25 Eki Kişisel Verileri Koruma Kurulu’nun 25.11.2021 tarihli İşverenin İşçiye Ait Kurumsal E-posta Hesabına Erişimi Hakkında Kararı
İçindekiler
İşverenler, çalışanlarına telefon, bilgisayar ve araba gibi birçok ek menfaat sağlayabilmektedir. Bu imkanlar her ne kadar işletmelerin faaliyetleri açısından faydalı olsa da işçi ile işveren arasındaki ilişkinin doğası gereği gerçek hayatta birtakım problemlere de sebebiyet verebilmektedir. Bu sorunlar günümüze kadar birçok kez iş mahkemelerinde ve özel hayatın gizliliğini ihlal kapsamında ceza mahkemelerinde dava konusu olmakla beraber; çalışanların kurumsal e-posta hesapları veya verilerinin incelenmesi gibi kişisel veri hukukunu ilgilendiren hususların olması halinde bu konular 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından da ele alınmıştır.
Bu kapsamda, Kurul 25.11.2021 tarihli ve 2021/1187 sayılı kararı çerçevesinde, veri sorumlusu işveren tarafından eski bir çalışanın kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesini KVKK kapsamında değerlendirmiştir. Kurul’un ilgili kararına buradan ulaşabilirsiniz.
Kurumsal E-posta Hesabına İşverence Erişiminin Kişisel Veri İhlali Olduğu İddiası
Kurul’a yapılan şikayette aşağıdaki hususlar belirtilmiştir;
- işveren ile karşılıklı taraf oldukları dava kapsamında işçiye ait kişisel veri niteliğinde olan verilere iş akdinin feshinden sonra erişildiği ve bir aydınlatma yapılmadan ve açık rıza alınmadan işlendiği,
- çalışanlara verilen e-posta adreslerinin sadece iş için kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirimin yapılmamış olduğu,
- müşterilerin ve çalışanların bilgilerinin Microsoft şirketine ait bulut sisteminde yer aldığı ve bulut sunucularının yurtdışında bulunuyor olmasından ötürü söz konusu işlemelerin KVKK’nın 9. maddesine aykırılık teşkil ettiği,
- KVKK’nın 11. maddesi kapsamında işverenden KVKK’ya aykırı işlenen kişisel verilerin silinmesinin veya imhasının talep edildiği.
İşverenin Savunması
İşveren savunmasına eski çalışanının çalıştığı süre boyunca rakip firmalara iş kaydırarak şirketi ciddi bir şekilde zarara uğrattığını belirterek başlamıştır. Bununla birlikte işçiye, iş ilişkisi kapsamında ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta adresinin tahsis edilmiş olduğu; bilişim alanında teknik nitelikli bir çalışan için, e-posta hesaplarının yalnızca işin ifası amacı ile kullanması gerektiğinin açık olduğu ve bu hususun bir ek bilgilendirmeye tabi tutulmasının hayatın olağan akışına aykırılık teşkil edeceği dile getirilmiştir.
Ayrıca iş yerinde, kurumsal e-posta adresi üzerinden ve iş saatlerinde yapılan özel yazışmaların denetim yükümlülüğü kapsamında işverenin erişimine açık olabileceğini göz önünde bulundurması gerektiği ve bu yüzden işçinin işverene açık rıza vermiş sayılacağı zira söz konusu bilgilerin işçi tarafından alenileştirildiğinin varsayılması gerektiği öne sürülmüştür.
Anayasa Mahkemesi ve AİHM İçtihatları Işığında Değerlendirme
Kurul öncelikle konu ile ilgili yüksek yargı kararlarına atıflarda bulunmuş sonrasında kendi değerlendirmelerine yer vermiştir.
17.09.2020 tarihli ve 2016/13010 başvuru numaralı Anayasa Mahkemesi (“AYM”) Kararı ile işveren tarafından iletişim araçlarının işçinin kullanımına sunulması nedeniyle yaşanan uyuşmazlıklarda; (i) işverenin menfaatleri ile işçinin hak ve özgürlükleri arasında bir dengeleme yapılması, (ii) işverenin meşru amacının olması, yapılan müdahalenin bu amacı gerçekleştirmeye elverişli olması ve daha az müdahale ile bu amaca ulaşılamıyor olması, (iii) süreçle ilgili olarak çalışanların önceden bilgilendirilmesi ve (iv) yararlanılacak verilerin ulaşılmak istenen amaçla sınırlı olması şeklinde kriterlerin göz önüne alınarak değerlendirme yapılması gerektiği vurgulanmıştır.
12.01.2021 tarihli ve 2018/31036 başvuru numaralı AYM Kararı ile de önceden yapılması gereken bilgilendirmenin bu tarz erişimler için ön şart olduğu karara bağlanmıştır.
Ek olarak, Avrupa İnsan Hakları Mahkemesi’nin (“AİHM”), Bărbulescu v. Romanya Kararı’nda çalışanların iş yerinde dahi özel hayata sahip olabileceği ve bu kapsamda kişisel verilerin korunmasının son derece önemli olduğu değerlendirilmiştir. Özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinin AİHM tarafından belirlenen kriterler ölçüsünde hassasiyetle uygulanması gerektiği ifade edilmiştir.
Bu kapsamda AYM ve AİHM kararları göz önüne alındığında; ilgili kişiye söz konusu hesabın işveren tarafından denetlenebileceğine ilişkin olarak KVKK’nın 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (“Tebliğ”) 4. maddesi kapsamında herhangi bir aydınlatmanın yapılmadığı görülmüştür.
Son olarak veri sorumlusunun “alenileştirme” savunmasına cevaben işçinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği tespit edilmiştir.
Sonuç
Bu değerlendirmelerden hareketle Kurul kararında şu tespitlerde bulunmuştur;
- KVKK ve Tebliğ uyarınca aydınlatma yükümlülüğünü yerine getirmediği içinişverene 250.000 TL idari para cezası kesilmesi,
- yurt dışına aktarım iddiasına ilişkin re ‘sen inceleme başlatılması ve,
- işçinin verilerinin silinmesi talebi yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı.
Bu kararın önemi Kurul’un AYM ve AİHM kararlarıyla şart koşulan işçiye önceden yapılacak olan bildirimi bir şekil şartına bağlamasıdır. Kurul önceden yapılacak olan bildirimin KVKK’nın 10. maddesi ile Tebliğ ‘in 4. maddesine uygun şekilde yapılması gerektiğini belirterek burada oluşabilecek boşluğu gidermiştir.
İşverenin çalışanlarını denetleme hakkı ile çalışanların anayasal güvence altında tutulan hak ve özgürlüklerinin çatışmasına sık rastlanılmaktadır. Günümüzde dijital ortamlarda sağlanan imkanların gelişmesi ve insan hayatının bu ortamlarda geçirdiği sürenin artmasıyla iş ve özel hayatlarımız eskiden hiç olmadığı kadar iç içedir. Bu da işverenlerin yaptığı denetimlerde yüklendiği riskleri artırmaktadır. Bu sorumlulukların farkında olmak ve uygun hareket etmek için en sağlıklısı olacaktır.
Kişisel verilerinizin korunması veya şirketinizin kişisel veri hukuku uyumluluğu hususlarında uzman hukuki destek almak için İzmir Kişisel Veri Hukuku Avukatlarımıza ulaşabilirsiniz.
