Karara Konu Olayın Özeti
İlgili kişinin veri sorumlusu şirketteki iş akdinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine göndermesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine göndermesi nedenleriyle feshedildiği, işe iade davası açtığı, KVKK'nın 11. maddesi kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunduğu, şirket tarafından verilen cevabın yeterli olmadığı, işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formların / taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, bu durumun Aydınlatma Tebliği'nin 5. maddesine de aykırılık oluşturduğu, şirketin kendi yayınladığı iş sözleşmesi eki olan Etik Kurallar ve Disiplin Yönetmeliği'ne de aykırı davrandığı, İş Kanunu'nun 26. maddesinde ve ilgili disiplin yönetmeliğindeki altı iş günlük ve bir yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği, e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı olarak işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk ve ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki kendisinden onay alınmış, aydınlatma yapılmış veya taahhüt verilmiş algısı oluşturulmaya çalışıldığı, “Bilgi Formu ve Muvafakatname” başlıklı belgenin ikinci ve üçüncü sayfalarının başka belgelerden alındığı, dipnotu “İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu” olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu “Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname” olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı, bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı ve muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı yönündeki iddialarını içerir şikayet dilekçesi üzerine başlatılan inceleme çerçevesinde Kurul tarafından veri sorumlusunun savunması istenmiştir.
Veri sorumlusunun savunması kapsamında (i) ilgili kişinin şirket bünyesinde pazarlama ve iç iletişim yöneticisi olarak görev yaptığı ve iş akdinin haklı sebeple feshedildiği, tamamı ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiği, ayrıca bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığı, kurumsal e-posta adresinden ilk olarak kişisel e-posta adresine sonra da üçüncü kişiye ait e-posta adresine ilettiği ve şirketlerinin bu eylemden denetim esnasında haberdar olduğu, (ii) ilgili kişinin gerek gizlilik ve kişisel verilerin korunması mevzuatına dair bilgilendirilmiş bir yönetici olması gerekse de uzun yıllardır çalışma hayatının içinde yer alması sebebiyle anılan işlemlerin hukuka ve etik kurallara aykırı olduğunu bilecek konumda olduğu, (iii) ilgili kişinin bahse konu davranışının mevzuat hükümlerine, iş sözleşmesine, kişisel verilerin korunmasına ve gizlilik taahhütlerine, doğruluk borçlarına aykırılık teşkil ettiği, iş akdinin haklı nedenle feshedildiği ve ilgili kişinin iş akdinin feshi üzerine şirket aleyhine işe iade davası ikame ettiği, (iv) Kurum'un ilgi yazısında dava dosyasına sunulan eklerin sayfalarının aldatma kastı ile değiştirildiği gibi yakışıksız bir iddianın öne sürüldüğü belirtilmekte ise de şirketlerinin bu gibi bir davranışa tevessül etmesinin mümkün olmadığı ve bu iddianın ilgili kişinin ekleri fiziken karıştırmasından kaynaklandığını umdukları, (v) şirketlerinin ilgili kişinin verilerini otomatik olan ve/veya olmayan yöntemlerle işlemek suretiyle ilgili kişi aleyhine hiçbir dönem hukuka aykırı bir ihlal gerçekleştirmediği, nitekim şirketlerinin çalışanlarının mevzuata, şirket politikalarına, gizlilik yükümlülüklerine, bilgi güvenliği prosedürlerine ve disiplin hükümlerine riayet ettiğini izlemek ve denetlemekle hem yetkili hem de görevli olduğu, mevcut çalışanları arasındaki ilişkileri gözetmek ve tüm çalışanlarının kişisel haklarını korumakla mesul olduğu, şirketlerinin iletişim sistemlerinin ve ekipmanlarının kullanımının, kurumsal e-posta hesabı üzerinden gerçekleştirilen yazışmaların güvenliğinin sağlanması, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi / eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebileceği hususunda ilgili kişinin Çalışanlara Ait Kişisel Verilerin İşlenmesine Dair Politika, Çalışan Aydınlatma Metinleri ve muhtelif iç düzenlemeler kapsamında müteaddit kereler bilgilendirildiği, (vi) şirketleri tarafından çalışanlarına zimmetli bilgisayarların ve kurumsal e-postaların kullanımında hukuka ve işverenin haklı menfaatlerine uygun davranılması gerektiği, bu gerekliliğe paralel hükümlerin E-Posta Güvenliği Politikası, Bilgi ve Yazılım Alışverişi Politikası ile Kabul Edilebilir Kullanım Politikası'nda düzenlendiği ve tüm bu iç düzenlemelerinin çalışanların erişimine de açık halde tutulduğu, (vii) kurumsal e-posta hesabının denetimine dair veri işleme faaliyetinin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” veri işleme şartlarına dayalı olarak gerçekleştirildiği, (viii) şirket çalışanlarının e-posta adresleri üzerinde hangi işleme faaliyetlerinin hangi veri işleme şartına dayalı olarak gerçekleştirildiği hususuna ilişkin olarak güvenlik, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi / eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebildiği, bu işleme faaliyetine ilişkin çalışanlarına aydınlatma gerçekleştirildiği, muhtelif yollarla kurumsal e-postaların şahsi kullanımından kaçınılması gerekeceği ve bu e-postaların denetlenebileceği hususunda bilgilendirme sağlandığı ve (ix) bu denetim esnasında şüpheli olmayan yazışmaların içeriğinin tetkik edilmediği, sadece içerdiği anahtar kelimeler ve ekler uyarınca hassas görülen yazışmaların incelendiği, kurumsal denetim aktivite raporunun teknoloji birimi / unvanlı bilgi güvenliği teknoloji eğitimi almış çalışanları tarafından gerçekleştirildiği ve denetim talebinin doğrudan şirket üst yönetiminden gelmesinin öncelikli koşul olduğu ifadelerine yer vermiştir.
Kurul Kararı ve Yaptırımı
Kurul tarafından gerçekleştirilen inceleme kapsamında (i) işveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma ile bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği, (ii) 17/09/2020 tarihli ve 2016/13010 başvuru numaralı Anayasa Mahkemesi kararı ile Avrupa İnsan Hakları Mahkemesi'nin 12/01/2016 tarihli Bărbulescu v. Romanya kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken (1) işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, (2) bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, (3) işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, (4) iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, (5) iletişimin bir kısmı veya tamamının mı izlendiği, (6) izlemenin zaman açısından sınırlı olup olmadığı, (7) sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, (8) çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, (9) işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, (10) işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği ve (11) her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı, (iii) Uluslararası Çalışma Örgütü'nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu, (iv) Madde 29 Çalışma Grubu'nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği ve bu kapsamda izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği, (v) veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kurum'a intikal ettirilen dokümanlar incelendiğinde e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği ile hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından KVKK'nın 10. maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiş olduğu, (vi) aydınlatma ve açık rıza metinlerinde veri sorumlusunun yanıltıcı bir şekilde evrakları karıştırarak sunduğu iddiasına ilişkin olarak veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup, ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğu, (vii) e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu'nun 25. maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Borçlar Kanunu'nun 396. maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıkla yamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunduğu, (viii) veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahısların ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği dolayısıyla söz konusu işlemenin “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği, (ix) e-posta denetimi aracılığıyla elde edilen kişisel verilerin fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı ve bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında gerçekleştirildiği ve “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil etmediği ve (x) İş Kanunu'nun 26. maddesinde “24 ve 25 inci maddelerde gösterilen ahlak ve iyiniyet kurallarına uymayan hallere dayanarak işçi veya işveren için tanınmış olan sözleşmeyi fesih yetkisi, iki taraftan birinin bu çeşit davranışlarda bulunduğunu diğer tarafın öğrendiği günden başlayarak altı iş günü geçtikten ve her halde fiilin gerçekleşmesinden itibaren bir yıl sonra kullanılamaz.” hükmünün yer aldığı, söz konusu maddede yer alan sürelerin fesih hakkının kullanılmasına ilişkin olarak düzenlenmiş süreler olduğu, e-posta verilerinin saklanması hususu ile ilgisinin bulunmadığı, e-posta verilerinin yaklaşık iki yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin genel ilkelere aykırılık barındırmadığı değerlendirmelerinde bulunulmuştur.
Söz konusu değerlendirmeler ışığında;
- (i) ilgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiği, (ii) şirket tarafından e-posta denetiminin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ile “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartları kapsamında gerçekleştirildiği ve “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil etmediği (iii) ilgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta KVKK kapsamında yapılacak bir işlem bulunmadığı ve (iv) e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında gerçekleştirildiği ve “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil etmediği değerlendirildiğinden, şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı hususları dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem bulunmadığına,
- veri sorumlusu tarafından somut olayda yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına ve
- e-posta verilerinin yaklaşık iki yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin genel ilkelere aykırılık barındırmadığı ve bu kapsamda ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddialarının yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine
karar verilmiştir.
Söz konusu kararın tam metnine buradan ulaşabilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.