bir yasal dayanakları olmalıdır; örneğin, sözleşmeye dayalı gereklilik, işyeri güvenliği veya performans değerlendirmeleri gibi. Ayrıca, işverenler hangi verilerin toplandığı, nasıl kullanıldığı ve ne kadar süreyle saklandığı konusunda çalışanlara karşı açık olmalıdır.

GDPR, işverenlerin çalışan verilerini yetkisiz erişim, ifşa, değiştirme veya imhadan korumak için uygun teknik ve organizasyonel önlemleri uygulamasını gerektirir.

Çalışanların hak ve özgürlükleri açısından yüksek risk teşkil eden bir veri ihlali durumunda, işverenler ilgili veri koruma makamını ve potansiyel olarak etkilenen bireyleri bilgilendirmelidir.

Brezilya'nın Lei Geral de Proteção de Dados (LGPD) yasası, GDPR'den sonra modellenen ve 2020 yılında yürürlüğe giren yeni ve kapsamlı bir gizlilik yasasıdır.

GDPR gibi, LGPD de işverenlerin toplayamayacağı çalışan verilerini belirtmez. Ancak, işverenlerin çalışanların kişisel bilgilerini nasıl toplaması, kullanması ve saklaması gerektiğine ilişkin bir çerçeve oluşturmaktadır. İşverenler, verilerini toplamak için çalışanların rızasını almakla yükümlüdür. Sadece iş sözleşmesinin yerine getirilmesi, çalışma alanı güvenliğinin sağlanması, suistimallerin soruşturulması veya diğer meşru iş amaçları için kesinlikle gerekli olan verileri toplayabilirler. Toplanan verilerin güvenli bir şekilde saklanmasını ve yetkisiz erişime, ifşaya, değiştirilmeye veya imhaya karşı korunmasını sağlamalıdırlar. Son olarak, çalışan hak ve özgürlükleri açısından yüksek risk teşkil eden bir veri ihlali durumunda, işverenler Brezilya Ulusal Veri Koruma Kurumu'nu (ANPD) ve potansiyel olarak etkilenen bireyleri bilgilendirmelidir.

Çin'de kişisel veriler Kişisel Bilgilerin Korunması Kanunu (PIPL) ile korunmaktadır. PIPL, "kişisel bilgileri" tek başına veya diğer bilgilerle birleştirildiğinde bir kişiyi tanımlayabilen herhangi bir veri olarak geniş bir şekilde tanımlar. Bu bilgiler isim, iletişim bilgileri, istihdam geçmişi, performans değerlendirmeleri ve sağlık kayıtları (ek kısıtlamalarla) gibi çalışan verilerini içerir.

PIPL'ye göre, işverenler çalışan verilerini ancak onların rızasını aldıktan sonra toplayabilir ve işleyebilir. Yasa ayrıca sözleşmesel gereklilik, yasal yükümlülüklere uyum (veri toplamanın Çin yasaları tarafından gerekli kılındığı durumlar) ve meşru menfaatler gibi diğer yasal gerekçelere de izin vermektedir.

GDPR ve LGPD'ye benzer şekilde, PIPL işverenleri, özellikle açık ve erişilebilir bir gizlilik politikası sağlayarak ve çalışan verilerini yetkisiz erişim, ifşa, değiştirme veya imhadan korumak için makul güvenlik önlemleri uygulayarak veri toplama uygulamaları konusunda şeffaf olmakla yükümlü kılar.

Açıklanan düzenlemeler, işverenlere iş amaçlarıyla açıklayabildikleri sürece neredeyse her türlü kişisel veriyi toplama özgürlüğü veriyor gibi görünmektedir. Ancak uygulamada bu doğru değildir.

