Geçtiğimiz günlerde Anayasa Mahkemesi tarafından verilen kişisel verilerin korunmasını isteme hakkına ilişkin iki karar Resmi Gazete’de yayımlanmıştır.  Bu kararlardan göze çarpan ve işverenler ile işveren vekillerini yakından ilgilendiren 2016/13010 Başvuru numaralı ve 17.09.2020 tarihli karara değineceğiz.

Özel bir şirkette çalışan başvurucu tarafından kurumsal e-posta hesapları üzerinden yapılan görüşme ve yazışmaların işverence incelendiği ve bu sebeple iş akdinin feshedildiği ancak bu yazışmaların kişisel veri niteliğinde olduğu, bu e-posta hesaplarının denetlenebileceğinin kendisine bildirilmediği gerekçeleriyle haberleşme özgürlüğünün ve kişisel verilerin korunmasını isteme hakkının ihlal edildiği iddiası ile Anayasa Mahkemesine başvurulmuştur.

Başvuruyu inceleyen Anayasa Mahkemesi’nce 14.10.2020 tarihinde Resmi Gazete’de yayımlanan 2016/13010 Başvuru numaralı 17.09.2020 tarihli karar ile işveren tarafından işyerinde çalışanlar arasında yaşanan anlaşmazlıkların çözümlenmesi ve iddiaların gerçekliğinin tespit edilebilmesi amacıyla başvurucu personelin kurumsal e-posta adresinin incelenmesi ve bu yazışmaların işe iade davasında delil olarak kullanılmasının haberleşme hürriyetinin ve kişisel verilerin korunmasını isteme hakkının ihlali niteliğinde olduğu hükme bağlanmıştır.

Kararı incelemeden önce ilgili mevzuata değinmekte fayda görmekteyiz.

07.04.2016 tarihinde Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve T.C. Anayasası’nın 20. Maddesi ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi hedeflenmiştir.

Kişisel Verilerin Korunması Kanun ile de kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri kabul edilerek kişisel verilerin işlenmesinin ancak ilgilisinin açık rızası ile mümkün olabileceği hüküm altına alınmıştır. Bununla birlikte istisnai bazı hallerde ilgilisinin açık rızasının aranmaksızın kişisel verisinin işlenebilmesi mümkündür. Bu haller şunlardır:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Buna ek olarak kişisel veriler işlenirken hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması gereklidir.

Yine bu Kanunda kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusunun kişisel veri ilgilisine bilgi vermekle yükümlü olduğu hususlar da belirtilmiştir. Buna göre veri sorumlusu:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Anayasa Mahkemesi tarafından ilgili kararın gerekçesi olarak özetle “İşverenin yönetim yetkisinin işyerinin düzen ve güvenliğinin sağlanmasıyla sınırlı olduğu, işverene çalışana tanınan temel hak ve özgürlüklerin işyeri sınırlarında da korunduğu, işyeri kurallarının çalışanların haklarının özünü zedeleyecek nitelikte olmaması gerektiği, başvuruya konu olayda çalışanların iletişimlerinin denetlendiği ve çalışanların kurumsal e-posta hesapları üzerinden gerçekleştirdikleri iletişim denetlenebileceğine ve bu e-posta hesaplarının kullanım koşullarına ilişkin tam ve açık bir bilgilendirme yapılmadığı, bununla birlikte e-posta iletişiminin içeriğine erişilmesini zorunlu kılan bir durumun mevcut olduğunun açıklanmadığı” hususları belirtilmiştir.[1]

İlk bakışta, Yargıtay kararları ışığında çalışanların iş için kullanılan kurumsal e-posta hesaplarında ve iş bilgisayarlarında yapılan işe ilişkin olanlar haricinde kişisel veri saklamamaları ve kişisel kullanım gerçekleştirmemeleri gerekliliği ve işverenin bu elektronik iletişim araçlarını denetleme imkanının her zaman bulunduğu düşünülerek Anayasa Mahkemesince verilen bu kararın hatalı bir karar olduğu düşünülse de kararın gerekçesi incelendiğinde oldukça yerinde ve doğru bir karar olduğu görülmektedir.

