İşveren Çalışanların E-posta ve Bilgisayarını Denetleyebilir mi?
Giriş
İş hayatındaki dijitalleşme, işverenin işin yürütümünü sağlamak amacıyla çalışanlara bilgisayar, cep telefonu, kurumsal e-posta hesabı, şirket ağı/VPN ve internet erişimi gibi araçlar tahsis etmesini yaygınlaştırmıştır. Bu araçların kullanımı, bir yandan işin verimli ve güvenli şekilde yürütülmesini sağlarken; diğer yandan kişisel verilerin korunması ile özel hayatın gizliliği ve haberleşme hürriyeti bakımından hassas sınırlar doğurur.
İşverenin Yönetim Hakkı Nedir?
Yönetim hakkı; işverenin işin yürütülmesini organize etme, işyerindeki çalışma düzenini belirleme ve işçiye talimat verme yetkisini ifade eden hukuki bir kurumdur. Bu hak, işverenin işyerinin yönetimi ve işletmesel kararları üzerinde sahip olduğu genel belirleyicilik yetkinin olduğunun bir göstergesidir. Bu yetki kapsamında işveren, iş araçlarının (bilgisayar/telefon/e-posta/ağ) kullanım kurallarını belirleyebilir ve meşru amaçlarla sınırlı olmak üzere denetim mekanizmaları kurabilir. Ancak yönetim hakkı sınırsız değildir. İşverenin denetim uygulamaları; özellikle ölçülülük, amaçla bağlılık, gereklilik ve şeffaflık (önceden bilgilendirme) ilkeleriyle sınırlıdır. AYM, işyeri iletişiminin denetlenmesinde bu çerçeveyi kararlarında ayrıntılı şekilde vurgulamaktadır.
İşveren Tarafından Tahsis Edilen Bilişim Sistemi
İşverenler tarafından çalışanlara tahsis edilen bilişim sistemi ve kurumsal iletişim araçlarının tipik örnekleri, bilgisayar/laptop, şirket telefonu/şirket hattı, kurumsal e-posta hesabı, internet, kurumsal bulut/dosya sunucularıdır. Bu araçlarda ise iki tip denetim mümkündür:
- Teknik / trafik (metadata-log) denetimi: “Kim, ne zaman, hangi sisteme erişti?” gibi trafik verisi/log odaklı denetimdir. Örn: oturum açma-kapama saatleri, VPN bağlantısı, hangi uygulamanın çalıştığı, zararlı yazılım uyarıları vb.
- İçerik denetimi: E-posta içeriği, ekler, dosya içerikleri, mesajlaşma içerikleri gibi iletişimin içeriğine giren denetimdir. Bu tür denetim, çalışanın temel haklarına müdahale bakımından daha ağırdır; bu yüzden daha sıkı koşullar altında ve çoğu zaman kademeli şekilde yapılmalıdır.
Denetimin Hukuka Uygun Olması İçin İşveren Tarafından Yapılması Gerekenler
Önceden Açık Bilgilendirme ve Politika
- Denetim yapılmadan önce çalışana açık, anlaşılır ve erişilebilir şekilde bildirim yapılmalıdır.
- Bu bildirim; denetimin amacı, kapsamı, yöntemleri, hangi verilerin işleneceği, saklama süreleri, kimlerin erişeceği gibi unsurları içermelidir.
- İşveren tarafından ispat kolaylığının sağlanması açısından bu bildirimin yazılı yapılması gerekmektedir.
Anayasa Mahkemesi, önceden bilgilendirme yoksa çalışanın kurumsal e-posta üzerinden kişisel yazışma yapabileceğinin öngörülebilir olduğunu ve bu durumda denetimin hak ihlali riskini büyüttüğünü vurgular.
Meşru Amaç ve Amaçla Bağlılık
Denetim; örneğin şu meşru amaçlara dayanmalıdır:
- bilgi güvenliği ve siber risklerin önlenmesi,
- şirket sırlarının korunması,
- işin yürütümünün ve verimliliğin sağlanması,
- hukuki/uyum risklerinin yönetimi (örn. KVKK, finans regülasyonları),
- işyeri düzeni ve disiplin süreçleri.
Ölçülülük ve Kademeli Müdahale
- Denetim, amaç için gerekli olanla sınırlı tutulmalı; mümkünse önce trafik/log düzeyinde kalmalı, içerik incelemesi son çare olmalıdır.
- E-posta içeriğine erişim gibi ağır müdahalelerde; kapsamın daraltılması, erişimin sınırlı yetkililere verilmesi, kayıt altına alınması (audit trail) gibi tedbirler önemlidir.
KVKK Uyumu
Bilişim denetimi kapsamında işlenen veriler çoğu durumda kişisel veri niteliğindedir. Dolayısıyla KVKK bakımından da aşağıda düzenlemeler gözetilmelidir:
- Aydınlatma yükümlülüğü (KVKK m.10)
- Genel ilkeler (KVKK m.4: hukuka uygunluk, doğru-güncel olma, amaçla bağlılık, minimizasyon, süreyle sınırlılık)
- Uygun hukuki sebep (çoğu senaryoda açık rıza yerine “sözleşmenin ifası/ meşru menfaat/ hukuki yükümlülük” tartışması)
- Veri güvenliği tedbirleri (KVKK m.12)
KVKK Kurulu’nun, işverenin kurumsal e-posta hesaplarını denetlemesine ilişkin kararları da özellikle bilgilendirme, amaçla bağlılık ve minimizasyon ekseninde şekillenmektedir.
