Giriş

İşverenin, işin devamı ve sürekliliği ayrıca kanuni yükümlülüklerini yerine getirmesi amacıyla çalışan üzerinde yönetim ve denetim hakkı bulunmaktadır. Bu husus, Türk Borçlar Kanunu’nun 399. maddesinde “İşveren, işin görülmesi ve işçilerin iş yerindeki davranışlarıyla ilgili genel düzenlemeler yapabilir ve onlara özel talimat verebilir.” hükmü ile kendisini göstermiştir.

Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin İşlenme Şartları

İşveren; verdiği talimatta çalışanın kullanımına sunulan cihazların özel amaçlı olarak kullanılmasına izin vermemiş ise 6098 sayılı Türk Borçlar Kanunu m.399’a dayalı olarak cihazlar üzerinde denetim yapabilmektedir. Denetimin yapılırken dikkat edilemesi gereken husus denetimin orantılı yapılmasıdır. Bu husus Anayasa Mahkemesi’nin 17/9/2020 tarihli 2018/34548 başvuru numaralı E.Ü. kararında “Müdahalenin orantılı kabul edilebilmesi için iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalıdır” şeklinde belirtilmiştir. Örneğin işverenin telefon, internet kullanımını vb. denetimlerini sürekli olarak yapması orantılılık ilkesinin aşılmasına sebebiyet verebilmektedir.

İşveren; verdiği talimatta çalışanın kullanımına sunulan cihazların özel amaçlı olarak kullanılmasına izin vermişse çalışanca kullanılan cihazlarda mahremiyete dair bir beklenti meydana gelmektedir. Dolayısıyla yapılacak denetimlerde kişinin özel alanına dair veriler elde edilebileceği için burada kişisel verilerin işlenmesi söz konusu olmaktadır. Denetimlerin yapılabilmesi için KVKK kapsamında çalışanın açık rızasına ihtiyaç duyulmaktadır. Açık rızanın alınması denetimin orantılılık ilkesini ortadan kaldırmamaktadır. Örneğin işveren, çalışanının konuşmalarını dinleyememelidir veya gizlice denetim yapamamalıdır. Bu kapsamda Yargıtay verdiği bir kararında “İşçinin izlendiğine dair bilgilendirilmemesi veya gizlice izlenmesi, bu izleme neticesinde elde edilen veriler iş sözleşmesinin işçi tarafından ihlal edildiğini açıkça ortaya koysa dahi, hukuka aykırı olarak kabul edilmelidir.” şeklinde hükmetmiştir (Yargıtay 22. HD, 2017/21857 E.- 2019/9884 K. ve 07.05.2019 T.).
Veri sorumlusu, çalışana ait verileri işlerken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kanun” 4. maddesinde genel ilkler uygun olarak hareket etmelidir.  Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Bu çerçevede, kişisel veriler ancak; hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebilmektedir. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında, işlenen veriler belirlenen amaçların gerçekleştirilebilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gerekmektedir. Bu noktada önemli olan husus, amacı gerçekleştirmeye yönelik yeterli verinin elde edilip, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. (Kaynak)
Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.(Kaynak)

Diğer taraftan, Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğunun belirtildiği, aynı maddenin ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte üçüncü fıkrada da özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer hallerin sayıldığı, buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin belirtildiği, 4 üncü fıkrada ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartı da getirilmiştir.(Kaynak)

