Kişisel Veriler Makale

Çalışanın Kişisel Verilerinin ve Haberleşme Hürriyetinin Korunmasını İsteme Hakkı

Anayasa Mahkemesi’nin Kişisel Verilerin Korunması Hukuku ve İş Hukuku’nun birlikte değerlendirildiği  işçi ve işverenler için önemli bir kararı 14.10.2020 tarihinde Resmi Gazete’de yayınlandı. Söz konusu karara buradan ( https://www.resmigazete.gov.tr/eskiler/2020/10/20201014-5.pdf )  ulaşabilirsiniz. Konu karar, Anayasa Mahkemesi’ne yapılan bireysel bir başvuru üzerine verilmiş. Bu başvurunu konusu kısaca, özel bir şirkette çalışmakta olan başvurucu çalışanın kurumsal e-posta hesabı içeriğinin işveren tarafından incelenmesi ve bu inceleme sonrası mail yazışmaları gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle, işçinin özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiği iddialarına ilişkindir.

Söz konusu karara konu olay, kişisel verileri koruma mevzuatının yürürlüğe girmesinden önce meydan gelmiş olup, o tarihte yürürlükte olan mevzuata göre değerlendirilmesi gerekir. Ancak yine de kişisel verilerin korunması hukuku bakımından özellikle uygulayıcılar için yol gösteri niteliği mevcuttur.

Karara konu olayda başvurucu bir avukat ortaklığında avukat olarak çalışmaya başlamış ve başvurucuya ortaklık ismiyle “av.tr.” uzantılı kurumsal bir e-posta verilmiş. Bahsi geçen kurumsal e-posta bilgi, trafik ve içerikleri işverene ait sunucu üzerinde saklı tutulmuş. Başvurucu işyerinde beş kişilik bir ekipte görevli olup, yaşanan tartışma sonrasında ekipte görevli üç kişi yönetime şikâyet dilekçeleri vermiş. Dilekçelerde, bir buçuk yıldır ekip yöneticisi olan kişinin başvurucu ile ilişkisinde nesnelliği kaybettiği ve her olayda başvurucuyu destekleyip diğer ekip üyelerini zor durumda bıraktığı ayrıca başvurucunun ekip üyelerine kaba davrandığı ve ekipteki projelerin sağlıklı yürütülebilmesi için gerekli ortamın kaybolduğu iddiaları yer almış.  Başvurucu bu iddialara yanıt vermiştir. İşyerinde yönetim ile başvurucu arasında bu konuya ilişkin üç buçuk saat süren bir mülakat yapılmış. İşveren avukatlık ortaklığınca başvurucunun kurumsal e-posta yazışmaları incelenmeye alınmış ve inceleme sonucunda başvurucunun iş akdi feshedilmiş. Noter aracılığıyla gönderilen fesih bildiriminde, iddiaların araştırılması amacıyla işlerin sürekliliğinin sağlanması için kullanılan, her an kontrol edilebileceği de bilinen ve güvenlik nedeniyle kurumsal internet ortamında saklı tutulan e-posta yazışmalarının incelendiği yer almış. Başvurucu, işveren aleyhine iş mahkemesinde işe iade istemli tespit davası açmıştır.

Davacı çalışan, feshe gerekçe gösterilen tartışmayı kendisinin başlatmadığını, tartışma sırasında karşılıklı hakaret olmadığını ve ekip yöneticisinin araya girmesi ile tartışmanın sona erdiğini belirtmiş. Diğer yandan fesih nedeni olarak gösterilen e-posta yazışmalarına ilişkin olarak; o dönemdeki işlerin gerginliği ile söylenmiş olan ekip yöneticisi ile yaptığı şahsi ve dışarıya yansımayan görüşmeler olduğunu, savunma davet çağrısında ve sözlü savunma mülakatında bu e-postalar ile ilgili işverence soru sorulmadığını, geriye dönük inceleme yapılacak olsa benzer e-postaların diğer çalışanlar arasında da geçtiğinin tespit edilebileceğini ifade ederek iş akdinin feshinin kötü niyetli olduğunu, haklı bir gerekçeye dayanmadığını ileri sürmüş.

