Çevrimiçi İzleme Yasaları
Spyrix ekibi, işverenlerin çalışanlarının çevrimiçi faaliyetlerini yasal olarak nasıl izleyebileceklerini özetleyen önemli yasal düzenlemeleri ve belgeleri bir araya getiriyor. Ayrıca, izleme araçlarının kişisel amaçlarla nasıl kullanılabileceğine dair yönergeler de sunuyor.
Küresel Uluslararası Eylemler
GDPR (Genel Veri Koruma Yönetmeliği - Avrupa Birliği)
GDPR, Avrupa Birliği'nin temel veri koruma düzenlemesidir ve kuruluşun nerede faaliyet gösterdiğine bakılmaksızın, AB'deki bireylerin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Çevrimiçi etkinlik izleme, çalışan izleme ve her türlü dijital takip, kişisel verileri içerdiği sürece kapsamına girer.
GDPR kapsamında, izleme genellikle yalnızca meşru menfaat, sözleşmenin yerine getirilmesi veya açık rıza alınması gibi geçerli bir yasal dayanak olduğunda yasaldır. İzleme araçlarını uygulamadan önce, kuruluşlar izlemenin gerekli, orantılı olduğundan ve bireylerin gizliliğine gereksiz yere müdahale etmediğinden emin olmalıdır.
GDPR, şirketlerin Meşru Menfaat Değerlendirmesi (LIA) yapmasını veya izlemenin daha yüksek riskler oluşturması durumunda Veri Koruma Etki Değerlendirmesi (DPIA) yapmasını zorunlu kılar. Bu değerlendirmeler, izlemenin gerekçesini belirlemeye ve veri toplama risklerini azaltmanın yollarını tespit etmeye yardımcı olur.
Şeffaflık esastır. Bireyler, izleme türü, amacı, toplanan veriler, yasal dayanak, kimlerin erişebileceği ve verilerin ne kadar süreyle saklanacağı konusunda önceden açıkça bilgilendirilmelidir. Gizli veya örtülü izleme genellikle kısıtlanmıştır ve yalnızca ulusal yasalarca tanımlanan çok sınırlı koşullar altında izin verilir.
GDPR ayrıca veri minimizasyonunu vurgulayarak, kuruluşların yalnızca tanımlanmış bir amaç için gerekli olan verileri toplamalarını şart koşmaktadır. Açık bir gerekçe olmaksızın sürekli veya aşırı müdahaleci izleme, GDPR ilkelerini ihlal edebilir.
Çevrimiçi izleme araçları için en önemli GDPR yükümlülükleri şunlardır:
İzleme konusunda net bilgilendirme sağlanması
Sadece gerekli verileri toplamak
Uygun teknik ve organizasyonel güvenlik önlemlerinin kullanılması
İşlemenin yasal dayanağını belirlemek ve belgelemek
Bireylerin haklarını (erişim, silme, itiraz vb.) kullanmalarına izin vermek.
OECD Gizlilik Yönergeleri (Ekonomik İşbirliği ve Kalkınma Örgütü)
OECD Gizlilik Rehberi, veri koruma ve gizlilik için uluslararası kabul görmüş ilkeler sunmaktadır. Yasal olarak bağlayıcı olmamakla birlikte, dünya çapındaki ulusal gizlilik yasalarını etkilemekte ve sorumlu veri işleme için bir çerçeve görevi görmektedir.
Bu yönergeler, adalet, şeffaflık, amaç sınırlaması, veri kalitesi, güvenlik önlemleri, açıklık ve hesap verebilirliği vurgulamaktadır. Bu ilkeler, kuruluşları kişisel verileri yalnızca açık ve meşru amaçlar için toplamaya ve bireylerin verilerinin nasıl kullanıldığını anlamalarını sağlamaya teşvik etmektedir.
OECD Rehber İlkeleri, çevrimiçi ve çalışan izleme konusunda şeffaf, orantılı ve gizliliğe saygılı uygulamaları desteklemektedir. İzlemeye özgü ayrıntılı kurallar içermemekle birlikte, sorumlu veri yönetimini teşvik etmekte ve izlemeyi doğrudan düzenleyen ulusal mevzuata bilgi sağlamaktadır.
