Çevrimiçi İzleme Yasaları ve Gizlilik Uyumluluğu Hususları
Son güncelleme: Mayıs 2026
Çevrimiçi izleme yazılımı, kuruluşların şirket kaynaklarını korumasına, verimliliği artırmasına ve dijital çalışmanın nasıl gerçekleştirildiğini anlamasına yardımcı olabilir. Ancak çalışanların, cihazların, çevrimiçi faaliyetlerin veya iletişimlerin izlenmesi kişisel verileri ve iş yeri gizlilik kurallarını içerebilir.
Bu sayfa, yetkili izleme yazılımı kullanımıyla ilgili gizlilik ve uyumluluk hususlarına genel bir bakış sunar. Şeffaflık, hukuka uygun amaç, veri minimizasyonu, güvenlik, saklama ve kullanıcı bildirimi gibi başlıca gizlilik ve iş yeri izleme çerçevelerinde bulunan ortak temaları vurgular.
Belirli gereklilikler ülkeye, eyalete, sektöre, cihaz sahipliğine, toplanan veri türüne ve izlemenin nasıl yapılandırıldığına bağlı olarak değişebilir.
Yasal Uyarı: Bu sayfa yalnızca genel bilgilendirme amacıyla sağlanmaktadır ve hukuki tavsiye teşkil etmez. Gizlilik, iş yeri izleme, iş hukuku ve elektronik iletişim yasaları yargı alanına göre değişir ve belirli kullanım durumuna, cihaz sahipliğine, sektöre, çalışan bildirimi, onay gereklilikleri ve toplanan veri türüne bağlı olabilir.
Spyrix, belirli bir izleme kurulumunun kuruluşunuz için hukuka uygun olup olmadığını belirlemez. İzleme yazılımı kullanmadan önce geçerli yasaları ve iç politikaları incelemeli, gerekli olduğu durumlarda kullanıcıları bilgilendirmeli, izlemeyi gerekli ve meşru amaçlarla sınırlandırmalı ve uygun olduğunda nitelikli hukuk danışmanına başvurmalısınız.
Küresel ve Bölgesel Gizlilik Çerçeveleri
GDPR (Genel Veri Koruma Tüzüğü - Avrupa Birliği)
GDPR, Avrupa Birliği’nin temel veri koruma düzenlemesidir. AB içindeki veya dışındaki kuruluşlar, AB’deki bireyleri içeren belirli durumlar dahil olmak üzere GDPR’nin bölgesel kapsamına giren şekilde kişisel verileri işlediklerinde uygulanabilir. Çevrimiçi faaliyet izleme, çalışan izleme ve diğer dijital takip biçimleri kişisel veriler içerdiğinde GDPR kapsamına girebilir.
GDPR kapsamında izleme faaliyetleri genellikle geçerli bir hukuki dayanak gerektirir ve gerekli, orantılı ve şeffaf olmalıdır. Bağlama bağlı olarak kuruluşlar, meşru menfaatler, sözleşmesel gereklilik, yasal yükümlülük veya onay gibi hukuki dayanaklara dayanabilir. İstihdam bağlamlarında, işveren ile çalışan arasındaki ilişki nedeniyle onay her zaman uygun olmayabilir.
Meşru menfaatlere dayanıldığında kuruluşlar, izleme amacının hukuka uygun, gerekli ve ilgili bireylerin hak ve özgürlükleriyle dengeli olup olmadığını değerlendirmeli ve belgelemelidir. İzlemenin bireylerin hak ve özgürlükleri açısından yüksek risk doğurması muhtemel olduğunda, Veri Koruma Etki Değerlendirmesi (DPIA) gerekebilir.
Şeffaflık esastır. Bireyler genellikle izleme türü, amaç, toplanan veri kategorileri, hukuki dayanak, verilere kimlerin erişebileceği ve verilerin ne kadar süre saklanacağı konusunda önceden bilgilendirilmelidir. Gizli veya açıklanmayan izleme son derece hassastır, birçok durumda hukuka aykırı olabilir ve geçerli yerel yasalar kapsamında ayrıca değerlendirilmelidir.
GDPR ayrıca veri minimizasyonunu vurgular ve kuruluşların yalnızca belirli bir amaç için gerekli olan kişisel verileri toplamasını gerektirir. Açık bir gerekçe olmadan sürekli veya aşırı müdahaleci izleme, GDPR ilkeleriyle çelişebilir.
Çevrimiçi izleme araçları için en ilgili GDPR hususları genellikle şunları içerir:
Gerekli olduğu durumlarda izleme hakkında açık bildirim sağlama
Yalnızca gerekli ve ilgili verileri toplama
Uygun teknik ve organizasyonel güvenlik önlemlerini kullanma
İşleme için hukuki dayanağı belirleme ve belgeleme
Uygun olduğunda meşru menfaatleri veya daha yüksek riskli işlemeyi değerlendirme
Bireylerin erişim, silme, itiraz veya kısıtlama gibi geçerli gizlilik haklarını kullanmasına olanak tanıma
Resmi kaynaklar:
Tüzük (AB) 2016/679 - Genel Veri Koruma Tüzüğü EUR-Lex’te yayımlanan resmi GDPR metni.
EDPB Rehberi 3/2018, GDPR’nin bölgesel kapsamı hakkında GDPR’nin AB içindeki ve dışındaki kuruluşlara ne zaman uygulanabileceğini açıklar.