Çalışanın Denetlenmesine İlişkin Anayasa Mahkemesinin Görüşleri

Anayasa Mahkemesi’nin 28/12/2021 tarihli 2018/34548 başvuru numaralı kararına göre “İşverenin işçinin iletişimini denetlemesi yetkisini özel hayata saygı hakkı ve haberleşme hürriyeti bağlamında devletin pozitif yükümlülükleri kapsamında irdelemek gerekmektedir. Teknolojik gelişmelerin imkânlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır. Bu bağlamda işveren ile çalışan arasındaki ilişkinin iki taraf açısından da belirli hak ve yükümlülükler öngören ve esasen güven ilişkisi üzerine kurulu iş sözleşmesiyle şekillendiği unutulmamalıdır.” (Kaynak)
Anayasa Mahkemesi 17/9/2020 tarihli 2016/13010 başvuru numaralı kararı’nda “AİHM’e göre mesleki hayat özel hayat kavramı dışında tutulamaz. Özel hayat unsurları gerekçe gösterilerek mesleki hayata getirilen sınırlamalar, bireyin sosyal kimliğini etkilediği ölçüde Sözleşme’nin 8. maddesi kapsamına girebilmektedir. AİHM bireylerin genellikle iş yaşamında dış dünyayla ilişkiler kurduğunu hatırlatarak bireyin kimliğini oluşturmasının ve sosyalleşmesinin önemli bir aracı olan dış dünyayla ilişki kurma hakkının bireyin iş çevresini de kapsadığını, bu durumun serbest meslek bağlamında özellikle geçerli olduğunu ifade etmiştir. Sözleşme’nin 8. maddesinde geçen yazışma teriminin mektup gibi geleneksel iletişim araçları yanında telefon, faks ve e-posta gibi yeni teknolojik araçlarla yapılan iletişim de kapsadığını, özel hayata saygı hakkı ve bu hakkın bir görünümü olan haberleşme hürriyetinin işyerindeki iletişim bakımından da uygulanabilir nitelikte olduğunu da ifade etmiştir.”(Kaynak)

Bu bağlamda Anayasa Mahkemesi’nin 28/12/2021 tarihli 2016/13010 başvuru numaralı kararına göre işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korunmak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği söylenebilir. Ancak işverenin yönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olduğu unutulmamalıdır. Bu kapsamda işverenin .yetki ve haklarının sınırsız olmadığı, çalışana tanınan temel hak ve özgürlüklerin, haberleşme hürriyeti ve özel hayata saygı hakkının .işyeri sınırları dâhilinde de korunduğu, aynı zamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiği vurgulanmalıdır. Bu çerçevede işyerinde kullanıma sunulan. iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme. ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel. hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır. (Kaynak)

Anayasa Mahkemesi’nin 17/9/2020 tarihli 2018/34548 başvuru numaralı E.Ü. kararında, derece mahkemelerince aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığının gereği gibi denetleyip denetlemediğinin incelenmesi gerektiğini vurgulamıştır:
  1. İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
  2. Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi. süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren. tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp .şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda. haberdar olma imkânı sağlayan uygun bir yöntem tercih edilebilir.
iii. Çalışanın temel hak ve hürriyetlerine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
  1. İşveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi. için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale. ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine daha az müdahale içeren yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin .ulaşmak istediği amaca çalışanın iletişimi .incelenmeden de erişilme imkânı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
  2. Müdahalenin orantılı kabul edilebilmesi için ise iletişimin .denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak .veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
  3. Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan .bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat .ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti hâlinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir. (Kaynak)

Çalışana açık bir bilgilendirmenin yapılmadığı hâllerde hak ve özgürlüklerine bir .müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden .yararlandırılması gerektiği söylenebilir. Bu bağlamda bilgilendirme sonrası işverenin denetleme yetkisine ilişkin bir itiraz şerh edilmediği sürece çalışanın rızasının mevcut olduğu ve aksi kanıtlanana kadar da bu rızanın geçerli olduğunun kabulü gerektiği vurgulanmalıdır. (Kaynak)

Çalışanın Denetlenmesine İlişkin Birleşmiş Milletler Genel Kurulu Görüşü

Birleşmiş Milletler Genel Kurulu tarafından kişisel verilerin korunması .konusunda kabul edilen 14/12/1990 tarihli ve 45/95 sayılı “Bilgisayarla İşlenen Kişisel .Veri Dosyaları Hakkında Yönlendirici İlkeler”de şu .temel ilkelere yer verilmiştir:

