Yazıda Neler Var
İşveren Kurumsal e-posta içeriğini inceleyebilir mi?
İşyerlerinde artık en önemli iletişim aracı e-posta ile iletişim haline gelmiştir, gün geçtikçe e-postanın gücü artmakta mahkemelere delil olarak kullanılmakta, hatta artık kep adresine gelen postalar tebligat olarak kabul edilmektedir. Bu yazımızda bir çalışanın kurumsal e-postalarının içeriğinin işveren tarafından incelenmesi ve bu inceleme sonucu elde edilecek bulguların kişisel veri olup olmadığı işverenin bu bilgileri işçi aleyhine kullanıp kullanamayacağı üzerine verilen anayasa mahkemesi kararından bahsedilecektir.
Olay;
Çalışan Avukatlık Ortaklığında avukat olarak çalışmaya başlamış, çalışana ortaklık ismiyle “av.tr” uzantılı kurumsal bir e-posta verilmiştir. Kurumsal e-posta bilgi, trafik ve içerikleri işverene ait sunucu üzerinde saklı tutulmaktadır. İşyerinde tartışma çıkar ve diğer çalışanlar dava konusu çalışanı kendilerine kaba davrandığı konusunda işverene şikayet ederler. Bunun üzerine çalışanın kurumsal yazışmaları işveren tarafından incelemeye alınır ve bu inceleme sonucunda çalışanın iş akdi feshedilir.
Karar Özeti;
Anayasa mahkemesi kararında özet olarak şu hususlardan bahsetmiştir;
- Çalışanlara iş aracı olarak verilmiş ekipman ve dijital ortamlara işverenin erişebilme ve denetleme şartları olarak;
-
- İşlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak,
- İşçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunmak,
- Verimliliği ölçmek
- Güvenlik endişeleri gibi durumların oluşması, gerekmektedir.
-
- İşverenin meşru gerekçelerinin olması gerekmektedir.
- İncelemenin ölçülü olması(incelemenin başka yollarla sonuçlandırma imkanı olmaması ve veri akışının denetlenmesinin yeterli olduğu durumlarda veri içeriğinin incelenmemesi) gerekmektedir.
- Şeffaf bir denetimin olması işverenin denetim öncesi bilgilendirmesi,(bilgilendirmede en az en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçlan ile verilerin muhtemel yararlanıcıları hususlarının bulunması)gerekmektedir.
- Yapılan incelemenin amaca uygun olması(gerekli verilerin bulunmadığı incelemeden önce bilinen yerlerin incelenmemesi)gerekmektedir.
- İncelemenin çalışan üzerindeki etkisi ve çalışan bakımından sonuçları ile inceleme sonucunda elde edilecek bilgilerin önemi orantılı olması gerekmektedir.
Anayasa Mahkemesi Kararının Önemli Kısımları
İşverenin işçinin iletişimini denetlemesi yetkisini kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyeti bağlamında devletin pozitif yükümlülükleri kapsamında irdelemek gerekmektedir. Öncelikle somut olayda olduğu gibi teknolojik gelişmelerin imkânlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır. Bu bağlamda işveren ile çalışan arasındaki ilişkinin iki taraf açısından da belirli hak ve yükümlülükler öngören ve esasen güven ilişkisi üzerine kurulu iş sözleşmesiyle şekillendiği unutulmamalıdır. Somut uyuşmazlığın ilgili olduğu iş hukukunun dinamik bir niteliğinin olduğu, ayrıca iş ilişkilerinin genel kurallardan farklı, kendine özgü bazı hukuki kurallar içerdiği de dikkate alınmalıdır.
Bu bağlamda;
- İşlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak,
- İşçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunmak,
- Verimliliği ölçmek
- Güvenlik endişeleri
gibi haklı ve meşru görülebilecek nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği söylenebilir.
Ancak işverenin yönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olduğu unutulmamalıdır. Bu bağlamda işverenin yetki ve haklarının sınırsız olmadığı, çalışana tanınan temel hak ve özgürlüklerin somut olayda haberleşme hürriyeti ve kişisel verilerin korunmasını isteme hakkının işyeri sınırları dâhilinde de korunduğu, aynı zamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiği vurgulanmalıdır. Bu çerçevede işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.
İşverenin Vermesi Gereken Güvenceler
Tüm bu açıklamalar çerçevesinde devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde- aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini İncelemesi gerekir
- İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
- Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçlan ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkânı sağlayan uygun bir yöntem tercih edilebilir.
- Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
- İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkânı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
- İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
- Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir.
Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti hâlinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir.
Öncelikle işverenin işçinin kullanımına sunulan iletişim araçlarını denetlemesi ve çalışanın kişisel verilerinin işlemesine ilişkin olarak 4857 sayılı Kanunda özel bir düzenleme olmadığı görülmüştür.
Ancak Anayasanın 20. ve 22. maddelerinde yer bulan özel hayata saygı ile kişisel verilerin korunmasını isteme hakları ve haberleşme hürriyetine ilişkin güvenceler ile 6698 sayılı Kanun ile hukuk sistemimizde mevcut olan genel düzenlemelerin (bkz. §§ 22-29) iş hukuku uyuşmazlıklarında uygulanması yönünde bir engel olmadığı gözetildiğinde yasal altyapı oluşturmak bağlamında pozitif yükümlülüklerin yerine getirilmiş olduğu söylenebilir.