EDPB Rehberi 05/2020, 2016/679 sayılı Tüzük kapsamında onay hakkında GDPR kapsamında geçerli onay konusunda rehberlik sağlar.
Avrupa Komisyonu - Veri Koruma Etki Değerlendirmesi ne zaman gereklidir? Daha yüksek riskli kişisel veri işleme için DPIA’nın ne zaman gerekli olabileceğini açıklar.
EDPS - İş yerinde elektronik iletişimlerin özel kullanımı İş yeri iletişimleri, gizlilik beklentileri ve orantılı izleme ile ilgili rehberlik sağlar.
OECD Gizlilik İlkeleri (Ekonomik İşbirliği ve Kalkınma Örgütü)
OECD Gizlilik İlkeleri, gizlilik ve kişisel veri koruması için uluslararası kabul görmüş ilkeler sağlar. Ulusal veya bölgesel yasalarla aynı şekilde hukuken bağlayıcı değildir, ancak birçok ülkede gizlilik çerçevelerini ve veri koruma politikalarını etkilemiştir.
İlkeler; toplama sınırlaması, veri kalitesi, amaç belirleme, kullanım sınırlaması, güvenlik önlemleri, açıklık, bireysel katılım ve hesap verebilirlik gibi temel gizlilik ilkelerini vurgular. Bu ilkeler, sorumlu veri işlemeyi destekler ve kuruluşları kişisel verileri yalnızca açık, tanımlanmış ve uygun amaçlar için toplamaya ve kullanmaya teşvik eder.
Çevrimiçi ve çalışan izleme açısından OECD Gizlilik İlkeleri, izlemeye özgü ayrıntılı kurallar sağlamaz. Ancak izleme uygulamalarının şeffaf, meşru bir amaçla sınırlı, uygun koruma önlemleriyle korunmuş ve hesap verebilir olup olmadığını değerlendirmek için yararlı bir gizlilik çerçevesi sunar.
OECD Gizlilik İlkeleri GDPR gibi yaptırım gücüne sahip olmasa da sorumlu ve gizlilik bilincine sahip veri işleme için önemli bir uluslararası referans noktası olmaya devam eder.
Uygulamada, bu ilkeler kuruluşların şunları değerlendirip değerlendirmemesi gerektiğini düşünmesine yardımcı olabilir:
İzleme uygulamalarını açıkça bildirme
Veri toplamayı belirli bir amaç için gerekli olanla sınırlama
İzlenen verileri yetkisiz erişime karşı koruma
Bireylere verilerinin nasıl kullanıldığı hakkında uygun bilgi verme
İzleme uygulamalarını adillik, gereklilik ve orantılılık açısından düzenli olarak gözden geçirme
Resmi kaynaklar:
OECD Gizliliğin Korunması ve Kişisel Verilerin Sınır Ötesi Akışları Hakkında Rehber İlkeler Gizlilik ilkelerini ve ilgili çerçeveyi içeren resmi OECD yayını.
OECD - Gizlilik ve Veri Koruma Gizlilik İlkelerinin küresel gizlilik ve veri koruma çerçevelerindeki rolünü açıklayan OECD genel bakış sayfası.
Amerika Birleşik Devletleri
Amerika Birleşik Devletleri’nde iş yeri ve çevrimiçi izleme; federal yasalar, eyalet gizlilik yasaları, elektronik iletişim kuralları, ücret ve çalışma saati gereklilikleri ve sektöre özgü düzenlemelerin birleşimiyle yönetilir. Her durumu kapsayan tek bir ülke çapında çalışan izleme yasası yoktur. Gereklilikler eyalete, toplanan veri türüne, iletişimlerin yakalanıp yakalanmadığına veya erişilip erişilmediğine, cihazın şirkete mi yoksa kişiye mi ait olduğuna ve izleme verilerinin nasıl kullanıldığına bağlı olarak değişebilir.