İşveren ise başvurucuyla aynı ekipte çalışan başka bir avukat arasında işyerinde tartışma yaşanması sonrasında ekip arkadaşlarının başvurucu ve ekip yöneticisi hakkında şikâyet dilekçeleri verdiği, çalışma ekibinde yaşanan sıkıntıların temelinde olayların değil söylemlerin ve ispatı neredeyse imkânsız olan anlık hareketlerin olması nedeniyle ekip yöneticisi kullanımındaki kurum e-posta hesabının incelendiği bu  incelemede ekip yöneticisi ile diğer ekip üyeleri arasında geçen yazışmalar ile sınırlı tutulduğu belirtilmiş. Yapılan incelemede başvurucunun ekip yöneticisine yönelik tehdit ve psikolojik taciz, diğer ekip arkadaşlarına yönelik ise hakaret içerikli mesajlarının tespit edildiği vurgulanarak ilgili mesaj içerikleri İş Mahkemesi’ne sunulmuş. Başvurucunun e-postasının incelendiği bu mesajların silindiğinin tespit edildiği, başvurucu ile sözlü savunma mülakatı gerçekleştirilmesine rağmen başvurucu ile ilgili iddiaların gerçek olup olmadığı yönünde somut veri olmaması nedeniyle e-postaların incelendiği, kurumsal e-posta olması nedeniyle başvurucunun e-postasının işveren tarafından her zaman incelenebileceği şeklinde savunma yapılmış.

İş Mahkemesi, başvurucunun tutum ve davranışları nedeniyle tartışma ve kavgalar yaşandığını, fesih sebeplerinin fesih bildiriminde açıkça yer aldığını, görevi gereği işverenin işlerini yürütmesi için verilen ve işveren tarafından da ulaşılabileceğini bildiği kurumsal mail adresini kullanmak suretiyle işverenin diğer çalışanlarına karşı hakarete varan sözler sarf ettiği vurgulanarak işçinin bir başka işçiye sataşmasının işveren açısından haklı fesih nedeni oluşturacağı ve işverence yapılan feshin yerinde olduğu sonucuna varmıştır.  Bu karar başvurucu tarafından temyiz edilmiş. Karardan anlaşıldığı kadarı ile, iş mahkemesi kişisel verilerle ilgili bir değerlendirme yapmamış.

Çalışan; kişisel hesaplar üzerinden gerçekleştirilen yazışmalardan oluşan e-postaların incelenerek iş akdinin fesih gerekçesi olarak gösterilmesiyle özel hayatın gizliliğinin ve haberleşme hürriyetinin ihlal edildiğini ve buna rağmen söz konusu mesajların İş Mahkemesi tarafından delil olarak değerlendirildiğini belirtmiş. Ayrıca kurumsal e-posta hesabının şifreli olduğunu, işyerinde çalışanlara e-posta yazışmalarının okunabileceğine dair bildirim yapılmadığı ve bu konuda çalışanların rızasının alınmadığını belirtmiş. Kararda görüldüğü üzere işverenin bu durumun aksine bir savunması mevcut olmayıp, sadece e-postaların okunabileceğinin bilinmesi gerektiğini iddia etmiştir. Başvurucu, dava konusu olayda e-posta yazışmalarının iki kişi arasındaki özel yazışmalardan ibaret olduğu vurgulamış. Temyiz cevabında işveren ise, yazışmaların şirket tarafından çalışanlar adına açılmış e-posta hesapları üzerinden gerçekleştirildiğini, bu e-posta adreslerinin herhangi bir şifresinin olmadığını, bu iletişim adreslerinden yapılan tüm mesajların işverene ait sunucuda depolandığını ifade ederek,  Yargıtay içtihatlarına yer verilerek işverenin işçiye tahsis ettiği bilgisayar ve kurumsal e-posta adreslerini her zaman denetleyebileceği vurgulanarak feshin haklı nedenlere dayandığı iddiası yinelenmiş. Yine karardan anlaşılabildiği kadar ile, Yargıtay e-mail içeriklerinin incelenmesinin hukuka uygun olup olmadığını kişisel verilerin korunması hukuku bakımından denetlemediği anlaşılıyor. Nitekim, Yargıtay ilk derece mahkemesi kararını onamıştır. Bunun üzerinde başvurucu çalışan Anayasa Mahkeme’sine bireysel başvuruda bulunmuştur.

Gelelim Anayasa Mahkemesi sürecine. Anayasa Mahkemesi bireysel başvuru incelemesinde işverenin yönetim yetkisi kapsamında kural olarak iletişim araçlarını denetleyebileceğini ve kullanıma ilişkin sınırlamalar öngörebileceğini ifade etmiş. Anayasa Mahkemesi, bu noktada –sınırlı sayıda olduğu belirtilmeksizin örnekseyerek- denetim ve sınırlamanın işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunmak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenleri halinde mümkün olabileceğini belirtmiş.

