top of page
Ara

Kurumsal E-Postanın İşverence İncelenmesi ve Kişisel Veri İhlali


İşyerinde elektronik posta yazışmalarının, özel yazılımlar üzerinden izlenmesi ve şüpheli bulunan yazışmaların kontrol sorumluluğu bulunan şirket içi birimlere raporlanması “kişisel verilerin ihlali” açısından tartışmalara yol açmıştır. Aynı şekilde şirket içi soruşturmalarda, çalışanların e-posta hesaplarındaki yazışmaların, soruşturma görevini üstlenen kişiler tarafından okunması, özel hayatın gizliliğinin ve kişisel verilerin ihlali olduğu iddiasını gündeme getirmiştir.

Veri sorumlusu şirketlerin bir taraftan kurum içi güvenliği sağlama, verilerin sızmasını önleme, sır saklama ve denetleme yükümlülükleri varken diğer taraftan çalışanlarının özel hayatı ve kişisel verilerini koruması gereği hukuksal tartışma konusu olmuştur.

Bu konuya Anayasa Mahkemesi 14.10.2020 R.G. tarihli ve 31274 sayılı karar ile açıklık getirmiştir. Kısaca kararı özetlemek gerekirse;


Dava Konusu Olay:

Avukat ortaklığında çalışan başvurucunun kurumsal e-posta hesabının işveren tarafından incelenmesi üzerine iş akdinin feshedilmesidir.


Dava Konusu İddia:

İncelenen e-posta hesabı sonucunda iş akdinin feshi sebebiyle, özel hayata saygı kapsamında kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiği iddiasıdır.


İlk Derece Mahkemesi Kararı:

İlk derece mahkemesi davayı reddetmiştir. İş akdinin feshine sebebiyet veren olayın; başvurucunun geçimsizliği, çalışanlarla kavgalı tartışmaları olarak belirtmiştir. Başvurucunun görevi gereği işverenin işlerini yürütmesi için verilen ve işveren tarafından da ulaşılabileceğini bildiği mail adresini kullanmak suretiyle işverenin diğer çalışanlarına karşı hakarete varan sözler sarf ettiği vurgulanarak işçinin bir başka işçiye sataşmasının işveren açısından haklı fesih nedeni oluşturacağı ve işverence yapılan feshin yerinde olduğu sonucuna varılmıştır.


Temyiz Talebinde Başvurucunun İddiası:

Kişisel hesaplar üzerinden gerçekleştirilen yazışmalardan oluşan e-postaların okunarak, fesih gerekçesi gösterilmesi özel hayatın gizliliği kapsamında kişisel verilerin ve haberleşme hürriyetini ihlal etmiştir. Buna rağmen ilk derece mahkemesi tarafından söz konusu mesajlar delil olarak kabul edilmiştir. Ayrıca kurumsal e-postanın şifreli olduğu, işyerinde çalışanlara e-posta yazışmalarının okunabileceğine dair bildirim yapılmadığı ve bu konuda çalışanların rızasının alınmamıştır.


Temyiz Talebine Davalının Cevabı:

Yazışmaların şirket tarafından çalışanlar adına açılmış e-posta hesapları üzerinden gerçekleştirildiğini, bu e-posta adreslerinin herhangi bir şifresinin olmadığını, bu iletişim adreslerinden yapılan tüm mesajların işverene ait sunucuda depolandığını ifade etmiştir.


Anayasa Mahkemesinin Konuyu İncelemesi:

Anayasa Mahkemesi sonuca ulaşırken, işverenin e-postayı incelemesindeki menfaat ile kişisel verilerin ihlalinin dengesini yapmış ve müdahalenin amaçla sınırlı olmasını aramıştır. Tarafların çatışan menfaatlerinde denge arayıp, bir tarafa aşırı külfet yüklememeye dikkat etmiştir.