Çerçeve | Nerede uygulanır | İzleme kapsamı | Yaygın uyumluluk hususları | İzleme yazılımı için neden önemli olabilir |
|---|---|---|---|---|
CCPA / CPRA | Kaliforniya; kapsam dahilindeki işletmeler | Belirli çalışan, aday, yüklenici, cihaz, çevrimiçi faaliyet ve hassas kişisel bilgiler dahil olmak üzere kişisel bilgilerin toplanması ve kullanılması | Toplama sırasında bildirim, gizlilik politikası açıklamaları, erişim/silme/düzeltme hakları, uygun olduğunda opt-out hakları, hassas kişisel bilgilerin belirli kullanımlarına ilişkin sınırlamalar | İzleme Kaliforniya sakinlerinden tanımlayıcılar, cihaz verileri, İnternet veya uygulama faaliyeti, coğrafi konum, davranışsal veriler veya diğer kişisel bilgileri topladığında ilgilidir |
ECPA ve ilgili federal elektronik iletişim kuralları | Federal ABD hukuku; eyalet dinleme ve iletişim yasaları da uygulanabilir | E-posta, sohbet, aramalar, mesajlar veya belirli çevrimiçi iletişimler gibi elektronik iletişimlerin yakalanması veya bunlara erişim | Yetkisiz yakalama veya erişimden kaçınma; onay, yetkilendirme, sağlayıcı istisnaları veya iş amacı istisnalarının uygulanıp uygulanamayacağını değerlendirme; eyalete özgü onay ve dinleme kurallarını inceleme | İletişim izleme, e-posta/sohbet incelemesi, ekran içeriği yakalama, tuş vuruşu kaydı ve mesaj içeriğini yakalayabilecek araçlar açısından oldukça ilgilidir |
FLSA ile ilgili ücret ve çalışma saati kuralları | Federal ABD hukuku; eyalet ücret yasaları da uygulanabilir | Çalışma saatleri, bordro, fazla mesai veya verimlilik kararları için izleme, devam, faaliyet veya zaman takibi verilerinin kullanımı | Zaman ve faaliyet kayıtları doğru ücret hesaplamalarını desteklemelidir; muaf olmayan çalışanlara çalıştıkları tüm saatler için ödeme yapılmalıdır; işverenler doğru zaman bildiriminin caydırılmasından kaçınmalıdır | İzleme verileri çalışma süresini hesaplamak, devam durumunu doğrulamak, fazla mesaiyi incelemek veya bordro ve ücretle ilgili kararları desteklemek için kullanıldığında ilgilidir |
Eyalete özgü elektronik izleme ve gizlilik yasaları | Eyalete göre değişir; örnekler arasında çalışan izleme bildirimi kuralları için New York, Connecticut ve Delaware bulunur | Çalışan iletişimlerinin, İnternet kullanımının, bilgisayar sistemlerinin, iş yeri cihazlarının veya diğer kişisel verilerin elektronik olarak izlenmesi | Bazı eyaletler yazılı veya elektronik bildirim, çalışan onayı, iş yerinde ilan veya belirli politika dili gerektirir; diğer eyalet gizlilik yasaları hassas veriler, biyometrik veriler veya tüketici hakları için ek yükümlülükler getirebilir | Birden fazla eyalette faaliyet gösteren işverenler yalnızca tek bir genel ABD politikasına güvenmemelidir; eyalete özgü bildirimlere, onay ifadelerine, saklama kurallarına ve dahili erişim kontrollerine ihtiyaç duyabilirler |
Resmi kaynaklar:
Kaliforniya Adalet Bakanlığı - California Consumer Privacy Act (CCPA) CCPA hakları, gerekli bildirimler, opt-out hakları, düzeltme hakları, silme hakları ve hassas kişisel bilgi haklarına ilişkin resmi Kaliforniya DOJ genel bakışı.
Kaliforniya Gizliliği Koruma Ajansı - Yasalar ve Düzenlemeler CCPA/CPRA düzenlemeleri ve kural koyma süreçleri için resmi Kaliforniya Gizliliği Koruma Ajansı sayfası.
ABD Kanunu - 18 U.S.C. Bölüm 2511: Kablolu, sözlü veya elektronik iletişimlerin yakalanması ve açıklanması yasaktır Elektronik iletişimlerin yakalanmasıyla ilgili resmi ABD Kanunu metni.
ABD Adalet Bakanlığı - 1986 Elektronik İletişim Gizliliği Yasası DOJ’nin ECPA ve bunun elektronik ve dijital iletişimlerle ilişkisine dair genel bakışı.
ABD Çalışma Bakanlığı - Saha Yardım Bülteni No. 2020-5 Uzaktan çalışma durumları dahil olmak üzere çalışılan saatlerin takibi ve ücretlendirilmesiyle ilgili resmi DOL rehberliği.
New York Medeni Haklar Yasası Bölüm 52-c - Elektronik izleme yapan işverenler; önceden bildirim gereklidir Belirli çalışan elektronik izlemeleri için önceden bildirim gerektiren resmi New York yasası.
Connecticut Genel Yasaları Bölüm 31-48d - Elektronik izleme bildirimi Elektronik izleme yapan işverenler için bildirim gerekliliklerini ele alan resmi Connecticut yasası.
Delaware Kanunu Başlık 19 Bölüm 705 - Telefon iletimleri, elektronik posta ve İnternet kullanımının izlenmesine ilişkin bildirim Telefon, e-posta ve İnternet kullanımının izlenmesine yönelik bildirim gerekliliklerini ele alan resmi Delaware yasası.
Kanada
PIPEDA (Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası)
PIPEDA, ticari faaliyetler sırasında kişisel bilgi toplayan, kullanan veya açıklayan Kanada’daki birçok özel sektör kuruluşu için geçerlidir. Çalışanların kişisel bilgileri açısından PIPEDA genellikle federal olarak düzenlenen iş yerleri için geçerliyken, bazı eyaletlerin kendi özel sektör gizlilik yasaları vardır.
PIPEDA, tanımlayıcılar, cihaz verileri, çevrimiçi faaliyet, uygulama kullanımı, iletişimle ilgili veriler ve verimlilik kayıtları dahil olmak üzere çevrimiçi veya çalışan izleme yoluyla toplanan kişisel bilgileri kapsayabilir.
Kuruluşlar izleme için açık bir amaç belirlemeli, toplamayı gerekli olanla sınırlamalı ve kişisel bilgileri şeffaf bir şekilde işlemelidir.
Onay gerektiğinde, anlamlı olmalı ve hangi verilerin toplandığı, neden toplandığı, nasıl kullanılacağı ve kimlerin erişebileceği hakkında açık bilgilere dayanmalıdır.
