İş hayatının vazgeçilmezi olan e-posta hesaplarının işverence incelenip incelenemeyeceği sorunu sıklıkla birçok yöneticinin gündemine gelmektedir. Bu incelemenin, yöneticinin yönetim yetkisi kapsamında değerlendirilip değerlendirilemeyeceği ve çalışanın kişisel verilerinin ihlali olup olmayacağı hususları ise konunun biz hukukçuları ilgilendiren boyutudur.
Avrupa Konseyi’nin kişisel verilerin korunması alanındaki çalışmaları neticesinde 28 Ocak 1981 tarihindeKişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi imzaya açılmıştır. Türkiye ise aynı tarihte sözleşmeyi imzalayarak, sözleşmeyi ilk imzalayan ülkelerden olmuştur. Kişisel verilerin korunmasının iç hukukumuza dahil edilmesi 24 Mart 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Türkiye Büyük Millet Meclisi’nde kabul edilmesi ile olmuştur.
Kişisel Veri Kavramı
Kişisel veri, 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır.
Bir kişinin belirli veya belirlenebilir olması, o kişinin tanımlanabilir hale gelmesini ifade etmektedir. Diğer bir değişle adı, soyadı, doğum tarihi gibi bilgilere ek olarak kişinin telefon numarası, motorlu taşıt plakası, parmak izi, sosyal güvenlik numarası kişiyi belirlenebilir kılma özellikleri nedeniyle kişisel veridir. Bu tanımdan hareketle kişilerin e-posta adresleri de bir kişisel veridir.
Çalışanlara Ait E-Posta Hesaplarının İncelenmesi
İşverenlerin çalışanlarına ait kişisel e-posta hesaplarını kontrol etme hakkı ve yetkisi bulunmamaktadır. Şirket e-postaları açısından ise konu yargı mercilerine taşınmıştır.
Çalışan ile işveren arasında imzalanan iş sözleşmesi gereği, çalışan iş görme borcu altına girmekte ve işverenin de çalışanı üzerinde yönetim ve denetim hakkı bulunmaktadır. Bu doğrultuda Yargıtay 22 Hukuk Dairesi3 Mayıs 2016 tarih ve E. 2016/6321 K. 2016/13143 sayılı kararı ileişverenin kendisine ait bilgisayar ve e-posta adreslerine gelen e-postaları her zaman denetleme ve inceleme yetkisi bulunduğunu, dürüstlük kuralı bu yetkinin önceden haber verilerek kullanılmasını gerektirse de işverenin denetleme yetkisini dilediği zaman kullanabileceğini düzenlemiştir.
Buna karşın yine Yargıtay 22 Hukuk Dairesi 7 Mayıs 2019 tarih ve 2017/21857 E.- 2019/9884 K.Sayılı kararı ile çalışanın izleme hakkında bilgilendirilmesi gerektiğini, izlendiğine dair bilgilendirilmemiş olması halinde ise elde edilecek bilgilerin iş akdinin ihlalini ortaya çıkarsa dahi kullanılamayacağını içtihat etmiştir. İşçinin bilgilendirilmemiş olması sebebiyle işverenin haklı nedenle fesih yapamayacağını belirtmiştir.
Benzer şekilde, Anayasa Mahkemesi de kişisel verilerin korunması açısından önemli bir içtihatta bulunarak çalışanların e-posta adreslerinin denetlenmesini çalışanın rızasının alınmasına bağlamıştır. Bu kapsamda 24 Mart 2016 tarih ve 2013/4825 sayılı kararıyla denetleme yapılacağına ilişkin çalışanın rızasının alındığı durumlarda artık hak ihlalinden bahsedilemeyeceğini belirtmiştir.
“…iş faaliyetlerinin yürütülmesi sırasında kullanılan iletişim kaynaklarının işverence takip altında tutulabileceğini düzenleyen bir bilgi güvenliği taahhütnamesini imzalamış olan çalışanın, işyerindeki kurumsal e-posta hesapları üzerinde gerçekleştirdikleri kişisel yazışmaların korunması konusunda makul bir beklentileri olamayacakları” sonucuna varmıştır. (Anayasa Mahkemesi 24 Mart 2016 tarih ve 2013/485 başvuru sayılı kararı)
Anayasa Mahkemesi yine 17 Eylül 2020 tarih ve 2016/1310 sayılı kararında, çalışanın rızası alınmaksızın kurumsal e-posta yazışmalarının denetlenmesinin; çalışanın özel hayatının gizliliği ile haberleşme hürriyetinin ihlal edildiğini tespit etmiş ve çalışanın her zaman kişisel verilerinin korunmasını isteme hakkı olduğunu değerlendirmiştir. Anayasa Mahkemesi, çalışanın manevi tazminata hak kazanacağını ve iş mahkemesinin hak ihlallerini ortadan kaldırması için yeniden yargılama yapması gerektiği yönünde karar verilmiştir.