İşverenlerin, iş yerinde düzeni ve işin devamlığını sağlamak, verimin düşmesini önlemek ve güvenliği sağlamak amacıyla çalışanların elektronik iletişim araçları üzerinden gerçekleştirdikleri iletişim ve erişimin denetlenmesi olağandır.

Bununla birlikte, Anayasa Mahkemesi kararı gerekçesinde de belirtildiği üzere, işverenin bu denetleme ve yönetim yetkisi sınırsız bir yetki olmayıp bu yetkinin makul, sınırlı ve ölçülü kullanılması, aynı zamanda iletişimin denetlenmesi ve bu şekilde kişisel verinin işlenmesi ile veriye erişilmesinin son çare olması gereklidir.

Anayasa Mahkemesi tarafından verilen ihlal kararının yerinde bir karar olduğunu tekrarla belirterek ilgili Kanun ile Anayasa hükümleri karşısında işverenler tarafından hem Kişisel Verilerin Korunması Kurumu nezdinde şikayete maruz kalmamak hem de aleyhe bir tazminat yükümlülüğü ile karşı karşıya kalmamak için yapılması gerekenleri şu şekilde sıralayabiliriz:

  • Öncelikle çalışanların kurumsal e-posta hesaplarının incelenmesi ve gerçekleştirilen görüşmelerin saklanması eylemleri ile ulaşılmak istenilen amaç ölçülü, meşru ve sınırlı olmalı,
  • Çalışanlar işveren tarafından iletişimin ne şekilde ve ne sınırla denetleneceği, denetleme ve kişisel verilere erişimin ve bu verilerin işlenmesinin kimler tarafından gerçekleştirileceği konularında bilgilendirilmeli,
  • Bu şekilde iletişimin denetlenmesi ve kişisel verilerin işlenmesi şeffaf olarak gerçekleştirilmeli; yani çalışanlar iletişimlerinin denetlenebileceğine ilişkin işveren tarafından öncesinde tam ve açık olarak bilgilendirilmeli; işlenecek verilerin kapsamı, saklanacakları süre, veri sahibi olan çalışanların hakları, verilerin muhtemel yararlanıcılarının kim olduğu, veri işlenmesinin hukuki dayanağı bildirilmeli,
  • Çalışanlara kurumsal e-posta adreslerinin ve iş bilgisayarları ile işyerindeki diğer elektronik iletişim araçlarının kullanım esasları bildirilmeli,
  • Anayasa Mahkemesi kararına konu somut olayda olduğu gibi bir işyerinde gerçekleşen ve çalışma düzenini bozan bir olayın aydınlatılması amacıyla çalışanların kurumsal e-posta hesaplarına erişim ve denetim ulaşılmak istenen amaç bakımından zorunlu olmalı, diğer bir deyişle olayın aydınlatılması için tanık dinlenilmesi, işyeri kayıtlarının irdelenmesi veya projelerin incelenmesi gibi seçenekler öncelikli olarak tüketilmeli, bu yöntemler ile istenilen amaca ulaşılamıyorsa son çare olarak çalışanların kurumsal e-posta hesaplarına erişim ve bu hesaplar üzerindeki iletişimin denetlenmesi yoluna gidilmelidir.

İşyerlerinde bir uzman yardımıyla dönüşümün sağlanarak T.C. Anayasası ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli bilgilendirmenin yapılması ve gerektiğinde çalışanlardan açık rıza alınması durumunda işverenlerin herhangi bir idari yaptırım veyahut tazmin yükümlülüğü ile karşı karşıya kalmasının önüne geçilebilecektir.

AV. ERTUĞRUL KALEMCİ

AV. GÖKSUN NİMET DEMİRDAĞ


[1] Anayasa Mahkemesi, Baş. No. 2016/13010, K.T. 17.09.2020, Y.T. 14.102020 Resmi Gaz. Sayısı 31274 https://www.resmigazete.gov.tr/eskiler/2020/10/20201014-5.pdf

Tavsiye Edilen Yazılar

Henüz yorum yapılmamış, sesinizi aşağıya ekleyin!


Bir Yorum Ekle

E-posta hesabınız yayımlanmayacak.