Çalışanlar genel olarak neyin izlendiği, izlemenin neden kullanıldığı, bilgilerin nasıl kullanılacağı ve ne kadar süre saklanabileceği konusunda bilgilendirilmelidir.
İzleme yoluyla toplanan kişisel bilgiler uygun güvenlik önlemleriyle korunmalıdır.
Eyalet Gizlilik Yasaları (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
Alberta, British Columbia ve Quebec’te, kendi eyaletleri içinde uygulanabilecek özel sektör gizlilik yasaları vardır.
Bu yasalar genel olarak makul amaç, sınırlı toplama, şeffaflık, erişim hakları, saklama sınırları ve uygun koruma önlemleri gibi benzer gizlilik ilkelerini takip eder.
Çalışan izleme açısından gereklilikler eyalete, iş yeri türüne, izlemenin amacına, verilerin hassasiyetine ve izlemenin istihdam ilişkisini yönetmek için makul olup olmadığına bağlı olabilir.
İşverenler, gerekli olduğu durumlarda izleme araçları yoluyla kişisel bilgi toplamadan önce çalışanları bilgilendirmelidir.
Bazı eyaletler hangi kişisel bilgilerin toplandığını, neden toplandığını, ne kadar süre saklandığını ve kimlerin erişebileceğini açıklayan politikalar veya bildirimler gerektirebilir.
Birden fazla Kanada eyaletinde faaliyet gösteren kuruluşlar, izleme yazılımı uygulamadan önce hem federal hem de eyalet gerekliliklerini incelemelidir.
Resmi kaynaklar:
Kanada Gizlilik Komiserliği Ofisi - PIPEDA Kanada’nın federal özel sektör gizlilik yasasına ilişkin resmi genel bakış.
Kanada Gizlilik Komiserliği Ofisi - İş Yerinde Gizlilik İş yeri gizliliği, çalışan kişisel bilgileri ve işveren sorumlulukları hakkında rehberlik.
Kanada Gizlilik Komiserliği Ofisi - Anlamlı Onay Alma Rehberi Kanada özel sektör gizlilik yasası kapsamında anlamlı onay hakkında rehberlik.
Alberta Hükümeti - Kişisel Bilgilerin Korunması Yasası Alberta’nın özel sektör gizlilik yasası için resmi Alberta hükümeti sayfası.
Alberta Hükümeti - Kişisel Çalışan Bilgileri Alberta PIPA’nın kişisel çalışan bilgilerine nasıl uygulandığına dair rehberlik.
BC Laws - Kişisel Bilgilerin Korunması Yasası British Columbia Kişisel Bilgilerin Korunması Yasası’nın resmi metni.
Legis Quebec - Özel sektörde kişisel bilgilerin korunmasına ilişkin yasa Quebec’in özel sektör gizlilik yasasının resmi metni.
Birleşik Krallık
UK GDPR
Çalışan ve çevrimiçi faaliyet izleme dahil olmak üzere Birleşik Krallık’ta kişisel verilerin işlenmesine uygulanır.
Meşru menfaatler, yasal yükümlülük, sözleşmesel gereklilik veya uygun olduğunda onay gibi izleme için açık bir hukuki dayanak gerektirir.
İzleme gerekli, orantılı, şeffaf olmalı ve aşırı derecede müdahaleci olmamalıdır.
İşverenler bir risk değerlendirmesi yapmalı ve izlemenin bireyler için yüksek risk oluşturmasının muhtemel olduğu durumlarda, örneğin sürekli takip, tuş kaydı veya diğer müdahaleci izleme gibi hallerde Veri Koruma Etki Değerlendirmesi (DPIA) tamamlamaları gerekebilir.
Personel genel olarak neyin izlendiğini, neden izlendiğini, hangi verilerin toplandığını, nasıl kullanılacağını, kimlerin erişebileceğini ve ne kadar süre saklanacağını bilmelidir.
2018 Veri Koruma Yasası
UK GDPR’yi tamamlar ve kişisel verilerin işlenmesi için ek kurallar, koşullar ve istisnalar sağlar.
Özel kategori veriler, ceza mahkûmiyeti verileri, istihdamla ilgili işleme ve kolluk işleme faaliyetleriyle ilgili hükümler içerir.
Veri minimizasyonu, amaç sınırlaması, güvenlik, hesap verebilirlik ve bireysel haklar gibi ilkeleri güçlendirir.
Bireyler genel olarak kişisel verilerine erişme ve bazı durumlarda belirli işleme türlerine itiraz etme haklarına sahiptir.
RIPA ve İlgili Yakalama Kuralları
2000 Soruşturma Yetkilerinin Düzenlenmesi Yasası ve ilgili Birleşik Krallık yakalama kuralları, belirli iletişim yakalama ve iletişimlere erişim türlerini düzenler.
Hukuki yetki, onay veya başka bir uygulanabilir hukuki dayanak ya da istisna bulunmadıkça iletişimlerin yakalanması kısıtlanabilir.
İş yeri izleme açısından, özellikle e-posta, sohbet, aramalar, mesajlar veya diğer iletişim içeriklerini içerebileceği durumlarda iletişim izleme dikkatle değerlendirilmelidir.
