Geçtiğimiz hafta 05.01.2021 tarihli 31386 sayılı Resmi Gazetede yayımlanan Anayasa Mahkemesi kararıyla, özel hayata saygı kapsamındaki kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetinin ihlal edildiği iddialarına ilişkin bir başvuru değerlendirilerek karara bağlanmış, karar içeriği ile işverenin yönetim hakkı kapsamında çalışanların kurumsal e-posta iletişimini denetlemesinin sınırları ve koşullarına da kapsamlı açıklamalar getirilmiştir.

Buna göre Anayasa Mahkemesi (“AYM”) 2018/31036 başvuru numaralı 12.01.2021 karar tarihli Celal Oraj Altunörgü kararı ile, kurumsal e-posta hesabının işveren tarafından denetlenmesinin Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı kapsamında kişisel verilerin korunmasını isteme hakkı ve Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetini ihlal edip etmediğini değerlendirerek işverenlerin çalışanlara tahsis edilen bilgisayarlar ile e- posta adreslerini inceleme yetkisinin işveren yönetim hakkı kapsamına dair sınırları çizilmiş, aynı hususa ilişkin son kararlarına da atıf yaparak çalışanların iletişim araçlarının ve iletişim içeriğinin denetlenmesine ilişkin ilkeleri daha da netleştirmiştir.

  • Bu makalemizde gerek iş hukuku gerekse kişisel verilerin korunması kapsamında önemli bir içtihat teşkil eden kararı sizler için ayrıntılı ele alarak söz konusu hükümlerin ne anlama geldiğine dair açıklamalar hazırladık.
  • İlgili Anayasa Mahkemesi kararına buradan ulaşabilir, diğer yayınlarımıza göz atmak için internet sitemizi ziyaret edebilir, iş hukuku  kapsamında  kişisel  verilerin işlenmesine dair daha fazla bilgi almak için bize ulaşabilirsiniz.

I. Karara Konu Olay

Özel bir bankada belirsiz süreli iş sözleşmesi ile müşteri ilişkileri yönetmeni olarak çalışan başvurucunun, eşi üstüne kayıtlı bir işletmede çalıştığı iddiası üzerine müfettiş incelemesi yapılmış ve başvurucunun eşi adına kurulan şirketin faaliyetlerine dair kurumsal e-posta adresi üzerinden çeşitli yazışmalar gerçekleştirdiği ve belgeler gönderdiğinin tespit edildiği belirtilmiştir. Rapor ve başvurucunun beyanları neticesinde mesai saatleri içinde performansı etkileyecek şekilde eşine ait işyerinin çeşitli işlemlerini takip ettiği kanaatine varan işveren tarafından başvurucunun iş akdi 4857 sayılı Kanunun 17. ve 18. maddelerine dayanılarak feshedilmiştir.

Bu bağlamda işveren tarafından kurumsal e-posta hesapları ile gerçekleştirdiği yazışmaların bilgilendirme yapılmadan ve rızası alınmadan incelendiğini ileri süren başvurucu, bu yazışmalara dayanılarak performans düşüklüğü nedeniyle iş akdinin feshedilmesinin haksız olduğunu, bankanın e-posta içeriklerini incelemesi ve Mahkemenin bu içerikleri hükme esas delil olarak kabul etmesinin özel hayatına saygı hakkı kapsamındaki kişisel verilerin korunması korunmasını isteme hakkı ile haberleşme hürriyetinin ihlalini oluşturduğunu iddia ederek Anayasa Mahkemesi’ne bireysel başvuruda bulunmuştur.

II. İş Hukuku Bakımından Değerlendirme

 4857 Sayılı Kanun’un 8. Maddesine göre iş sözleşmesi, bir tarafın (işçi) bağımlı olarak iş görmeyi diğer tarafın (işveren) da ücret ödemeyi üstlenmesiyle oluşan sözleşmedir. İş sözleşmesi kapsamında işçinin iş görme borcu, işverenin yönetim hakkı çerçevesinde talimatlarına uyma borcu teşkil eder.