  • İşlemenin hukuka uygun ve adil olması ilkesi: Kişilerin hakkındaki veriler hukuka aykırı veya adil olmayan şekilde toplanmamalı veya işlenmemelidir. Ayrıca Birleşmiş Milletler Şartı’ndaki ilkelere aykırı amaçlarla kullanılmamalıdır.
  • Doğruluk ilkesi: Kişisel verileri tutmakla sorumlu makamlar bu bilgilerin doğru tutulmasını güvence altına almalıdır.
  • Belirli ve meşru amaçlar için işleme ilkesi: Bir kaydın tutulması ve kullanımı meşru ve belirli bir amaca dayalı olmalıdır. Bütün kişisel veriler amaç ile ilgili ve onu gerçekleştirmeye elverişli olacak şekilde toplanmalı ve kaydedilmelidir. Bu kişisel verilerin hiçbiri, ilgili kişinin rızası dışında, belirtilenlerle uyuşmayan amaçlar için kullanılamaz veya ifşa edilemez. Kişisel verilen saklanma süresi, belirtilen amaçlara ulaşılmasını sağlayacak süreyi aşamaz.
  • İlgili kişilerin erişmesi ilkesi: Kimlik kanıtı sunan herkes kendisiyle ilgili bilgilerin işlenip işlenmediğini bilme ve gereksiz bir gecikme veya masraf olmadan anlaşılır biçimde elde etme hakkına sahiptir. Ayrıca bu bilgilerin kanuna aykırı, gereksiz veya yanlış olması durumunda uygun düzeltmelerin yapılmasını veya silinmesini talep etme hakkına sahiptir. Devletler buna uygun bir çözüm yolu sağlamak durumundadır. Herhangi bir düzeltme maliyeti dosyadan sorumlu kişi tarafından karşılanmalıdır. Bu ilke hükümlerinin uyruk veya ikâmetine bakılmaksızın herkes için uygulanması arzu edilir.
  • Ayrımcılığın önlenmesi ilkesi: (6) numaralı ilkede kısıtlı olarak öngörülen hâller söz konusu olduğunda ırk veya etnik köken, renk, cinsel yaşam, siyasi görüş, dini, felsefi ve diğer inançların yanı sıra dernek veya sendika üyeliği bilgileri de dahil olmak üzere kanuna aykırı veya keyfî olarak ayrımcılığa yol açabilmesi muhtemel veriler toplanmamalıdır.
  • Üstün amaçlar için istisna koyabilme ilkesi: Ulusal güvenlik, genel sağlık ve ahlakı korumak veya özellikle zulüm gören kişilerin ve diğerlerinin hak ve özgürlüklerinin korunması amacıyla (1) ila (4) numaralı ilkelerden ayrılabilmek mümkün olabilir. Ancak bu tür istisnalar, sınırlarının .açıkça belirlendiği ve uygun tedbirlerin ortaya konulduğu .iç hukuk sistemine göre yürürlüğe konan bir kanun veya eşdeğer. bir düzenlemede açıkça belirtilmiş olmalıdır.
  • Güvenlik ilkesi: Veri dosyaları, kaza ile kaybetme veya yok etme gibi doğal afetler, hileli verilerin yanlış kullanılması ya da bilgisayar virüsleri gibi insan odaklı tehlikelere karşı uygun tedbirlerle korunmalıdır.
  • Denetleme ve yaptırım ilkesi: Her ülkenin kanunu, yerel hukuk sistemine uygun olarak yukarıda belirtilen ilkelere uyulmasından sorumlu makamı belirler. Bu makam tarafsızlık, veri işleme ve oluşturmadan sorumlu kişilere karşı bağımsızlık ve teknik yeterlilik teminatı sunmalıdır. Yukarıda belirtilen ilkeleri uygulayan ulusal kanun hükümlerinin ihlali durumunda cezai veya diğer idari yaptırımlar uygun bireysel çözümlerle birlikte öngörülmüş olmalıdır.
  • Sınır ötesi veri transferi ilkesi: Sınır ötesi bir veri akışı ile ilgili olarak iki veya daha fazla ülkenin mevzuatı mahremiyetin korunması için karşılaştırılabilir güvenceler sunduğu takdirde veri dolaşımı mümkün kılınabilir. (Kaynak)

Mevzuattaki Diğer Düzenlemeler ve Kararlar

6098 sayılı Türk Borçlar Kanunu’na göre “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.”

AİHM, Bărbulescu/Romanya kararında, iletişim alanındaki hızlı gelişmelere rağmen. keyfîliğe karşı orantılılık incelemesinin ve usule ilişkin güvencelerin varlığının zorunlu olduğunu belirterek çalışanın iletişiminin incelenmesi bağlamında .devletin pozitif yükümlülüklerine ilişkin esasları tespit etmiştir. Bu bağlamda AİHM işverenin denetleme yöntemleri hakkında çalışanı önceden açıkça bilgilendirilip bilgilendirilmediğinin ve yapılan incelemenin kapsamı ile iletişimin denetlenmesi yoluyla çalışanın mahremiyetine ne ölçüde müdahale edildiğinin gözetilmesi gerektiğini vurgulamıştır. Bu noktada AİHM iletişim akışının incelenmesi ile iletişimin içeriğinin incelemesi arasında ayrım yaparak içerik incelemesine ayrı bir önem atfetmiş ve incelemenin süresi, inceleme sonucuna erişen kişi sayısı gibi hususların göz önünde tutulması gerektiğini belirtmiştir. AİHM’e göre işveren iletişimin incelenmesini haklı kılan meşru gerekçeleri ortaya koyabilmelidir. Ayrıca amaçlanan sonucun içerik incelemesi yapılmadan daha hafif bir müdahale teşkil eden yöntem ile elde etmenin mümkün olmaması gerekir. AİHM çalışana iletişimin denetlenmesi tedbiri karşısında yeterli güvencelerin sağlanması ve inceleme sonucunda elde edilen verilerin hedeflenen amaç doğrultusunda kullanılması gerektiğini belirtmiştir. AİHM’e göre pozitif yükümlülüklere dair bu ilkelerin her somut olayın özelliğine göre ne ölçüde uygulandığının yetkili yargı organı tarafından tespit edilmesi gerekir (Bărbulescu/Romanya, §§ 112, 123).(Kaynak)

Norveç Veri Koruma Otoritesi; 2021 yılında bir şirket için verdiği kararda, hasta olduğundan dolayı izinde olan ve uzaktan çalışamayan çalışanının e-postalarına herhangi bir bilgilendirme yapmadan eriştiği ve e-postalar için otomatik olarak iletim talimatı verdiğinden dolayı şirkete GDPR’ın 6/1-f maddesini ihlal ettiği gerekçesiyle 400.000 NOK (€38,800) para cezası verrmiştir.

Anayasa Mahkemesi, 28/12/2021 tarihli ve 2018/34548 başvuru numaralı kararında özetle, Başvuru konusu olayda başvurucu, bir özel şirket çalışanı olup 1/5/2015 tarihinden itibaren bu şirketin hizmet sağladığı Sağlık Bakanlığına bağlı bir devlet hastanesinde bilgi işlem sorumlusu olarak görev yapmaktadır. Kurum yöneticilerinden birinin başvurucuya görevi. için tahsis edilmiş bilgisayardaki WhatsApp yazışmalarını bir şekilde görerek bu .yazışmaların içeriklerini temin ettiği ve bunların dayanak yapılarak başvurucunun. iş sözleşmesinin feshedildiği anlaşılmaktadır. İşveren şirket vekili davaya cevap dilekçesinde, mesaj .içeriklerinin başvurucunun bilgisayarını açık bırakması sonucunda sorumlu olan amiri tarafından elde edildiğini ifade etmiştir. Anılan mesajlaşma programının işyerinin işleyişiyle bir ilgisinin bulunmadığı, başvurucu ve arkadaşları tarafından özel mesajlaşmalar için oluşturulduğu anlaşılmaktadır. İşyerinde kullanıma tahsis edilen bilgisayar üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım. koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hâllerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı .beklentiyle çalışan kişinin işyeri bilgisayarı üzerinden kişisel .yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Somut olayda işverenin işyeri bilgisayarını inceleme yetkisi ile kapsamını gösteren bir bildirimin başvurucuya yapıldığına ilişkin bilgi ve belge sunmadığı hususları gözetildiğinde işveren tarafından işyerinde kullanıma tahsis edilen bilgisayar üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirme yapılmadığı anlaşılmaktadır. Öte yandan özel hayat alanına dâhil olan WhatsApp mesajlaşma. içerikleri gerekçe gösterilerek başvurucunun .iş akdi .feshedilmiştir. somut .olayda kişisel kullanıma ilişkin olduğu herkesçe ve işverence bilinen söz konusu programın denetlenmesinin başvurucunun özel hayatının ve haberleşmesinin gizliğinin korunması konusundaki makul beklentisine aykırı olduğunu belirtmiştir. 

Avrupa İnsan Hakları Mahkemesi 2007 yılında verdiği Copland v United Kingdom kararında; iş yerine ait e-posta adresinden. mail atılması ya da. iş yerine ait internetin kullanımının çalışanın özel hayatının bir parçası olarak sayılabileceği ve bu sebeple bu mecralardan veri elde edilmesi ya da kaydedilmesi için çalışanın bilgilendirilmesi gerektiğini belirtmiştir.

Anayasa Mahkemesi, 12/01/2021 tarihli ve 2018/31036 başvuru numaralı kararında özetle, Başvurucunun eşi adına 1/4/2014 tarihinde bir şirket kurulduğu, başvurucunun bu şirketin muhasebecisine kurumsal e-posta üzerinden ödemelere ilişkin çeşitli belgeler gönderdiği, başvurucunun kurumsal e-posta üzerinden başka bankalarla anılan şirkete ilişkin kredi pazarlığı yaparak kredi başvurusunda bulunduğu, işyerinin stoğunda bulunan ürünlerle ilgili bazı belgeleri kişisel e-posta hesabından kurumsal e-posta hesabına gönderdiği ve eşinin hesabının sıkça görüntülendiği hususlarının tespit edildiği belirtilmiştir. Başvurucunun iş akdi 11/5/2016 tarihli yazılı bildirimle feshedilmiştir. Somut olayda işverenin başvurucunun kurumsal e-posta hesabını kullanarak yaptığı mesajlaşmalarını denetlemesi ve içeriğini geriye dönük olarak .incelemesi sonucu elde ettiği bilgileri, iş akdinin feshine dayanak yapması söz konusudur. Bu durumla .birlikte. başvurucunun e-posta bilgileri ve yazışmalarının belirli bir gerçek. kişi hakkındaki bilgi kapsamında olduğu gözetildiğinde bu bilgilere erişilmesinin, bunların kullanılmasının ve işlenmesinin özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkı. ve haberleşme hürriyeti yönünden incelenmesi gerektiği değerlendirilmiştir ve bu kapsamda Özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını .isteme hakkı ile haberleşme hürriyetinin ihlal edildiğine ilişkin .iddianın kabul edilebilir olduğuna karar vermiştir.

Avrupa İnsan Hakları Mahkemesi 1997 yılında verdiği Halford v. United Kingdom kararında işyerinde, çalışanlara sağlanan dahili telefon hattı üzerinden yapılan görüşmelerin, evden yapılan görüşmeler gibi kişinin özel hayatına ilişkin olduğu ve herhangi bir bilgilendirme yapılmadan dinlenemeyeceğini belirtmiştir.

İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik 4. maddesinde İnternet toplu kullanım sağlayıcılarına “Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetme ve iki yıl süre ile saklama” yükümlülüğü getirilmiştir. Bu sebeple işverenler, kanuni yükümlülüklerini yerine. getirebilmek, internet güvenliğinin sağlanması gibi sebepler ile çalışana iş amaçlı verilen elektronik posta ve bilgisayardan ziyaret edilen internet sayfalarını kaydedebilir.

Yargıtay, bu hususta verdiği bir kararında “…Çalışanın çalışma süresi içinde kariyer sitelerine girdiği, sohbet. sitelerinde zaman geçirdiği, bir başka arkadaşını işverenine bazı bilgileri vermemesi konusunda yönlendirdiği, şirketin araç vermemesi üzerine işvereni kötülediği, fuarlara. katılmama konusunda çeşitli bahaneler ürettiği, iş sözleşmesinin başlangıcında kendisinde bulunması gereken vasıflar konusunda hatalı bilgi verdiği sabit ise de, davalı işverenin bu bilgileri. işçinin bilgisayarına yerleştirdiği özel bir takip programı ile elde ettiği anlaşılmaktadır. İşverenin yönetim hakkının bir sonucu olarak işçiyi elektronik ortamda izlemesi ve takip etmesi her zaman mümkündür. Ancak bunun için işçinin bu izleme hakkında bilgilendirilmiş olması şarttır. İşçinin izlendiğine dair bilgilendirilmemesi veya gizlice izlenmesi, bu izleme. neticesinde elde edilen veriler iş sözleşmesinin işçi tarafından ihlal edildiğini açıkça ortaya koysa dahi, hukuka aykırı olarak kabul edilmelidir.” şeklinde hükmetmiştir (Yargıtay 22. HD, 2017/21857 E.- 2019/9884 K. ve 07.05.2019 T.).

Anayasa Mahkemesi 2016/13010 Başvuru numaralı, 17.09.2020 Tarihli  kararı’nda ise “… işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine. bağlı cezai ve hukuki sorumluluğa karşı korumak, verimliliği. ölçmek veya güvenlik endişeleri gibi .haklı ve meşru görülebilecek. nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlar öngörebileceği söylenebilir. Ancak işverenin yönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanmasıyla sınırlı olduğu unutulmamalıdır. Bu bağlamda işverenin yetki ve haklarının sınırsız olmadığı, çalışana tanınan temel hak ve özgürlüklerin somut olayda haberleşme hürriyeti ve kişisel verilerin korunmasını isteme hakkının işyeri sınırları dahilinde de korunduğu, aynı zamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiği vurgulanmalıdır. Bu çerçevede işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir. gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda. temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.”

Sonuç

  • 6098 sayılı Türk Borçlar Kanunu’nun 399. maddesine göre “İşveren, işin görülmesi ve işçilerin iş yerindeki davranışlarıyla ilgili genel düzenlemeler yapabilir ve onlara özel talimat verebilir.”
  • 6098 sayılı Türk Borçlar Kanunu’na göre “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.”
  • Veri sorumlusu, çalışana ait verileri işlerken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kanun” 4. maddesinde genel ilkeler uygun olarak hareket etmelidir.
  • İşveren iletişimin incelenmesini haklı kılan meşru gerekçeleri ortaya koyabilmelidir. Ayrıca amaçlanan sonucun içerik incelemesi yapılmadan daha hafif bir müdahale teşkil eden yöntem ile elde etmenin mümkün olmaması gerekir. Bu durum 6698 sayılı Kişisel Verilerin Korunması Kanunu’nunda amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygunluk olarak tanımlanmıştır.
  • İşverenin yönetim hakkının bir sonucu olarak işçiyi elektronik ortamda izlemesi ve takip etmesi her zaman mümkündür. Ancak bunun için işçinin bu izleme hakkında bilgilendirilmiş olması şarttır. Bu bağlamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi gereğince işveren aydınlatma yükümlülüğünü yerine getirmelidir aksi halin bulunması durumunda işçinin izlendiğine dair bilgilendirilmemesi veya gizlice izlenmesi, bu izleme neticesinde elde edilen veriler iş sözleşmesinin işçi tarafından ihlal edildiğini açıkça ortaya koysa dahi, hukuka aykırı olarak kabul edilmelidir.
  • işverenin yetki ve haklarının sınırsız olmadığı, çalışana tanınan temel hak ve özgürlüklerin, haberleşme hürriyeti ve özel hayata saygı hakkının işyeri sınırları dâhilinde de korunduğu, aynı zamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temel haklarının. özünü zedeleyecek nitelikte olmaması gerektiği vurgulanmalıdır. Bu çerçevede işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız. ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine. işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.

Diğer yazılarıma aşağıdaki linklerden ulaşabilirsiniz:

2022 Kira Artış Oranları ve Kanuni Düzenlemeler

Kişisel Verilerin Algoritmik Hedeflemesi

İcra Ve İflâs Kanunu Uyarınca Elektronik Ortamda Yapılacak Satışların Usulü Hakkında Yönetmelik

Akdenize Kıyısı Olan Avrupa Birliği Ülkelerinde Dernek Kurulması

Kvkk Kapsamında Yol Kameralarının Kullanımı

17.12.2021 Tarihli KVKK Karar Özetleri