Çalışana Ait Kurumsal E-Posta Hesabının İşverence Denetimi

Çalışana Ait Kurumsal E-Posta Hesabının İşverence Denetimi


İşverenlerin, iş faaliyetlerine yönelik çalışanlarına tanımladığı ve tahsis ettiği kurumsal mail hesaplarının içeriğinin işverence kontrol edilip  edilmeyeceği hususu anayasal anlamda güvence altına alınan özel hayata saygı hakkı kapsamında kişisel verilerin korunması isteme hakkı ve haberleşme hürriyeti kapsamında  önemli bir konudur. Bu husus  kişisel verilerin işlenmesi ve korunması süreçlerine ilişkin de önemli konulardan birini oluşturmaktadır.Bu kapsamda konuyla ilgili  Anayasa Mahkemesi’nin (AYM) verdiği  12/01/2020 tarih  2018/31036 başvuru numaralı  kararı  5 şubat 2021  Tarihinde resmi gazetede yayımlandı.  Ayrıca bahse konu e-posta hesaplarının işverence denetimine  ilişkin  yine 14 ekim 2020  tarihinde de Anayasa Mahkemesi’nin verdiği bir başka kararın daha resmi gazetede yayımlandığını belirtmek isteriz.

 

Çalışanın Kurumsal Mail Yazışmaların Denetlendiği Karara Konu Olayın Arka Planı

Başvurucu tarafından eşi adına bir şirket kurulduğu, ve banka çalışanı başvurucunun kurumsal mail hesabı üzerinden bu şirkete ilişkin çeşitli yazışmalar yaptığı, ilgili kurumsal mail üzerinden çeşitli bankalarla kredi pazarlığı yürüttüğü, işyerinin stokunda bulunan bazı dokümanların başvurucu tarafından kurumsal mailinden kişisel mailine gönderildiği işveren banka tarafından tespit edilmiştir. Bunun üzerine banka tarafından başvurucunun savunması alınmış, başvurucunun mesai saatleri içerisinde bankadaki göreviyle bağdaşmayacak şekilde  eşinin işlerine dair faaliyette bulunduğu, kendi nam ve hesabına ticari faaliyette bulunduğu, bu durumun iş akışını bozduğu  tespit edilerek başvurucunun yazılı bildirim yoluyla iş akdi işverence geçerli nedenle feshedilmiştir. Başvurucu tarafından ise buna istinaden işe iade davası açılmışsa da yerel mahkemece dava reddedilmiş akabinde başvurucunun yaptığı istinaf başvurusu da reddedilerek karar kesinleşmiştir.

 

Başvurucunun Bireysel Başvurudaki İddiası

Başvurucu tarafından yapılan bireysel başvuruda kurumsal mail hesabındaki yazışmaların işverence, kendisine herhangi bir bilgilendirme yapılmadan ve rızası alınmadan incelendiğini, bu içeriklerin incelenmesinin ve mahkemece bu yazışmaların hükme esas alınmasının hukuka aykırı olduğunu, ilgili yazışmaların işverence incelenmesinde özel hayata saygı ve haberleşme hürriyetinin ihlal edildiği ileri sürülmüştür.

 

Anayasa Mahkemesi Kararı’nın  Özeti

5 şubat 2021 tarihinde yayımlanan kararında Anayasa mahkemesi(AYM), öncelikle başvurucu tarafından yapılan hukuki nitelendirmeyle bağlı olmadığını başvurucunun kurumsal mail içeriğinin denetlenmesinin ve geriye dönük inceleme yaparak bilgilere erişilmesinde  özel hayata saygı hakkı kapsamında kişisel verilerin korunması isteme hakkı ve haberleşme hürriyeti yönünden incelenmesi gerektiğini belirtmiştir. Kararda AYM çalışana ait kurumsal mail yazışmalarının  içeriğinin  işverence denetlenebilmesine yönelik genel ilkelerden söz etmiş daha sonra ise bu genel ilkelerin olaya uygulanması bağlamındaki hususları ele almıştır. Kararda Ele Alınan  Kişisel Veriler bakımından Genel İlkeler Özetle:

1-İşverenin işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle yönetim yetkisi kapsamında çalışanın kullanımına sunduğu iletişim araçlarını denetleyebileceğini ancak bunun temel hak ve özgürlükleri zedelemeyecek nitelikte sınırlı olmalıdır

2-Çalışana ait mail yazışmalarının işverence denetlenmesinin meşru bir amacının olup olmadığını bakılması gerekir.

3-Kişisel Verilerin işlenmesi sürecinin şeffaf bir şekilde yerine getirilmesi gerekir.

