Anayasa Mahkemesi’nin 10.05.2016 tarihli Resmi Gazete’de yayımlanan 24.03.2016 tarihli kararına konu olay özel hayatın gizliliği, kişisel verilerin korunması ve işveren tarafından işlenmesi ile işçi-işveren uyuşmazlıklarına dair önemli bir tartışmayı içeriyor. (karar)
Başvuru konusu olayda; bir özel şirkette çalışan iki kişi arasında başladığı ileri sürülen yakınlaşmanın tespiti ile iş akitlerinin haklı nedene dayalı olarak feshi sonrasında işe iade davası açılmıştır. Süreci başlatan vakıa, işten çıkarılanlar çalışanlardan birisinin eşi tarafından şirkete sunulan e-posta metni olup, şirket yönetimi tarafından sonrasında e-posta yazışmalarının incelenmesi ile iddianın doğruluğuna kanaat getirilerek fesih işlemi tesis edilmiştir.
İşten çıkarılan çalışanlar tarafından açılan işe iade davalarında, özel hayatın gizliliği (mahremiyet) kapsamında olan e-posta yazışmalarına işveren tarafından erişilerek fesih işlemine gerekçe gösterilmesinin özel hayata saygı ilkesi ile haberleşmenin gizliliğini ihlal ettiği ileri sürülmüşse de, Mahkeme tarafından yapılan yargılama Twitter-Hack sonucunda e posta yazışmaları dışında, tanık anlatımları da dikkate alınarak feshin yerinde olduğu sonucuna varılarak dava reddedilmiştir.
Ret kararının Yargıtay tarafından da onaylanması sonrasında ilgililer tarafından Anayasa Mahkemesine bireysel başvuru yapılarak; e-posta yazışmalarına erişilerek davada delil olarak kullanılmasının anayasal hakları ihlal ettiğinin tespit edilmesi isteminde bulunulmuştur. Anayasa Mahkemesi; başvuruyu özel hayata saygı ile haberleşmenin gizliliği hakkının ihlal edildiği iddiaları açısından kabul edilebilir bulmuştur.
Mahkeme, temel ilkeleri ortaya koyduktan sonra, bu tür uyuşmazlıklarda; işveren ve çalışanlar arasındaki çatışan çıkarların adil bir şekilde dengelenip dengelenmediği, işveren tarafından tahsis edilen kurumsal e-posta hesaplarına yapılan müdahalenin meşru bir amaç çerçevesinde ölçülü olup olmadığının mutlaka değerlendirilmesi gerektiğini ifade etmiştir.
AİHM içtihatlarına da atıf yapan Mahkeme, özellikle iş sözleşmelerinde, işyerindeki huzur ve güvenin devamı gereği, işveren tarafından çalışanların bazı haklarının kısıtlanabileceği, bazı kurallara uyum zorunluluğu getirilebileceği ancak bu kural ve düzenlemelerin çalışanların temel haklarını zedeleyici nitelikte olamayacağı, ötesinde çalışanların bu konularda öncesinde mutlaka bilgilendirilmeleri gerektiğini kabul etmiştir.
Bilgilendirme olgusunu açıkça vurgulayan Mahkeme, somut uyuşmazlıkta; işverenin işe giriş aşamasında çalışanlara imzalattığı işyeri temel yönetmeliği, bilgi güvenliği taahhütnamesi, işyeri disiplin yönetmeliği, işyeri personel yönetmeliği dokümanlarının kapsamlı bir bilgilendirme olduğu sonucuna varmıştır. Özellikle, bilgi güvenliği taahhütnamesi ile çalışanlar; işveren tarafından kendilerine tahsis edilen bilgisayar, e-posta, internet kullanımı, telefon, iletişim programı, diğer IT kaynaklarını ve iletişim araçlarını zaruri ihtiyaçları aşan ölçüde kişisel amaçlı, eğlence niyetli, genel ahlaka, örf ve adetlere aykırı bir şekilde kullanmayacaklarını kabul etmişlerdir.
Bunu dikkate alan Mahkeme, bu bilgilendirme sonrasında, başvurucuların kurumsal e-posta adresleri üzerinde gerçekleştirdikleri kişisel yazışmaların korunması konusunda makul bir beklenti içinde oldukları sonucuna ULAŞILAMAYACAĞINI hüküm altına almıştır.
Bu tespite dayalı olarak işveren-çalışan çıkar dengesinin gözetildiğini kabul eden Mahkeme, başvurucular arasındaki e-posta yazışmalarının gerek yargılamaya ilişkin işlemlerde gerekse de karar gerekçesinde alenileştirilmediğini de belirterek özel hayata saygı ve haberleşmenin gizliliği ilkelerinin ihlal edilmediği sonucuna varmıştır.
Anayasa Mahkemesi kararının verildiği gün kabul edilen Kişisel Verilerin Korunması Kanunu’na doğal olarak bir atıf yapılmayan karar, yine de kişisel verilerin korunması değerlendirmesine yer vermemesi açısından eksik bulunmuştur. Zira, Anayasa’nın 20.maddesinde kişisel verilerin korunmasına da yer verilmiştir. Pek çok yargı kararında, bağımsız bir yasal düzenleme bulunmasa dahi kişisel veri koruması kavram ve yorumlarına yer verildiği görülmektedir.
Peki, Kanun’un yürürlüğe girmesinden sonra bu tür bir uyuşmazlık yaşanmış olsaydı, sonuç değişir miydi? Elbette ki yoruma açık bir konu. Kişisel Verilerin Korunması Kanunu’nda, kişisel verilerin belirli, açık ve meşru amaçlar için işlenebileceği ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacağı yazılıdır. (madde 4, genel ilkeler) Yanı sıra, kişisel verilerin, ilgilinin açık rızası olmasa da, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel verilerin işlenebileceği kabul edilmiştir. (madde 5, kişisel verilerin işlenme şartları)
Kanun gerekçeleri arasında da, iş sözleşmeleri kapsamında, İş Kanunu ile getirilen ve yapılacak bilgilendirmelere dayalı olarak uyulması beklenen kurallar çerçevesinde, işverenin belirli bir ölçüde kişisel verileri işleyebileceği, bunun sadece yükümlülükler açısından değil aynı zamanda çalışanların performansları, ücret ve diğer hakların belirlenmesi işlemleri için de zorunlu olduğu ifade edilmiştir.
Kaldı ki, belirli iş ve işyerlerinde, üretimin ve işin niteliğine uygun, farklılaşan önlemlerin alınması da işverenler açısından zorunluluk olabilir. Nitekim, 5809 sayılı Elektronik Haberleşme Kanunu çerçevesinde faaliyet yürüten işletmeciler, Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) şebeke ve bilgi güvenliği images-1kapsamında getirdiği düzenlemeler nedeniyle çalışanlarının ve sistemlerinin her işleminde yüksek güvenlik standartlarını uygulamak durumundadırlar. Milyonlarca kişinin her tür kişisel verisine erişimi bulunan bu işletmecilerin, veri sorumlusu olarak, bu kişisel verilerin Kanun hükümlerine aykırı işlenmesini önlemek için çalışanlarına özel bir takım güvenlik tedbirleri alması kaçınılmazdır.
Dolayısıyla, 24.03.2016 tarihinde kabul edilen Kanun işveren ile çalışan uyuşmazlıklarında, çizilen sınırlar içerisinde ve meşru bir amaç için olmak kaydıyla veri işlemesine onay vermektedir. Bu, adil olması gereken dengenin her olay ve uyuşmazlıkta titizlikle ele alınması, hukuka uygunluk denetiminin olaya özgü olarak yapılması gerekmektedir.