İşveren yönetim hakkı kapsamında işletmesine ilişkin kararlar alma ve bunları uygulama hakkına sahiptir. Bu bağlamda işverenin yönetim hakkı, işin yürütülmesini sağlamak amacıyla hukukun tanıdığı yetki çerçevesinde kullanılan bir hak olup işyerindeki düzeni ve güvenliği sağlamak amacıyla işçinin davranışlarına yönelik talimatlar vermesini de sağlamaktadır. İşveren aynı zamanda yönetim hakkına bağlı olarak, işçilerin verilen talimatlara uyup uymadığını denetleme hakkına da sahiptir.

  • İşveren yönetim hakkı kapsamında işçilerin iletişimini denetleyebilir mi?

İşçi ile işveren ilişkisinde yönetim hakkı, mevzuatta doğrudan düzenleme yapılmamış olan ancak işin yürütülmesi için elzem olarak kabul edilen bir araçtır. Nitekim 4857 sayılı Kanun’da da işverenin işçinin kullanımına sunulan iletişim araçlarını denetlemesi ve çalışanın kişisel verilerinin işlenmesine dair özel bir düzenleme bulunmadığı görülmektedir. Ancak, Anayasa’nın ilgili hükümleri ve 6698 sayılı Kanun kapsamı dikkate alındığında, işçi ile işveren arasındaki iş sözleşmesi uyarınca gerekli yasal altyapı mevcut olduğu müddetçe işverenin yönetim hakkı kapsamında verdikleri emir ve talimatların yerine getirilip getirilmediğini kontrol etmek ve iş düzenini sağlamak amacıla çalışanların iletişiminin denetlenmesi mümkün olacaktır.

Yargıtay, işverenlerin işçilere temin ettikleri bilgisayarlar üzerinde denetleme yetkisi olduğunu ve bu bilgisayarlarda iş dışı faaliyet yapılması halinde iş sözleşmesinin sona erebileceğini belirtmektedir. Yargıtay bir kararında ise işverenin, kendisine ait bilgisayar ve e-mail adresleri ile bu adreslere gelen e-postaları, her zaman denetleme yetkisi bulunduğunu açıkça ifade etmiştir. (Yargıtay 9. H.D, 13.12.2010 ve E.2010/447, K.2010/37516).

Bu bağlamda işçi ile işveren arasındaki ilişkinin iki taraf açısından da belirli hak ve yükümlülükler öngören ve esasen güven ilişkisine dayalı iş sözleşmesiyle şekillendiğini belirten Anayasa Mahkemesi (“AYM”) işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunmak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceğini ifade etmiştir.

  • İşverenin işçilerin iletişimini denetleme ve gözetleme yetkisi sınırsız mıdır?

İşverenin yönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olduğunun altını çizen AYM, bu bağlamda işverenin yetki ve haklarının sınırsız olmadığını belirtmiştir. Buna göre, işverenin yönetim hakkının uygulanması esnasında işçinin kişilik haklarına müdahale edilmesi önlenmeli ve yönetim hakkının sınırları iyi çizilmelidir.

Nitekim; çalışmamıza konu AYM kararında da özellikle teknolojik gelişmelerin imkanlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanımına sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğduğu vurgulanmıştır.

Karara göre, çalışana tanınan temel hak ve özgürlüklerin somut olayda haberleşme hürriyeti ve kişisel verilerin korunması isteme hakkının işyeri sınırları dahilinde de korunmakta, bu sebeple kısıtlayıcı ve uyulması zorunlu işyeri kuralları çalışanların temel haklarının özünü zedeleyecek nitelikte olmamalıdır.

  • Çalışanların kullanımına sunulan iletişim araçlarının işverene ait olması dolayısıyla mülkiyet hakkı uyarınca işverenin sınırsız gözetim hakkı olduğu ileri sürülebilir mi?

