Anayasa Mahkemesine, Celal Oraj Altunörgü tarafından 03.10.2018 tarihinde yapılan başvuru, 12.01.2021 tarihinde karara bağlanmış, kurumsal e-posta hesabının işveren tarafından denetlenmesinin kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyetini ihlal etmediğine karar vermiştir. *
KARARA İLİŞKİN HÜKÜM:
- Özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkı ile haberleşme hürriyetinin ihlal edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA,
- Anayasanın 20. Maddesinde güvence altına alınan özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkı ve Anayasa’nın 22.maddesinde güvence altına alınan haberleşme hürriyetinin İHLAL EDİLMEDİĞİNE karar verilmiştir.
KARARIN KVKK AÇISINDAN DEĞERLENDİRİLMESİ:
- Aydınlatma yükümlülüğü ile ilgili olarak; “Kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir.” denilmiştir.
- “İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.” Denilerek her olay için iletişim araçlarına müdahale edilemeyeceğini, iletişim akışı ile içeriklerin incelenmesinin ayrılmasını, içerik incelemenin daha sıkı kurallara ya da daha kabul görür gerekçelere bağlanması gerektiğini söylemektedir.
- “Müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir.” denilerek İş hukukunda yer alan “Feshin son çare olması” ilkesi gibi bir ilkenin ortaya konulduğunu görmekteyiz. Bunu da “Kişisel Veri içeren içeriklerin incelenmesinin son çare olması” şeklinde ortaya konulduğu görülmektedir. Denetlemenin de amaca uygun olması istenmektedir.
- “Çok sayıda çalışanı olduğu ve kurumsal olarak finans hizmeti verdiği anlaşılan işverenin çalışanlarına kurumsal e-posta hesabı oluşturmak suretiyle kişisel verileri işlemesinin ve iletişim akışını denetim altında tutmasının işleri etkin bir şekilde yürütülmesini sağlama amacına yönelik olduğu anlaşılmaktadır. Bu durumda kurumsal e-posta hesabının iletişim akışına ve içeriğine erişilecek şekilde kullanıma sunulmasının somut olayda işyerinin yönetimi bakımından meşru bir menfaat teşkil ettiği, ayrıca hedeflenen amacı sağlamaya elverişli bir yöntem olduğu söylenebilir.” Kişisel Verilerin Korunması Kanunu madde 5/2-f uyarınca Kişinin Temel Hak ve Özgürlükleri ile Veri sorumlusunun menfaati olarak arasındaki terazide Veri Sorumlusunun menfaatinin ağır bastığını ortaya koyan bir açıklamadır. Bu da bilindiği üzere açık rıza almadan veri işleme faaliyetinin yapılmasına olanak sağlamaktadır. Keza Anayasa Mahkemesinin Kararında ayrıca; “..Bununla birlikte açık bir bilgilendirme yapılması halinde işverenin kurumsal e-postayı incelemeden önce çalışanın ayrıca açık rızasının alması beklenemez. Bu bağlamda bilgilendirme sonrası işverenin denetleme yetkisine ilişkin bir itiraz şerh edilmediği sürece çalışanın rızasının mevcut olduğu ve aksi kanıtlanana kadar da bu rızanın geçerli olduğunun kabulü gerektiği vurgulanmalıdır.” diyerek bu hususu net bir şekilde ortaya koyduğunu görmekteyiz.
- “Somut olayda başvurucu bilgilendirme yapılmadan ve rızası alınmadan kurumsal e-posta hesabının incelendiğini ileri sürmüştür. Başvurucunun bağlı olduğu iş akdi incelendiğinde tahsis edilen kurumsal e-postanın sadece iş amaçlı olarak kullanılacağının ve kurumsal e-postanın banka yönetimi tarafından haber verilmeksizin denetlenebileceğinin, personelin bu konuda itirazının olmayacağı ve talimatlara uyacağı hususlarının düzenlendiği görülmüştür. Ayrıca iş sözleşmesinde çalışan için belirlenen yükümlülüklere -kurumsal e-postanın amacına uygun kullanılması, performans düşüklüğü tespiti, başka işte çalışma yasağı- uyulmaması durumunda iş akdinin feshedilebileceğinin açıkça düzenlendiği anlaşılmaktadır.
Bu durumda işverenin iş sözleşmesinde, kurumsal e-postanın kullanımına ilişkin sınırları, e-postanın denetlenme usulü ve inceleme yetkisini, işçinin işini yürütürken ve e-postayı kullanırken uyması gereken yükümlülükleri ile belirlenen yükümlülüklere uyulmaması durumunda 4857 sayılı Kanun çerçevesinde nasıl yaptırım uygulanacağını belirlediği söylenebilir. Bu durum gözetildiğinde “başvurucunun kullanımına sunulan kurumsal e-postanın denetlenebileceği ve denetimin usulüne ilişkin önceden İş Sözleşmesi’yle açıkça bildirim yapıldığı, ayrıca İş Sözleşmesi’ni imzalayarak rıza gösterdiği kabul edilmelidir.” denilmiştir. Bu açıklamalar uygulamada Veri Sorumluları tarafından sıkça sorulan “Kurumsal e-postaları denetleyebilir miyiz?” sorunun cevabıdır. Burada Anayasa Mahkemesi tarafından hangi kriterlerin olması gerektiği açıkça ortaya konulmaktadır.
Son olarak; Kurumsal e-postaların incelenmesi ile elde edilen verilerin sadece yargı sürecinde kullandığı görülmüştür denilerek, burada da bir kısıtlama getirildiğini görmekteyiz.
Av. Onur ÖZDİKER