UZAKTAN ÇALIŞMA VE DİJİTAL KİŞİSEL VERİLER
GİRİŞ
“Uzaktan çalışma” kavramı teknolojinin gelişmesi ve bilişim sektöründeki yeniliklerin hızla insan hayatına dahil olması sonucunda yaygınlaşan ve son yıllarda sıklıkla tercih edilen bir çalışma modelidir. Esasen, her ne kadar halk arasında Covid19 virüsünün sebep olduğu pandemi ile birlikte uzaktan çalışma modelinin ortaya çıktığı düşünülse de, uzaktan çalışma, 4857 sayılı İş Kanunu’na 2016 yılında eklenen bir hükümle yerini almıştır. İş Kanunu Madde 14’te düzenlenen “çağrı üzerine çalışma ve uzaktan çalışma” başlıklı hükmün dördüncü fıkrası, uzaktan çalışma tanımına yer vererek bu kavramın hukuki altyapısını oluşturmuştur. Uzaktan çalışma kavramı, dijitalleşmenin bir sonucu olduğundan bu hususta dijital kişisel verilerin korunumu ve hukuki durumuyla ilgili bir takım tartışmaların varlığını da beraberinde getirmiştir. (dijital kişisel veriler)
4857 SAYILI İŞ KANUNU ve UZAKTAN ÇALIŞMA YÖNETMELİĞİ ÇERÇEVESİNDE “UZAKTAN ÇALIŞMA”
Uzaktan Çalışma, 4857 Sayılı İş Kanunu m 14/4 uyarınca, “işçinin, işveren tarafından oluşturulan iş organizasyonu kapsamında iş görme edimini evinde ya da teknolojik iletişim araçları ile işyeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisidir.” olarak tanımlanmıştır. Uzaktan çalışma kavramı, pandemi öncesinde de mevzuatta yerini almış bir çalışma biçimidir. Ancak son yıllarda salgının ortaya çıkarak hızla yayılması ve toplu olarak aynı fiziksel ortamda bulunmanın salgını tetiklemesi, hastalıkların bulaşma sıklığını ve tehlikesini arttırması gibi nedenlerin varlığı, işverenlerin uzaktan çalışma modelini eski yıllara nazaran daha sıklıkla benimsemelerine neden olmuştur. İşverenler bu tehlikelerin önüne geçmek amacıyla uzaktan çalışmayı salgına karşı bir önlem olarak kullanmaya başlamışlardır.
Kanunun ilgili maddesi ve Yönetmelikte düzenlenen uzaktan çalışma usul ve esasları uyarınca, genel itibariyle, uzaktan çalışma yapılabilmesi için, işçi ile işveren arasında yazılı bir sözleşmenin varlığı gereklidir. Bu sözleşmede işin tanımı ile ilgili hükümlerin bulunması, söz konusu işin yapılış biçimiyle ve işin süresiyle ilgili bilgilere yer verilmesi ve ücrete ilişkin hükümlerin bulunması gereklidir. Ayrıca gerekli olması halinde, uzaktan çalışmanın yapılacağı mekan ile ilgili düzenlemeler de iş yapılmaya başlamadan önce tamamlanmalıdır.
Uzaktan Çalışma Usul ve Esasları Yönetmeliği’nde düzenlenen bir diğer husus ise malzeme ve iş araçlarının temini ve kullanımıdır. Uzaktan çalışanın mal ve hizmet üretimi için gerekli malzeme ve iş araçlarının, aksi kararlaştırılmış olmadıkça, işveren tarafından sağlanmasının esas olduğu da Yönetmelikte belirtilmiştir. Yani, aksine bir anlaşma yok ise, iş için gerekli ekipmanın işverence sağlanması gereklidir.
İşin yerine getirilmesinden kaynaklanan mal ve hizmet üretimiyle doğrudan ilgili zorunlu giderlerin tespit edilmesine ve karşılanmasına ilişkin hususların ise iş sözleşmesinde belirtileceği, Yönetmeliğin sekizinci maddesinde düzenlenmiştir. Örneğin, elektrik ve internet gibi masrafların kim tarafından karşılanacağının sözleşmede belirlenmesi ve açıklığa kavuşturulması gerekmektedir.