İşverenlerin meşru bir gerekçe ve çalışan onayı olmaksızın belirli verileri toplama hakkı yoktur. Bu veriler genellikle aşağıdaki kategorilere girer:

Hassas veriler, bir bireye karşı ayrımcılık yapmak veya hayatının özel yönlerini ortaya çıkarmak için kullanılabilecek kişisel bilgileri ifade eder. Bu veriler ırk ve etnik köken, din, felsefi inançlar, cinsel yönelim, cinsiyet kimliği ve siyasi görüşleri içerir ancak bunlarla sınırlı değildir.

Bu verilerin toplanması ve kullanılması işe alma, terfi veya diğer yönetimsel kararlarda ayrımcılığa yol açabilir. Ayrıca çalışanlar için rahatsız edici veya düşmanca bir çalışma ortamı yaratabilir.

Birçok ülke işverenlerin çalışanların sağlık bilgilerine erişimini kısıtlamaktadır. Ancak bunun birkaç istisnası vardır:

• Çalışan yazılı onay verir.

• Bilgiler, bir sağlık planını yönetmek veya işyeri güvenliği nedenleriyle (örneğin, göreve uygunluk değerlendirmeleri veya engellilik için özel düzenlemelerin yapılması) gereklidir.

• Açıklamanın kanunen gerekli olması (örneğin, işçi tazminat talepleri veya izin talepleri).

İşverenlerin, bordro ve vergi amaçları için temel bilgilerin ötesinde çalışanlar hakkında kapsamlı mali veriler toplaması için meşru bir neden yoktur. Bu durumda, sınır dışı veriler banka hesap bilgilerini, kredi puanlarını ve yatırım varlıklarını içerir.

İşverenler çalışanların davranışlarını izlemekte meşru bir menfaate sahip olsalar da, izlemeyi kişisel sosyal medya hesaplarına genişletemezler. Örneğin, işverenler, çalışanların sosyal medya kullanımlarında gizlilik hakkına sahip olmaları nedeniyle, çalışanlardan sosyal medyada arkadaş olmalarını veya özel hesaplara erişmelerini talep edemezler.

Çalışanların mahremiyet hakkı, onları izinli oldukları süre boyunca işverenin izlemesine karşı korur. İşverenlerin izlemesi genellikle yalnızca çalışma saatlerini ve işle ilgili faaliyetleri kapsar. Meşru bir iş gerekçesi olmadıkça ve gizlilik haklarını ihlal etmedikçe, çalışanların görev dışı faaliyetleri hakkında veri toplamak çoğu yargı alanında kısıtlanmıştır.

Buna göre Harvard Business Review, 500+ çalışanı olan Kuzey Amerika şirketlerinin %67,6'sı çalışanların iş faaliyetlerini özel yazılımlarla takip ediyor. Tarafından özetlenen bir başka araştırma WifiTalents ankete katılan kuruluşların yaklaşık %96'sının bir tür çalışan izleme teknolojisi kullandığını belirtiyor.

Doğası gereği, çalışan izleme yazılımı çalışanlar hakkında kapsamlı veri toplayabilir. En yaygın özellikleri arasında e-posta izleme, İnternet etkinliği izleme, ekran kaydı, uygulama kullanımı izleme ve hatta video ve ses izleme yer alır. Çalışanların izlenmesi, uygun iş iletişiminin sağlanması, güvenlik tehditlerinin önlenmesi ve üretkenliğin artırılması gibi asil hedefleri takip eder. Bununla birlikte, yasal ve etik hususlar göz önünde bulundurularak uygulanmazsa, zaman zaman sınır dışı kişisel verileri toplayabilir.

Çalışan izleme uygulamalarının yasallığı konuma bağlı olarak değişebilir. GDPR gibi bazı düzenlemeler, çalışanların gizlilik haklarını daha katı hale getirerek izin verilen izleme kapsamını sınırlandırır. Bu nedenle işverenler, herhangi bir çalışan izleme uygulamasına geçmeden önce kendi bölgelerinde yürürlükte olan yasaları incelemeli ve anlamalıdır.