Gizli veya açıklanmayan izleme son derece hassastır, birçok durumda hukuka aykırı olabilir ve yalnızca açık gerekçe ve uygun hukuki inceleme ile istisnai durumlarda değerlendirilmelidir.
ICO İstihdam Uygulamaları Rehberliği
Birleşik Krallık Bilgi Komiserliği Ofisi, çalışanların izlenmesi ve çalışan kişisel verilerinin işlenmesi konusunda rehberlik sağlar.
ICO, izlemenin hedefli, orantılı, açık bir amaçla gerekçelendirilmiş ve aşırı olmaması gerektiğini vurgular.
İşverenler, özellikle izlemenin müdahaleci veya sürekli olduğu durumlarda, izleme araçlarını uygulamaya koymadan önce çalışanlar üzerindeki etkiyi dikkate almalıdır.
İşverenler, neyin izlendiğini, neden izlendiğini, verilerin nasıl kullanıldığını, kimlerin erişebileceğini ve ne kadar süre saklandığını açıklayan açık yazılı politikalar oluşturmalıdır.
Rehberlik; şeffaflık, hesap verebilirlik, uygun olduğunda danışma ve çalışanların makul gizlilik beklentilerine saygıyı vurgular.
Resmi kaynaklar:
ICO - İstihdam uygulamaları ve veri koruma: çalışanların izlenmesi Çalışan izleme ve ilgili veri koruma yükümlülükleri dahil olmak üzere istihdam uygulamaları için resmi ICO rehberlik merkezi.
ICO - Hukuki dayanak rehberi UK GDPR kapsamında kişisel verilerin işlenmesi için hukuki dayanaklara ilişkin ICO rehberliği.
ICO - Ne zaman DPIA yapmamız gerekir? Veri Koruma Etki Değerlendirmesi’nin ne zaman gerekli olabileceğini açıklayan ICO rehberliği.
legislation.gov.uk - 2018 Veri Koruma Yasası 2018 Veri Koruma Yasası’nın resmi metni.
legislation.gov.uk - 2000 Soruşturma Yetkilerinin Düzenlenmesi Yasası 2000 Soruşturma Yetkilerinin Düzenlenmesi Yasası’nın resmi metni.
GOV.UK - İletişimlerin yakalanması: uygulama kodu İletişimlerin yakalanmasına ilişkin Birleşik Krallık hükümeti uygulama kodu.
Avustralya ve Yeni Zelanda
Privacy Act 1988 (Avustralya)
Privacy Act 1988, çevrimiçi izleme veya iş yeriyle ilgili sistemler aracılığıyla toplanabilecek belirli veriler dahil olmak üzere Avustralyalı kuruluşların kişisel bilgileri nasıl işleyeceğine dair genel çerçeveyi belirler.
Kapsam dahilindeki kuruluşların yalnızca makul ölçüde gerekli olan bilgileri toplamasını, kişisel bilgilerin nasıl kullanıldığı konusunda şeffaf olmasını ve bunları güvenli tutmasını gerektirir.
Yasa ayrıntılı iş yeri gözetim kuralları içermez ve özel sektör işverenleri tarafından işlenen çalışan kayıtları, belirli koşullarda Avustralya Gizlilik İlkelerinden muaf olabilir. Ancak kişisel bilgi içeren izleme, çalışan kayıtları muafiyetinin uygulanmadığı, hizmet sağlayıcıların çalışan verilerini işlediği veya başka gizlilik yükümlülüklerinin doğduğu durumlar gibi bazı bağlamlarda yine de Privacy Act’e tabi olabilir.
Uygulamada, izleme araçları kullanan işverenler ve hizmet sağlayıcılar açık ticari amaçlar tanımlamalı, aşırı takipten kaçınmalı, uygulamalarını gizlilik politikalarında ve iç belgelerde açıklamalı ve ilgili eyalet veya bölge iş yeri gözetim yasalarını dikkate almalıdır.
İş Yeri Gözetim Yasaları (eyalet düzeyi, Avustralya)
Bazı Avustralya eyaletleri ve bölgeleri, Workplace Surveillance Act 2005 (NSW) ve Workplace Privacy Act 2011 (ACT) gibi iş yeri gözetim yasaları aracılığıyla iş yeri izlemeyi daha doğrudan düzenler.
Bu yasalar, işverenlerin kamera, bilgisayar ve takip gözetimini ne zaman ve nasıl kullanabileceğini kontrol edebilir ve çoğu zaman izleme başlamadan önce önceden yazılı bildirim, açık politikalar ve belirli koşullar gerektirir.
Gizli veya örtülü gözetim son derece kısıtlıdır ve özel yetki veya hukuki onay gerektirebilir. Rutin performans takibi yöntemi olarak değerlendirilmemelidir.
Çevrimiçi izleme araçları açısından bu, etkilenen eyalet ve bölgelerdeki işverenlerin gerekli olduğu durumlarda açık ve zamanında bildirim sağlaması ve her türlü bilgisayar, İnternet, e-posta veya takip gözetiminin geçerli yasal koşullarla uyumlu olmasını sağlaması gerektiği anlamına gelir.
Privacy Act 2020 (Yeni Zelanda)
Yeni Zelanda’nın Privacy Act 2020 yasası, ülkenin gizlilik çerçevesini sağlar ve iş yeri veya çevrimiçi izleme yoluyla toplanan bilgiler dahil olmak üzere kurumlar tarafından işlenen kişisel bilgilere uygulanır.
