İşveren Tarafından Eski Çalışanının Kurumsal E-posta Hesabına Aydınlatma Yapılmaksızın Erişilmesi

Alomaliye Mevzuat Ekibi

2 yıl önce

“Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi” hakkında Kişisel Verileri Koruma Kurulunun 25/11/2021 tarihli ve 2021/1187 sayılı Karar Özeti

Karar Tarihi	:	25/11/2021
Karar No	:	2021/1187
Konu Özeti	:	Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü,
Veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği,
İlgili kişinin 16.11.2020 tarihi itibariyle tek taraflı olarak iş akdini feshettiği, buna rağmen işveren sıfatını haiz olmadığı dönem de olmak üzere veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği ve üçüncü kişilere aktarıldığı,
Veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) öngörülen işleme şartlarına aykırı olarak işlendiği, üçüncü kişilere aktarıldığı, bu hususta ilgili kişiye bir aydınlatma yapılmadığı ve açık rıza metni sunulmadığı,
Müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği platformun “cloud” olduğu ve söz konusu Cloud’un da Microsoft tarafından sağlanan OneDrive bulut sistemi olduğu, adı geçen hizmet sağlayıcı firmaların “server”larının yurtdışında bulunuyor olmasından dolayı söz konusu işlemelerin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirilmesi gerektiği,
İlgili kişinin şirket e-posta hesabının veri sorumlusu tarafından tahsis edilmiş olduğu, bu e-posta hesabına kimlerin erişim sağladığı belirli olmamakla birlikte, veri sorumlusu tarafından sunulan cevabi yazının içeriğinden, söz konusu verilerin şirket hissedarı ve şirket yetkilisi ile diğer bazı işyeri çalışanlarının erişime açık bir halde olduğunun anlaşıldığı,
Kanun’un 11’inci maddesi kapsamında veri sorumlusuna başvuruda bulunulduğu ve ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartı haiz olmadan işlenen kişisel verilerinin silindiğini veya yok edildiğini gösterir bilgi ve belgelerin iletilmesinin talep edildiği

ancak veri sorumlusu tarafından verilen cevabın maddi gerçekleri yansıtmadığı ve yetersiz görüldüğü hususları belirtilmiş ve Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişi ile veri sorumlusu arasındaki ihtilafın esasen Kanun’dan kaynaklanan bir sorun olmadığı,
Konunun işyerinde çalışan ve çalıştığı süre boyunca rakip firmalara iş kaydırarak işyerini ciddi şekilde zarar uğrattığı tespit edilen eski bir çalışan ile ciddi şekilde zarara uğrayan işveren arasında karşılıklı suçlama, talep ve davalarla devam etmekte olan hukuki bir ihtilaf olduğu, bu kapsamda ilgili kişi ile veri sorumlusu arasında süregelen sekiz adet dava ve ceza soruşturmasının bulunduğu,
İlgili kişinin, veri sorumlusu bünyesinde bilişim faaliyetleri alanında teknik nitelikli bir personel olarak çalışmaya başladığı ve iş akdini tek taraflı irade beyanı ile feshettiği,
İlgili kişiye ait yazışmaların söz konusu yargılama süreçlerine delil olarak sunulması nedeniyle, ilgili kişinin özel hayatını ilgilendiren şahsi e-posta içeriklerine veri sorumlusu tarafından hukuka aykırı olarak erişildiği ve Anayasa ile koruma altına alınan özel hayatın gizliliği ile haberleşme gizliliği hakkının ihlal edildiğinden bahisle veri sorumlusu ve veri sorumlusu şirket yetkilisi hakkında Başsavcılığa şikâyette bulunulduğu, ancak bu şikâyetin yürütülen soruşturma neticesinde kovuşturmaya yer olmadığına dair karar verilerek reddedildiği,
İlgili kişiye iş ilişkisi kapsamındaki kurumsal faaliyetlerde ve işin gerektiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, iş ilişkisi kapsamında çalışana tahsis edilmiş olan kurumsal e-posta hesaplarının sadece işin ifası amacı ile kullanılacağının açık olduğu, bu nedenle bilişim alanında uzman olarak çalışan bir personelin bu gerekliliğin bilincinde olması gerektiği, bu hususta ilgili kişiye ilave denetim kriterlerinin uygulanmasının hayatın olağan akışına aykırı olacağı ve ilgili kişinin kurumsal e-posta hesabını kullanmaması yönünde uyarılmasına ihtiyaç bulunmadığı,
Şikâyete konu e-posta hesabının veri sorumlusuna ait olduğu, e-posta hesabının ilgili kişinin ad ve soyadı ile başlasa da veri sorumlusunun ticaret unvanı ile devam eden uzantıya sahip olduğu, veri sorumlusuna ait olan ve sadece iş amacı ile personele verilen e-posta adreslerinin Kanun kapsamında kişisel veri olmadığı,
İlgili kişinin, tek taraflı olarak iş akdini feshetmesi ile eş zamanlı olarak veri sorumlusu bünyesindeki on iki yıllık ticari işlem geçmişini içeren kurumsal e-posta hesabını da sildiği, ilgili kişinin bu hareketinin veri sorumlusu bünyesinde ciddi bir şüphe uyandırdığı, ilgili kişinin söz konusu silme eylemi üzerine işyeri ile ilgili pek çok müşteri verisi barındıran e-posta hesabının geri getirilmesi durumunda kalındığı,
Yapılan zorlu mücadelelerle e-posta hesabının geri kazanılması sonrasında oluşan şüphe üzerine ilgili kişinin sadakat yükümlülüğüne tamamen aykırı olarak haksız kazanç elde ettiği hususunun açık ve net şekilde tespit edildiği, geri getirme esnasında amaç ve hedefin ilgili kişinin şahsi verilerinin işlenmesi ya da alenileştirilmesi değil, ticari verilere ulaşmak olduğu,
Yapılan işlemler esnasında, ilgili kişinin kendi rızasıyla ve bilinçli olarak kaydettiği şahsi nitelikli veri ve yazışmalarının da sunucudan diğer veriler ile birlikte otomatik olarak çekildiği, ilgili kişinin dilemesi halinde nişanlısı ile olan yazışmaları da dâhil olmak üzere özel yazışmalarını silip ticari yazışmaları gelen kutusunda bırakması mümkün iken bu yolu tercih etmeyerek tüm ticari geçmişi sildiği, bu nedenle özel veriler ihtiva eden bağımsız bir klasöre kaydedilmemiş olan ve ticari yazışmalar arasında dağınık halde bulunan verilerin kurumsal e-posta adresinin incelenmesi esnasında iş yazışmaları arasında tesadüfen elde edildiği, dolayısıyla söz konusu olayda ilgili kişinin kendi ihmali ve rızasının bulunduğu,
Kurumsal e-posta içeriklerinin ilgili kişi tarafından silinmesinin akabinde söz konusu e-posta hesabının geri getirilmesi üzerine tüm verilerin silinmesinin uyandırdığı şüpheye dayalı olarak işe yönelik olduğu düşünülen ve sadece işe yönelik yazışmaların yapılmasının gerektiği ilgili kişi tarafından da malum olan e-posta içeriklerinin, ticari ve itibari açıdan zarara uğrama ihtimali oluşan veri sorumlusunun tek şirket yetkilisi tarafından işveren sıfatı ile incelendiği,
İşyerinde ve iş saatlerinde söz konusu e-posta hesabı üzerinden özel yazışmaların yapıldığı, ilgili kişinin bu yazışmalarda yer alan verilerin olağan denetim yükümlülüğü kapsamında işverenin erişimine açık olabileceğini göz önünde bulundurması gerektiği, bu yüzden yapılacak yorumda ilgili kişinin söz konusu yazışmaları işleme ve kaydetme hususunda işverene açık rıza verdiğinin kabul edileceği, zira söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu,
Şikâyete konu verilerin tamamına yakınının hâlihazırda ilgili kişi tarafından ikame olunan hizmet tespiti davasında bizzat ilgili kişi tarafından delil olarak sunulduğu ve alenileştirildiği, veri sorumlusu tarafından da bahse konu e-posta hesabındaki yazışmaların yalnızca iddia konusu olan zarar verici eylemlerin ispatı maksadı ile sınırlı ve ölçülü olmak kaydıyla ilgili Mahkemeye bildirildiği,
İşveren sıfatına sahip olunmayan dönemde veri sorumlusu tarafından verilerin işlendiği iddiasına ilişkin olarak; söz konusu verilere ilgili kişinin şüpheli davranışı üzerine erişildiği, burada ilgili kişinin temel haklarına yönelik müdahalenin meşru amaca dayalı olduğu, işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği, bununla birlikte bahsedilen tarihte iş sözleşmesinin haklı nedenle sona erip ermediğinin şu an için açılmış bulunan iş davasında ayrı bir ihtilaf konusu olduğu ve davanın henüz neticelendirilmediği,
Verilerin yurt dışına aktarıldığı iddiasına ilişkin olarak; şirketin verilerin muhafazası için Microsoft Office ile çalıştığı, aradaki iş ilişkisi dâhilinde Microsoft Office firmasınca geri getirilmiş olan verilerin yalnızca veri sorumlusunun şirket yetkilisiyle paylaşıldığı, başkaca bir aktarım veya verileri yayma durumunun olmadığı,
İlgili kişinin verilerinin yetkisiz kişi erişimine açıldığı iddiasına ilişkin olarak; taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde bu gibi bir iddianın mevcut olmadığı, dolayısıyla bu hususta Kanun kapsamında öncelikle kendilerine başvuru yapılması gerektiği, bununla birlikte söz konusu iddianın gerçeği yansıtmadığı, zira bahsi geçen verilere sadece veri sorumlusunun şirket yetkilisinin erişim sağladığı bu durumun veri sorumlusunun meşru hak ve menfaatlerinin korunmasının tabii bir sonucu olduğu

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun (Kurul) 25/11/2021 tarihli ve 2021/1187 sayılı Kararı ile;

Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
Somut olayda öncelikle söz konusu tarihte ilgili kişi ile veri sorumlusu arasındaki iş akdinin feshedilmiş olup olmadığının değerlendirilmesi gerektiği ama söz konusu hususa ilişkin henüz verilmiş bir mahkeme kararının da bulunmadığının görüldüğü,
Bununla birlikte, veri sorumlusunun, çalışanlarına tahsis etmiş olduğu e-posta adresinin Kanun kapsamında kişisel veri olmadığı iddiasının Kanun’un 3’üncü maddesi kapsamındaki “kişisel veri” tanımı karşısında geçerli olmadığı, zira yalnızca ilgili kişinin adı, soyadı gibi sadece kimliğini ortaya koyan bilgilerin değil e-posta adresi, özel yazışmaları, şahsi banka hesap dökümleri, harcama kayıtları gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin de kişisel veri niteliğini haiz olduğu,
Konu ile ilgili olarak; 17/09/2020 tarihli ve 2016/13010 başvuru numaralı Anayasa Mahkemesi (AYM) Kararı ile;
- “…. Anayasa Mahkemesi daha önce iletişim araçlarının işveren tarafından denetlenmesi kapsamındaki uyuşmazlıklarda derece mahkemeleri tarafından devletin pozitif yükümlülükleri bağlamında çıkarların dengelenmesi ve müdahalenin ölçülülüğünün irdelenmesi kapsamında gözetilmesi gereken hususları genel olarak belirlemiş; buna göre somut olayın koşullarına göre iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, sözleşmenin feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı bir işlem olup olmadığı hususlarının uyuşmazlığın çözümünde gözetilmesi gerektiğini tespit etmiştir.
- …Öncelikle somut olayda olduğu gibi teknolojik gelişmelerin imkanlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır.
- …işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.
- …devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde- aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i. İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.   Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.   Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.   İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.   İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.   Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir…”

12.01.2021 tarihli ve 2018/31036 başvuru numaralı Anayasa Mahkemesi Kararı ile de;

“…Tüm bu açıklamalar çerçevesinde devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i. İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.   Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.   Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.   İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.   İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.   Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti halinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir.

… Öte yandan e-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hallerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradan hareketle çalışana açık bir bilgilendirmenin yapılmadığı hallerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden
yararlandırılması gerektiği söylenebilir.”

şeklindeki kriterlerin vurgulandığı,

Öte yandan, Avrupa İnsan Hakları Mahkemesinin (AİHM), Bărbulescu/Romanya Kararı’nda çalışanın iletişiminin işveren tarafından denetlenmesiyle ilgili ilkelerin belirlendiği; AİHM tarafından olay değerlendirilirken bir taraftan, çalışanın özel hayatına ve yazışmalarına saygı gösterilmesi hakkına sahip olduğunun, diğer taraftan şirketin düzgün işlemesi adına işvereninin de gerekli önlemler alma hakkına sahip olduğunun ifade edildiği, ancak ulusal mahkemelerin bu yarışan çıkarlar konusunda adil bir denge kuramadığının belirtildiği, AİHM tarafından, mesajlaşmaların izlenebileceği konusunda çalışanın işvereni tarafından önceden haberdar edilmediğinin tespit edildiği ayrıca başvurucunun, izlemenin niteliği ya da kapsamı özellikle de işverenin mesajlarının içeriğine erişebilme ihtimali hakkında bilgilendirilmediğinin vurgulandığı, AİHM’e göre ulusal mahkemelerin, izleme tedbirlerini haklı gösterecek özel sebepleri tespit edemediği; ikinci olarak, çalışanın özel hayatına ve yazışmalarına daha az müdahale öngören tedbirlerin varlığının yeterince tartışılmadığı, üçüncü olarak ise mesajların içeriğine çalışanın ön bilgisi olmadan erişildiği, dolayısıyla, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde düzenlenen özel hayata saygı hakkının yeterince korunmadığına ve ihlal edildiğine karar verildiği,
AİHM tarafından özellikle işverenin, çalışanlarının iletişimlerini takip etmek için tedbirler alması durumunda, bu tedbirlerin istismarına karşı uygun ve yeterli önlemleri de sağlaması gerektiğinin vurgulandığı; bu noktada Mahkemenin çalışanların özel hayata saygı hakkı ve kişisel verilerinin korunması konusunda özellikle işverenlere rehber olacak kriterlerini;

i. Çalışanın yazışmalarını ve diğer iletişimini izlemek için işveren tarafından kendisine bir ön bildirim yapılıp yapılmadığı,
ii.   İletişimin denetlenmesinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesinin belirlenmesi, bu bağlamda, iletişimin akışı ile içeriğinin denetlenmesi hususunun birbirinden farklı kavramlar olduğu,
iii.   İletişimin denetlenmesi ve içeriğine erişilmesi konusunda işverenin meşru gerekçelere sahip olup olmadığı, özellikle iletişimin içeriğinin denetiminin daha net bir gerekçelendirme gerektirdiği,
iv.   Doğrudan çalışanın yazışmalarının içeriğine erişmek yerine daha az müdahaleci yöntem ve tedbirlerin bulunup bulunmadığı,
v.   Denetleme faaliyetinin sonuçları ve bu sonuçların işveren tarafından elde etme amacına uygun kullanılıp kullanılmadığı,
vi.   Özellikle işverenin izleme faaliyeti müdahaleci bir nitelikte olduğunda, çalışan yeterli koruyucu önlemlere sahip olup olmadığı, nitekim bu koruyucu önlemler dahilinde çalışanın önceden bilgilendirilmediği durumda işverenin iletişimlerin içeriğine erişememesi gerektiği,

şeklinde belirttiği,

Sonuç olarak, AİHM’in çalışanların iş yerinde dahi özel hayata sahip olabileceği ve bu kapsamda kişisel verilerin korunmasının son derece önemli olduğunu vurgulayan bir karar verdiği, AİHM’nin mezkûr kararının, işverenlerin çalışanlar üzerinde herhangi bir denetim mekanizmasından yoksun olduğunu göstermediği, ancak özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinin Mahkeme tarafından belirlenen kriterler ölçüsünde hassasiyetle uygulanması gerektiğinin ifade edildiği,
Bu kapsamda, konu ile ilgili olarak değinilen AYM ve AİHM kararlarında yer verilen kriterler de göz önünde bulundurulduğunda, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak veri sorumlusunun cevabi yazısında da belirtildiği üzere ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) 4’üncü maddesi kapsamında herhangi bir aydınlatma yapılmadığının görüldüğü,
İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerin ihlal edildiği,
Diğer taraftan, ilgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasının uygun olacağı,
İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili e-posta içeriklerinin, şahsi banka hesap dökümlerinin, harcama kayıtlarının ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartını haiz olmadan işlenen diğer kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebine ilişkin olarak; veri sorumlusunun ilgili kişiye verdiği cevapta; söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceğinin belirtildiği dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı,
İlgili kişinin, veri sorumlusunun, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu işlemlerin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği iddiasına ilişkin olarak; konunun Kanun’un 15’inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme kararı alınmasının uygun olacağı,
Veri sorumlusunun, “işyerinde iş saatlerinde söz konusu e-posta hesabı üzerinden özel nitelikli yazışmalar yapan ilgili kişinin, bu verilerin işverenin olağan denetim yükümlülüğü kapsamında erişimine açık olabileceğini pekala göz önünde bulunduracağı ve bu durumun söz konusu yazışmaları işleme ve kaydetme hususunda ilgili kişinin işverene açık rıza verdiği şeklinde yorumlanacağı, bu nedenle söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu” yönündeki savunmasına karşılık, ilgili kişinin “şirket e-posta hesabında, eski nişanlısına gönderdiği özel e-posta içeriği ve şahsi banka hesap özetinin bulunması nedeniyle herhangi bir alenileştirmeden bahsedilemeyeceği” yönündeki iddiasına ilişkin olarak kişisel verilerin alenileştirilmesi kavramına açıklık getirilmesinin faydalı olacağı,
Kişisel Verileri Koruma Kurumu tarafından yayımlanan “6698 sayılı Kanunda Yer Alan Terimler” başlıklı rehberde “‘Herkes tarafından bilinir kılma’ anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.” şeklinde açıklanan “alenileştirme” kavramı ile ilgili olarak “Kişisel Verilerin İşlenme Şartları” başlıklı rehberde de “kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir.” şeklindeki açıklamaya yer verildiği,
Dolayısıyla, somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği

değerlendirmelerinden hareketle;

İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına,
İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına,
İlgili kişinin bahse konu verilerinin silinmesi talebi çerçevesinde, veri sorumlusunun “ilgili kişinin kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceği” yönündeki cevabı dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına,
Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir.

Kaynak: KVKK