Uzaktan çalışmanın yapılacağı zaman aralığının ve süresinin de iş sözleşmesinde belirlenmesi gerekmektedir. Tarafların, mevzuatta öngörülen sınırlama bağlı kalmak koşulu ile çalışma saatlerinde değişiklik yapabilmeleri mümkündür. Yönetmeliğin 8.maddesi uyarınca, fazla çalışma yapılabilmesi için işverenin yazılı talebi ve işçinin kabulü gerekmektedir. Ancak bu şekilde mevzuat hükümlerine uygun olarak fazla çalışma gündeme gelebilecektir.
Uzaktan çalışan işçinin, bu işi yaparken meydana gelen iş kazalarından işverenin sorumlu olduğunu söylemek mümkündür.Zira Yönetmeliğin 12.maddesi uyarınca işveren, işin niteliğini dikkate alarak iş sağlığı ve güvenliği önlemleri hususunda çalışanlarını bilgilendirmekle, bu hususta gerekli eğitimleri çalışanlarına vermekle, sağlık gözetimini sağlamakla ve sağladığı ekipmanlarla da iş güvenliği tedbirlerini almakla yükümlüdür. İlgili hükümden de anlaşılacağı üzere, işçinin uzaktan çalışarak işlerini ev ortamında gerçekleştiriyor olması, onun iş sağlığı ve güvenliğinden muaf olacağı anlamına gelmemekte, işverene, uzaktan çalışan işçi için de, tıpkı iş yerinde çalışan işçi gibi , iş sağlığı ve güvenliği tedbirlerini alma yükümlülüğü getirilmektedir. Zaten Kanun da, işin görülmesi ile ilgili meydana gelen her kaza niteliğindeki olayı, iş kazası olarak saymıştır. İş kazası ve meslek hastalığı olarak nitelendirilebilecek durumların halinde, işverenin hukuki sorumluluğuna gidilebilmesi için, kaza ile iş arasında illiyet bağının bulunması da, bu doğrultuda gereklidir. Zira uzaktan çalışma esnasında evde meydana gelecek olan her kaza değil, işin görülmesi ile ilgili veya işin görülmesi esnasında meydana gelen kazaların iş kazası olarak adlandırılması gerekmektedir. Tarafların uzaktan çalışma sözleşmesinde evin belirli bir alanını çalışma yeri olarak belirlemeleri ve çalışma saatlerini belirlemeleri durumunda, kazaların tespitinde bunlar dikkate alınacaktır.
Yönetmelik, uzaktan çalışma sisteminin uygulanamayacağı işleri de, 13.maddesinde düzenlemiştir. Hükme göre, “tehlikeli kimyasal madde ve radyoaktif maddelerle çalışma, bu maddelerin işlenmesi veya söz konusu maddelerin atıkları ile çalışma, biyolojik etkenlere maruz kalma riski bulunan çalışma işlemlerini içeren işlerde uzaktan çalışma yapılamaz.”
Aynı maddenin ikinci fıkrasında ise, kamu kurum ve kuruluşlarınca ilgili mevzuatına göre hizmet alımı suretiyle gördürülen işler ile millî güvenlik açısından stratejik önemi haiz birim, proje, tesis veya hizmetlerden hangilerinin uzaktan çalışma ile yapılamayacağı, sorumlu olan veya hizmeti alan kamu kurum ve kuruluşlunca belirleneceği düzenlenmiştir.
UZAKTAN ÇALIŞMA MODELİNE GEÇİŞ
Uzaktan Çalışma Yönetmeliği’ne göre, iş ilişkisinin doğrudan uzaktan çalışma sözleşmesi ile kurulabilmesi mümkündür. Ayrıca Yönetmeliğin 14.maddesine göre, halihazırda iş yerinde çalışan işçinin iş sözleşmesinin, işçi ve işverenin anlaşması halinde, uzaktan çalışma sözleşmesine dönüştürülebilmesi de mümkündür. Bu kapsamda, ilgili yönetmelik hükümleri uyarınca, işçinin, uzaktan çalışmayı talep etme hakkı bulunmaktadır. Bu taleple ilgili hususlar Yönetmelikte belirtildiği üzere, yazılı olarak yapılır ve talep, iş yerinde belirlenen usul doğrultusunda işverence değerlendirilir. Talep değerlendirilirken, işin ve işçinin niteliği gereği uzaktan çalışmaya uygunluğu son derece önemli olmakla birlikte, işverence belirlenecek kıstaslar da kullanılır. Bu talebe ilişkin değerlendirme sonucu otuz gün içinde işçiye bildirilir. Talebin kabul edilmesi halinde ise usulune uygun bir sözleşme yapılarak süreç tamamlanacaktır.