Uygulamada, bu yönergeler kuruluşları şu konularda teşvik etmektedir:
İzleme uygulamalarını açıkça iletin.
Veri toplama işlemini gerekli olanla sınırlayın.
İzlenen verileri yetkisiz erişime karşı koruyun.
Adalet ve gereklilik açısından izleme uygulamalarını düzenli olarak gözden geçirin.
GDPR gibi bağlayıcı olmasa da, OECD Gizlilik Rehberi, yasal ve etik izleme için küresel standartların ve en iyi uygulamaların şekillenmesine yardımcı olur.
Amerika Birleşik Devletleri
Davranmak | Uygulandığı yerlerde | İzleme kapsamı | Temel gereksinimler | Spyrix kullanıcıları için notlar |
|---|---|---|---|---|
CCPA | Kaliforniya | Kişisel bilgileri toplayan izleme | Gizlilik bildirimi, erişim/silme hakkı, veri paylaşımından vazgeçme seçeneği | İzleme işlemi tanımlayıcıları, etkinlik kayıtlarını veya kullanım verilerini topluyorsa geçerlidir. |
CPRA | Kaliforniya | Monitoring involving "sensitive" data or detailed profiling | Amaç sınırlaması, veri minimizasyonu, hassas veriler için daha katı kurallar. | Araçların coğrafi konum, davranış kalıpları veya ayrıntılı dijital etkinlikleri kaydetmesi önemlidir. |
ECPA | Federal (ABD) | Elektronik iletişimlerin (e-posta, sohbet, klavye tuş vuruşları) ele geçirilmesi veya bunlara erişim sağlanması | İçeriklerin ele geçirilmesine ilişkin kısıtlamalar; işveren istisnaları genellikle bildirim gerektirir. | Klavye kayıt cihazlarıyla veri toplama, e-posta izleme ve ekran içeriği yakalama konuları için son derece önemlidir. |
FLSA ile İlgili Rehberlik | Federal (ABD) | Çalışma saatlerini veya verimliliği izlemek için kullanılan izleme sistemleri. | Zaman takibi, doğru ücretlendirmeyi desteklemeli; mesai saatleri dışında yapılan ödenmemiş faaliyetlere yer verilmemelidir. | Bu bir gizlilik yasası değil, ancak izleme verilerinin maaş ödeme kararlarında nasıl kullanıldığını etkiliyor. |
Eyalete Özgü İzleme Yasaları | Eyalete göre değişir (NY, CT, DE, CO, VA, UT, vb.) | Çalışanların ve işyeri sistemlerinin elektronik olarak izlenmesi | Genellikle yazılı bildirim veya açık bir onay gerektirir. | Birden fazla eyalette faaliyet gösteren işverenler, birleşik bir izleme politikasından ve eyalet eklemelerinden faydalanır. |
Kanada
PIPEDA (Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası)
Bu hüküm, Kanada genelindeki özel sektör kuruluşları için geçerlidir (eyalet yasalarının bunu değiştirdiği durumlar hariç).
Kişisel bilgilerin toplanması, kullanımı veya ifşa edilmesiyle ilgili her türlü bilgiyi kapsar; buna çevrimiçi ve çalışan izleme de dahildir.
Kuruluşların izleme için net bir amaç belirlemesini ve uygun durumlarda anlamlı onay almasını gerektirir.
İzleme faaliyetleri makul olmalı, gerekli olanla sınırlı kalmalı ve şeffaf bir şekilde yürütülmelidir.
Çalışanlar, nelerin izlendiği, neden izlendiği ve bilgilerin nasıl kullanılacağı konusunda bilgilendirilmelidir.
Kişisel bilgiler uygun güvenlik önlemleriyle korunmalıdır.
Eyalet Gizlilik Yasaları (Alberta PIPA, Britanya Kolombiya PIPA, Quebec Yasası 25)
Kendi illerindeki özel sektör kuruluşlarına başvurun.
Genel olarak PIPEDA ilkelerini yansıtır ancak onay, veri saklama ve çalışan gizliliği konularında daha katı kurallara sahip olabilir.
İzleme faaliyetleri, işletme amaçlarına uygun ve açık, iletilmiş politikalara uyumlu olmalıdır.
