Loading...

27.01.2020

6698 sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Çalışanların E-posta Hesaplarının Takip Edilmesi

Çalışanların kurumsal e-posta adresleri üzerinden gerçekleştirmiş oldukları iletişimin incelenmesi 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("6698 sayılı Kanun") 3'üncü maddesinin 1'inci fıkrasının (e) bendi kapsamında bir kişisel veri işleme faaliyeti olarak değerlendirilmektedir.

6098 sayılı Türk Borçlar Kanunu'nun işçinin düzenleme ve talimatlara uyma borcunu hüküm altına alan 399'uncu maddesi kapsamında belirlenen işverenin yönetim hakkı çerçevesinde, işveren elektronik iletişim araçlarının işyerinde hangi kapsamda kullanılacağına karar verebilecek ve belirlediği sınırlara uyulup uyulmadığını kontrol edebilecektir. Bu kapsamda, iş sözleşmesi veya iş sözleşmesinin parçası kabul edilen işyeri uygulama ve kurallarını tanımlayan şirket içi politikalar (örneğin; disiplin yönetmelikleri, bilgi güvenliği politikaları, gizlilik taahhütnameleri vb.) kapsamında elektronik iletişim araçlarının yalnızca iş amaçlı kullanımına izin verilmiş ise; işin ifasını yerine getirme amacı dışındaki tüm kullanımlar özel amaçlı kullanım olarak değerlendirilecek ve işveren yönetim hakkı kapsamında bu kullanımları denetleyebilecektir.

Nitekim Anayasa Mahkemesi'nin 10 Mayıs 2016 tarih ve 29708 sayılı Resmi Gazete'de yayımlanan, 24 Mart 2016 tarih ve 2013/485 başvuru sayılı kararında da, iş faaliyetlerinin yürütülmesi sırasında kullanılan iletişim kaynaklarının işverence takip altında tutulabileceğini düzenleyen bir bilgi güvenliği taahhütnamesini imzalamış olan çalışanın, işyerindeki kurumsal e-posta hesapları üzerinde gerçekleştirdikleri kişisel yazışmaların korunması konusunda makul bir beklentileri olamayacakları sonucuna varılmıştır.

Yukarıda açıklananlar ışığında, ilgili çalışan tarafından gerçekleştirilmiş olan e-posta yazışmaları dahilinde yer alan kişisel verilerin işlenmesi bakımından 6698 sayılı Kanun'un 5'inci maddesinin 2'nci fıkrasında belirlenen birtakım kişisel veri işleme şartlarının mevcut olduğu değerlendirilebilecektir. İş sözleşmesi veya iş sözleşmesinin parçası kabul edilen dokümanlar dahilinde e-posta iletişimi üzerinde yapılacak denetim hakkında bilgilendirmeye yer verilmiş olması kaydıyla, 5'inci maddesinin 2'nci fıkrasının (c) bendinde yer verilen sözleşmenin kurulması veya ifası için gerekli olması ve 5'inci maddesinin 2'nci fıkrasının (f) bendinde yer verilen ilgili veri sorumlusunun kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarına dayalı olarak kişisel verilerin işleneceği değerlendirilebilecektir.

Her durumda, kişisel verilerin, 6698 sayılı Kanun'un 4'üncü maddesinin 1'inci fıkrasının (ç) bendinde uyarınca işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak işlenmesi gerekmektedir.

5237 sayılı Türk Ceza Kanunu Kapsamında Değerlendirme

Yukarıda açıklananlar ışığında, iç soruşturma süreçleri kapsamında çalışan e-posta yazışmalarının incelenmesi ve denetimi bakımından 5237 sayılı Türk Ceza Kanunu'nun ("TCK") 132'nci maddesinde düzenlenen haberleşmenin gizliliğini ihlal ve 134'üncü maddesinde düzenlenen özel hayatın gizliliğini ihlal suçlarının oluşmadığı değerlendirilmektedir.

Ek olarak, yukarıda da yer verildiği üzere parçası kabul edilen şirket içi dokümanlar ile birlikte iş sözleşmesinin imzalanması ile TCK'nın 26'ncı maddesinin 2'nci fıkrası uyarınca ilgilinin rızasının bulunduğu savunması yapılabileceği değerlendirilebilecektir.

