İşverenlerin, iş faaliyetlerine yönelik çalışanlarına tanımladığı ve tahsis ettiği kurumsal mail hesaplarının içeriğinin işverence kontrol edilip edilmeyeceği hususu anayasal anlamda güvence altına alınan özel hayata saygı hakkı kapsamında kişisel verilerin korunması isteme hakkı ve haberleşme hürriyeti kapsamında önemli bir konudur. Bu husus kişisel verilerin işlenmesi ve korunması süreçlerine ilişkin de önemli konulardan birini oluşturmaktadır.Bu kapsamda konuyla ilgili Anayasa Mahkemesi’nin (AYM) verdiği 12/01/2020 tarih 2018/31036 başvuru numaralı kararı 5 şubat 2021 Tarihinde resmi gazetede yayımlandı. Ayrıca bahse konu e-posta hesaplarının işverence denetimine ilişkin yine 14 ekim 2020 tarihinde de Anayasa Mahkemesi’nin verdiği bir başka kararın daha resmi gazetede yayımlandığını belirtmek isteriz.
Çalışanın Kurumsal Mail Yazışmaların Denetlendiği Karara Konu Olayın Arka Planı
Başvurucu tarafından eşi adına bir şirket kurulduğu, ve banka çalışanı başvurucunun kurumsal mail hesabı üzerinden bu şirkete ilişkin çeşitli yazışmalar yaptığı, ilgili kurumsal mail üzerinden çeşitli bankalarla kredi pazarlığı yürüttüğü, işyerinin stokunda bulunan bazı dokümanların başvurucu tarafından kurumsal mailinden kişisel mailine gönderildiği işveren banka tarafından tespit edilmiştir. Bunun üzerine banka tarafından başvurucunun savunması alınmış, başvurucunun mesai saatleri içerisinde bankadaki göreviyle bağdaşmayacak şekilde eşinin işlerine dair faaliyette bulunduğu, kendi nam ve hesabına ticari faaliyette bulunduğu, bu durumun iş akışını bozduğu tespit edilerek başvurucunun yazılı bildirim yoluyla iş akdi işverence geçerli nedenle feshedilmiştir. Başvurucu tarafından ise buna istinaden işe iade davası açılmışsa da yerel mahkemece dava reddedilmiş akabinde başvurucunun yaptığı istinaf başvurusu da reddedilerek karar kesinleşmiştir.
Başvurucunun Bireysel Başvurudaki İddiası
Başvurucu tarafından yapılan bireysel başvuruda kurumsal mail hesabındaki yazışmaların işverence, kendisine herhangi bir bilgilendirme yapılmadan ve rızası alınmadan incelendiğini, bu içeriklerin incelenmesinin ve mahkemece bu yazışmaların hükme esas alınmasının hukuka aykırı olduğunu, ilgili yazışmaların işverence incelenmesinde özel hayata saygı ve haberleşme hürriyetinin ihlal edildiği ileri sürülmüştür.
Anayasa Mahkemesi Kararı’nın Özeti
5 şubat 2021 tarihinde yayımlanan kararında Anayasa mahkemesi(AYM), öncelikle başvurucu tarafından yapılan hukuki nitelendirmeyle bağlı olmadığını başvurucunun kurumsal mail içeriğinin denetlenmesinin ve geriye dönük inceleme yaparak bilgilere erişilmesinde özel hayata saygı hakkı kapsamında kişisel verilerin korunması isteme hakkı ve haberleşme hürriyeti yönünden incelenmesi gerektiğini belirtmiştir. Kararda AYM çalışana ait kurumsal mail yazışmalarının içeriğinin işverence denetlenebilmesine yönelik genel ilkelerden söz etmiş daha sonra ise bu genel ilkelerin olaya uygulanması bağlamındaki hususları ele almıştır. Kararda Ele Alınan Kişisel Veriler bakımından Genel İlkeler Özetle:
1-İşverenin işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle yönetim yetkisi kapsamında çalışanın kullanımına sunduğu iletişim araçlarını denetleyebileceğini ancak bunun temel hak ve özgürlükleri zedelemeyecek nitelikte sınırlı olmalıdır
2-Çalışana ait mail yazışmalarının işverence denetlenmesinin meşru bir amacının olup olmadığını bakılması gerekir.
3-Kişisel Verilerin işlenmesi sürecinin şeffaf bir şekilde yerine getirilmesi gerekir.
4-Çalışanın veri işleme konusunda işverence önceden bilgilendirilmesi veri işleme süresi, veri işlemedeki amaçlar gibi, veri sahibi çalışanın bir takım konularda çalışanı aydınlatılması gerekir.