İşverenler, izleme araçları aracılığıyla kişisel bilgileri toplamadan önce çalışanları bilgilendirmek zorundadır.
Bazı eyaletler, toplanan veri türünü, ne kadar süreyle saklandığını ve kimlerin erişebileceğini açıklayan politikalar gerektirmektedir.
Kuruluşlar, çalışanlarına talep üzerine kişisel bilgilerine erişim imkanı sağlamalıdır.
Birleşik Krallık
Birleşik Krallık GDPR
Bu, Birleşik Krallık'ta kişisel verilerin işlenmesi, çalışanların ve çevrimiçi faaliyetlerin izlenmesi dahil olmak üzere tüm süreçleri kapsar.
Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).
İzleme gerekli, orantılı olmalı ve aşırı müdahaleci olmamalıdır.
İşverenler, yüksek riskli izleme yöntemleri (örneğin, sürekli izleme, tuş kaydedici) için risk değerlendirmesi veya veri gizliliği etki değerlendirmesi (DPIA) yapmalıdır.
Şeffaflığa büyük önem verilmeli: Personel, neyin izlendiğini, neden izlendiğini ve verilerin nasıl kullanılacağını ve saklanacağını bilmelidir.
Veri Koruma Yasası 2018
Birleşik Krallık GDPR'ını tamamlar ve ek kurallar ve istisnalar sağlar.
İstihdam bağlamı ve kolluk kuvvetlerinin erişimine ilişkin özel hükümler içermektedir.
Veri izleme süreçlerinde veri minimizasyonu, amaç sınırlaması ve güvenlik ilkelerini güçlendirir.
Kişilere kişisel verilerine erişme ve bazı durumlarda belirli türdeki izlemelere itiraz etme hakkı tanır.
RIPA (Soruşturma Yetkilerinin Düzenlenmesi Yasası)
İletişimlerin engellenmesini, gözetleme ve gizli izleme kullanımını düzenler.
Genel olarak, rıza veya uygun yetki olmaksızın iletişimin engellenmesini kısıtlar.
Çalışanların (bilgileri dışında) gizlice izlenmesine yalnızca ciddi görevi kötüye kullanma soruşturmaları ve orantılılık durumları gibi çok sınırlı koşullar altında izin verilir.
ICO İstihdam Uygulamaları Kodu (ve ilgili kılavuz)
Birleşik Krallık Bilgi Komiserliği Ofisi'nden iş yerlerinde izlemeye ilişkin bağlayıcı olmayan kılavuz.
İzleme faaliyetlerinin hedef odaklı olması, aşırıya kaçmaması ve açık bir iş ihtiyacıyla gerekçelendirilmesi gerektiğini vurgular.
Yeni izleme araçları kullanıma sunulmadan önce etki değerlendirmelerinin yapılmasını tavsiye eder.
İşverenlere, nelerin izlendiğini, nasıl izlendiğini ve hangi amaçlarla izlendiğini açıklayan net yazılı politikalar oluşturmalarını tavsiye eder.
İstişareyi, şeffaflığı ve çalışanların makul gizlilik beklentilerine saygıyı vurgular.
Avustralya ve Yeni Zelanda
1988 Gizlilik Yasası (Avustralya)
1988 tarihli Gizlilik Yasası, Avustralya kuruluşlarının çevrimiçi ve çalışan izleme yoluyla toplanan veriler de dahil olmak üzere kişisel bilgileri nasıl ele alacağına dair genel çerçeveyi belirler. Kuruluşların yalnızca makul ölçüde gerekli olan bilgileri toplamalarını, bu bilgilerin nasıl kullanıldığı konusunda şeffaf olmalarını ve bunları güvende tutmalarını gerektirir. Yasa, ayrıntılı iş yeri gözetimi kuralları içermese de, bir bireyi tanımlayan herhangi bir izleme, özellikle bildirim, amaç sınırlaması ve erişim hakları konusunda Avustralya Gizlilik İlkelerine tabi olacaktır. Uygulamada bu, izleme araçlarını kullanan işverenlerin ve hizmet sağlayıcıların açık iş amaçları tanımlamaları, aşırı izlemeden kaçınmaları ve uygulamalarını gizlilik politikalarında ve iç dokümantasyonda açıklamaları gerektiği anlamına gelir.