Hukuka Aykırı Denetim Halinde İşveren Açısından Risk Alanları
Denetim uygulaması şeffaf ve ölçülü kurulmazsa işveren açısından riskler artar. Öncelikle, iş hukuku bakımından, denetime dayanarak yapılan fesih geçersiz sayılabilir; işe iade ve tazminat talepleri gündeme gelebilir. Ayrıca hukuka aykırı şekilde elde edilen kayıtların mahkemede delil olarak kabul edilmemesi ihtimali vardır. Denetim sırasında işlenen veriler çoğu zaman kişisel veri niteliğinde olduğundan, KVKK kapsamında idari para cezası ve veri güvenliği yükümlülüklerine aykırılık riski de doğabilir. Denetim çalışanın özel hayatına veya haberleşmesine aşırı müdahale niteliği taşıyorsa, anayasal hak ihlali iddiaları ve bireysel başvuru süreçleriyle karşılaşılabilir. Son olarak, somut olaya göre ceza hukuku açısından da sorumluluk tartışmaları ortaya çıkabilir.
Konuya yönelik emsal yargı kararlarına aşağıda yer verilmiştir:
Yargıtay, 9. Hukuk Dairesi, E. 2018/10718, K. 2019/559, T. 10.01.2019:
“Somut uyuşmazlıkta, whatsapp konuşmaları gizlilik içeren kişisel veri niteliğinde olduğundan, salt nasıl temin edildiği anlaşılamayan bu yazışmalara dayanılarak iş aktinin feshi haksız olup, kıdem tazminatı ve ihbar tazminatı taleplerinin kabulü yerine reddi hatalıdır”
Yargıtay, 9. Hukuk Dairesi, E. 2016/1217, K. 2019/10496, T. 09.05.2019:
“Dosya kapsamından davacının davalı işyerinde idari bölümde (muhasebe) çalıştığı, kendisine tahsis edilen bir bilgisayar bulunduğu, davalı vekilinin dosyaya sunduğu çıktılar incelendiğinde, bu bilgisayarda cinsel içerikli konuşma ve fotoğrafların bulunduğu internet sitelerine girildiği, bu sitelerdeki giriş saatlerinin ağırlıklı olarak mesai saati içinde olduğu, davacının bu internet sitelerine giriş yaptığının 01/07/2013 tarihinde tespit edildiği, iş akdinin de aynı gün feshedildiği anlaşılmaktadır. Davacının bu eylemi doğruluk ve bağlılığa aykırı olup, davalının güvenini kötüye kullanan davacının iş akdinin feshi haklı olduğundan davacının kıdem ve ihbar tazminatı taleplerinin reddi gerekirken kabulü hatalıdır.”
Anayasa Mahkemesi, Bireysel Başvuru, B. 2018/31036, T. 12/1/2021:
“Somut olayda başvurucu bilgilendirme yapılmadan ve rızası olmadan kurumsal e-posta hesabının incelediğini ileri sürmüştür. Başvurucunun bağlı olduğu iş akdi incelendiğinde (bkz. §§ 7, 8) başvurucuya tahsis edilen kurumsal e-postanın sadece iş amaçlı olarak kullanılacağının ve kurumsal e-postanın banka yönetimi tarafından haber verilmeksizin denetlenebileceğinin, personelin bu konuda itirazının olmayacağı ve talimatlara uyacağı hususlarının düzenlendiği görülmüştür. Ayrıca iş sözleşmesinde çalışan için belirlenen yükümlülüklere -kurumsal e-postanın amacına uygun kullanılması, performans düşüklüğü tespiti, başka işte çalışma yasağı- uyulmaması durumunda iş akdinin feshedilebileceğinin açıkça düzenlendiği anlaşılmaktadır.
Bu durumda işverenin iş sözleşmesinde, kurumsal e-postanın kullanımına ilişkin sınırları, e-postanın denetlenme usulü ve inceleme yetkisini, işçinin işini yürütürken ve e-postayı kullanırken uyması gereken yükümlülükleri ile belirlenen yükümlülüklere uyulmaması durumunda 4857 sayılı Kanun çerçevesinde nasıl yaptırım uygulanacağını belirlediği söylenebilir. Bu durum gözetildiğinde başvurucunun kullanımına sunulan kurumsal e-postanın denetlenebileceği ve denetimin usulüne ilişkin önceden İş Sözleşmesi’yle açıkça bildirim yapıldığı, ayrıca İş Sözleşmesi’nde belirlenen denetleme usulü ve yetkisine başvurucunun İş Sözleşmesi’ni imzalayarak rıza gösterdiği kabul edilmelidir. “
Sonuç ve Değerlendirme
İşverenin, iş sözleşmesinden kaynaklanan yönetim hakkı kapsamında çalışanlara tahsis edilen bilgisayar ve diğer dijital iş araçlarını denetlemesi belirli koşullar altında mümkün olmakla birlikte, denetimin hukuka uygun şekilde kurgulanmaması ve yürütülmemesi halinde işveren açısından ciddi sakıncalar doğurabilecektir.
Bu çerçevede denetim faaliyetlerinin; önceden bilgilendirme, meşru amaç, amaçla bağlılık, ölçülülük ve KVKK başta olmak üzere ilgili mevzuata uyum ilkeleri esas alınarak yürütülmesi gerekmektedir. Aksi halde, yukarıda açıklanan şekilde çok boyutlu hukuki sorumluluk riskleri ve iş ilişkisinde güven kaybı ortaya çıkabilecektir.
Saygılarımızla,
Atabay Hukuk Bürosu