Anayasa Mahkemesi (2016/1310 sayılı kararı ile),
- İşverenin, çalışanı, denetleme yöntemleri konusunda önceden açıkça bilgilendirmiş olması,
- İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçelerinin olması,
- İşveren tarafından yapılan denetimin, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olması ve bu amaçla sınırlı olması,
- Aynı amaca daha hafif bir müdahale ile ulaşılmasının mümkün olmaması
halinde çalışanına sunduğu iletişim araçlarını denetleyebileceğini hüküm altına almıştır.
Yine
- İşlerin etkin bir şekilde yürütülmesi ve bilgi akışını kontrol etmek,
- İşçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunmak,
- Verimliliği ölçmek,
- Genel güvenlik endişeleri
gibi sebeplerle de çalışanına sunduğu iletişim araçlarının denetlenmesinin makul görülebileceğini belirtmektedir. Ancak veri sorumlusunun aydınlatma yükümü gereği işverenin öncelikle yazılı şekilde çalışanını bilgilendirmesi ve açık rızasını alması gerekmektedir.
Anayasa Mahkemesi 5 Şubat 2021 tarihli ve 31386 sayılı Resmî Gazete’de yayımlanan kararı ışığında önceki kararlarına paralel şekilde işverenin, çalışanlarının e-posta hesaplarını denetleyebilmesinin aşağıdaki durumlarda mümkün olacağını içtihat etmiştir.
- Şirket e-posta adreslerinden gönderilecek yazışmaların ve içeriklerinin denetlenebileceğini çalışana imza karşılandığında bildirmeli ve bu hususa açık rıza gösterdiğine dair imzası alınmalıdır.
- Gönderilen E-posta içeriğinin ve yazışmaların denetlenmesi ancak işlerin etkin bir şekilde yürütülmesi ve bilgi akışının kontrol edilmesi, işçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunulması, verimliliğin ölçülmesi ve genel güvenlik endişelerinin bulunması halinde gündeme alınmalıdır.
- E-postalara içerik ve yazışma denetimi yapılacağında, denetim meşru bir amaca dayanmalı ve aynı amaca başka bir yöntemle ulaşılamıyor olması gereklidir. Bu anlamda tanık ifadeleri ya da şirket kayıtlarının yeterli olması durumunda e-posta denetimi yapılmamalıdır.
E-posta Adresinin Hukuka Aykırı Şekilde Denetlenmesi Halinde Çalışanın Hakları
Çalışana ait e-posta adresinin aydınlatma yükümü yapılmadan ve çalışanın açık rızası alınmadan denetlenmesi halinde çalışanın Kişisel Verilerin Korunması Kurulu’na başvuruda bulunması, İş K.m.24/II çerçevesinde iş akdini haklı nedenle feshetmesi, TBK.m.49 ve 58 uyarınca maddi ve manevi tazminat talebinde de bulunması gibi hakları bulunmaktadır.
Çalışanların e-posta adresinin aydınlatma yükümü yapılmadan ve çalışanın açık rızası alınmadan denetlenmesi halinde sürecin cezai sonuçları da bulunmaktadır. Bu çerçevede haberleşmenin gizliliğinin ihlali (TCK.m.132), kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması (TCK.m.133), özel hayatın gizliliğini ihlal (TCK.m.134), kişisel verilerin kaydedilmesi (TCK.m.135), verileri yok etmeme (TCK.m.137) suçları ve hapis cezası yaptırımı düzenlenerek, işçinin kişisel verilerinin korunması amaçlanmıştır.
Tüm bu açıklamalar ışığında özetlemek gerekirse; işveren çalışanına ait iş e-posta adresini çalışanını aydınlatma yükümünü yerine getirerek ve çalışanın önceden yazılı rızası alınmak kaydıyla bilgi akışını kontrol etmek, cezai ve hukuki sorumluluğu engellemek, genel güvenliği sağlamak, verimliliği ölçmek gibi nedenlerle ve varılmak istenen sonucun başka yöntemlerle elde edilememesi durumunda inceleyebilir.