AYM’ nin özellikle vurguladığı üzere; sırf işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu ileri sürülerek işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği prensibiyle bağdaşmamaktadır. Bu nedenle, işverenin mülkiyet hakkına bağlı olarak sınırsız gözetim hakkı olduğu ileri sürülemez.

III. Kişisel Verilerin Korunması Bakımından Değerlendirme

İlgili hukuk kapsamında, 2016/1310 sayılı 17.09.2020 tarihli karara atıf yapan AYM, önceki kararından farklı olarak Anayasa’nın ihlal edilmediği sonucuna varmıştır. AYM 2016/1310 sayılı kararında bir avukatlık ortaklığı bünyesinde çalışmakta olan avukatın iş akdinin feshi kapsamında yaptığı başvuruda ihlal kararı verirken Anayasa hükümleri ve 6698 sayılı Kişisel Verilerin Korunması Kanunun yanı sıra uluslararası hukuk hükümleri ve içtihatları da dikkate alınmıştır.

Buna göre AİHM uyarınca mesleki hayatın özel hayat kavramı dışında tutulamayacağı, özel hayat unsurları gerekçe gösterilerek mesleki hayata getirilen sınırlamalar, bireyin sosyal kimliğini etkilediği ölçüde Avrupa İnsan Hakları Sözleşmesi’nin özel hayata saygıya ilişkin hükümlerini düzenleyen 8. madde kapsamına gireceği belirtilmektedir. Dolayısıyla çalışanların kişisel verileri mesleki ortam sebebiyle alenileştirilmiş sayılmayacak, somut koşullara göre kişisel verilerinin korunmasını isteme hakları doğacaktır.

2016/1310 sayılı kararda ayrıca AİHM içtihatları uyarınca Bărbulescu kararındaki ilkeleri hükme esas alınmış;

  • İşverenin denetleme yöntemleri hakkında çalışanın önceden açıkça bilgilendirilip bilgilendirilmediği,
  • Kurumsal e-posta hesabının incelenmesinin meşru gerekçelere bağlanması,
  • Amaçlanan sonucun daha hafif bir müdahale ile elde edilemeyecek olması,
  • Gerçekleştirilen denetimin ve elde edilen bilgilerin hedeflenen amaç doğrultusunda kullanılması

gerektiğini belirterek ihlal kararı vermiştir.

Buna göre kişisel verilerin işlenmesi hususunda genel işleme ilkeleri ve aydınlatma yükümlülüğünün her halde dikkate alınması gerektiğinin işaret edildiği kararlar kapsamında, işverenin kurumsal e- posta adresini denetlemesi incelenmiştir.

  • Kurumsal e-posta adresi kişisel veri kapsamında sayılır mı?

Başvuruyu karara bağlama konusunda öncelikle Anayasa’nın 20. Maddesinin üçüncü fıkrası ile güvence altına alınan kişisel verilerin korunmasını isteme hakkı yönünden inceleme yapılabilmesi için koruma kapsamında olan bir kişisel verinin söz konusu olup olmadığını değerlendiren mahkeme, başvurucunun e-posta bilgilerinin ve yazışmalarının belirli bir gerçek kişi hakkındaki bilgi kapsamında olduğunu gözeterek bu bilgilere erişilmesinin, bunların kullanılmasının  ve işlenmesinin kişisel verilerin korunması ve haberleşme hürriyeti yönünden incelenmesi gerektiğine kanaat getirmiştir.

  • Kurumsal e-posta hesaplarının incelenmesi 6698 sayılı Kanunun 5. Maddesi kapsamında meşru menfaat unsurunu sağlar mı?

AYM içtihatları uyarınca kurumsal e-posta hesaplarının incelenmesi çok sayıda çalışanın olması, iletişim akışının denetim altında tutulması ve işlerin etkin bir şekilde yürütülmesini sağlama amaç ve sebeplerine bağlı olarak meşru menfaat kapsamında ve hedeflenen amacı sağlamak için elverişli bir yöntem olarak değerlendirilmiştir. Dolayısıyla kurumsal e-posta hesaplarına ilişkin denetim yapılması için açık rıza aranmayacaktır.

