T C. Anayasa Mahkemesi
AİHM inceleme sonucunda Sözleşme’nin 8.maddesinin ihlal edildiğine karar vermiştir. İncelenen başvuruda kişisel verilerin korunmasınıisteme hakkı ve haberleşme hürriyetiyle ilgili anayasal güvenceleri gözeten biryargılama yapılmaması nedeniyle anılan hak ve özgürlüğün ihlal edildiğisonucuna varılmıştır. Dolayısıyla ihlalin mahkeme kararından kaynaklandığı anlaşılmaktadır. Demokratik bir toplumda iletişimin denetlenmesi vekişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli vebunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafındanönceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukukdikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygundüştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerinişlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemeninkapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin veişlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarınıkapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkinolarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir.Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığısağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimindenetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olmaimkânı sağlayan uygun bir yöntem tercih edilebilir. Somut olayda işveren tarafından başvurucunun kurumsal e-posta hesabı üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirme yapılmadığı anlaşılmıştır. Öte yandan e-posta iletişim içerikleri gerekçe gösterilerek başvurucunun iş akdi feshedilmiştir. Ancak işveren davalı taraf olarak yargılama sürecinde kişisel verilerin işlenmesinin hukuki dayanağı ve işlemenin amaçlarını gösterir bir bilgilendirme yapıldığını ortaya koyamamıştır. Bu bağlamda böyle bir bilgilendirmenin yapılıp yapılmadığı derece mahkemelerince tartışılmamış, başvurucunun rızası alınmadan ve önceden bir bilgilendirme yapılmadan e-posta içeriklerine erişildiği yönündeki esaslı iddiaların karşılanmadığı görülmüştür.
- Kişisel veri, belirli veyabelirlenebilir bir gerçek kişi hakkındaki her bilgiyi ifade eder (veri sahibi);belirlenebilir bir gerçek kişi ad, kimlik, yer bilgisi, online kimlik veyakişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel ya dasosyal kimliği gibi belirleyici bir özellikle doğrudan veya dolaylı olarakbelirlenebilen kişidir.
- “İşçi, yüklendiği işi özenle yapmakve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorundadır.
Maddesinin üçüncüfıkrasının kişisel verilerin korunmasını isteme hakkı kapsamında sadece işlemeşeklindeki sınırlama ya da müdahalelere karşı değil kişisel verilere yönelikher türlü müdahale ve sınırlamalara karşı güvence getirdiği anlaşılmaktadır. Başvurucu, kurumsal e-posta hesabı içeriğinin işveren tarafından incelenmesi ve bu yazışmalar gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle kişisel verilerin korunmasını isteme hakkı ile haberleşme hürriyetinin ihlal edildiğini ileri sürmüştür. Öte yandan e-posta iletişim içerikleri gerekçe gösterilerekbaşvurucunun iş akdi feshedilmiştir. Ancak işveren davalı taraf olarakyargılama sürecinde kişisel verilerin işlenmesinin hukuki dayanağı veişlemenin amaçları, işlenecek verilerin kapsamı, verilerin saklanacağı süre,veri sahibinin hakları, işlemenin sonuçları ve verilerin muhtemelyararlanıcılarını gösterir bir bilgilendirme yapıldığını ortayakoyamamıştır. Bu bağlamda yargılama sürecinde feshin temel sebebini oluşturane-posta iletişimine yönelik olarak böyle bir bilgilendirmenin yapılıpyapılmadığı derece mahkemelerince tartışılmamış, başvurucunun kendisialenileştirmediği hâlde onun rızası alınmadan ve önceden bir bilgilendirmeyapılmadan e-posta içeriklerine erişildiği yönündeki esaslı iddialarınınkarşılanmadığı anlaşılmıştır. Başvurucu; kurumsal e-posta hesapları üzerindengerçekleştirdiği kişisel yazışmaların rızası olmaksızın işveren tarafındanincelendiğini, çalışanların e-postalarının incelenebileceğine, denetleneceğinedair işyerinde yazılı ya da sözlü bir kuralın mevcut olmadığını, işverenin işsözleşmesinin feshine gerekçe bulmak amacıyla böyle bir inceleme yaptığınıbelirtmiştir. Ekip lideri, A.A.Y.nin kurumsal e-posta hesabı üzerinden binlerceyazışmanın işveren tarafından incelendiğini, bunların arasından işvereninokuyacağını düşünmeden yazdığı ve inceleme anına kadar işverenin bilmediğikişisel yazışma niteliğindeki e-posta içeriklerinin fesih gerekçesiyapıldığını, açtığı işe iade istemli tespit davasında da söz konusu yazışmalarındelil olarak kabul edildiğini ifade etmiştir. Ayrıca feshin haklı ya da geçerlibir sebebe dayanmadığını, feshin sebebinin öğrenilmesinden itibaren altı işgünü içinde feshin yapılmadığını, derece mahkemesinin itirazlarını vedelillerini karşılayacak şekilde gerekçe sunmadığını belirterek adil yargılanmahakkı ile haberleşme hürriyeti ve özel hayata saygı hakkının ihlal edildiğiniileri sürmüştür.
Maddesinin üçüncü fıkrasında güvencealtına alınan kişisel verilerin korunmasını isteme hakkı yönünden incelemeyapılabilmesi için öncelikle anılan hak kapsamında korunması gereken birkişisel verinin olup olmadığı belirlenmelidir. Anayasa hükmünün lafzı, konuyailişkin uluslararası belgeler ve karşılaştırmalı hukuk dikkate alındığındabelirli veya belirlenebilir bir gerçek veya tüzel kişi hakkındaki her türlübilgi kişisel veri olarak değerlendirilir. Ancak her davada ya da başvurudaAnayasa’nın 20. Maddesinin üçüncü fıkrası anlamında bir kişisel veri bulunupbulunmadığı davanın ve başvurunun kendine özgü koşulları dikkate alınarakotonom olarak tespit edilir. Bir kişisel verinin bulunduğu tespit edildiğindebu veriye yönelik her türlü sınırlama ve müdahale Anayasa’nın anılan hükmükapsamındaki güvenceleri harekete geçirir.
Ancak işvereninyönetim yetkisinin işyerinde işin yürütülmesi, işyerinin düzeninin vegüvenliğinin sağlanmasıyla sınırlı olduğu unutulmamalıdır. Bu bağlamdaişverenin yetki ve haklarının sınırsız olmadığı, çalışana tanınan temel hak veözgürlüklerin somut olayda haberleşme hürriyeti ve kişisel verilerinkorunmasını isteme hakkının işyeri sınırları dâhilinde de korunduğu, aynızamanda kısıtlayıcı ve uyulması zorunlu işyeri kurallarının çalışanların temelhaklarının özünü zedeleyecek nitelikte olmaması gerektiği vurgulanmalıdır. Buçerçevede işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğugözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsızve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinindemokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygıgösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır. Bu durumda kişisel verilerin korunmasını isteme hakkıile haberleşme hürriyetinin ihlalinin sonuçlarının ortadan kaldırılması içinyeniden yargılama yapılmasında hukuki yarar bulunmaktadır. Yapılacak yenidenyargılama ise bireysel başvuruya özgü düzenleme içeren 6216 sayılı Kanun’un 50.maddesinin (2) numaralı fıkrasına göre ihlalin ve sonuçlarının ortadankaldırılmasına yöneliktir. Bu kapsamda yapılması gereken iş, yeniden yargılamakararı verilerek Anayasa Mahkemesini ihlal sonucuna ulaştıran nedenlerigideren, ihlal kararında belirtilen ilkelere uygun yeni bir karar verilmesindenibarettir. Bu sebeple kararın bir örneğinin yeniden yargılama yapılmak üzereilgili mahkemeye gönderilmesine karar verilmesi gerekmektedir. Öte yandan somut olayda ihlalin tespit edilmesininbaşvurucunun uğradığı zararların giderilmesi bakımından yetersiz kalacağıaçıktır. Dolayısıyla eski hâle getirme kuralı çerçevesinde ihlalin bütünsonuçlarıyla ortadan kaldırılabilmesi için kişisel verilerin korunmasını istemehakkı ile haberleşme hürriyetinin ihlali nedeniyle yalnızca ihlal tespitiylegiderilemeyecek olan manevi zararları karşılığında başvurucuya net 8.000 TLmanevi tazminat ödenmesine, tazminata ilişkin diğer taleplerin reddine kararverilmesi gerekir. Başvuru, özel bir şirkette çalışan başvurucununkurumsal e-posta hesabı içeriğinin işveren tarafından incelenmesi ve buyazışmalar gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle özel hayata saygıhakkı kapsamındaki kişisel verilerin korunmasını isteme hakkı ve haberleşmehürriyetinin ihlal edildiği iddialarına ilişkresmi web sitesi. Bu hususlar gözetilerek işverenin işçinin iletişimini denetlemesi yetkisini kişisel verilerin korunmasını isteme hakkı ve haberleşme hürriyeti bağlamında devletin pozitif yükümlülükleri kapsamında irdelemek gerekmektedir.
“Herkes, özel hayatına ve ailehayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve ailehayatının gizliliğine dokunulamaz. Kişisel veri, belirli veyabelirlenebilir bir gerçek kişi hakkındaki her bilgiyi ifade eder (veri sahibi);belirlenebilir bir gerçek kişi ad, kimlik, yer bilgisi, online kimlik veyakişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel ya dasosyal kimliği gibi belirleyici bir özellikle doğrudan veya dolaylı olarakbelirlenebilen kişidir. C) Bir sözleşmenin kurulması veyaifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına aitkişisel verilerin işlenmesinin gerekli olması. Dosyadaki belgelerden tespit edilen 239,50 TL harç ve3.000 TL vekâlet ücretinden oluşan toplam 3.239,50 TL yargılama giderininbaşvurucuya ödenmesine karar verilmesi gerekir. (2) Bu hakkın kullanılmasına bir kamumakamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik birtoplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzeninkorunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarınınhak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda sözkonusu olabilir.” B) Fiili imkânsızlık nedeniyle rızasınıaçıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayankişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğününkorunması için zorunlu olması. İşverenin yukarıdaki hükümler dâhil,kanuna ve sözleşmeye aykırı davranışı nedeniyle işçinin ölümü, vücutbütünlüğünün zedelenmesi veya kişilik haklarının ihlaline bağlı zararlarıntazmini, sözleşmeye aykırılıktan doğan sorumluluk hükümlerine tabidir.” “İşveren, hizmet ilişkisindeişçinin kişiliğini korumak ve saygı göstermek ve işyerinde dürüstlük ilkelerineuygun bir düzeni sağlamakla, özellikle işçilerin psikolojik ve cinsel tacizeuğramamaları ve bu tür tacizlere uğramış olanların daha fazla zarar görmemeleriiçin gerekli önlemleri almakla yükümlüdür. İşlenme amacı için gerekenden daha uzunolmayan bir süre boyunca veri konularının tanımlanmasına izin veren bir formdatutulmalıdır.
Kişisel veriler, veri sahibinin hak ve özgürlüklerini korumakiçin bu Tüzüğün öngördüğü uygun teknik ve yapısal tedbirler alınmak kaydıylaTüzüğün 89/1. Maddesi uyarınca sadece kamu yararına, bilimsel veya tarihiaraştırma amaçlarına ya da istatistiki amaçlara yönelik olarak arşivlemeamacıyla daha uzun bir süre saklanabilir (saklama süresinin sınırlandırılması). “İşveren, işçiye ait kişiselverileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesininifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümlerisaklıdır.” İşveren, işyerinde iş sağlığı vegüvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçlerinoksansız bulundurmak; işçiler de iş sağlığı ve güvenliği konusunda alınan hertürlü önleme uymakla yükümlüdür. “İşçi, yüklendiği işi özenle yapmakve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorundadır. E) Bir hakkın tesisi, kullanılması veyakorunması için veri işlemenin zorunlu olması. Komisyonca başvurunun kabul edilebilirlikincelemesinin Bölüm tarafından yapılmasına karar verilmiştir. Doğru ve gerektiğinde güncel tutulmalı;hatalı olan kişisel verinin işlenme amacına bakılmaksızın gecikmedensilinmesini veya düzeltilmesini sağlamak için makul her adım atılmalıdır(doğruluk). “Hiç kimse özel hayatı, ailesi,meskeni veya yazışması hususlarında keyfî karışmalara, şeref ve şöhretine karşıtecavüzlere mâruz kalamaz. Herkesin bu karışmalara ve tecavüzlere karşı kanunile korunmağa hakkı vardır.” “İşveren, işin görülmesi veişçilerin işyerindeki davranışlarıyla ilgili genel düzenlemeler yapabilir veonlara özel talimat verebilir. İşçiler, bunlara dürüstlük kurallarınıngerektirdiği ölçüde uymak zorundadırlar.” ” (1) Kişisel veriler ilgilikişinin açık rızası olmaksızın işlenemez. “Herkes, haberleşme hürriyetinesahiptir. Haberleşmenin gizliliği esastır.
Derece mahkemeleri tarafından da somut olay bu yönüyle tartışılmamıştır. Bireysel başvuru kapsamında bir temel hakkın ihlaledildiğine karar verildiği takdirde ihlalin ve sonuçlarının ortadankaldırıldığından söz edilebilmesi için temel kural mümkün olduğunca eski hâlegetirmenin yani ihlalden önceki duruma dönülmesinin sağlanmasıdır. Bunun içinise öncelikle ihlalin kaynağı belirlenerek devam eden ihlalin durdurulması,ihlale neden olan karar veya işlemin ve bunların yol açtığı sonuçların ortadankaldırılması, varsa ihlalin sebep olduğu maddi ve manevi zararlarıngiderilmesi, ayrıca bu bağlamda uygun görülen diğer tedbirlerin alınmasıgerekmektedir (Mehmet Doğan, §§ 55, 57). Başvurucu, işveren aleyhine İstanbul 8. İşMahkemesinde işe iade istemli tespit davası açmıştır. Dava dilekçesindebaşvurucu özetle davalılar E. Avukatlık Ortaklığı ve B.M. DanışmanlıkHizmetleri ile B.M. Ofis Yönetimi ve Hizmetleri Limitet Şirketi tarafındanbirlikte istihdam edildiğini, anılan şirketler bünyesinde yazılı olmayanbelirsiz süreli iş sözleşmesi ile çalıştığını belirtmiştir. Fesih sebebi olarakgösterilen tartışmayı kendisinin başlatmadığını, tartışma sırasında karşılıklıhakaret olmadığını, ekip yöneticisinin araya girmesi ile tartışmanın sonaerdiğini iddia etmiştir. Olayda öncelikle işverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir.
Öncelikle e-posta hesabı üzerinden yapılan iletişimindenetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarakönceden tam ve açık bir bilgilendirme yapılmadığı hâllerde temel hak veözgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışankişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işverentarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradanhareketle çalışana açık bir bilgilendirmenin yapılmadığı hâllerde hak veözgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul birbeklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerinsağladığı güvencelerden yararlandırılması gerektiği söylenebilir. Başvuru konusu olayda başvurucu, çok sayıda çalışanıistihdam eden bir avukatlık ortaklığı bünyesinde avukat olarak görevyapmaktadır. İşveren işyerinde yaşanan sorunlar ile ilgili yürütülen disiplinsoruşturması kapsamında somut delil elde etmek amacıyla işlerin yürütülmesinikolaylaştırmak üzere oluşturulan ve çalışanın kullanımına sunulan kurumsale-posta hesaplarının incelendiğini belirtmiştir. Başvurucu adına tanımlanmışkurumsal e-posta hesabının mevcut olduğu ve başvurucunun kullanımına sunulan bue-posta hesabının işveren tarafından incelendiği hususlarında başvuran ileişveren arasında bir ihtilaf olmadığı görülmüştür. Çok sayıda çalışanı olduğuve kurumsal olarak avukatlık hizmeti verdiği anlaşılan işverenin çalışanlarınakurumsal e-posta hesabı oluşturmak suretiyle kişisel verileri işlemesinin veiletişim akışını denetim altında tutmasının işlerin etkin bir şekildeyürütülmesini sağlama amacına yönelik olduğu anlaşılmaktadır. Bu durumdakurumsal e-posta hesabının iletişim akışına ve içeriğine erişilecek şekildekullanıma sunulmasının somut olayda işyerinin yönetimi bakımından meşru birmenfaat teşkil ettiği, ayrıca hedeflenen amacı sağlamaya elverişli bir yöntemolduğu söylenebilir. V. İşveren tarafından başvurucunun kişiselverilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelikmüdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ileişlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenenamaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izinverilmemelidir. Pozitif yükümlülükler özel hukuk kişilerininbirbirleri ile olan uyuşmazlıklarının çözümüne ilişkin yasal altyapınınoluşturulmasını, söz konusu uyuşmazlıkların adil yargılama gereklerine uygun veusul yönünden güvenceleri haiz bir yargılama kapsamında incelenmesini ve buyargılamalarda temel haklara ilişkin anayasal güvencelerin gözetilipgözetilmediğinin denetlenmesini gerektirir. Bu doğrultuda derece mahkemelerincesöz konusu güvenceler gözardı edilmemeli, işveren ve çalışanlar arasındakiçatışan çıkarlar adil biçimde dengelenmeli, başvuranların temel haklarınayönelik müdahalenin meşru amaca dayalı ve ölçülü olup olmadığıdeğerlendirilmeli, ulaşılan sonuç hakkında hüküm kurulurken ilgili ve yeterligerekçeler sunulmalıdır (Ömür Kara ve Onursal Özbek, §§ 47-50). Herkes, kendisiyle ilgili kişiselverilerin korunmasını isteme hakkına sahiptir.
Bu çerçevede işverenin kurumsal e-posta hesabını denetlemesine ve gözetlemesine ilişkin belirlenen genel ilkeler çerçevesinde somut olay değerlendirilmiştir. Anayasa Mahkemesi açıklanan gerekçelerle kişisel verilerin korunmasını isteme hakkının ve haberleşme hürriyetinin ihlal edildiğine karar vermiştir. Öncelikle işverenin işçinin kullanımına sunulan iletişimaraçlarını denetlemesi ve çalışanın kişisel verilerinin işlemesine ilişkinolarak 4857 sayılı Kanun’da özel bir düzenleme olmadığı görülmüştür. AncakAnayasa’nın 20. Ve 22. Maddelerinde yer bulan özel hayata saygı ile kişiselverilerin korunmasını isteme hakları ve haberleşme hürriyetine ilişkingüvenceler ile 6698 sayılı Kanun ile hukuk sistemimizde mevcut olan geneldüzenlemelerin (bkz. §§ 22-29) iş hukuku uyuşmazlıklarında uygulanması yönündebir engel olmadığı gözetildiğinde yasal altyapı oluşturmak bağlamında pozitifyükümlülüklerin yerine getirilmiş olduğu söylenebilir. Anayasa’nın 20.