Kurumsal E-Posta Hesaplarının İşverence İncelenmesinin Anayasa Mahkemesi Kararları Işığında Analizi

Günümüzde dijitalleşme ve iletişim teknolojilerinin gelişimiyle birlikte elektronik posta (e-posta), WhatsApp, Skype gibi anlık mesajlaşma platformları en yaygın iletişim yöntemi haline gelmiştir. Hızla ilerleyen bilişim teknolojileri iş hayatına etki etmekte, COVID-19 nedeniyle işin niteliği imkân veren çoğu işyerinin evden çalışma yöntemine geçmesiyle beraber iletişimin izlenmesi ve incelenmesi gibi konular gündem teşkil edebilmektedir. Nitekim bireysel başvuru üzerine Anayasa Mahkemesi’nin 14 Ekim 2020 tarihli ve 5 Şubat 2021 tarihli Resmi Gazete’de yaklaşık 4 ay arayla yayımlanan kurumsal e-posta hesaplarının işveren tarafından incelenmesinin kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetini ihlal edip etmediği yönlerinden irdelediği kararları bu yazımızı kaleme almamıza ilham vermiştir.

Bilindiği üzere ülkemizde kişisel verilerin korunması; 2010 yılında yapılan değişiklik sonucunda anayasal güvence altına alınmış ve Avrupa Birliği’ne uyum kapsamında hazırlanan kişisel verilerin korunmasına ilişkin usul ve esaslarda 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanunu”) ile düzenlenmiştir. Ayrıca idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz bağımsız düzenleyici bir otorite olan Kişisel Verileri Koruma Kurumu kurulmuş ve faaliyetlerini idame ettirmektedir. Konumuza gelince çalışanların kurumsal e-posta gibi araçlardan gerçekleştirmiş oldukları iletişimin incelenmesi; 6698 sayılı Kanunun 3.maddesinin 1. fıkrasının (e) bendi kapsamında bir kişisel veri işleme faaliyeti olarak değerlendirilmektedir. Bunun yanı sıra 6098 sayılı Türk Borçlar Kanunu‘nun çalışanın düzenleme ve talimatlara uyma borcunu hüküm altına alan 399.maddesi kapsamında belirlenen işverenin yönetim hakkı çerçevesinde, işverende elektronik iletişim araçlarının işyerinde hangi kapsamda kullanılacağını düzenleyebilir ve belirlediği sınırlara uyulup uyulmadığını kontrol edebilir. Bununla beraber işverenin yönetim hakkını kullanım sınırları, özellikle günümüz bilişim teknolojilerindeki gelişmelerin etkisiyle genişlemektedir.

Çalışanın kurumsal e-posta hesabının işveren tarafından incelenmesinin özel hayatın gizliliği, kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetini ihlal ettiği iddiasıyla gerçekleştirilen bireysel başvurulara yönelik Anayasa Mahkemesi (AYM) tarafından alınan kararlara aşağıda yer verilmektedir:

• 24 Mart 2016 tarihli ve 2013/4825 Başvuru Numaralı Kararı:

AYM, kararında özetle özel bir şirket bünyesindeki çalışan kişilerin kurumsal e-posta hesaplarının işveren tarafından incelenmesi ve elde edilen yazışmaların işe iade davasında delil olarak kullanılmasının, çalışanlara gerekli uyarı ve bilgilendirmelerin yapılmış olmasına binaen özel hayata saygı ve haberleşme gizliliği haklarını ihlal etmediğine kanaat getirmiştir.

Not: Bu karar özelinde kaleme alınmış 11 Mayıs 2016 tarihli detaylı yazımıza buradaki bağlantıdan ulaşabilirsiniz.

• 17 Eylül 2020 tarihli ve 2016/13010 Başvuru Numaralı Kararı:

AYM, kararında özetle avukatlık ortaklığında çalışan bir kişinin kurumsal e-posta hesabındaki yazışmaların, işveren tarafından önceden açık bir bilgilendirme yapılmadan incelenmesi ve gerekçe gösterilerek iş sözleşmesinin feshi ve işe iade davasında delil olarak kullanılması nedeniyle kişisel verilerin korunmasını isteme hakkının ve haberleşme hürriyetinin ihlal edildiğine kanaat getirmiştir.

Bakıldığında Yargıtay 22. Hukuk Dairesi’nin, 07.05.2019 tarihli 2017/21857 E., 2019/9884 K. sayılı Kararı’nda da işverenin yönetim hakkının bir sonucu olarak işçiyi elektronik ortamda izlemesi ve takip etmesi her zaman mümkün olduğu ancak bunun için işçinin bu izleme hakkında bilgilendirilmiş olması gerektiği yönünde kararı mevcuttur.