Öncelikle işverenin işçinin kullanımına sunulan iletişim araçlarını denetlemesi ve çalışanın kişisel verilerinin işlemesine ilişkin olarak 4857 sayılı Kanun’da özel bir düzenleme olmadığı görülmüştür. Ancak Anayasa’nın 20. ve 22. maddelerinde yer bulan özel hayata saygı ile kişisel verilerin korunmasını isteme hakları ve haberleşme hürriyetine ilişkin güvenceler ile 6698 sayılı Kanun ile hukuk sistemimizde mevcut olan genel düzenlemelerin iş hukuku uyuşmazlıklarında uygulanabilecektir.

Anayasa’nın 20. maddesinin üçüncü fıkrasının birinci cümlesinde genel olarak herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu belirtilmiş, ikinci cümlesinde kişisel veriler bağlamında bazı özel güvenceler sayılmış, üçüncü cümlesinde kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği düzenlenmiş, dördüncü cümlesinde ise kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği hüküm altına alınmıştır. Buna göre lafzı dikkate alındığında Anayasa’nın 20. maddesinin üçüncü fıkrasının kişisel verilerin korunmasını isteme hakkı kapsamında sadece işleme şeklindeki sınırlama ya da müdahalelere karşı değil kişisel verilere yönelik her türlü müdahale ve sınırlamalara karşı güvence getirdiği anlaşılmaktadır.

Anayasa Mahkemesi daha önce iletişim araçlarının işveren tarafından denetlenmesi kapsamındaki uyuşmazlıklarda derece mahkemeleri tarafından devletin pozitif yükümlülükleri bağlamında çıkarların dengelenmesi ve müdahalenin ölçülülüğünün irdelenmesi kapsamında gözetilmesi gereken hususları genel olarak belirlemiş; buna göre “somut olayın koşullarına göre iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, sözleşmenin feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı bir işlem olup olmadığı hususlarının uyuşmazlığın çözümünde gözetilmesi gerektiğini tespit etmiştir (Ömür Kara ve Onursal Özbek, § 50).[2]”

Somut olayda işveren davalı taraf olarak yargılama sürecinde kişisel verilerin işlenmesinin hukuki dayanağı ve işlemenin amaçları, işlenecek verilerin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, işlemenin sonuçları ve verilerin muhtemel yararlanıcılarını gösterir bir bilgilendirme yapıldığını ortaya koyamamıştır.

Dolayısıyla başvurucunun kişisel verisi kapsamında olan e-postaları ile ilgili olarak trafik bilgisi ile yetinilmediği gibi içeriklerine de kapsamı belirsiz olacak şekilde erişildiği ve bunların kullanıldığı anlaşılmıştır.

Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkı ve Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin ihlal edildiğine kararın bir örneğinin kişisel verilerin korunmasını isteme hakkı ile haberleşme hürriyetinin ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmak üzere İstanbul 8. İş Mahkemesine gönderilmesine karar vermiştir.


Sonuç olarak;

Anayasa mahkemesinin ekim tarihli kararından anlaşıldığı üzere; “ kurumsal e-postanın işveren tarafından incelenmesi kişisel veri ihlali midir “sorusunun cevabı salt evet ya da hayır değildir. Tarafların amaçları doğrultusunda menfaat değerlendirilmesi yapılarak, kurumsal e-postanın incelenmesinin kişisel verilerin ihlali kapsamına girmemesi için veri sahibine, kurumsal e-postaya yetkililerce erişebileceğine dair açık bilgilendirme yapılmalıdır. Ayrıca ulaşılacak içeriğin belirlenmesi, e postaların sınırsız şekilde incelenmesi bu sebeple ilgili ilgisiz her e postanın değerlendirilmesi de kişisel verilerin korunmasına aykırı olarak görülmüştür.

Anayasa Mahkemesi kurumsal e postanın işveren veya yetkililer tarafından makul ve belirli amaçlar doğrultusunda incelenmesini, veri sahiplerinin aydınlatılmasına, rızalarının alınmasına ve incelemenin sınırlarının belli olmasına bağlamıştır.


HANYALOĞLU-ACAR HUKUK BÜROSU


Stj. Av. Seyran GÜMÜŞOĞLU

Comments


bottom of page