Anayasa Mahkemesi bir yandan haklı ve meşru sebeplerin olabileceğini belirtirken bunun sınırları olduğunu vurgulamaktadır.  Kararda ancak işverenin yönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanması halleriyle sınırlı olduğu vurgulanmış.  Anayasa Mahkemesi işverenin yetki ve haklarının sınırsız olmadığını, çalışana tanınan temel hak ve özgürlüklerin (Kararı konu olay bakımından haberleşme hürriyeti ve kişisel verilerin korunmasını isteme hakkının) işyeri sınırları dâhilinde de korunduğu, aynı zamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiği ifade etmiş.

Kararda işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul edilmemiş, aksi durumun işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacağı açıkça yer almış.

Devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesi’nin özellikle derece mahkemelerinin aşağıdaki güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerektiğine yer verilmiştir.  Bahsedilen bu güvenceler çalışanların kişisel verilerinin korunması bakımından yol gösterici niteliktedir. Anayasa Mahkemesince yargısal denetime tabi tutulması gerektiği belirtilen bu hususlar şöyle özetlenebilir:

  1. İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeler -ifa edilen işin ve işyerinin özellikleri de gözetilerek- olup olmadığı denetlenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılması gerektiği belirtilmiş. Anayasa Mahkemesi iletişim içeriklerinin incelenmesi yönünden daha ciddi gerekçeler aranması gerektiği belirtmektedir. Burada göze çarpan Anayasa Mahkemesi iletişim akışı ile iletişim içeriği arasında ayrım yapmış olduğu. Diğer yandan iletişim akışının denetlenmesinin daha rahat olacağı gibi bir sonuç ortaya çıkabilir. Hem ile iletişim akışı hem de içeriği için ciddi somut gerekçeler aranması gerekirdi.
  2. İkinci husus, iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmelidir.  Bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir.  Anayasa Mahkemesi bilgilendirmenin asgari çerçevesini çizmiştir. Buna göre; bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından;
    • iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları,
    •  denetlemenin ve veri işlemenin kapsamı,
    • verilerin saklanacağı süre,
    • veri sahibinin hakları,
    • denetlemenin ve işlemenin sonuçları ile
    • verilerin muhtemel yararlanıcıları ile
    • iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara

    yer verilmesi gerekir.

    Anayasa Mahkemesi, bilgilendirmenin mutlaka belli şekilde yapılması şart olmadığını, şeffaflığı sağlamak bakımından yukarıda belirtilen kapsamdan haberdar olma imkânı sağlayan uygun bir yöntem tercih edilebileceği belirtilerek, burada yöntem konusu işverene bırakılmış. Karar da bu konuda açıklık olmasa da elbette bu yöntemin somut, yazılı, ispat edilebilir ve şeffaf bir şekilde olması gerekir.

  3. Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olması gerektiği ve inceleme sonucu elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
  4. Müdahale için önemli bir kriter şu şekilde kararda ifade edilmiştir; aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalı. Ancak bu halde işveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilecektir.Yine bu noktada iletişim içeriğine yönelik bir başka kriterden bahsedilmiş. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı yargı tarafından denetlenmeli. Yani, işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden erişilme imkânı var mı yok mu dikkate alınmalı.
  5. İşveren tarafından çalışanın bahsi geçen haklarına müdahalenin orantılı olduğunun kabulü için, iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı. İşveren bu amacı aşacak şekilde sınırlama ya da müdahaleye yapmamalıdır. Yargılama esnasında bu kriterde denetlenecektir.
  6. Son olarak iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutulmalı. Tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılmalı. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti hâlinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabileceği Anayasa Mahkemesince belirtilmiş.

Anayasa Mahkemesi kararda, işverenin işçinin kullanımına sunulan iletişim araçlarını denetlemesi ve çalışanın kişisel verilerinin işlemesine ilişkin olarak 4857 sayılı İş  Kanunu’nda özel bir düzenleme olmadığı belirtilerek,  Anayasa’nın 20. ve 22. maddelerinde yer bulan özel hayata saygı ile kişisel verilerin korunmasını isteme hakları ve haberleşme hürriyetine ilişkin güvenceler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ile hukuk sistemimizde mevcut olan genel düzenlemelerin iş hukuku uyuşmazlıklarında uygulanması yönünde bir engel olmadığı yönünde bir  tespit yapmış.