• 12 Ocak 2021 tarihli ve 2018/31036 Başvuru Numaralı Kararı:

12 Ocak 2021 tarihli Kararın güncelliği dikkate alınarak AYM’nin bilgilendirme amacıyla internet sitesinden yaptığı 05.02.2021 tarihli Basın Duyurusu’nda ilgili açıklamalarına aşağıda yer verilmiştir:

Olaylar

Özel bir bankada (Banka) çalışan başvurucunun iş sözleşmesinde kurumsal e-posta adresinin sadece iş amaçlı kullanılacağı, hesabın haber vermeden banka yönetimi tarafından denetlenebileceği belirtilmiştir. Başvurucunun eşi üzerine kayıtlı bir işletmede çalıştığı iddiası üzerine müfettiş incelemesi yapılmış ve başvurucunun konuyla ilgili savunması alınmıştır. Müfettiş raporunda başvurucunun Banka çalışma ilkelerine aykırı olarak kendi hesabına ticari faaliyette bulunduğu kanaatine ulaşıldığı ifade edilmiştir. Başvurucunun kurumsal e-posta hesabını eşinin ticari işleri için de kullandığının belirtildiği bu rapora istinaden başvurucunun iş akdi feshedilmiştir. Başvurucunun, İş Mahkemesinde işveren aleyhine açtığı işe iade istemli tespit davası ve akabinde Bölge Adliye Mahkemesine istinaf itirazı kesin olarak reddedilmiştir.

İddialar

Başvurucu; kurumsal e-posta hesabı içeriğinin işveren tarafından incelenmesi ve bu yazışmalar gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiğini ileri sürmüştür.

Mahkemenin Değerlendirmesi

Başvuru konusu olayda başvurucu adına tanımlanmış kurumsal e-posta hesabı işveren tarafından incelenmiştir. İşverenin çalışanlarına kurumsal e-posta hesabı oluşturarak kişisel verileri işlemesinin ve iletişim akışını denetim altında tutmasının işlerin etkin bir şekilde yürütülmesini sağlama amacına yönelik olduğu anlaşılmaktadır. Bu durumda kurumsal e-posta hesabının iletişim akışına ve içeriğine erişilecek şekilde kullanıma sunulması hedeflenen amacı sağlamaya elverişli bir yöntemdir.

E-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ilişkin önceden açık bir bilgilendirme yapılmadığı hâllerde çalışanın kurumsal e-posta üzerinden kişisel yazışmalar yapabileceği işveren tarafından da öngörülebilir bir durumdur. İşveren tarafından açık bilgilendirme yapılması durumunda ise kurumsal e-posta hesabı çalışanın rızası alınmadan incelenebilir. Bu bağlamda bilgilendirme sonrası işverenin denetleme yetkisine ilişkin bir itiraz şerh edilmediği sürece çalışanın rızasının bulunduğunun ve aksi kanıtlanana kadar da bu rızanın geçerli olduğunun kabulü gerekir.

Somut olayda başvurucu bilgilendirme yapılmadan ve rızası olmadan kurumsal e-posta hesabının incelendiğini ileri sürmüştür. İş akdinde başvurucuya tahsis edilen kurumsal e-postanın sadece iş amaçlı kullanılacağı ve bu hesabın Banka yönetimi tarafından haber vermeksizin denetlenebileceği düzenlenmiştir. Ayrıca iş sözleşmesinde belirlenen yükümlülüklere uyulmaması durumunda iş akdinin feshedilebileceği açıkça belirtilmiştir.

Öte yandan somut olayda işverenin yaptığı müdahalenin kapsamının da tartışılması gerekir. Bu bağlamda işveren başvurucunun başka bir işte çalıştığı iddiasını destekleyen mesaj içeriklerini incelemiş ve bunları sadece yargı sürecinde iddiasını kanıtlamak amacıyla kullanmıştır. İşveren inceleme amacı dahilinde bir denetleme gerçekleştirmiş, elde edilen verileri amaca uygun kullanmıştır.

Bununla birlikte yargılama sürecinde Mahkeme; tanık anlatımları, iş sözleşmesi, iş yeri dosyası ve dosyaya sunulan diğer belgeleri de değerlendirerek bir sonuca ulaşmış, kararda ilgili ve yeterli gerekçe sunmuştur. Başvurucu da yargılama sürecine etkin olarak katılmış, uyuşmazlığı karara bağlayan derece mahkemeleri yargılamada yükümlülüklerini yerine getirmiştir.

 Anayasa Mahkemesi, açıklanan gerekçelerle, kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edilmediğine karar vermiştir.”

Bakıldığında özellikle iş ilişkisi bakımından işçinin verilerinin hangi şekilde korunacağını belirten özel bir mevzuat bulunmamaktadır. Söz konusu Kararlar, iş ve kişisel verileri koruma mevzuatı bakımından gelecekteki uygulamalar için önemli bir referans niteliğindedir. Nitekim anılan Kararlar ile işverenlerin çalışanlara sundukları kurumsal e-posta hesabı gibi iletişim araçlarını hangi koşullarda kontrol edebileceğini ve bu kontrolün hangi şartları taşıması durumunda hukuka uygun olarak nitelendirilebileceğine yönelik ölçütler AYM tarafından ortaya konularak önemli bir içtihat oluşturulmuştur.