4-Çalışanın veri işleme konusunda işverence önceden bilgilendirilmesi veri işleme süresi, veri işlemedeki amaçlar gibi, veri sahibi çalışanın  bir takım konularda çalışanı aydınlatılması gerekir.

5-İşçinin kişisel verilerinin korunmasını isteme hakkıyla haberleşme özgürlüğü hakkına müdahalede ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye yönelik olmalıdır.

6-Veri işleme faaliyeti  ulaşılmak istenen bu  amaçlarla sınırlı olmalıdır.

 

Karara Konu  Olaya İlişkin Mahkeme’nin Değerlendirmesi ve Kararı

Anayasa Mahkemesi verdiği kararda,  başvuru çalışanın kurumsal e-posta hesabının işverence iş akışını denetlemek amacıyla erişilebilmesinin işverenin yönetim hakkı kapsamında olduğunu meşru menfaati teşkil ettiği belirtilmiştir. Karada ayrıca işverence yapılan bu denetlemeye ilişkin çalışanın  önceden açıkça bilgilendirilmesi gerektiğinden söz edilmektedir. İşveren tarafından da olayda başvurucu çalışanın e-posta yazışmaları gibi bu verilerin işleneceğine ve denetleneceğine yönelik önceden açıkça bilgilendirildiği iş akdinde bu hususlara yer verildiği belirtilmiştir. Son olarak mahkeme işverence yapılan bu müdahalenin kapsam itibariyle sınırlı olduğunu yalnızca işverenin mesai saatlerinde başka bir işte çalıştığı konusunda iddialarını ispatlamak için bu mail yazışmalarını yargı aşamasında kullandığını ve işverenin amaca uygun bir denetleme yaptığını belirtmiştir. Mahkeme bu kapsamda başvurucunun Anayasa Madde 20 de düzenlenen özel hayata saygı kapsamında kişisel verilerin korunmasını isteme ve Anayasa Madde 22 de haberleşme hürriyetinin ihlal edilmediğine karar vermiştir.

Anayasa Mahkemesi’nin bu ilkelere paralel olarak yine 14 ekim 2020 tarihinde resmi gazetede yayımlanan bir başka kararında da açıkça bilgilendirme yapılmadan çalışanın kurumsal mailindeki yazışmalarının içeriğinin denetlenmesinin hukuka aykırı olduğu ve amacı aşar nitelikte sınırsız bir inceleme yapıldığından bahisle hak ihlali kararı verildiğini de belirtmek isteriz.

 

AYM’nin Verdiği Kararın Kişisel Verilerin Korunması Süreçleri Kapsamında Kanaatimizce Önemi
 

Bilindiği üzere 6698 sayılı  Kişisel Verilerin Korunması Kanunu  kapsamında veri işleyen veri sorumlularına aydınlatma yükümlülüğü getirilmiş bu kapsamda verisi işlenen kişilerin işlenen veriler konusunda önceden aydınlatılması öngörülerek çeşitli düzenlemeler öngörülmüştür. Bu hususun spesifik örneklerinden biri de iş ilişkisi çerçevesinde çalışanlara ait kişisel verilerin veri sorumlusu işverence işlenmesi hususudur. Kararda bu kapsamda işçiye/çalışana ait kurumsal mail yazışmalarının bir kişisel veri olması ve bunun da işverence işlenmesinin belirli şartların varlığı  doğrultusunda mümkün olduğu ortaya konulmuştur. Kararın, özel hayata müdahale sayılabilecek kadar sınırda sayılabilecek bu verilerin işlenebilmesinin koşullarının  ne ölçüde hukuka aykırı olmayacağına ve anayasal anlamda güvence altına alınan hakların ihlal edilmeyeceğine yer  verilmesine yönelik detayların bulunması sebebiyle önemli olduğunu düşünmekteyiz. Ayrıca bu verilerin işlenebilmesinde ortaya konulan kriterler ve ele alınan hususlar Kişisel Verilerin Korunması Kanunu’nda hüküm altına alınan maddelerle de paralellik arz etmektedir, Bu paralelliklere kısaca yer vermek gerekirse,  veri sorumlusu işverenin, çalışana ait  kişisel verileri işlemeden önce KVKK madde 10’da hüküm altına alınan aydınlatma yükümlülüğüne benzer bir yükümlülüğün olduğuna kararda  yer verilmiş, yine karar ele alınırken tıpkı  kişisel verileri korunması  kanunun 4. Maddesinde belirtilen  veri işlemede uyulması zorunlu olan  genel ilkelere paralel bir takım genel ilkeler ortaya konulmuş ve bu ilkelerin somut olaya uygulanışı ele alınmış, KVKK 5. Maddesinde belirtilen kişisel veri işleme şartlarına paralel doğrultuda  kişisel verilerin işlenebileceği   ortaya konulmuştur.

GERİ DÖNÜN