A.Y.M. Kurumsal E-Posta Adreslerinin İncelenmesi ve İş Akdinin Feshine İlişkin Kişisel Veri Kararı

Okuma Süresi: 4 Dakika

A.Y.M. Kurumsal E-posta Adresi Yazışmalarının İş Akdi Feshinde Esas Alınması Hakkında e.ü [g.k], B. No: 2016/13010, 17/9/2020 Tarihli Kararı

A. ANAYASA MAHKEMESİ’NİN (A.Y.M) KARARI

Kurumsal e-posta üzerinden gerçekleştirilen yazışmaların ilgili işçinin iş akdinin feshinde esas alınması kişisel verilerin korunması hakkının ihlali anlamına gelmektedir.

B. BAŞVURU KONUSU OLAY

Başvurucu 14/11/2011 yılında E. Avukat Ortaklığında çalışmaya başlamış ve kendisine kurumsal bir e-posta adresi verilmiştir. Kurumsal e-postalar üzerindeki trafik, bilgi ve ilgili e-postanın içeriği işverenin sunucusunda saklanmaktadır.

İşe alındıktan belirli bir süre sonra başvurucu A.A.Y’nin yöneticisi olduğu beş kişilik bir grupta görev almış, grup içinde çıkan bir tartışma sonucunda da grupta görevli olan üç kişi işyeri yönetimine dilekçeler vererek şikayette bulunmuşlardır. Dilekçelerde, bir buçuk yıldır ekip yöneticisi olan A.A.Y’nin başvurucu ile ilişkisinde nesnelliği kaybettiği ve her olayda başvurucuyu destekleyip diğer ekip üyelerini zor durumda bıraktığı belirtilmiştir. Bunun yanında başvurucunun ekip üyelerine kaba davrandığı ve ekipteki projelerin sağlıklı yürütülebilmesi için gerekli ortamın kaybolduğu ifade edilmiştir.

Başvurucu 26/12/2014 tarihinde karşı dilekçesini işyeri yönetimine sunmuş ve yönetimle yaklaşık üç buçuk saatlik bir mülakat gerçekleştirmiştir. Daha sonra ise başvurucunun kurumsal e-posta adresi bir inceleme altına alınmış ve inceleme sonucu başvurucunun iş akdi feshedilmiştir.

C. KONUYLA İLGİLİ HUKUK

aa. Ulusal Hukuk

Anayasa Mahkemesi (A.Y.M) ilgili uyuşmazlığın çözümünde kişisel verilerin korunması ile alakalı aşağıdaki ulusal hukuk kaynaklarını gerekçe göstermiştir:

1-) 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Amaç” kenar başlıklı 1. maddesi,

2-) 6698 sayılı Kanun’un “Kapsam” kenar başlıklı 2. maddesi,

3-) 6698 sayılı Kanun’un “Tanımlar” kenar başlıklı 3. maddesi,

4-) 6698 sayılı Kanun’un “Kişisel verilerin işlenme şartları” kenar başlıklı 5. maddesi,

5-) 6698 sayılı Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” kenar başlıklı 10. maddesi,

6-)  6698 sayılı Kanun’un “İlgili kişinin hakları” kenar başlıklı 11. maddesi,

7-) 6098 sayılı Kanun’un “Kişisel verilerin kullanılmasında” kenar başlıklı 419. maddesi.

bb. Uluslararası Hukuk

Anayasa Mahkemesi ilgili uyuşmazlığın çözümünde kişisel verilerin korunması ile alakalı aşağıdaki uluslararası hukuk kaynaklarını gerekçe göstermiştir:

1-) Birleşmiş Milletler Genel Kurulunun 10/12/1948 tarihli ve 217 (111) sayılı kararı ile kabul edilen İnsan Hakları Evrensel Beyannamesi’nin 12. maddesi,

2-)27/4/2016 tarihli ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nün “Tanımlar” kenar başlıklı 4. maddesini,

3-) Avrupa Birliği Genel Veri Koruma Tüzüğü’nün “Kişisel verilerin işlenmesi ile ilgili ilkeler” kenar başlıklı 5. maddesi,

4-) Avrupa Birliği Genel Veri Koruma Tüzüğü’nün “Kısıtlamalar” kenar başlıklı 23. maddesini

5-) Avrupa İnsan Hakları Sözleşmesi’nin (Sözleşme) “Özel ve aile hayatına saygı hakkı” kenar başlıklı 8. maddesi,

6-) 18/2/2016 tarihli ve 29628 sayılı Resmî Gazete’de yayımlanan 30/1/2016 tarihli ve 6669 sayılı Kanun’la uygun bulunan 28/1/1981 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin “Tanımlar” kenar başlıklı 2. maddesi,

7-) İlgili Avrupa İnsan Hakları Mahkemesi İçtihatları

D. ANAYASA MAHKEMESİ (A.Y.M) GEREKÇELERİNİN DEĞERLENDİRİLMESİ

TDK’de “veri”; bir tartışmanın, araştırmanın, muhakemenin temeli olan ana öge olarak, “kişisel” ise kişi ile ilgili, kişiye ilişkin, kişinin kendi malı olan, şahsi, zatî olarak tanımlanmaktadır. Bir bilgiyi sözlük anlamının dışına çıkarıp ona kişisel veri boyutunu vermesi ise eldeki bilgilerin bu kişiyi diğer kişilerden ayırmaya imkan verip vermemesi ile alakalıdır. İlgili Kişisel Verilerin Korunması Kanununun “Tanımlar” kenar başlıklı 3. maddesinde de kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi  olarak tanımlanmıştır.

