Kurumsal E-posta Denetimi Yapılabilmesinin Şartları

Bilindiği üzere hızla gelişen dijitalleşmenin de etkisiyle iş hayatında e-posta kullanımı çok yüksek seviyelere ulaşmıştır. İşbu sebeple e-postalar pek çok kişisel veri barındırmakta, hatta mail içeriklerinde çalışanın özel hayatına ilişkin kişisel veriler de yer alabilmektedir. Peki, işveren çalışanına tahsis ettiği kurumsal e-posta hesaplarını denetleyebilir mi? Bu denetimin şartları ve sınırları nedir?

Bu soruların cevabına geçmeden önce işverenin yönetim hakkını tanımlamamız gerekmektedir. İşverenin yönetim hakkı; işverenin işin nerede, nasıl, ne zaman, hangi sıraya göre yürütüleceğine veya işyerinin düzeni ve güvenliğine dair tek taraflı kurallar koyabilme ve düzenlemeler getirebilme yetkisi olarak da tanımlanabilir. İşverenin, yönetim hakkına karşılık çalışanlar, işverenin talimatlarına uyma ve sadakat borcu altındadır.

Ancak, işverenin yönetim hakkı sınırsız değildir. İşverenin yönetim hakkının içeriği, yasa ve sözleşmelerle düzenlenebilir, genişletilebilir veya daraltılabilir. İşvereninin e-posta denetimine ilişkin yargı kararıyla getirilen kurallar da bu sınırlamaya bir örnek teşkil etmektedir.

İşverenin kurumsal e-posta hesabını denetleyip denetlemeyeceği sorunu pek çok kez yargı önüne gelmiş, konuya ilişkin pek çok Anayasa Mahkemesi kararı(24.03.2016 tarih 2013/4825 başvuru numaralı karar, 17.09.2020 tarih 2016/13010 başvuru numaralı karar, 12.01.2021 tarih 2018/31036 başvuru numaralı karar) Avrupa İnsan Hakları M ahkemesi kararı verilmiştir. Son olarak Kişisel Verileri Koruma Kurulu da 25/11/2021 tarih, 2021/1187 sayılı kararıyla konuya dair açıklama getirmiştir.

12.01.2021 tarihli ve 2018/31036 başvuru numaralı Anayasa Mahkemesi Kararında;

  • i. İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
    ii. Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
    iii. Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
    iv. İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
    v. İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
    vi. Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti halinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir.

… Öte yandan e-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hallerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradan hareketle çalışana açık bir bilgilendirmenin yapılmadığı hallerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden
yararlandırılması gerektiği söylenebilir.
” İfadelerine yer verilmiştir.

KVKK'ya Gelen İhbar ve Şikayetlerin Sektörel Dağılımı KVKK'ya Gelen İhbar ve Şikayetlerin Sektörel Dağılımı

Konuya ilişkin olarak Kişisel Verileri Koruma Kurumu önüne gelen olayda 25/11/2021 tarih, 2021/1187 sayılı kararıyla:

“İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına,” karar vermiştir.

Bu kapsamda yaptırımların muhatabı olmamak adına çalışanların e-posta hesapları denetlenirken aşağıda kriterlere dikkat edilmelidir:

  1. İşverenle çalışan arasında düzenlenen iş akdinde çalışana tahsis edilen kurumsal e-postanın sadece iş amaçlı kullanılacağının, kurumsal e-postanın haber verilmeksizin denetlenebileceğinin belirtilmesi gerekmektedir.

Çalışan, iletişimin izlenebileceği ve incelenebileceği yönünde önceden tam ve açık bir şekilde bilgilendirilmelidir. Ayrıca konuya ilişkin aydınlatma yükümlülüğü de yerine getirilmelidir.

  1. İletişimin denetlenmesinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesinin belirlenmesi, bu bağlamda, iletişimin akışı ile içeriğinin denetlenmesi hususunun birbirinden farklı kavramlar olduğu göz önüne alınmalıdır.
  2. İletişimin denetlenmesi ve içeriğine erişilmesi konusunda işverenin meşru gerekçelere sahip olup olmadığı, özellikle iletişimin içeriğinin denetiminin daha net bir gerekçelendirilmelidir.
  3. Doğrudan çalışanın yazışmalarının içeriğine erişmek yerine daha az müdahaleci yöntem ve tedbirlerin bulunup bulunmadığı tespit edilmelidir.
  4. Denetleme faaliyetinin sonuçları ve bu sonuçların işveren tarafından elde etme amacına uygun kullanılıp kullanılmadığı göz önünde bulundurulmalıdır.

Neticeten çalışanların kurumsal e-posta hesaplarının incelenmesi her ne kadar işverenin meşru menfaati kapsamında sayılmış olsa da işverenin yönetim hakkı kapsamında çalışanlarına ilişkin izleme ve gözetleme faaliyetlerinin hukuka uygun olması için sağlanması gereken kriterler mevcuttur.

Yukarıda ayrıntılı açıklandığı üzere, özellikle bilgilendirme yükümlülüğünün altını çizen AYM kararlarına göre, doğru bilgilendirme yapılmadığı ve ölçülülük ve amaca uygunluk ilkelerine uyulmadığı müddetçe, iletişimin denetlenmesi, işverenin haklı yönetim hakkı kapsamında meşru sayılamayacaktır.

Av. Esra Ülkü BAYRAM