1.GİRİŞ
Günümüzde iş sözleşmeleri yapılırken ekseriyetle işverenin sağladığı bilgisayar, telefon, kurumsal e-posta hesabı gibi iletişim araçlarının kullanımına ve işverenin bu araçlar üzerindeki denetimine dair hükümler konulmaktadır. İşverenin iletişim araçlarını denetlemesi Türk Borçlar Kanunu’nun 399. maddesinde düzenlenen işçinin düzenleme ve talimatlara uyma borcuna dayanmaktadır. Ancak bu denetim hakkı sınırsız değildir ve işçinin temel hak ve özgürlükleri çerçevesinde sınırlanır.
Bu haklardan biri olan kişisel verilerin korunmasını isteme hakkı beyaz yaka suçlarıyla mücadele ederken gerek gözetim ve denetim hakkı kapsamında suçu önlemeye yönelik faaliyetlerde, gerekse suç oluştuktan sonraki soruşturma ve kovuşturma evrelerinde önem kazanmaktadır.
Bu makalemizde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 25/11/2021 tarihli ve 2021/1187 sayılı Kararını işverenin çalışanlar üzerindeki denetim hakkı ve kişisel veri sahibinin kişisel verisini koruma hakkı arasında denge kurarken yararlanılacak ölçütler kapsamında incelemeye çalışacağız.
2.KARARIN İNCELENMESİ
İlgili karara konu işyerinde çalıştığı süre boyunca rakip firmalara iş kaydırarak işyerini ciddi zarara uğrattığı iddia edilen eski bir çalışanla işveren arasında süregelen sekiz adet dava ve ceza soruşturması bulunmaktadır.
İlgili başvuru veri sorumlusu işverenin, eski işçisinin kurumsal e-posta adresinden yapmış olduğu yazışmalara aydınlatma yapmadan erişmesi hakkındadır. İlgili kişi başvurusunda veri sorumlusunun karşı taraf olduğu bir davada, dosyaya sunulan delil listeleri içeriğinde kendisinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcamaların kayıtlarına erişim sağlandığını gördüğünü beyan etmiştir.
Veri sorumlusu işveren kurumsal e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren bir açıklama veya bildirim yapmamış ve bu e-posta adresine dair denetim kriterlerini de belirlememiştir.
Kararda Kurul, Anayasa Mahkemesinin 17/09/2020 tarihli, 2016/13010 başvuru numaralı kararından; 12.01.2021 tarihli, 2018/31036 başvuru numaralı kararından ve Avrupa İnsan Hakları Mahkemesinin Bărbulescu/Romanya Kararı’ndan alıntılar yaparak işverenin iletişim araçlarındaki denetimi ile kişisel verilerin korunması hakkını karşılaştırırken kullanılması gereken ölçütleri göstermiştir.
2.1. Anayasa Mahkemesi Kararlarındaki Ölçütler
Bu ölçütler bağlamında öncelikle iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiği ve işçinin bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediğine bakılmalıdır. Bu bilgilendirme iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçlarını kapsamalıdır.
İşverenin iletişim araçları üzerindeki gözetleme ve denetleme yetkisinin sınırsız ve mutlak bir yetki olmadığından işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisinin varlığı hesaba katılmalıdır.
Anayasa Mahkemesi’nin kararlarında bilgilendirmenin yapılmadığı durumlarda temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceği işveren tarafından öngörülebilecek bir durum olarak değerlendirilmiştir.
İşçinin temel haklarına yönelik müdahaleye neden olan meşru amacın müdahale ile ölçülü ve orantılı olması gerekmektedir. Bu kapsamda işverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin meşru gerekçeleri olup olmadığının tespit etme ve işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır.