İşverenlerin çalışanlara sundukları kurumsal e-posta hesabı gibi iletişim araçlarının incelenmesinde AYM Kararları ışığında dikkate alınması gereken ölçütlere aşağıda yer verilmektedir:

1	İncelemenin kapsamı ve çalışanın özel hayatına yönelik müdahalenin seviyesi
1.1	İşverence çalışanın kullanımına sunulan iletişim araçları ve içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçe(ler) bulunmalıdır.
1.2	İletişim akışı (A’dan B kişisine gönderildiği bilgisi gibi) ve iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içerik incelemesinde daha ciddi gerekçelerin varlığı aranmalıdır.
1.3	İş sözleşmesi veya iş sözleşmesinin parçası kabul edilen işyeri uygulama ve kurallarını tanımlayan şirket içi politikalar (örneğin; etik kod, insan kaynakları, disiplin, kişisel verilerin korunması, bilgi güvenliği politikaları, gizlilik taahhütnameleri vb.) kapsamında çalışanların kullanımına sunulan elektronik iletişim araçlarının izlenebileceği ve gerekli durumlarda incelenebileceği düzenlenmelidir.
2	İşverenin çalışanın gerçekleştireceği belli iletişimleri inceleyebilmesine yönelik tedbirler alabileceğinden çalışanın önceden haberdar olması
2.1	Çalışan, iletişimin izlenebileceği ve incelenebileceği yönünde önceden tam ve açık bir şekilde bilgilendirilmelidir.
2.2	Bu bilgilendirmenin; en azından iletişimin incelenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, incelemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, incelemenin ve işlemenin sonuçları ile verilerin saklanacağı süre, veri sahibinin hakları, incelemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları ve iletişim araçlarının kullanımına yönelik işveren tarafından öngörülen sınırlamalar gibi hususları kapsamalıdır. İşverenlerin çalışanlara gerçekleştirmesi gereken aydınlatma yükümlülüğünün ifası kritiktir.
2.3	Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp, şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine iletişimin incelenmesine ilişkin süreçten 2.2 maddede belirtilen kapsamda haberdar olma imkanı sağlayan kanıtlanabilir bir yöntem tercih edilebilir.
3	İletişimin izlenmesi ve içeriğine erişilmesine yönelik meşru amaçların ortaya konması
3.1	Çalışanın kişisel verilerinin korunmasını isteme hakkında ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Örneğin ilgili incelemenin soruşturmaya konu iddialarla sınırlı olarak yapılması.
3.2.	İnceleme faaliyetiyle elde edilen veriler, işveren tarafından hedeflenen amaç doğrultusunda kullanılmalıdır.
4	Somut olayda iletişim incelemesinin en son başvurulabilecek bir yöntem olması
4.1.	İşveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır.
4.2.	Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı gözetilmelidir.
4.3.	İşverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
5	İncelemenin amaçla sınırlı ve ölçülü olması
5.1.	İşveren tarafından gerçekleştirilen müdahalenin orantılı kabul edilebilmesi için iletişimin incelenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalıdır.
6	İnceleme faaliyetlerinin ilgili çalışan üzerindeki sonuçlarının gözetimi
6.1	İletişimin incelenmesinin muhatabı olan çalışan üzerindeki etki ve sonuçlar göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılmalıdır.

İşverenlerce veri sorumlusu sıfatıyla çalışanlara kurumsal e-posta hesabı, cep telefonu, tablet, kurumsal hat gibi iletişim araçlarının tahsisi, izlenmesi ve incelenmesi süreçlerinde belirtilen ölçütler dikkate alınarak hukuka uygunluğun sağlanması elzemdir. Zira işveren tarafından kurumsal e-posta hesapları gibi iletişim araçlarında AYM kararlarındaki ölçütlere aykırı şekilde bir inceleme yapılması ve buradan elde edilen verilerin işçi aleyhine kullanılması, Kişisel Verilerin Korunması Kanunu uyarınca idari yaptırımları doğurabileceği gibi işverenin söz konusu fiilinin Türk Ceza Kanunu madde 132’deki “haberleşmenin gizliliğini ihlal” veya madde 134’deki “özel hayatın gizliliğini ihlal” gibi suçların kapsamına girmesi ihtimalini de barındırmaktadır.

Kişisel verileri koruma uyum programını yürütenlerin AYM Kararları ışığında şirket içi politikalarının, çalışanlara yönelik yapılan aydınlatma metinlerinin, bilgi güvenliği taahhütnamelerinin kapsamını, bilgilendirmelerin etkin ve ispatlanabilir yöntemlerle yapılıp yapılmadığını, periyodik yapılan eğitimlerin içeriklerine dahil edilmesi gibi uygulamalarının yeterliliğini ve etkinliğini gözden geçirmelerinde yarar görülmektedir.

Saygılarımızla,

Vahdet Deniz AKÇAOĞLU

“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”

5 Şubat 2021 tarihli Resmi Gazete’de yayımlanan 12 Ocak 2021 tarihli ve 2018/31036 Başvuru Numaralı AYM Kararı:

14 Ekim 2020 tarihli Resmi Gazete’de yayımlanan 17 Eylül 2020 tarihli ve 2016/13010 Başvuru Numaralı AYM Kararı:

10 Mayıs 2016 tarihli Resmi Gazete’de yayımlanan 24 Mart 2016 tarihli ve 2013/4825 Başvuru Numaralı Kararı: