Your browser (Internet Explorer 7 or lower) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.

X

Anayasa Mahkemesi’nin İşveren Tarafından Şirket Çalışanlarının Kurumsal E-Posta Hesaplarının İncelenmesine Yönelik Güncel Yaklaşımı – Cansugül GAYRET & Mert KUDAT

Anayasa Mahkemesi’nin çalışanların kurumsal e-posta hesaplarının incelenmesine ve şirket bünyesinde gerçekleştirilecek denetimler esnasında dikkat edilmesi gereken hususlara yönelik değerlendirmelerini içeren kararı (“İlk Karar”) 14.10.2020 tarihli ve 31274 sayılı Resmi Gazete’de yayımlanmıştı.

05.02.2021 tarihli ve 31386 sayılı Resmi Gazete’de yayımlanan Anayasa Mahkemesi kararı (“İkinci Karar”) da konuya ilişkin güncel incelemeler içermekte ve bu bağlamda çalışanların kurumsal e-posta hesaplarının incelenmesinin hukuki çerçevesinin netleştirilmesi bakımından önemli değerlendirmelerde bulunmaktadır.

Yazımız kapsamında, önce İlk Karar ele alınarak karar kapsamındaki değerlendirmelerden bahsedilecek ve ardından İkinci Karar’da izlenen güncel yaklaşıma ve önemli değerlendirmelere yer verilecektir.

İlk Karar’ın Değerlendirilmesi

İşveren ve Çalışan Arasında Ortaya Çıkan Uyuşmazlık

Anayasa Mahkemesi’nin kararına konu olan bireysel başvuruda, başvuru sahibi özetle; (i) kurumsal e-posta hesabı üzerinden gerçekleştirdiği kişisel yazışmaların rızası olmaksızın işveren tarafından incelendiğini, (ii) çalışanların e-postalarının incelenebileceğine ve/veya denetlenebileceğine dair iş yerinde yazılı ya da sözlü bir kuralın mevcut olmadığını ve (iii) işverenin iş sözleşmesinin feshine gerekçe bulmak amacıyla böyle bir inceleme yaptığını ifade etmiş ve bu sebeple özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ve haberleşme hürriyetinin ihlal edildiğini ileri sürmüştü.

İşveren ise çalışanın ekip üyelerine kaba davrandığı ve ekipteki projelerin sağlıklı yürütülebilmesi için gerekli ortamın kaybolduğu şikayetleri üzerine iddiaların araştırılması amacıyla; (i) işlerin sürekliğinin sağlanması için kullanılan, (ii) her an kontrol edilebileceği bilinen ve (iii) güvenlik nedeniyle kurumsal güvenlik ortamında saklı tutulan e-posta yazışmalarının incelendiğini belirtmişti.

Anayasa Mahkemesi’nin Değerlendirmeleri

Başvuru kapsamında Anayasa Mahkemesi ilk olarak; (i) işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, (ii) işçinin eylemlerine bağlı olarak şirketin de cezai ve hukuki sorumluluk altına girebileceği eylemlere karşı korunmak ve (iii) verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetlemesinin ve kullanımına ilişkin sınırlamalar getirmesinin mümkün olduğunu ifade etmişti. Bununla birlikte:

  • işverenin yönetim yetkisinin iş yerinde işin yürütülmesi, iş yerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olduğunu,
  • bu bağlamda işverenin yetki ve haklarının sınırsız olmadığını, çalışana tanınan temel hakların iş yeri sınırları dahilinde de korunduğunu ve 
  • kısıtlayıcı ve uyulması zorunlu iş yeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiğini belirtilmişti.

Bu noktada Anayasa Mahkemesi, Avrupa İnsan Hakları Mahkemesi’nin, çalışanın iletişiminin işveren tarafından denetlenmesiyle ilgili ilkelerin belirlendiği Bărbulescu v. Romanya Kararı’ndaki(1) ilkeleri referans alarak değerlendirmelerini yapmış ve bu doğrultuda; (i) ilgili kurumsal e-posta yazışmalarının kişisel verilerin korunması hukuku çerçevesinde “kişisel veri” olarak değerlendirildiği, (ii) işveren tarafından kurumsal e-posta hesabı üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirme yapılmadığı, (iii) çalışanın e-posta iletişiminin içeriğine erişilmesini zorunlu kılan bir durumun mevcut olduğunun işveren tarafından açıklanamadığı, (iv) aynı amaca ulaşabilmesi bakımından tarafların şikayet ve savunmalarının analizi, tanıkların dinlenilmesi, iş yeri kayıtları ile yürütülen projelerin süreç ve sonuçlarının incelenmesi gibi araçların da mevcut olduğu halde niçin e-posta içeriklerinin incelenmesinin zorunlu ve gerekli görüldüğünün işveren tarafından açık bir şekilde ortaya konulamadığı ve (v) çalışanın kişisel verisi kapsamında olan e-postaları ile ilgili olarak trafik bilgisi ile yetinilmediği gibi içeriklerine de kapsamı belirsiz olacak şekilde erişildiği ve bunların kullanıldığı sonucuna ulaşmıştı.

Anayasa Mahkemesi, yukarıda yer verilen değerlendirmeler ışığında çalışanın Anayasa’nın 20. maddesinde güvence altına alınan “kişisel verilerin korunmasını isteme hakkı” ve Anayasa’nın 22. maddesinde güvence altına alınan “haberleşme hürriyetinin” ihlal edildiğine karar vermişti.

İlk Karar’dan Çıkarılabilecek Önemli Notlar ve Değerlendirmelerimiz

İlk Karar kapsamında, şirket tarafından çalışanlara yönelik gerçekleştirilecek denetimler esnasında dikkat edilmesi gereken hususlar aşağıdaki şekilde dört ana başlık altında toplanabilecektir:

  • Şirket çalışanları kurumsal e-postalarından yaptıkları yazışmaların izlenebileceği ve denetlenebileceği hakkında önceden açık olarak bilgilendirilmelidir.
  • Şirket tarafından e-postalara erişimi zorunlu kılan bir durumun mevcut olduğu açık bir şekilde ortaya konulabilmelidir.
  • Şirket çalışanının e-postalarının incelenmesi yerine onun kişisel verilerine daha az müdahale eden başka yöntemlerin olup olmadığı değerlendirilmelidir.
  • Gerçekleştirilecek denetim ulaşılmak istenen amaçla sınırlı olmalı ve bu amacı aşacak şekilde müdahaleden kaçınılmalıdır.

Karar kapsamında kişisel verilerin korunması hukuku açısından da önemli değerlendirmeler yer almaktadır. Bu doğrultuda, not edilmesi gereken birtakım değerlendirmeler aşağıdaki şekilde sıralanabilecektir:

  • İşverenin denetim yetkisi meşru bir amaca dayanmalı, makul ve orantılı/ölçülü olmalıdır.
  • İş ilişkisi taraflarının menfaatleri arasında makul bir denge tesis edilmelidir.
  • İletişimlerin denetlenebileceğine ilişkin hususlar, mutlaka öncesinde bir aydınlatma metni ile çalışanlara tebliğ edilmiş olmalıdır.
  • İş hukuku mevzuatından kaynaklanan bir uyuşmazlık, kişisel verilerin korunmasına ilişkin bir değerlendirmenin gerçekleştirilmesine engel değildir, işveren tarafından bütün mevzuatlar birlikte, gereklilik ve ölçülülük çerçevesinde değerlendirilmelidir.
  • Her türlü ihtilaf, kendi özgün koşulları doğrultusunda değerlendirilmelidir.

İkinci Karar’ın Değerlendirilmesi
İşveren ve Çalışan Arasında Ortaya Çıkan Uyuşmazlık

Karara konu başvuruda, özel bir banka çalışanı olan başvurucu (i) kurumsal e-posta hesapları ile gerçekleştirdiği yazışmaların bilgilendirme yapılmadan ve rızası alınmadan işveren tarafından incelendiğini ve bu yazışmalara dayanılarak performans düşüklüğü nedeniyle iş akdinin feshedildiğini, (ii) iş performansının her zaman üst düzeyde olduğunu, yazılı savunmasının iş akdini sonlandırmak amacıyla banka müfettişlerinin baskısı ve psikolojik tacizi ile alındığını, (iii) eşinin iş yeri ve kendisinin e-posta kayıtlarının iş akdinin feshini sağlamaya yönelik bahaneler olduğunu belirterek, işverenin e-posta içeriklerini incelemesi ve bu içeriklerin hükme esas delil olarak kabul edilmesi nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ve haberleşme hürriyetinin ihlal edildiğini iddia etmiştir.

İşveren, (i) çalışanın iş akdinin yazılı bildirimle feshedildiğini, (ii) söz konusu bildirimde ise başvurucunun göreviyle bağdaşmayacak ve banka kurallarına aykırı şekilde eşine ait işletme üzerinden mesai saatleri içinde ticari faaliyette bulunduğuna, (iii) çalışanın bu nedenle asli görevini ihmal ettiğine ve (iv) şube içinde olumsuzluklara sebebiyet verdiği hususların başvurucunun ikrarı ve müfettiş raporuyla tespit edildiğine yer verildiğini belirtmiştir. Bu doğrultuda, görev ve sorumluluklarla bağdaşmayan, banka kurallarına aykırı bu davranışların kabul edilmeyeceğini belirterek iş akdinin 4857 sayılı İş Kanunu’nun ilgili maddeleri uyarınca feshedildiği ifade etmiştir.

İlave olarak, çalışanın iş sözleşmesinde yer alan “demirbaş ve elektronik posta kullanımı” kenar başlıklı maddenin (i) c bendinde, personelin banka mülkiyetinde olan elektronik posta adresini (kurumsal e-posta) sadece iş amaçlı kullanmakla yükümlü olduğuna ve (ii) d bendinde, kurumsal e-postanın banka yönetimi tarafından haber verilmeksizin denetlenebileceğine, personelin bu konuda itirazının olmayacağına ve talimatlara uyacağını kabul ettiğine ilişkin düzenlenmeler yer almaktadır.

Anayasa Mahkemesi’nin Değerlendirmeleri

Söz konusu iddialar üzerine Anayasa Mahkemesi, yukarıda İlk Karar’a ilişkin kısımda yer verilen (i) çalışanları denetim hakkında önceden bilgilendirme, (ii) meşruluk, (iii) orantılılık ve (iv) denetimin iddialarla sınırlı olması ve elde edilen verilerin amacına uygun kullanılması ilkelerini göz önünde bulundurarak somut olay özelinde bir değerlendirme gerçekleştirmiştir. Anayasa Mahkemesi, bu değerlendirme neticesinde aşağıdaki önemli açıklamalara ve tespitlere yer vermiştir:

  • Açık bir bilgilendirme yapılması halinde, işverenin kurumsal e-postayı incelemeden önce çalışanın ayrıca rızasını almasının beklenemeyeceğini vurgulamış ve bu bağlamda bilgilendirme sonrası işverenin denetleme yetkisine ilişkin bir itiraz şerh edilmediği sürece çalışanın rızasının mevcut olduğunu ve aksi kanıtlanana kadar da bu rızanın geçerli olduğunun kabulü gerektiğini ifade etmiştir.
  • Başvuruya konu olayda ise, çalışanın kullanımına sunulan kurumsal e-postanın denetlenebileceğine ve denetim usulüne ilişkin iş sözleşmesi içeriğinde açıkça bildirim yapıldığını tespit ederek, çalışanın söz konusu iş sözleşmesini imzalayarak belirlenen denetleme usulüne ve yetkisine rıza gösterdiğinin kabul edilmesi gerektiği kanaatine varmıştır.
  • İşverenin yaptığı müdahalenin kapsamı açısından ise, işverenin (i) başvurucunun başka bir işte çalıştığı iddiasını destekleyen mesajları incelediğini ve (ii) iddiasını kanıtlamak amacıyla bu mesajları sadece yargı sürecinde kullandığını tespit etmiştir. Bu doğrultuda, işverenin inceleme amacı dahilinde bir denetleme gerçekleştirdiği ve inceleme sonucu elde edilen verileri amaca uygun kullandığı kanaatine varmıştır.

Sonuç olarak, Anayasa Mahkemesi, yukarıda yer verilen değerlendirmeler ışığında çalışanın Anayasa’nın 20. maddesinde güvence altına alınan “kişisel verilerin korunmasını isteme hakkı” ve Anayasa’nın 22. maddesinde güvence altına alınan “haberleşme hürriyetinin” ihlal edilmediğine karar vermiştir.

Değerlendirmelerimiz

Bu çerçevede, İlk Karar’a ilişkin değerlendirmelerimize ek olarak, (i) çalışanların iş sözleşmelerinde, denetimlerin kapsamları da belirtilerek, kurumsal e-postalarının denetiminin gerçekleştirilebileceğine yer verilmesi halinde, (ii) bunun açık bilgilendirme olarak kabul edildiği ve (iii) açık bilgilendirmede yer verilen hallere ilişkin denetimlere yönelik de çalışandan ilave bir onay alınmasının aranmadığı anlaşılmaktadır. Bu kapsamda, işveren tarafından açık bildirim yapılması koşulu sağlanması halinde, işverenin çalışanlara yönelik gerçekleştireceği bu denetimlere ilişkin çalışanlardan onay almasına gerek olmadığı sonucuna ulaşılmaktadır.

Kaynakça
(1)AİHM’nin söz konusu kararında çalışanın iletişiminin işveren tarafından denetlenmesiyle ilgili ilkeler belirlenmiştir. İlgili kararın konusunu, bir iş yerinde mühendis olarak çalışan başvurucunun işverenin talebiyle açtığı e-posta hesabının başvurucuya önceden haber verilmeden işveren tarafından denetlenmesi oluşturmaktadır.