IV. Karar Değerlendirmesi

AYM daha önce iletişim araçlarının işveren tarafından denetlenmesi kapsamında önüne gelen uyuşmazlıklarda müdahalenin ölçülülüğünü değerlendirirken gözetilmesi gereken hususları genel olarak belirlemiş, bu kapsamda bilgilendirme yükümlülüğüne ve müdahalenin meşru amaç ile orantılı olup olmadığına değinmiştir.

Bu doğrultuda dört ay önce yayımlanan kararında başvurucuya işverenin kurumsal e-postayı inceleme yetkisi ile kapsamını gösteren bir bildirimde bulunulmadığı, işveren tarafından kurumsal e-posta hesabı üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirme yapılmadığı, ayrıca neden e-posta içeriklerinin incelenmesinin zorunlu olduğu ve hangi kapsamda erişildiğinin de belirsiz olduğundan hareketle, başvurucunun kişisel verilerinin korunmasını isteme hakkı ile haberleşme hürriyetinin ihlal edildiğine karar veren AYM, işbu kararında doğru bilgilendirme ile ihlal gerçekleşmeyeceğine işaret etmektedir.

Bu itibarla görülmektedir ki; işverenin yönetim hakkı çalışanların iletişiminin denetlenmesine ilişkin sorgusuz bir yetki tanımamakta, bu hakkın uygulanması için birtakım koşullara uymaya dikkat edilmesi gerekmektedir.

  • İşverenin yönetim hakkı kapsamında çalışanların iletişimini denetlemesinin kişisel verilerin korunması kapsamında şartları nelerdir?

AYM’nin son kararlarında dikkate aldığı hususlar çerçevesinde işverenin çalışanların iletişimine müdahalesinin meşruiyetine ilişkin gözetilmesi gereken esasları şu şekilde belirlemiştir;

    • İletişimin denetlenmesi meşru bir gerekçeye dayanmalı, gerekçelendirme aşamalı bir önem derecesiyle gözetilmelidir.

İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin meşru bir gerekçeye dayanması gerektiği öngörülmüştür. Buna göre yapılacak denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranması gerektiği de not düşülmüştür.

    • İletişimin denetlenmesi ve kişisel verilerin işlenmesi şeffaf bir sürece dayanmalı, bunun gereği olarak da çalışanlar sürece ilişkin önceden bilgilendirilmiş olmalıdır.

Şeffaf bir sürecin demokratik toplumun gerekliliği olduğunu vurgulayan AYM, mukayeseli hukuku da dikkate alarak bu bilgilendirmenin iletişimin denetlenmesi ve kişisel verilerin işlenmesine dair;

-Hukuki dayanağı ve amaçlarını,
-Kapsamını,
-Verilerin saklanacağı süreyi,
-Veri sahibinin haklarını,
-Denetlemenin ve işlemenin sonuçlarını,
-Ve verilerin muhtemel yararlanıcılarını kapsaması gerektiğini belirtmiştir.

Buna göre açık bir aydınlatma yükümlülüğü öngören AYM, herhangi bir şekil şartı koymayıp işverenlerin belirtilen kapsamda haberdar olma imkânı sağlayan herhangi bir yöntemi tercih edebileceğini ifade etmiştir.

    • Çalışanın kişisel verilerin korunması ve haberleşme haklarına yapılan müdahalenin amaca uygun olması gerekir.

İşverenin yönetim hakkı kapsamında çalışanların iletişimine bulunduğu müdahalenin, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olması gereklidir. Bununla birlikte AYM, inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerektiğini belirtmiştir.

    • İşveren tarafından yapılan müdahalenin orantılı ve ulaşılmak istenen amaç bakımından zorunlu olması gereklidir.

İşverenin gerçekleştirdiği müdahalenin gerekli kabul edilebilmesi için AYM tarafından öngörülen şartlar; aynı amaca daha hafif bir müdahale ile ulaşılmasının mümkün olmaması ve müdahalenin ulaşılmak istenen amaç bakımından zorunlu olmasıdır. Bu bakımdan işverenin çalışanların iletişiminin içeriğine girilmesi yerine kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığını her bir vakıanın somut özellikleri değerlendirilerek denetleme yükümlülüğü bulunmaktadır.