Yasa, kuruluşların bilgileri yalnızca hukuka uygun ve gerekli amaçlar için toplamasını, uygulamaları konusunda açık olmasını ve uygun olduğunda bireylere kişisel bilgilerine erişim sağlamasını gerektirir.
Düzenleyicilerin rehberliği, çalışanların izlenmesi, kaydedilmesi veya filme alınmasının Privacy Act ve gizlilik ilkeleri doğrultusunda yapılması gerektiğini vurgular. İşverenler ayrıca izlemenin çalışan güveni, morali ve iş yeri ilişkilerini nasıl etkileyebileceğini dikkate almalıdır.
İşverenler, personelle istişare etmeye, izlemenin neden gerekli olduğunu açıklamaya, açık iş yeri politikaları kullanmaya ve sürekli veya ayrıntılı takibin etkisini dikkate almaya teşvik edilir.
Resmi kaynaklar:
OAIC - Gizlilik Yasası Avustralya’nın Privacy Act 1988 yasası ve Avustralya Gizlilik İlkelerine ilişkin resmi genel bakış.
OAIC - Çalışan kayıtları muafiyeti Özel sektör işverenlerinin çalışan kayıtlarını işlemesinin Avustralya Gizlilik İlkelerinden ne zaman muaf olabileceğini açıklar.
OAIC - İş yeri izleme ve gözetimi İş yeri izlemenin eyalet, bölge ve diğer ilgili Avustralya yasalarını içerebileceğini açıklayan rehberlik.
ACT Legislation - Workplace Privacy Act 2011 Workplace Privacy Act 2011 için resmi ACT mevzuat sayfası.
Yeni Zelanda Mevzuatı - Privacy Act 2020 Yeni Zelanda Privacy Act 2020 yasasının resmi metni.
Yeni Zelanda Gizlilik Komiseri - Privacy Act 2020 Yeni Zelanda gizlilik ilkelerine ilişkin resmi genel bakış.
Employment New Zealand - Çalışan gizliliği Çalışan gizliliği, iş yeri izleme, çalışanların kaydedilmesi ve filme alınması hakkında rehberlik.
Asya-Pasifik Bölgesi
PDPA (Kişisel Verilerin Korunması Yasası) - Singapur
Çalışan veya çevrimiçi izleme yoluyla toplanabilecek veriler dahil olmak üzere kuruluşlar tarafından toplanan, kullanılan veya açıklanan kişisel verileri kapsar.
Kuruluşların kişisel verileri uygun amaçlar için ve onay, varsayılan onay veya izin verilen başka bir uygulanabilir istisna ile toplamasını, kullanmasını veya açıklamasını gerektirir.
Şeffaflık, uygun bildirim, amaç sınırlaması ve veri koruma önlemlerine güçlü şekilde odaklanır.
Kuruluşlar, kişisel verilerinin hangi amaçlarla toplandığı, kullanıldığı veya açıklandığı konusunda bireyleri bilgilendirmelidir.
Saklama, hukuki veya ticari amaçlar için gerekli olanla sınırlı olmalıdır.
PDPA - Malezya
Kişisel verilerin toplandığı veya kullanıldığı istihdamla ilgili bağlamlar dahil olmak üzere ticari işlemlerde işlenen kişisel verilere uygulanır.
Kuruluşların genel, bildirim ve seçim, açıklama, güvenlik, saklama, veri bütünlüğü ve erişim ilkeleri dahil olmak üzere temel kişisel veri koruma ilkelerine uymasını gerektirir.
Kuruluşlar, kişisel veri toplamanın amacı ve verilerin nasıl kullanılacağı konusunda açık bildirim sağlamalıdır.
Veriler belirli ve beyan edilmiş bir amaç için işlenmeli, uygun güvenlik önlemleriyle korunmalı ve gerekli olandan daha uzun süre saklanmamalıdır.
Saklama, veri güvenliği, erişim hakları, düzeltme hakları ve üçüncü taraf işleme ile ilgili kuralları içerir.
APPI (Kişisel Bilgilerin Korunması Yasası) - Japonya
Müşteri ve çalışan kişisel verileri dahil olmak üzere işletmeler ve diğer kapsam dahilindeki kuruluşlar tarafından kişisel bilgilerin işlenmesini düzenler.
Kuruluşların kullanım amacını belirtmesini ve kişisel bilgileri bu beyan edilen amaç kapsamında işlemesini gerektirir.
Kişisel verileri işleyen çalışanlar ve hizmet sağlayıcılar için veri güvenliği, doğruluk, saklama kontrolü ve uygun denetimi vurgular.
Kişisel bilgi içeren izleme uygulamaları, iç politikalar ve beyan edilen kullanım amacıyla uyumlu olmalıdır.
Bireyler, bağlama bağlı olarak açıklama, düzeltme, kullanımın askıya alınması veya silme haklarına sahip olabilir.
PIPL (Kişisel Bilgilerin Korunması Yasası) - Çin
Çin’de kişisel bilgilerin işlenmesini ve Çin dışındaki, Çin’deki bireyleri içeren belirli işleme faaliyetlerini kapsayan kapsamlı kişisel bilgi koruma yasasıdır.
Açık ve makul bir amaç, veri minimizasyonu, şeffaflık ve uygun güvenlik önlemleri gerektirir.
Birçok durumda onay gerekebilir; bağlama bağlı olarak başka hukuka uygun işleme dayanakları da uygulanabilir.
Hassas kişisel bilgiler, belirli açıklamalar, sınır ötesi aktarımlar veya diğer daha yüksek riskli işleme faaliyetleri için ayrı onay gerekebilir.
Bireylere erişim, düzeltme, silme, onayın geri çekilmesi ve işleme kurallarının açıklanması gibi haklar verir.
Resmi kaynaklar:
Singapur PDPC - Kişisel Verilerin Korunması Yasası Singapur Kişisel Verilerin Korunması Yasası’na ilişkin resmi genel bakış.
Singapur PDPC - Veri Koruma Yükümlülükleri Onay, bildirim, amaç sınırlaması, koruma ve saklama gibi temel yükümlülükleri açıklayan resmi PDPC sayfası.
Singapur PDPC - PDPA’daki Temel Kavramlar Hakkında Danışma Rehberi Onay ve istisnalar dahil olmak üzere temel PDPA kavramlarını açıklayan resmi rehberlik.
Malezya Kişisel Verileri Koruma Departmanı - 2010 Kişisel Verilerin Korunması Yasası 2010 Kişisel Verilerin Korunması Yasası için resmi Malezya hükümeti sayfası.
Malezya Kişisel Verileri Koruma Departmanı - Kişisel Veri Koruma İlkeleri Malezya’nın yedi kişisel veri koruma ilkesine ilişkin resmi genel bakış.
Malezya Kişisel Verileri Koruma Departmanı - Kişisel Veri Koruma Bildirimleri Hakkında Rehberlik Kişisel veri koruma bildirimlerinin hazırlanmasına ilişkin resmi rehberlik.
Japonya Kişisel Bilgileri Koruma Komisyonu - Kişisel Bilgilerin Korunması Yasası Japonya Kişisel Bilgilerin Korunması Yasası’nın resmi İngilizce çevirisi.
Japonya Kişisel Bilgileri Koruma Komisyonu Japonya’nın gizlilik düzenleyici kurumunun resmi web sitesi.
Çin Ulusal Yasalar ve Düzenlemeler Veritabanı - Kişisel Bilgilerin Korunması Yasası Çin Kişisel Bilgilerin Korunması Yasası’nın resmi Çince metni.
Çin Siber Uzay İdaresi - Kişisel Bilgilerin Korunması Yasası Çin Kişisel Bilgilerin Korunması Yasası’nın resmi CAC yayını.
Latin Amerika
LGPD (Lei Geral de Protecao de Dados) - Brezilya
Brezilya’nın LGPD yasası, dijital yollarla işlenen veriler dahil olmak üzere kişisel verilerin işlenmesini düzenler. Veriler tanımlanmış veya tanımlanabilir bir bireyle ilgili olduğunda, çevrimiçi veya iş yeri izleme yoluyla toplanan bilgilere uygulanabilir.
Kuruluşlar izleme için uygun bir hukuki dayanak belirlemeli ve veri toplama amacını açıklamalıdır. İzleme gerekli olanla sınırlı olmalı, şeffaf şekilde yürütülmeli ve uygun güvenlik önlemleriyle desteklenmelidir.
Bireylerin erişim, düzeltme, silme, taşınabilirlik, veri paylaşımı hakkında bilgi alma ve uygun olduğunda onayı geri çekme gibi hakları olabilir.
Arjantin, Meksika ve Şili’de Ulusal Gizlilik Yasaları
Arjantin, Meksika ve Şili’de, bağlama ve ilgili veri türüne bağlı olarak izleme araçları yoluyla toplanan kişisel verilere uygulanabilecek ulusal veri koruma çerçeveleri vardır.
Bölge genelindeki ortak gizlilik beklentileri arasında açık ve uygun bir amaca sahip olma, bireyleri veri toplama hakkında bilgilendirme, veri kullanımını gerekli olanla sınırlama ve kişisel verileri uygun koruma önlemleriyle koruma yer alır.
Bireyler, uygulanabilir hukuka bağlı olarak kişisel verilerinin belirli kullanımlarına erişme, bunları düzeltme, güncelleme, silme veya itiraz etme haklarına sahip olabilir.
Belirli gereklilikler ülkeye göre farklılık gösterdiği ve zamanla değişebileceği için kuruluşlar, bu pazarlarda çevrimiçi veya iş yeri izleme uygulamadan önce güncel yerel kuralları incelemelidir.
Resmi kaynaklar:
Brezilya - 13.709/2018 sayılı Kanun, Genel Kişisel Verileri Koruma Yasası (LGPD) Brezilya LGPD’sinin resmi konsolide metni.
Arjantin - Agencia de Acceso a la Informacion Publica: Kişisel Verilerin Korunması Kişisel verilerin korunmasına ilişkin resmi Arjantin makamı sayfası.
Şili - Özel Hayatın Korunmasına İlişkin 19.628 sayılı Kanun Şili’nin kişisel veri koruma yasasının resmi metni.
Şili - 21.719 sayılı Kanun, Kişisel Verilerin Korunması ve İşlenmesi Şili’nin modernize edilmiş veri koruma çerçevesinin resmi metni.