İşyeri Gözetim Yasaları (eyalet düzeyinde, Avustralya)
Avustralya'daki bazı eyalet ve bölgeler, işyeri gözetim yasaları aracılığıyla izlemeyi daha doğrudan düzenlemektedir; örneğin, 2005 tarihli İşyeri Gözetim Yasası (NSW) ve 2011 tarihli İşyeri Gizlilik Yasası (ACT). Bu yasalar genellikle işverenlerin kamera, bilgisayar ve takip gözetimini ne zaman ve nasıl kullanabileceklerini kontrol eder ve genellikle izleme başlamadan önce önceden yazılı bildirim, görünür işaretler ve açık politikalar gerektirir. Gizli gözetim sıkı bir şekilde kısıtlanmıştır ve genellikle yalnızca belirli yetkiyle ve ciddi suistimal veya yasa dışı faaliyet soruşturmaları için izin verilir, rutin performans takibi için değil. Çevrimiçi izleme araçları için bu, etkilenen eyaletlerdeki işverenlerin çalışanlarına bilgisayar, internet veya e-posta kullanımlarının izlenebileceği konusunda açık ve zamanında bildirimde bulunmaları ve herhangi bir izlemenin yasal koşullara uygun olmasını sağlamaları gerektiği anlamına gelir.
2020 Gizlilik Yasası (Yeni Zelanda)
Yeni Zelanda'nın 2020 tarihli Gizlilik Yasası, ülkenin gizlilik çerçevesini modernize ediyor ve iş yeri veya çevrimiçi izleme yoluyla toplanan bilgiler de dahil olmak üzere hem müşteri hem de çalışan verilerini kapsıyor. Yasa, kuruluşların yalnızca yasal ve gerekli amaçlar için bilgi toplamalarını, uygulamaları konusunda şeffaf olmalarını ve bireylere kişisel bilgilerine erişim imkanı vermelerini şart koşuyor. Düzenleyicilerden gelen rehberlik, çalışanların izlenmesi, kaydedilmesi veya filme alınmasının orantılı olması ve hem Gizlilik Yasası hem de iş hukuku ile uyumlu olarak geliştirilen açık iş yeri politikalarıyla desteklenmesi gerektiğini vurguluyor. İşverenlerin, özellikle sürekli veya ayrıntılı izlemeye olanak sağlayan araçlar kullanırken, personelle görüşmeleri, izlemenin neden gerekli olduğunu açıklamaları ve güven ve moral üzerindeki etkisini göz önünde bulundurmaları teşvik ediliyor.
Asya-Pasifik Bölgesi
PDPA (Kişisel Verileri Koruma Yasası) – Singapur
Kuruluşlar tarafından işlenen kişisel verileri, çalışan verilerini ve izleme verilerini kapsar.
İzleme için açık ve yasal bir amaç gereklidir.
Genellikle rıza veya başka geçerli bir dayanak gereklidir.
Şeffaflığa, uygun bilgilendirmeye ve veri koruma önlemlerine güçlü bir şekilde odaklanılmıştır.
Saklama süresi, gerekli olanla sınırlı tutulmalıdır.
PDPA – Malezya
Ticari ve iş ilişkileri bağlamında işlenen kişisel veriler için geçerlidir.
İzleme verilerinin toplanması için onay temel bir gerekliliktir.
Veriler adil bir şekilde ve belirli, belirtilen bir amaç doğrultusunda işlenmelidir.
Veri saklama süreleri, veri güvenliği ve üçüncü taraf işlemcilerle ilgili kuralları içerir.
APPI (Kişisel Bilgilerin Korunması Hakkında Kanun) – Japonya
Hem müşteri hem de çalışan kişisel verilerinin işlenmesini düzenler.
Kuruluşların izlemenin amacını tanımlamasını ve iletmesini gerektirir.
Kişisel bilgilerin işlenmesinde veri güvenliğine ve personelin uygun şekilde denetlenmesine önem verilir.
İzleme, orantılı olmalı ve kurum içi politikalarla uyumlu olmalıdır.
Çalışanların, duruma bağlı olarak erişim ve düzeltme hakları olabilir.
Kişisel Bilgilerin Korunması Kanunu (PIPL) – Çin
İş yeri ve tüketici verilerini kapsayan kapsamlı veri koruma yasası.