Avrupa İnsan Hakları Mahkemesi'nin 61496/08 Başvuru Numaralı Bărbulescu Kararı

Çalışanların e-mail hesaplarının içeriğinin incelenmesi hususu Avrupa İnsan Hakları Mahkemesi (AİHM) tarafından Bărbulescu (Bărbulescu v. Romania) kararında tartışılmıştır.

Verilen kararda, çalışanın iş faaliyetleri kapsamında gerçekleştirdiği elektronik iletişim faaliyetlerinin izlenmesi ve iletişiminin içeriğine erişim sağlanması üzerine işten çıkarılması ve yerel mahkemenin vermiş olduğu karar ile ilgili çalışanın özel hayatının ve iletişiminin gizliliği haklarının ihlal edilip edilmediği değerlendirilmiştir.

Olayda, Barbulescu (başvuru sahibi) iş için tahsis edilmiş olan iletişim adresini kişisel iletişimleri için kullanmıştır ve bunun tespit edilmesi üzerine işten çıkarılmıştır. Olay sırasında, başvuru sahibinin iş amacıyla tahsis edilmiş olan iletişim adreslerinin takip edildiğinden haberdar olduğu bilinmektedir.

Yerel mahkemenin kararına göre, Barbulescu'ya iş iletişim adreslerini yalnızca iş amacıyla kullanılmasına yönelik gerekli uyarıların yapıldığı ve bu iletişimlerin denetleneceğine ilişkin usulüne uygun şekilde bildirim yapıldığı tespit edildiğinden iş akdinin feshinde hukuka aykırılık bulunmamıştır. Karar, temyiz süreci sonunda onanmıştır.

Daha sonra Barbulescu konuyu AİHM'ye taşımıştır ve yerel mahkemenin kararının özel hayatın ve iletişimin gizliliği haklarını ihlal ettiği iddiasında bulunmuştur.

AİHM'in dördüncü dairesi olayı 2016'da incelemiş ve yerel mahkemenin vermiş olduğu karar doğrultusunda çalışanın gizlilik hakkının korunmasına yönelik devletin pozitif yükümlülüklerini ihlal etmediği kanaatine varmıştır.

Karar 2017'de Büyük Daire tarafından incelenmiş ve bu sefer dördüncü dairenin kararının aksi yönde karar verilmiştir. Karara göre;

Devletlerin iş yaşamında gizliliğe ilişkin düzenleme yapmaya yönelik takdir hakları bulunmakla birlikte, bu takdir hakkı sınırsız değildir. Devletin gizlilik hakkını korumaya yönelik pozitif yükümlülükleri çerçevesinde ölçülülük ilkesi gözetilmeli ve keyfi davranışları sınırlandıracak gerekli önlemler alınmalıdır.

İş ilişkisi kapsamında gerçekleştirilen izleme faaliyetleri açısından bu yükümlülüğün yerine getirilip getirilmediği değerlendirilirken dikkat edilecek hususlar şu şekildedir:

  1. İşverenin çalışanın gerçekleştireceği belli iletişimleri izleyebilmesine yönelik önlemler alabileceğinden çalışanın önceden haberinin olup olmaması,
    • Çalışan, ilgili izlemenin kapsamı ve niteliği hakkında açıkça bilgilendirilmiş olmalıdır.
  2. İzlemenin kapsamı ve çalışanın özel hayatına yönelik müdahalenin seviyesi
    • Bu kapsamda iletişimlerin yalnızca akışının mı (X'ten Y'kişisine gönderildiği bilgisi gibi) yoksa topyekûn içeriğinin mi izlendiği, izlemenin zaman ile sınırlı olup olmadığı, izleme yetkisinin kaç kişiye verildiği gibi hususlar önemlidir.
  3. İşverenin iletişim izlenmesi ve içeriğine erişilmesine yönelik meşru amaçları ortaya koyup koymadığı
    • İletişimin içeriğinin izlenmesi özel hayata yönelik müdahale açısından daha ağır etkiler doğuracağından daha zorlayıcı bir amaç söz konusu olmalıdır.
  4. Somut olayda gizliliği daha az ihlal edici yöntemlerin benimsenip benimsenemeyecek olduğu
    • Bu kapsamda, izleme ile hedeflenen meşru amaçlara içeriğe erişmeden de erişilebilmesi söz konusuysa bu yöntemin değerlendirilmesi gerekmektedir.
  5. gerçekleştirilen izleme faaliyetlerinin ilgili Çalışan üzerindeki sonuçları
    • İzleme ile gerçekten amaçlanan hedeflere ulaşılıp ulaşılmamış olduğu değerlendirilmelidir.
  6. çalışan açısından gerekli önlemlerin alınıp alınmadığı
    • Bu önlemler arasında önceden çalışana bu konu hakkında uyarı yapılmadığı hallerde işverenin ilgili iletişimin içeriğine ulaşmasını önleyici önlemlerin alınması da dahildir.