Orta Doğu Bölgesi
BAE Veri Koruma Yasası (2021 tarihli 45 sayılı Federal Kanun Hükmünde Kararname)
BAE’nin federal kişisel veri koruma yasası, kişisel verilerin işlenmesi için genel bir çerçeve sağlar. Yasanın kapsamına ve geçerli sektöre özgü veya serbest bölge kurallarına bağlı olarak, BAE’de kişisel veri işleyen veya BAE’deki bireylerin kişisel verilerini işleyen kuruluşlara uygulanabilir.
İzleme açısından kuruluşlar açık ve hukuka uygun bir amaç tanımlamalı, veri toplamayı gerekli olanla sınırlamalı ve şeffaflık ile güvenliğe güçlü şekilde vurgu yapmalıdır.
Kuruluşlar gerekli olduğu durumlarda personeli izleme hakkında bilgilendirmeli, kişisel veri toplama nedenlerini belgelemeli ve izlenen verilerin işlenmesi için iç politikalar ve koruma önlemleri uygulamaya koymalıdır.
Katar Veri Gizliliğini Koruma Yasası
Katar’ın kişisel veri gizliliği yasası, elektronik olarak işlenen veya elektronik işleme amaçlanan kişisel verileri kapsar.
Bireyin veri gizliliği hakkını tanır ve kişisel veri işlemenin şeffaflık, adillik ve gizliliğe saygı gibi ilkelere uymasını gerektirir.
İzleme sistemleri için kuruluşlar açık ve hukuka uygun bir amaca sahip olmalı, gerekli olduğu durumlarda bireyleri bilgilendirmeli ve kişisel verileri uygun güvenlik önlemleriyle korumalıdır.
Kuruluşlar ayrıca mevcut olduğunda erişim ve düzeltme hakları dahil olmak üzere uygulanabilir haklara saygı göstermelidir.
Suudi Arabistan Kişisel Verilerin Korunması Yasası (PDPL)
Suudi Arabistan’ın PDPL yasası, Krallık’ta kişisel verilerin işlenmesini düzenler ve Suudi Arabistan’daki bireylerin kişisel verilerini içerdiğinde Krallık dışındaki belirli işleme faaliyetlerine de uygulanabilir.
İzleme açısından kuruluşlar açık amaçlar tanımlamalı, gizlilik politikaları benimsemeli ve bireyleri kişisel verilerinin nasıl toplanacağı ve kullanılacağı konusunda bilgilendirmelidir.
Birçok durumda onay gerekebilir; bağlama bağlı olarak başka hukuka uygun dayanaklar da uygulanabilir.
İzleme araçları kullanan işverenler izlenen verileri korumalı, dahili erişimi sınırlandırmalı, gereksiz toplamadan kaçınmalı ve çalışan bilgilerini PDPL’nin şeffaflık, güvenlik ve saklama gereklilikleri doğrultusunda işlemelidir.
Resmi kaynaklar:
BAE Mevzuatı - Kişisel Verilerin Korunmasına İlişkin 2021 tarihli 45 sayılı Federal Kanun Hükmünde Kararname BAE federal kişisel veri koruma yasasının resmi metni.
Qatar Al Meezan - Kişisel Veri Gizliliğinin Korunmasına İlişkin 2016 tarihli 13 sayılı Kanun Katar’ın kişisel veri gizliliği yasasının resmi İngilizce PDF metni.
SDAIA - Veri Koruma Yasası Suudi Arabistan Kişisel Verilerin Korunması Yasası hakkında Suudi Veri ve Yapay Zekâ Otoritesi’nin resmi sayfası.
SDAIA - Kişisel Verilerin Korunması Yasası Suudi Arabistan Kişisel Verilerin Korunması Yasası’nın resmi İngilizce versiyonu.
Sorumlu İzleme için Son Hususlar
Çevrimiçi ve çalışan izleme yasaları ülkeler, eyaletler, sektörler ve iş yeri ortamları arasında önemli ölçüde değişiklik gösterir. Aynı izleme aracı, nasıl yapılandırıldığına, hangi verilerin toplandığına, kullanıcıların bilgilendirilip bilgilendirilmediğine ve bilgilerin nasıl kullanıldığına bağlı olarak bir bağlamda kabul edilebilir, başka bir bağlamda ise uygunsuz veya hukuka aykırı olabilir.
Sorumlu bir izleme programı genel olarak şunları içermelidir:
İzleme için açık ve meşru bir amaç
Neyin ve neden izlendiğini açıklayan yazılı iç politikalar
Gerekli olduğu durumlarda kullanıcı veya çalışan bildirimi
Sınırlı ve orantılı veri toplama
Güçlü erişim kontrolleri ve güvenlik önlemleri
Toplanan veriler için belirlenmiş saklama süreleri
İzleme uygulamalarının düzenli olarak gözden geçirilmesi
Yüksek riskli, hassas, gizli veya sınır ötesi izleme senaryoları için hukuki inceleme
Spyrix, yetkili kullanım için izleme yazılımı sağlar. Ancak her kuruluş, izleme araçlarının kendi özel kullanımının geçerli yasalara, iç politikalara ve bildirim gerekliliklerine uygun olup olmadığını belirlemekten sorumludur. Şüphe durumunda kuruluşlar, izleme yazılımını devreye almadan veya daha müdahaleci izleme özelliklerini etkinleştirmeden önce nitelikli hukuk danışmanına başvurmalıdır.