İzleme için net bir amaç, veri minimizasyonu ve şeffaflık gereklidir.
Özellikle hassas veya ayrıntılı veriler içeren izleme işlemlerinde onay gerekebilir.
Veri saklama, güvenlik ve işleme süreçlerinin belgelendirilmesi konusunda katı şartlar getirir.
Kişilere izlenen verilere erişme, düzeltme ve silme talebinde bulunma hakları verir.
Latin Amerika
LGPD (Lei Geral de Proteção de Dados) – Brezilya
Brezilya'nın LGPD yasası, çevrimiçi veya iş yeri izleme yoluyla toplanan bilgiler de dahil olmak üzere kişisel verilerin her türlü kullanımını düzenler. Kuruluşların izleme için açık bir yasal dayanağa sahip olmaları ve amacını açıklamaları gerekir. İzleme, gerekli olanla sınırlı olmalı, şeffaf bir şekilde yürütülmeli ve uygun güvenlik önlemleriyle desteklenmelidir. Bireylerin kişisel verilerine erişme, düzeltme ve silme talebinde bulunma hakları vardır.
Arjantin, Meksika ve Şili'deki Ulusal Gizlilik Yasaları
Bu ülkelerde, izleme araçları aracılığıyla toplanan kişisel veriler için geçerli olan ulusal veri koruma yasaları bulunmaktadır. Ortak gereksinimler arasında yasal bir amacın olması, bireylerin izleme konusunda bilgilendirilmesi ve verilerin güvenliğinin sağlanması yer almaktadır. İzleme makul ve orantılı olmalı ve bireylerin genellikle bilgilerine erişme veya bunları güncelleme hakkı olmalıdır. Belirli kurallar farklılık gösterse de, şeffaflık ve gereklilik bölge genelinde tutarlı beklentilerdir.
Orta Doğu Bölgesi
BAE Veri Koruma Kanunu (DPL / PDPL)
Birleşik Arap Emirlikleri'nin federal veri koruma yasası, çalışanlar da dahil olmak üzere BAE'deki bireyler hakkında kişisel verileri işleyen kuruluşlar için geçerlidir. İzleme için açık ve yasal bir amaç gerektirir, veri toplamayı gerekli olanla sınırlandırır ve şeffaflık ve güvenliğe büyük önem verir. Kuruluşlar, personeli her türlü izleme hakkında bilgilendirmeli, nedenlerini belgelemeli ve izlenen verilerin işlenmesi için dahili politikalar ve güvenlik önlemleri oluşturmalıdır.
Katar Veri Gizliliği Koruma Yasası
Katar'ın kişisel veri gizliliği yasası, elektronik olarak işlenen veya elektronik olarak işlenmesi amaçlanan kişisel verileri kapsar. Bireyin veri gizliliği hakkını tanır ve genel olarak, izleme sistemleri aracılığıyla toplanan veriler de dahil olmak üzere kişisel verilerin işlenmesinden önce rıza veya başka bir meşru gerekçe gerektirir. Kuruluşlar uygun güvenlik önlemlerini uygulamalı, kişisel verilerin nasıl kullanıldığı konusunda şeffaf olmalı ve bireylerin bilgilerine erişme ve bunları düzeltme haklarına saygı göstermelidir.
Suudi Arabistan Kişisel Veri Koruma Kanunu (PDPL)
Suudi Arabistan Kişisel Veri Koruma Kanunu (PDPL), Krallık içindeki veya dışındaki kuruluşlar tarafından bireylere ait kişisel verilerin işlenmesini kapsar. İzleme için, kuruluşların açık amaçlar belirlemesi, yazılı gizlilik politikaları benimsemesi ve bireyleri verilerinin nasıl toplanacağı ve kullanılacağı konusunda bilgilendirmesi gerekmektedir. Birçok durumda işleme için önemli bir temel rıza olsa da, kanun belirli ticari, yasal ve kamu yararı nedenleriyle işlemeye de izin vermektedir. İzleme araçlarını kullanan işverenlerin, izlenen verileri koruması, erişimi sınırlaması ve çalışan bilgilerini PDPL'nin şeffaflık, güvenlik ve saklama kurallarına uygun olarak işlemesi beklenmektedir.