Bütün bireyler gibi çalışanlar da kişisel verilerinin korunmasını isteme hakkına sahip olup, bu konudaki görev ve sorumluluk da doğal olarak işverene aittir.

Çalışanların bu konudaki hakları ve işverenlerin yükümlülükleri, dikkat etmeleri gereken hususlar İşveren İşçinin Kişisel Verilerini Korumak Zorunda başlıklı yazıda açıklanmıştır.

Öte yandan Anayasa Mahkemesi karalarında kişisel verilerin kapsamı;  “-belirli veya kimliği belirlenebilir olmak şartıyla- bîr kişiye ilişkin bütün bilgileri ifade etmekte olup bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi sadece kimliğini ortaya koyan bilgileri değil telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmişi, resmi, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgileri. İP adresi, e-posta adresi, alışveriş alışkanlıkları, hobileri, tercihleri, etkileşimde bulunduğu kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır” şeklinde açıklanmıştır. (AYM. E.2014/74, K.2014/201. 25/12/2014: E.2014/180, K.2015/30, 19/3/2015).

Dolayısıyla kişinin elektronik posta (e-posta) hesabı da kişisel veri kapsamına girmektedir.

İşveren İşçinin Elektronik Posta (E-Posta) Hesabını Kontrol Edebilir mi – Denetleyebilir mi ?

Öncelikle başta belirtelim, bu yazımızda kastettiğimiz işçinin özel e-posta hesabı değil, işyeri tarafından verilen, işyeri tarafından temin edilen, işyerine ait olan e-posta hesabı bir diğer ifadeyle kurumsal e-posta hesabıdır. İşçinin kendi edindiği özel e-posta hesabını işveren hiçbir şekilde kontrol edemez, denetleyemez. Çünkü e-posta hesabı işçinin korunması gereken kişisel verileri kapsamına girmekte olup, kanunlarda açıkça belirtilen konularla ilgili olan ve işverene yetki verilen konular (öğrenin İş Kanununun 75 inci maddesi uyarınca işverenin tutması gereken işçi özlük dosyası) dışındaki kişisel verilerin elde edilmesi ve işlenmesi konusunda kural olarak işçinin rızası gerekmektedir. Zaten işçinin kendi edindiği özel e-posta hesabını işverenin kontrol edebilmesi için de hesaba ait parolayı (şifreyi) bir şekilde bilmesi, öğrenmesi, ele geçirmesi gerekir. İşverenin bunu da işçinin rızası dışında yapması suç teşkil eder. Aynı şekilde işveren işçinin kendi edindiği özel e-posta hesabının şifresini vermesi için işçiyi zorlayamaz.

İşçinin İşyeri (Kurumsal) E Posta Hesabının İşveren Tarafından Kontrol Edilip Denetlenmesindeki Sınır ve İşverenin Uyması Gereken Kurallar

İşveren tarafından işyeri (kurumsal) e-posta hesabı kontrol edilen işçinin, kişisel verilerinin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiği gerekçesiyle Anayasa Mahkemesi’ne yaptığı bireysel başvuru nedeniyle Anayasa Mahkemesi verdiği kararda bu konudaki sınırları çizmiştir. Anayasa Mahkemesi’nin söz konusu kararına göre;

1- İşyerinde işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine bağlı cezaî ve hukuki sorumluluğa karşı korunmak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle işveren yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebilir ve kullanıma ilişkin sınırlamalar öngörebilir.

2- Ancak, işyerinde kullanıma sunulan iletişim araçlarının işverene ait olması, sırf bu nedenle işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisi olduğu anlamına gelmez. İşverenin, işçinin işyeri (kurumsal) e-posta hesabını kontrol etme konusundaki yetki ve hakları sınırsız değildir, işverenin bu konudaki yetkisi işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlıdır. Dolayısıyla işçinin kurumsal e-posta hesabını işveren istediği zaman, istediği gibi kontrol edemez, işverenin işçinin kurumsal e-posta hesabını kontrol etmesinde haklı olduğunu gösteren meşru gerekçeleri olması gerekir.

3- Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi sürecinin şeffaf bir şekilde gerçekleştirilmesi ve bunun bir gereği olarak da süreçle ilgili olarak çalışanların işveren tarafından önceden bilgilendirilmesi, yani işveren / işyeri tarafından işçiye verilen e-posta hesabının gerektiğinde kontrol edileceğinin işveren tarafından önceden işçiye bildirilmiş olması gerekir. Bu hususu iş sözleşmesinde belirtileceği gibi, işçiyi başka yoldan da bu konuda bilgilendirilebilir.

4- İşverenin, işçinin e-posta hesabının kontrol etmekte haklı olduğunun kabul edilebilmesi için, işverenin aynı amaca daha hafif bir müdahale ile ulaşmasının mümkün olmaması, işçinin kurumsal e-posta hesabının kontrol edilmesinin ulaşılmak istenen amaç bakımından zorunlu olması, çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olmaması yani işverenin ulaşmak istediği amaca çalışanın kurumsal e-posta iletişimi incelenmeden ulaşmasının mümkün olmaması gerekir.