5-İşçinin kişisel verilerinin korunmasını isteme hakkıyla haberleşme özgürlüğü hakkına müdahalede ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye yönelik olmalıdır.
6-Veri işleme faaliyeti ulaşılmak istenen bu amaçlarla sınırlı olmalıdır.
Karara Konu Olaya İlişkin Mahkeme’nin Değerlendirmesi ve Kararı
Anayasa Mahkemesi verdiği kararda, başvuru çalışanın kurumsal e-posta hesabının işverence iş akışını denetlemek amacıyla erişilebilmesinin işverenin yönetim hakkı kapsamında olduğunu meşru menfaati teşkil ettiği belirtilmiştir. Karada ayrıca işverence yapılan bu denetlemeye ilişkin çalışanın önceden açıkça bilgilendirilmesi gerektiğinden söz edilmektedir. İşveren tarafından da olayda başvurucu çalışanın e-posta yazışmaları gibi bu verilerin işleneceğine ve denetleneceğine yönelik önceden açıkça bilgilendirildiği iş akdinde bu hususlara yer verildiği belirtilmiştir. Son olarak mahkeme işverence yapılan bu müdahalenin kapsam itibariyle sınırlı olduğunu yalnızca işverenin mesai saatlerinde başka bir işte çalıştığı konusunda iddialarını ispatlamak için bu mail yazışmalarını yargı aşamasında kullandığını ve işverenin amaca uygun bir denetleme yaptığını belirtmiştir. Mahkeme bu kapsamda başvurucunun Anayasa Madde 20 de düzenlenen özel hayata saygı kapsamında kişisel verilerin korunmasını isteme ve Anayasa Madde 22 de haberleşme hürriyetinin ihlal edilmediğine karar vermiştir.
Anayasa Mahkemesi’nin bu ilkelere paralel olarak yine 14 ekim 2020 tarihinde resmi gazetede yayımlanan bir başka kararında da açıkça bilgilendirme yapılmadan çalışanın kurumsal mailindeki yazışmalarının içeriğinin denetlenmesinin hukuka aykırı olduğu ve amacı aşar nitelikte sınırsız bir inceleme yapıldığından bahisle hak ihlali kararı verildiğini de belirtmek isteriz.
AYM’nin Verdiği Kararın Kişisel Verilerin Korunması Süreçleri Kapsamında Kanaatimizce Önemi
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri işleyen veri sorumlularına aydınlatma yükümlülüğü getirilmiş bu kapsamda verisi işlenen kişilerin işlenen veriler konusunda önceden aydınlatılması öngörülerek çeşitli düzenlemeler öngörülmüştür. Bu hususun spesifik örneklerinden biri de iş ilişkisi çerçevesinde çalışanlara ait kişisel verilerin veri sorumlusu işverence işlenmesi hususudur. Kararda bu kapsamda işçiye/çalışana ait kurumsal mail yazışmalarının bir kişisel veri olması ve bunun da işverence işlenmesinin belirli şartların varlığı doğrultusunda mümkün olduğu ortaya konulmuştur. Kararın, özel hayata müdahale sayılabilecek kadar sınırda sayılabilecek bu verilerin işlenebilmesinin koşullarının ne ölçüde hukuka aykırı olmayacağına ve anayasal anlamda güvence altına alınan hakların ihlal edilmeyeceğine yer verilmesine yönelik detayların bulunması sebebiyle önemli olduğunu düşünmekteyiz. Ayrıca bu verilerin işlenebilmesinde ortaya konulan kriterler ve ele alınan hususlar Kişisel Verilerin Korunması Kanunu’nda hüküm altına alınan maddelerle de paralellik arz etmektedir, Bu paralelliklere kısaca yer vermek gerekirse, veri sorumlusu işverenin, çalışana ait kişisel verileri işlemeden önce KVKK madde 10’da hüküm altına alınan aydınlatma yükümlülüğüne benzer bir yükümlülüğün olduğuna kararda yer verilmiş, yine karar ele alınırken tıpkı kişisel verileri korunması kanunun 4. Maddesinde belirtilen veri işlemede uyulması zorunlu olan genel ilkelere paralel bir takım genel ilkeler ortaya konulmuş ve bu ilkelerin somut olaya uygulanışı ele alınmış, KVKK 5. Maddesinde belirtilen kişisel veri işleme şartlarına paralel doğrultuda kişisel verilerin işlenebileceği ortaya konulmuştur.