Nitekim söz konusu müdahalenin orantılı sayılabilmesi için ulaşılmak istenen amaçla sınırlı olması, bu amacı aşacak şekilde sınırlama ya da müdahalenin mevcut olmaması da elzemdir.

  • İşverenin çalışanın kurumsal e-posta adresini incelemeden önce çalışanın ayrıca rızasını alması gerekir mi?

AYM kararında, açık bir bilgilendirme mevcut olması halinde işverenin kurumsal e-posta  adresini incelemeden önce çalışanın ayrıca rızasını alması beklenemeyeceğini  ifade  etmiştir. Buna göre, açık bilgilendirme sonrasında çalışanın rızasının mevcut olduğu ve aksi kanıtlanana kadar da bu rızanın geçerli olduğunun kabulü gerekmektedir. Ancak AYM bu hükmüne bir istisna getirerek, çalışana işverenin denetleme yetkisine ilişkin itiraz şerhi düşerek rızasını geri alma hakkı tanımıştır.

  • İşverenin iletişimi denetleme ve kişisel verileri işleme yetkisine ilişkin bilgilendirme iş sözleşmesi kapsamında yapılabilir mi?

Başvurucusunun bilgilendirme yapılmadan ve rızası olmadan kurumsal e-posta hesabının incelendiğini ileri sürdüğü AYM kararında; işveren ile arasındaki iş akdi incelenmiş ve başvurucuya tahsis edilen kurumsal e-postanın sadece iş amaçlı kullanılacağının, kurumsal e-postanın banka yönetimi tarafından haber verilmeksizin denetlenebileceğinin ve personelin bu konuda itirazının olmayacağının düzenlendiği görülmüştür.

Bu bilgiler ışığında AYM, iş sözleşmesinde kurumsal e-postanın kullanımına ilişkin sınırların, e-posta denetlenme usulü ve inceleme yetkisinin, işçinin e-postayı kullanırken uyması gereken yükümlülüklerin önceden iş sözleşmesinde açıkça bildirildiğini kabul etmiş, başvurucunun iş sözleşmesini imzalamış olmasının da rıza göstergesi olduğunu ifade etmiştir.

V. Sonuç

Çalışanların kurumsal e-posta hesaplarının incelenmesi söz konusu olaylar çerçevesinde her ne kadar işverenin meşru menfaati kapsamında sayılmış olsa da işverenin yönetim hakkı kapsamında çalışanlarına ilişkin izleme ve gözetleme faaliyetlerinin hukuka uygunluğuna dair birtakım uyulması gereken unsurlar mevcuttur. Yukarıda ayrıntılı açıklandığı üzere, özellikle bilgilendirme yükümlülüğünün altını çizen AYM kararlarına göre, doğru bilgilendirme yapılmadığı ve ölçülülük ve amaca uygunluk ilkelerine uyulmadığı müddetçe, iletişimin denetlenmesi, işverenin haklı yönetim hakkı kapsamında meşru sayılamayacaktır.

Şirketlerin denetim politikaları açısından önem arz eden bu karar ile, işverenin çalışanlara yönelik gözetim ve denetim hakkının olduğu kadar, bu yönetim hakkının kişisel verilerin korunması açısından da sınırları daha net çizilmiş olmaktadır.

Söz konusu Karar incelememizin PDF şeklindeki dokümanına buradan ulaşabilirsiniz.

Konuya ilişkin detaylı bilgi almak için; info@mclegal.com.tr

Bu çalışmamızda yer alan bilgiler sizleri güncel konularda bilgilendirmek amacıyla hazırlanmış olup herhangi bir şekilde hukuki görüş ve/veya danışmanlık teşkil etmemektedir. Hukuki danışmanlık hizmeti almak için lütfen bizimle iletişime geçiniz.