Kararda ulaşılan sonuca göre, yerel mahkemenin kararını verirken baktığı hususlar temel olarak doğrudur. Ancak, Barbulescu'ya ilgili izleme faaliyetinin kapsamı, niteliği ya da işverenin izlediği iletişim faaliyetleri kapsamında iletişimin içeriğine ulaşabilme potansiyeli hakkında yeterli bilgi verilip verilmediği, yerel mahkeme tarafından değerlendirilmemiştir. Ek olarak, yerel mahkemenin kararında gerçekleştirilen izlemenin çalışanın özel hayatına yönelik yapmış olduğu müdahalenin ağırlığı ya da izleme ile ulaşılmak istenen meşru amaçlar tartışılmamıştır. Hatta yerel mahkeme kararında, izleme ile ulaşılmak istenen amaç belirli olarak ortaya konulmamış, çalışan üzerindeki etkileri değerlendirilmemiş veya olabilecek alternatif ve daha az müdahaleci yöntemler analiz edilmemiştir.

Büyük Daire'nin vermiş olduğu karardan şu iki çıkarım yapılabilir:

  • İşverenler tarafından çalışanların elektronik iletişim faaliyetlerinin izlenmesi mümkündür.
  • Ancak bu izleme faaliyetinin hukuka uygunluğu değerlendirilirken yukarıda sayılmış olan 6 kriterin değerlendirilmesi gerekmektedir.

Bu çerçevede, prensip olarak böyle bir inceleme faaliyetinin gerçekleştirilmesi mümkün olup, olay özelindeki detaylar değerlendirilerek ve inceleme esnasındaki eylemler konusunda da sayılan ilkelere riayet edilerek ilerlemek gerekmektedir.

Çalışma Mevzuatı Bakımından Değerlendirme

İş sözleşmelerinde işverenlerin yönetim ve denetim hakkı bulunmaktadır. Bu doğrultuda, işverenin kendisine ait bilgisayar ve e-posta adresleri ile bu adreslere gelen e-postaları her zaman denetleme ve inceleme yetkisi bulunmaktadır. Dürüstlük kuralı bu yetkinin önceden haber verilerek kullanılmasını gerektirse de işveren denetleme yetkisini dilediği zaman kullanabilmektedir. Kaldı ki, davacı işçinin özel işleri için işverenin izni olmadan bilgisayarı kullanması kabul edilemez1. Dolayısıyla işçiler bu çeşit bilgisayar ve elektronik posta adreslerini kullanırken özen ve sadakat yükümlülüğüne aykırılık teşkil edebilecek davranışlardan kaçınmalıdır.

Yapılan denetleme sonucu elde edilen delillerin uyuşmazlık aşamasında şüpheye yer bırakmayacak şekilde hukuka uygun delil olarak sunulabilmesi açısından ise işçilere ayrıntılı bir şekilde gözetleme politikası ve kendilerine tahsis edilen bilgisayarların kullanım alanları hakkında gerek iş sözleşmelerinde gerekse çeşitli şirket politikalarında bilgi verilmelidir.

Footnote

1 22.HD., E. 2016/6321 K. 2016/13143 T. 3.5.2016, 22. HD., E. 2013/36288 K. 2015/9548 T. 10.3.2015 kararlarından da görüleceği üzere Yargıtay'ın yerleşik içtihadı bu yöndedir. Özellikle her kararda Yargıtay açıkça işverenin kendisine ait bilgisayar ve e-posta adresleri ile bu adreslere gelen e-postaları her zaman denetleme yetkisi olduğunun altı çizilmektedir.