Anayasa Mahkemesi az önce özetlediğimiz ilkeleri olaya şu şekilde uygulamış:

  • Kurumsal e-posta hesabının iletişim akışına ve içeriğine erişilecek şekilde kullanıma sunulmasının, somut olayda işyerinin yönetimi bakımından işlerin etkin bir şekilde yürütülmesini sağlama amacına yönelik meşru bir menfaat teşkil ettiği, ayrıca hedeflenen amacı sağlamaya elverişli bir yöntem olduğu,
  • çalışana açık bir bilgilendirmenin yapılmadığı hâllerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden yararlandırılması gerektiği,
  • işveren tarafından kurumsal e-posta hesabı üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirme yapılmadığı,
  • işverenin kişisel verilerin işlenmesinin hukuki dayanağı ve işlemenin amaçları, işlenecek verilerin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, işlemenin sonuçları ve verilerin muhtemel yararlanıcılarını gösterir bir bilgilendirme yapıldığını ortaya koyamadığı,
  • başvurucunun e-posta iletişiminin içeriğine erişilmesini zorunlu kılan bir durumun mevcut olduğunun işveren tarafından açıklanmadığı,
  • niçin e-posta içeriklerinin incelenmesinin zorunlu ve gerekli görüldüğü (aynı amaca ulaşılabilmesi bakımından tarafların şikâyet ve savunmalarının analizi, tanıkların dinlenilmesi, işyeri kayıtları ile yürütülen projelerin süreç ve sonuçlarının incelenmesi gibi araçlar da mevcut olduğu  halde) işveren tarafından açık bir şekilde ortaya konulamadığı gibi derece mahkemeleri tarafından da somut olayın bu yönüyle tartışılmamış olduğu,
  • işverenin yazışma içeriklerine başvurucunun rızası hilafına erişim sağladığı,  işyerindeki yöneticisi ile başvurucu arasında geçen yazışmalar dışında üçüncü kişilerle olan yazışmaların da incelendiği, ayrıca incelemeye dayanak gösterilen iddialarla sınırlı bir denetim yapılmayarak konu ile ilgili olup olmadığı belirsiz içeriklere de erişildiği ve bu içeriklerin de iş akdinin feshine dayanak yapıldığı, böylece çalışanın kişisel verisi kapsamında olan e-postaları ile ilgili olarak trafik bilgisi ile yetinilmediği gibi içeriklerine de kapsamı belirsiz olacak şekilde erişildiği ve bunların kullanıldığı,
  • bu gerekçelerle konu olaya ilişkin karar veren mahkemeler tarafından anayasal güvenceleri gözeten özenli bir yargılama yapılmadığı ve pozitif yükümlülüklerin yerine getirilmediği,
  • başvurucunun Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkı ile Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin ihlal edildiğine

karar verilmiştir.

Başvurucu’nun kişisel verilerin korunmasını isteme hakkı ile haberleşme hürriyetinin ihlal edildiğine karar verilerek kararın bir örneği yeniden yargılama yapılması için ilgili iş mahkemesine gönderilmiştir.

Sonuç olarak, Anayasa Mahkemesi bu kararı ile çalışan işveren ilişkisinde kişisel verilerle ilgili mevzuat uyarınca, kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyeti hakkı kapsamında bazı kriterler ortaya koymuştur. Kararda çalışana yönelik iletişimin denetlenmesinin, işverenlerin ilgili çalışanları denetime ilişkin olarak önceden bilgilendirmeleri, temel hak ve hürriyetler ile denetimin çalışan üzerindeki sonuçlarını gözetip bunlar arasında bir denge öngörülmesi, denetimin amacının belirli, amaçla bağlantılı, sınırlı ve ölçülü bir şekilde yapılması ve amaca başka yöntemlerle ulaşılıp ulaşılamayacağının öncelikle mutlaka değerlendirilmesi gerektiği sonucu çıkmaktadır.  İşverenlerin çalışanların kurumsal e-maillerine ilişkin keyfi denetim yapamayacağı kararda net olarak ortaya çıkıyor. Böylelikle, Anayasa Mahkemesi kişisel verilerin korunması hukuku bakımından önemli bir içtihat oluşturmuştur.


Bu yazı Friedrich-Ebert-Stiftung (FES) Derneği Türkiye Temsilciliği’nin katkıları ile hazırlanmıştır. Bu yazıda yer alan görüşler FES Derneği Türkiye Temsilciliği’nin görüşlerini temsil etmez.

İlginizi çekebilir:  Koronavirüs Nedeniyle Evden Çalışanlar İçin 5 Güvenlik İpucu