Kişisel veriler gerçek yahut tüzel kişiler veyahut devlet eliyle belirli sunucu ve/veya dosyalarda toplanmaktadır. Gerçek-tüzel kişiler yahut devlet kişisel verileri toplarken bazı husus ve kurallara riayet etmek durumundadır. Bunlardan ilki 6698 sayılı Kanunun 5. maddesinde yer alan kişisel verilerin işlenme şartları, ikincisi  olay açısından önemli olduğunu düşündüğümüz veri sorumlusunun aydınlatma yükümlülüğü, üçüncüsü ise verileri işlenen ilgili kişinin haklarıdır.

6698 Sayılı Kanunun 5. maddesinin 1. fıkrasında kişisel verilerin kişinin açık rızası olmadan işlenemeyeceği emredici bir hüküm olarak yer almış ve devam fıkralarında bu emredici hüküme bazı istisnalar getirilmiştir. Yine ilgili kanunun 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiş ve veri işlenmesi sırasında, veri sorumlusunun ilgili kişilere; veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle yükümlü olduğu söylenmiştir.

İlgili kanunun 10. maddesinin yaptığı atıf bizi 11. maddeye yani verisi işlenen kişinin haklarına götürmektedir. Veri sorumlusunun aydınlatma yükümlülüğü kenar başlıklı 10. madde, ilgilinin hakları kenar başlıklı 11. madde de geçen hakların da veri sorumlusunun aydınlatma yükümlülüğü kapsamında olduğunu söylemiştir. 6698 Sayılı Kanunun 11. maddesinde ilgilinin hakları teker teker sayılmış ve konumuz açısından önemli gördüğümüz kişisel verilerin işlenip işlenmediğini öğrenme hakkı da bu sayılan haklarından biri olarak maddede yer almıştır.

İlgili Anayasa Mahkemesi (A.Y.M) kararının “Başvurucunun İddiaları” başlıklı kısmını incelediğimiz zaman, başvurucunun yazılı olmayan iş sözleşmesi kapsamında E. Avukat Ortalığında görev yaptığını, yargılama süresinde işverenin kurumsal e-postayı inceleme yetkisine dair bir bildirimi başvurucuya yöneltmediğini, bilgi ve belge sunmadığını görmekteyiz. Hal böyleyken işçisine açık şekilde bilgilendirme yapmayan işveren yahut işyeri yönetimi işçisinin kişisel verilerinden sayılan e-postalarını işleyemeyeceği gibi işçinin açık rızası da alınmadan yapılan bu işlemin iş akdinin haklı feshi sonucunu doğurması kendisine hukuki bir altyapı da bulamamaktadır.

Anayasa Mahkemesi’nin (A.Y.M) kararında da belirttiği üzere derece mahkemeleri kişisel verilerin işlenmesine dair bir bildirimin başvurucuya yapılıp yapılmaması ile ilgilenmemiş, tartışmamıştır.  Derece mahkemelerinin almış olduğu karar bu sebeple hukuka ve Anayasa’ya aykırı bir karardır.

Anayasa’nın 20. maddesi özel hayatın gizliliği hakkı ile ilgilidir[1]. Gelişen teknoloji ve bilgisayar sistemlerinin hayatımızın her noktasına sirayet etmesi kişisel verilerin korunması ve özel hayatın gizliliği haklarını bir noktada iç içe geçirmiş ve bir bütün oluşturmuştur. Kişinin Anayasa ve uluslararası hukuk bazında korunan en önemli hakkı yaşama hakkıdır. Yaşama hakkını bir kenara bıraktığımızda ise karşımıza bir insanın sahip olabileceği en önemli hak olarak kişilik hakkı çıkar. Kişilik hakkı gereği kişinin beden ve düşünce bütünlüğüne zarar verilmesi, şeref ve haysiyetinin zedelenmesi yasaktır. Kişisel verilerin korunması hakkı da tam burada devreye girmekte ve kişinin şerefi ve haysiyetini korumaktadır. Bu bağlamda kişisel verilerin Anayasa’ya aykırı bir şekilde ele geçirilmesi, depolanması ve aktarılması KVKK’nin yanı sıra Anayasa’yı da ihlal etmekte ve hukuksuz bir ortam oluşturmaktadır.

E. SONUÇ

Kişisel verilerin hukuka aykırı olarak depolanması, aktarılması ve ele geçirilmesi hukuk kurumuna karşı işlenmiş büyük bir ihlal ve hatta bazı hallerde suçtur. Somut başvuruda işveren, başvurucunun kişisel veri sayılan e-postalarını, kişinin rızası olmadan ve kendisine bir bilgilendirme yapılmadan izlemiş, takip etmiş, incelemiş ve bu konuşmalara dayanarak iş akdini e-posta konuşmalarını haklı neden göstererek feshetmiştir.

İlgili mevzuat gereğince kişinin kişisel verileri onun rızası olmadan ve kişilere bildirim yapılmadan depolanamaz.

Somut başvurudaki gibi bir olay, Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi anlamına gelirken Anayasa’ya göre de özel hayatın gizliliği ve kişisel verilerin korunması hakkının büyük bir ihlali oluşturmaktadır.

Kaldı ki işverenin hiyerarşik yapısından faydalanıp kişisel verileri kaydetmesi apayrı bir şekilde kabul edilemezdir.

Sonuç olarak Anayasa Mahkemesi’nin, kurumsal e-posta üzerinden yapılan konuşmaları kişisel veri sayması, bu konuşmaların incelenmesinin ve iş akdinin feshine haklı sebep gösterilmesinin hukuka aykırı olduğunu söylemesi son derece yerinde ve isabetli bir karardır.

Tüm karar incelemelerimizi bağlantıdan görebilirsiniz.

Hukuk ve Bilişim Dergisi’nin Yeni Sayı’ını okumak için bağlantıya tıklayınız.

Yazar: Mert AKMAN

Dipnotlar

[1]“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”