Ercüment Erdem Prof. Dr. H. Murat Develioğlu

İşverenin Çalışanın E-Postalarını Denetlemesi: 12.1.2021 Tarihli Anayasa Mahkemesi Kararı İle Getirilen Kıstaslar

Mart 2021

Giriş

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un 1. maddesi uyarınca, Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Yine aynı Kanun uyarınca,  kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. Örnek olarak, kişilerin isimleri, e-posta adresleri, telefon numaraları, sağlık durumları, ziyaret ettiği internet siteleri, yazışmaları verilebilir. Kişisel verilerin işlenmesi kavramı ise, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelir ve çok genel olarak ifade edersek, Kişisel Verilerin Korunması Hakkında Kanun’da yer alan şartlara uymaksızın yapılan işleme ise, hukuka aykırı bir işleme olarak kabul edilir.

Hizmet sözlesmesi açısından da, işçinin kişisel verilerinin korunması hem yukarıda anılan Kanun uyarınca, hem de, Türk Ceza Kanunu, Türk Borçlar Kanunu ve Türkiye Cumhuriyeti Anayasası tarafından güvence altına alınmıştır.

Bu bağlamda, aşağıda ele alacağımız Anayasa Mahkemesi’nin 12.1.2021 tarihli kararında, işverenin çalışanının e-posta yazışmalarını, yani kişisel verilerini işleyip işleyemeyeceği, işleyebilecekse hangi şartlar işleyebileceği sorusu gündeme gelmiştir.

Anayasa Mahkemesi Kararına Konu Olay

Anayasa Mahkemesi’nin kararına konu olan olayda, özel bir bankada, işveren, çalışanının kurumsal e-posta hesabının içeriğini incelemiş ve burada okuduğu yazışmaları gerekçe göstererek iş akdini feshetmiştir. Özetlemek gerekirse, fesih gerekçesi olarak, çalışanın, mesai saatlerinde, eşi üzerine kayıtlı bir işletmede de ticarî faaliyette bulunarak aslî görevini ihlal etmesi gösterilmiş ve bunu ispatlamak için de, diğer birtakım delillerin yanında, çalışanın kurumsal e-postası üzerinden yaptığı yazışmalara da dayanılmıştır.

Çalışan (başvuru sahibi), özel hayata saygı kapsamındaki kişisel verilen korunmasını isteme hakkının ve haberleşme hürriyetinin ihlal edildiğini ileri sürerek Anayasa Mahkemesi’ne başvurmuştur.

Anayasa Mahkemesi Kararına Göre İşverenin İşçinin E-Postalarını Denetlemesinin Şartları

Anayasa Mahkemesi, somut olayda, teknolojik gelişmelerin imkânlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanımına sunması nedeniyle ortaya çıkan uyuşmazlıklarda, işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir denge kurulması gerektiğini belirterek, özetle, şu sonuçlara varmıştır:

  • İşveren, yönetim yetkisi kapsamında, kural olarak, işçinin kullanımına sunduğu iletişim araçlarını denetleyebilir ve kullanıma ilişkin sınırlamalar öngörebilir. Ancak bu yetkinin işyerinde işin yürütülmesi, işyerinin düzenin ve güvenliğinin sağlanmasıyla sınırlı olarak kullanılması ve işçinin temel hak ve özgürlüklerinin özünü zedelememesi gerekmektedir. Dolayısıyla, işverenin iletişim araçları üzeride sınırsız ve mutlak bir gözetleme ve denetleme yetkisi olduğu kabul edilmemelidir.
  • İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçelerinin olup olmadığına bakılmalıdır.
  • İletişim denetlemesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Bu bilgilendirmede, kişisel verilerin işlenmesinin hukukî dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir.
  • Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır.
  • İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalı ve çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir.
  • İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
  • İletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları gözönünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir.

Anayasa Mahkemesinin Somut Olayda Vardığı Sonuç

Yukarıda sayılan kıstasları değerlendiren Anayasa Mahkemesi’ne göre, somut olayda, çok sayıda çalışanı olan ve kurumsal olarak finans hizmeti veren işverenin, çalışanlarına kurumsal e-posta hesabı oluşturmak suretiyle kişisel verileri işlemesi ve iletişim akışını denetim altında tutması, işlerin etkin bir şekilde yürütülmesini sağlama amacına yöneliktir. Mahkeme, kurumsal e-posta hesabının iletişim akışına ve içeriğine erişilecek şekilde kullanıma sunulmasının işyerinin yönetimi bakımından meşru bir menfaat teşkil ettiğini ve hedeflenen amacı sağlamaya elverişli bir yöntem olduğunu kabul etmiştir. Başvurucunun bağlı olduğu iş akdi incelendiğinde de, başvurucuya tahsis edilen kurumsal e-postanın sadece iş amaçlı olarak kullanılacağının ve kurumsal e-postanın banka yönetimi tarafından haber verilmeksizin denetlenebileceğinin, personelin bu konuda itirazının olmayacağının ve talimatlara uyacağının düzenlendiği görülmüştür. İş sözleşmesinde çalışan için belirlenen yükümlülüklere – kurumsal e-postanın amacına uygun kullanılması, performans düşüklüğü tespiti, başka işte çalışma yasağı – uyulmaması durumunda iş akdinin feshedilebileceğinin açıkça düzenlendiği de anlaşılmaktadır. Yani, başvurucuya, kullanımına sunulan kurumsal e-postanın denetlenebileceğine ve denetimin usulüne ilişkin önceden iş sözleşmesiyle açıkça bildirim yapılmıştır ve başvurucu da buna rıza göstermiştir. Yine Anayasa Mahkemesi’ne göre, somut olayda, işverenin yaptığı müdahalenin kapsamının, başvurucunun başka bir işte çalıştığı iddiasını destekleyen mesajları incelemesi ve iddiasını kanıtlamak amacıyla sadece yargı sürecinde kullanması olduğu anlaşıldığından, işverenin inceleme amacı dâhilinde bir denetleme gerçekleştirdiği ve inceleme sonucu elde edilen verileri amaca uygun kullandığı kabul edilmelidir. Özetle, Anayasa Mahkemesi, özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkının ihlal edilmediği sonucuna ulaşmıştır.