Bu hususta önemli bir diğer nokta, işverenin tek taraflı olarak, işçinin onayını almadan, uzaktan çalışmaya geçmeye karar vermesi durumu ile ortaya çıkar. Bu durum, iş koşullarında esaslı değişiklik olarak adlandırılır ve işçinin buna itiraz etme hakkı vardır. Bu itiraz halinde, yapılan değişikliğin işçiyi bağlamayacağı söylenebilir. Ancak, Yönetmeliğin 14.maddesinin 6.fıkrasında bahsi geçen zorlayıcı nedenler bu konuda bir istisna niteliğindedir. İlgili maddeye göre, uzaktan çalışmanın mevzuatta belirtilen zorlayıcı nedenlerle iş yerinin tamamında veya bir bölümünde uygulanacak olması halinde uzaktan çalışmaya geçiş için işçinin talebi ve onayı aranmayacaktır. Buradan çıkarılabilecek önemli sonuç da şu örnekle açıklanabilir: koronavirüs sebebiyle uzaktan çalışma yöntemini benimseyen bir işveren, bu hastalığın yayılımının önlenmesi için bu yönteme geçiş yapmak istediğini, kapalı alanların oldukça riskli olduğunu ve çalışanların sağlığını tehlikeye düşürdüğünü ve iş sağlığı ve güvenliği açısından korunumu sağlamak için uzaktan çalışmaya geçiş yapıldığını savunduğu takdirde, bu değişikliğin haklı bir neden olarak kabulü de söz konusu olabilecektir ve istisna kapsamında değerlendirilebilecektir.
UZAKTAN ÇALIŞMA KAPSAMINDA DİJİTAL KİŞİSEL VERİLER VE KİŞİSEL VERİLERİN KORUNUMU
Uzaktan çalışmada dijital kişisel veriler bahsinde değinilmesi gereken ilk konu, Yönetmeliğin 11.maddesinde düzenlenen “verilerin korunması” başlığıdır. İlgili maddede, işverenin, uzaktan çalışanı, iş yerine ve yaptığı işe dair verilerin korunması ve paylaşımına ilişkin işletme kuralları ve ilgili mevzuat hakkında bilgilendireceği ve bu verilerin korunmasına yönelik gerekli tedbirleri alacağı hükme bağlanmıştır. İşveren, korunması gereken verinin tanım ve kapsamını sözleşmede belirlemelidir. Ayrıca uzaktan çalışanın da, işveren tarafından, verilerin korunması amacıyla belirlenen bu işletme kurallarına uyması zorunludur.
Buradan çıkarılması gereken önemli sonuçlardan biri şüphesiz ki, uzaktan çalışma sürecinde de veri sorumlularına yüklenen yükümlülüklerin aynen devam ettiğidir.
Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularına ve veri işleyenlere yüklenen yükümlülüklerin ifası, uzaktan çalışma modeli benimsendiğinde durdurulmaz, geçerliliğini korumaya devam eder. Tüm bu yükümlülükler aynen uygulama alanı bulur. Uzaktan çalışma sürecinde de veri işleme faaliyetlerinin KVKK hükümlerine uygun olarak yürütülmesi ve bu kapsamda uygulanacak tedbirlerin de sekteye uğramaması gerekmektedir. Kişisel verilerin korunmasını sağlamak amacıyla, uzaktan çalışmaya geçilmiş olması bakımından, gerekli altyapının kurulması ve bu kapsamda tedbirlerin alınması önem arz etmektedir. Zira kişisel verilerin korunması bakımından kanuni yükümlülükler, yukarıda bahsedildiği gibi, uzaktan çalışma modelinde de, veri sorumluları bakımından geçerliliğini korur. Bahsi geçen tedbirlerin başında, antivirüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması gelmektedir. Kurumsal hesapların kullanılması da bu hususta önem arz etmektedir, örneğin kişisel e-posta adresleri yerine iş yerlerinde kullanılan kurumsal e-postaların kullanılması çok daha yerinde bir uygulama olacaktır. Ek olarak, verilerin korunumunu ve güvenliği sağlamak adına güncel virüs programlarının kullanılması gerekmektedir. E-posta adreslerinin kontrol edilerek, gönderen kişinin doğrulanması ve teyit edilmesi , tıklanmadan önce bağlantıların kontrol edilmesi, sistemlerde güçlü paraloların kullanılması bu hususta başlıca uygulanması gereken tedbirleri oluşturmaktadır. Ayrıca, uzaktan bağlantı ile iletişime geçilen kişiler açısından bir aydınlatma metninin ve açık rıza metninin varlığı son derece önemlidir. Karşıdaki kişinin verilerinin kayıt altına alındığı, hangi amaçlarla işlenip aktarılabileceği gibi hususların bu aydınlatma metninde belirtilmesi gerekir. Olası bir güvenlik sorunu ile karşılaşıldığında mutlaka yetkili kişiler ile iletişime geçilmelidir.Çalışanların siber güvenlik ve KVKK eğitimi alarak bu konularda bilinçlenmesi, uzaktan çalışma sürecinin daha kaliteli ve hukuka uygun faaliyet göstermesine yardımcı olacaktır. Zira iş yerinde çalışma sürecinde, verilerin depolanması ve işlenmesi daha belirgin sistematik kurallar çerçevesinde icra edilmektedir. Örneğin, çalışanların sistemlere giriş-çıkışları ve erişimleri bizzat kontrol edilebileceği hatta belirli kişilerin yetkisi dahilinde olabileceği için kişisel verilerin el değiştirmesi ve erişimi de sınırlanmış olur. Uzaktan çalışırken bu sistematik düzenin sağlanması biraz daha zor olacağından, veri güvenliği açısından sorun yaratıp yaratmayacağı ve ihlallere yol açıp açmayacağı konusunda tartışmalar da gündeme gelebilmektedir. Kişisel iletişim araçlarının ve e-postaların yerine, ofis ekipmanlarının ve kurumsal e-postaların kullanılması özellikle bu açıdan son derece önem arz etmektedir.
SONUÇ
Uzaktan çalışma, son yıllarda pandeminin de etkisiyle, sıklıkla kullanılmaya başlanan bir çalışma modelidir. Kısaca çalışanların, iş yerinde fiziki olarak bulunmadan, teknolojik iletişim araçları ile iş görme edimini yerine getirmesi olarak tanımlanmakla birlikte, işverenlere belirli alanlarda yükümlülükler de getirmektedir. Özellikle yazılı bir iş sözleşmesinin varlığı, çalışma mekanının düzenlenmesi, malzeme ve iş araçlarının temini ve kullanımı, iş sağlığı ve güvenliği gibi hususlarda Yönetmelik hükümleri uyarınca yükümlülükler söz konusu olmaktadır. Verilerin korunması bakımından ise yine işveren, verilerin korunması ve paylaşımına ilişkin işletme kuralları ve mevzuat hakkında bilgilendirme yükümlülüğü altındadır. Ayrıca bu hususta, uzaktan çalışan da bu kurallara uymak zorundadır. Kişisel verilerin korunması bakımından alınması gereken önlemler, siber saldırılar karşısında oldukça önemlidir. Dijital verilerin korunması, güvenliğinin sağlanması ve KVKK’ya uygunluğu açısından da gereklidir.
Kişisel Verilerin Korunması hakkındaki tüm yazılarımız için bağlantıya tıklayınız.
Altıncı Sayı’mızdaki Sağlık Verilerinin Kötüye Kullanılması isimli yazımıza bağlantıdan ulaşabilirsiniz.
KAYNAKÇA
Uzaktan Çalışma Yönetmeliği. “resmigazete.gov.tr”
4857 Sayılı İş Kanunu. “mevzuat.gov.tr”
Arş.Gör.Dr. DEMİR, Kübra “Türk İş Hukukunda Uzaktan Çalışma Kapsamında İşverenin İş Sağlığı ve Güvenliğini Sağlama Borcu” Selçuk Üniversitesi Hukuk Fakültesi Dergisi.
Stajyer Avukat
İstanbul Bilgi Üniversitesi İşletme-Hukuk çift anadal mezunu.