Meşru Menfaat
Çok sayıda çalışanı olduğu ve kurumsal olarak avukatlık hizmeti verdiği anlaşılan işverenin çalışanlarına kurumsal e-posta hesabı oluşturmak suretiyle kişisel verileri işlemesinin ve iletişim akışını denetim altında tutmasının işlerin etkin bir şekilde yürütülmesini sağlama amacına yönelik olduğu anlaşılmaktadır. Bu durumda kurumsal e-posta hesabının İletişim akışına ve içeriğine erişilecek şekilde kullanıma sunulmasının somut olayda işyerinin yönetimi bakımından meşru bir menfaat teşkil ettiği, ayrıca hedeflenen amacı sağlamaya elverişli bir yöntem olduğu söylenebilir.
Başvuru konusu olayda işveren yargılama aşamasında, disiplin soruşturması sırasında yapılan incelemede başvurucunun e-posta hesabında mesajların silindiğinin tespit edilmesi üzerine ekip lideri ….nin e-postasının incelenmesiyle başvurucunun iş akdinin feshine dayanak olan mesajlarının elde edildiğini beyan etmiştir. Başvurucu, işverenin tespit etliği mesajların incelenen binlerce mail içinden seçilen, işveren tarafından okunmayacağı beklentisiyle yazılan kişisel yazışmalar olduğunu ileri sürmüştür. Mahkemeye işveren tarafından sunulan e-posta mesajlarının başvurucu ile ekip yöneticisi arasında geçen ve genel olarak birbirleriyle ve işyeri ile ilgili düşüncelerin açıklandığı, yer yer tartışma şeklindeki diyaloglardan oluştuğu anlaşılmaktadır.
İnceleme Öncesi Yapılacak Bilgilendirme
Öncelikle e-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hâllerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradan hareketle çalışana açık bir bilgilendirmenin yapılmadığı hâllerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden yararlandırılması gerektiği söylenebilir.
Somut olayda başvurucunun yazılı olmayan iş sözleşmesi kapsamında görev yaptığı, yargılama sürecinde işverenin kurumsal e-postayı inceleme yetkisi ile kapsamını gösteren bir bildirimin başvurucuya yapıldığına ilişkin bilgi ve belge sunmadığı hususları gözetildiğinde işveren tarafından kurumsal e-posta hesabı üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirme yapılmadığı anlaşılmaktadır, öte yandan e-posta iletişim içerikleri gerekçe gösterilerek başvurucunun iş akdi feshedilmiştir. Ancak işveren davalı taraf olarak yargılama sürecinde kişisel verilerin işlenmesinin hukuki dayanağı ve işlemenin amaçları işlenecek verilerin kapsamı verilerin saklanacağı süre, veri sahihinin hakları, işlemenin sonuçları ve verilerin muhtemel yararlanıcılarını gösterir bir bilgilendirme yapıldığını ortaya koyamamıştır. Bu bağlamda yargılama sürecinde feshin temel sebebini oluşturan e-posta iletişimine yönelik olarak böyle bir bilgilendirmenin yapılıp yapılmadığı derece mahkemelerince tartışılmamış, başvurucunun kendisi alenileştirmediği hâlde onun rızası alınmadan ve önceden bir bilgilendirme yapılmadan e-posta içeriklerine erişildiği yönündeki esaslı iddialarının karşılanmadığı anlaşılmıştır.
Ayrıca başvurucunun çalışma ekibindeki diğer üyelerin disiplin soruşturmasına dayanak oluşturan şikâyet dilekçelerinde yakındıkları hususlar gözetildiğinde başvurucunun e-posta iletişiminin içeriğine erişilmesini zorunlu kılan bir durumun mevcut olduğunun işveren tarafından açıklanmadığı, fesih bildiriminde ise “iddiaların araştırılması ve ekip üyeleri arasındaki ilişkilerin anlaşılabilmesi” amaçlarının belirtilmesiyle yetinildiği görülmüştür. Ancak aynı amaca ulaşılabilmesi bakımından tarafların şikâyet ve savunmalarının analizi, tanıkların dinlenilmesi, işyeri kayıtlan ile yürütülen projelerin süreç ve sonuçlarının incelenmesi gibi araçlar da mevcut olduğu hâlde niçin e-posta içeriklerinin incelenmesinin zorunlu ve gerekli görüldüğü işveren tarafından açık bir şekilde ortaya konulamadığı gibi derece mahkemeleri tarafından da somut olay bu yönüyle tartışılmamıştır.
İncelemenin Kapsamı
Öte yandan somut olayda işverenin yaptığı müdahalenin kapsamının tartışılması gerekir. Bu bağlamda yargılama kapsamında işveren tarafından sunulan başvurucunun yazışmaları ve yargılama süreci bir bütün hâlinde değerlendirildiğinde işverenin yazışma içeriklerine A.A.Y.nin ve başvurucunun rızası hilafına erişim sağladığı, A.A.Y. ile başvurucu arasında geçen yazışmalar dışında üçüncü kişilerle olan yazışmaların da incelendiği, ayrıca incelemeye dayanak gösterilen iddialarla sınırlı bir denetim yapılmayarak konu ile ilgili olup olmadığı belirsiz içeriklere de erişildiği ve bu içeriklerin de iş akdinin feshine dayanak yapıldığı görülmüştür. Dolayısıyla başvurucunun kişisel verisi kapsamında olan e-postaları ile ilgili olarak trafik bilgisi ile yetinilmediği gibi içeriklerine de kapsamı belirsiz olacak şekilde erişildiği ve bunların kullanıldığı anlaşılmıştır,
Açıklanan gerekçelerle özel hukuk iş ilişkilerinden doğan uyuşmazlığı karara bağlayan derece mahkemeleri tarafından yukarıda belirtilen anayasal güvenceleri gözeten özenli bir yargılama yapılarak pozitif yükümlülüklerin yerine getirilmediği anlaşıldığından başvurucunun Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkı ile Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin ihlal edildiğine karar verilmesi gerekir.
Kaynak;