Etik bir bakış açısıyla, şeffaflık, orantılılık ve gerekçelendirme ilkeleri çalışan izleme yazılımının kullanımına rehberlik etmelidir. İşverenler veri toplamayı kesinlikle gerekli hususlarla sınırlandırmalı ve veri toplama ile çalışanların gizlilik hakları arasında denge kurmalıdır. Bunu yapmanın en iyi yolu, aşırı veri toplamaktan kaçınmak için kolayca uyarlanabilen uyarlanabilir çalışan izleme çözümlerini seçmektir.

Bu durumda, aşırı veri toplanmasını önlemek ve geçerli düzenlemelere uymak için gereksiz izleme özelliklerini devre dışı bırakabilirsiniz.

Ayrıca, çalışanların izlemeyi manuel olarak başlatmasına ve durdurmasına olanak tanıyan izleme programlarını da göz önünde bulundurun. Bu seçenek çalışanların kaydedilmesini istemedikleri verileri korumalarını sağlar. Özellikle uzaktan çalışanlar veya iş için kişisel cihazlarını kullananlar için faydalı olacaktır.

Gizlilik haklarının anlaşılması sadece işverenler için değil çalışanlar için de hayati önem taşımaktadır. Bu haklar, işyeri de dahil olmak üzere hayatlarının her alanında kişisel verilerinin kontrolünü ellerine almalarını sağlar. Çalışanlara tanınan belirli haklar ve ilgili yasalar, bulundukları yere bağlı olarak değişecektir. Örneğin, GDPR, LGPD ve PIPL çalışanlara verileriyle ilgili birkaç önemli hak tanır:

Erişim hakkı: Çalışanlar, işveren tarafından tutulan kişisel verilerine erişim talep edebilir.

Düzeltme hakkı: Çalışanlar yanlış veya eksik verilerin düzeltilmesini talep edebilir.

Silme hakkı ("unutulma hakkı" olarak da bilinir): Belirli durumlarda, çalışanlar kişisel verilerinin silinmesini talep edebilir.

İşlemeyi kısıtlama hakkı: Çalışanlar verilerinin nasıl kullanılacağını kısıtlayabilirler.

Veri taşınabilirliği hakkı: Çalışanlar, kişisel verilerini yapılandırılmış, yaygın olarak kullanılan bir formatta almayı ve (teknik olarak mümkünse) başka bir işverene aktarılmasını talep edebilir.

Bunların sadece genel örnekler olduğunu unutmamak önemlidir. Çalışanları, işyerinde veri gizliliğine ilişkin özel haklarını anlamak için yasal kaynaklara veya gizlilik uzmanlarına danışmaya teşvik ediyoruz.

Dijital çağ, iş ve özel yaşam arasındaki çizgileri bulanıklaştırdı. İşverenlerin çalışanlara ait geniş çaplı verileri toplayabilmesi ve bunlara erişebilmesi, mahremiyet ve etik sınırlar hakkında kritik soruları gündeme getirmektedir. İşverenlerin güvenlik, verimlilik ve yasal uyumluluk gibi meşru iş çıkarları, gereklilik ve çalışanların özel yaşamları arasındaki çizgiyi aşmamalıdır. Şirketler yasal sınırları anlamalı ve çıkarlarını çalışan haklarına saygı ile dengelemelidir.

İşletmeler için, veri toplama uygulamalarınızın ilgili yasalara uygun olduğundan emin olmak için hukuk danışmanına danışmanızı öneririz. Topladığınız veri türlerini, bunların nasıl kullanıldığını ve çalışanların verilerine ilişkin haklarını ana hatlarıyla belirten açık ve erişilebilir gizlilik politikaları uygulamayı düşünün.

Çalışanlar için, işyerindeki veri gizliliği haklarınızı öğrenmenizi tavsiye ederiz. Birçok ülkede çalışanlara kişisel verilerine erişme, bunları düzeltme ve hatta silme hakkı tanınmaktadır. Verilerinizin işvereniniz tarafından toplanmasıyla ilgili endişeleriniz varsa hukuki danışmanlık almaktan veya gizlilik uzmanlarına danışmaktan çekinmeyin.