5- İşverenin işçinin kurumsal e-posta hesabını kontrol edebilmesi için yukarıda belirtilen şartları yerine getirmiş olması yetmez, ayrıca işçinin kurumsal e-posta hesabının kontrol edilmesi sonucu elde edilen verilerin (bilgilerin) hedeflenen amaç doğrultusunda kullanılması gerekir.

Anayasa Mahkemesi’nin Söz Konusu Kararının Özeti

Anayasa Mahkemesine bireysel başvuru nedeniyle intikal eden bir olayda (Anayasa Mahkeme’sine hangi şartlarla ve hangi konuda bireysel başvuru yapılabileceği Anayasa Mahkemesi’ne Artık Bireysel Başvuru Yapılabilecek başlıklı yazıda belirtilmiştir), işyerinde performansı düşen, işini aksatan personelin işyeri (kurumsal) e-posta adresinin işveren tarafından kontrol edilmesi sonucu elde edilen bilgilere de dayanılarak 11/5/2016 tarihli yazılı bildirimle işçinin iş akdi feshedilmiş, işçi iş mahkemesinde işe iade davası açmış (1 Ocak 2018 tarihinde başlayan yeni uygulamaya göre işe iade için önce arabuluculuk bürosuna başvurulması gerekmektedir – bkz. Yeni Düzenlemelere Göre İşe İade Süreci), dava sürecinde kurumsal e-posta hesabının işveren tarafından incelenmesinin özel hayatın gizliliğini ihlal ettiğini ve hukuka aykırı olması nedeniyle hükme esas alınmaması gerektiğini belirtmiş, ancak İş Mahkemesi işçinin işe iade talebini reddettiği gibi istinaf mahkemesi de (bölge adliye mahkemesi – BAM) işçinin itirazını reddetmiş, işe iade davalarına karşı Yargıtay’a itiraz yolu da kapandığından (Bkz. İşe İade Davalarına Yargıtay Yolu Kapandı) mahkeme kararı kesinleşmiştir. Bunun üzerine de işçi kurumsal e-posta hesabı içeriğinin işveren tarafından incelenmesi ve bu yazışmalar gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerinin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiği gerekçesiyle Anayasa Mahkemesi’ne bireysel başvuruda bulunmuştur.

Anayasa Mahkemesi söz konusu bireysel başvuruya ilişkin olarak 12/01/2021 tarihinde verdiği kararında özetle;

• Teknolojik gelişmelerin imkânlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gereği doğduğunu, bu bağlamda işveren ile çalışan arasındaki ilişkinin iki taraf açısından da belirli hak ve yükümlülükler öngören ve esasen güven ilişkisi üzerine kurulu iş sözleşmesiyle şekillendiğini,
• İşlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine bağlı cezaî ve hukuki sorumluluğa karşı korunmak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceğini ve kullanıma ilişkin sınırlamalar öngörebileceğini, ancak işverenin yönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olduğu, bu bağlamda işverenin yetki ve haklarının sınırsız olmadığı, çalışana tanınan temel hak ve özgürlüklerin somut olayda haberleşme hürriyeti ve kişisel verilerin korunmasını isteme hakkının işyeri sınırları dâhilinde de korunduğunu, aynı zamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiğini,
• Bu çerçevede işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmenin, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacağını,
• İşverenin çalışanın kullanımına sunduğu iletişim araçlarını ve iletişim içeriklerini incelenmesinin, işyerinde ifa edilen işin ve işyerinin özellikleri de dikkate alındığında haklı olduğunu gösteren meşru gerekçeleri olması gerektiğini, işçinin iletişim akışı ile iletişim içeriklerinin işveren tarafından incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranması gerektiğini,
• Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi sürecinin şeffaf bir şekilde gerçekleştirilmesi ve bunun bir gereği olarak da süreçle ilgili olarak çalışanların işveren tarafından önceden bilgilendirilmesi gerektiğini; uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukukî dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerektiğini, ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmesi gerektiğini, bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkânı sağlayan uygun bir yöntemin tercih edilebileceğini,
• Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olması gerektiğini, ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerektiğini,
• Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için, aynı amaca daha hafif bir müdahale ile ulaşılmasının mümkün olmaması, müdahalenin ulaşılmak istenen amaç bakımından zorunlu olması gerektiğini, çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığına bakılması gerektiğini, bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkânı olup olmadığının değerlendirilmesi gerektiğini,
• İşveren tarafından işçinin kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalesinin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak verilerin ulaşılmak istenen amaçla sınırlı olması gerektiğini, bu amacı aşacak şekilde sınırlama ya da müdahale yapılamayacağını,

belirtilmiştir.

Anayasa Mahkemesinin söz konusu kararı 5 Şubat 2021 tarihli Resmi Gazete’de yayımlanmıştır. (Bkz. Anayasa Mahkemesinin 12/1/2021 Tarihli ve 2018/31036 Başvuru Numaralı Kararı) (isvesosyalguvenlik.com)