Ayrıca iletişim araçları üzerinde yapılan denetimin iletişim akışının incelenmesi kapsamında mı yoksa iletişim içeriklerinin incelenmesi kapsamında mı olduğu hususu incelenmeli ve içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
İşçinin kişisel verilerinin korunmasını isteme hakkına ve haberleşme özgürlüğüne yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir. Bu amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı ve müdahale, ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine ilişkin denetim yapılması yerine amacı gerçekleştirebilecek ve onun kişisel verilerine daha az müdahale edecek başka bir tedbirin mümkün olup olmadığı incelenmelidir.
Müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalıdır.
2.2. AİHM Kararındaki Ölçütler
Avrupa İnsan Hakları Mahkemesi ise ilgili kararında Anayasa Mahkemesi kararında olduğu gibi çalışanın yazışmalarını ve diğer iletişimini izlemek için işveren tarafından kendisine bir ön bildirim yapılıp yapılmadığı hususunun değerlendirilmesi gerektiğini vurgulamıştır.
Müdahalede bulunan iletişimin denetlenmesi faaliyetinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesinin belirlenmesi gerekmektedir. Bu bağlamda iletişimin akışının denetlenmesi ile iletişimin içeriğinin denetlenmesinin farklı olgular olduğu değerlendirilmelidir. İletişimin içeriğinin denetiminin iletişimin akışının denetlenmesinden daha net bir gerekçelendirme gerektirmektedir.
İşverenin söz konusu müdahalesi kapsamında meşru menfaatinin olup olmadığı tespit edilmelidir. Daha az müdahaleci yöntem ve tedbirler varken daha müdahaleci tedbir ve yöntemlerin kullanılıp kullanılmadığı ve denetleme faaliyetinin sonuçlarının işveren tarafından elde etme amacına uygun kullanılıp kullanılmadığı değerlendirilmelidir.
2.3. Hüküm
Anayasa Mahkemesi’nin ve Avrupa İnsan Hakları Mahkemesi’nin kararlarında belirtilen ölçütler dikkate alındığında, söz konusu kurumsal e-posta hesabının sadece iş faaliyetleri çerçevesinde kullanılacağına ya da işveren tarafından e-postaların içeriklerinin incelenebileceğine dair Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında bir bildirim yapılması gerektiği değerlendirilmiş ve somut olayda bu yükümlülüğün yerine getirilmediği tespit edilmiştir.
İlgili kişiye aydınlatma yapılmaması nedeniyle veri sorumlusu işveren tarafından ilgili kişinin e-postalarının içeriklerinin incelenmesinin Kanun’un 5. maddesinde düzenlenen veri işleme şartlarından hiçbirine dayanmadığı anlaşıldığından 12. maddede düzenlenen veri güvenliğine ilişkin yükümlülüklerin ihlal edildiğine karar verilmiş ve veri sorumlusu işveren için idari para cezasına hükmedilmiştir.
3. SONUÇ
İşverenin iletişim araçları üzerinde denetim sağlama yetkisi işçi ile işveren arasındaki sözleşmeye dayansa da sınırsız bir hak değildir ve işçinin temel hak ve özgürlükleri tarafından sınırlanır.
Bu hakkın kullanılmasında bu hak ile işçinin temel hak ve özgürlükleri arasında bir denge kurulmalı ve Karar’da bahsedilen ölçütlerden yararlanılmalıdır. İşçiye gerekli bilgilendirme iletişim aracının kullanılma kapsamı ve veri sorumlusunun aydınlatma yükümlülüğü kapsamında asgari unsurları içerecek şekilde yapılmalıdır. Aksi halde kişisel verileri koruma hukuku açısından ihlaller doğabilmekte ve idari yaptırımların uygulanmasını gerektirebilmektedir.
Stj. Av. Selin Aytaç
Ocak 2024
Öztürk & Kuru Avukatlık Ortaklığı
KAYNAKLAR
1. Kişisel Verileri Koruma Kurulunun 25/11/2021 tarihli ve 2021/1187 sayılı Kararı
2. Kişisel Verileri Koruma Kurumunun Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi