Mobile logo
Top

Çalışanların İletişim İçeriklerine Erişebilir misiniz?

Avrupa Olay İnceleme Veri Koruma Yazı

Çalışanların İletişim İçeriklerine Erişebilir misiniz?

AİHM Barbulescu – Romanya Kararı Işığında

Kişisel verilerin güvenliği konusu, öyle görünüyor ki önümüzdeki dönemde sosyal yaşamın yanı sıra iş hayatanın aktörlerinin de gündemini epeyce meşgul edeceğe benziyor. Neden derseniz, konuyla ilgili platformlarda, ya da bir muhatabını karşısında bulduğunda konunun tarafları olarak çalışan ve işverenden gelen ortak soru şu: İşyerindeki sözleşmeli bir çalışanın bilgileri ne ölçüde 6698 sayılı Kanunun kapsamında?

Çalışma Hayatı ve Kişisel Veriler

Kaynak: Adobe Stock

Esasen sorunun arka planında, tarafların konuya bakış açılarını, yaşanan sorun ve uyuşmazlıkları okumak mümkün. İşveren; ücretini, sosyal güvenlik primini ödeyerek istihdam ettiği çalışanını tanımak, mesaisi boyunca yürüttüğü her bir işlemi bilmek ve denetlemenin ticari ve doğal bir hakkı olduğunu savunurken, çalışan ise; sözleşmeyle bağlı da olsa mahiyetinde çalıştığı işverenin, kendisinin özel hayatı ya da göreviyle ilgili bilgileri öğrenme hakkının bir sınırının olması gerektiğini düşünmekte.

“Hukuki Perspektif ”

O zaman işveren-çalışan arasındaki ilişki dengesine hukuk perspektifinden kısaca bakalım: Sadece ülkemizde değil, global ölçekte bu ilişkinin tarihsel varoluş sürecine baktığımızda hiç de eşit olmayan bir düzlemden bahsetmek gerekir. Öyle ki, işçi kavramı, tarihsel olarak sürekli zayıf olan taraftır. Bizde de bilindiği gibi Borçlar Kanunumuz, Özen ve Sadakat Borcu, Teslim ve Hesap Verme Borcu, Düzenlemelere ve Talimata Uyma Borcu gibi İşveren karşısında çalışanın yükümlülüklerine daha çok vurgu yapmaktaydı.

O nedenle ülkemizde, çalışanın işveren karşısındaki konumunu biraz daha güçlendirmek adına, kefede dengeyi biraz da çalışan lehine kurmaya yönelik olarak ihdas edilmiştir 4857 sayılı İş Kanunu. Nitekim Kanuna bakıldığında, daha çok işçi haklarına yönelik hükümlerin daha ağır bastığını görürüz. Yine Kanuna göre işçi, işveren ile arasında kurduğu iş akdine dayanarak, işverenin emir ve talimatları altında onun için mal veya hizmet üreten ve bu emeğinin karşılığında da ekonomik olarak fayda sağlayan gerçek kişi olarak karşımıza çıkmaktadır.

İşte tarafların karşılıklı borç ve yükümlülüklerini tanımlayan böylesine hukuksal bir ortamda, son dönemde popüler hale gelen kişisel veri konusu meseleye ayrı bir boyut daha kazandırmış oldu.

Zira artık yaşantımıza 6698 sayılı Kişisel Verilerin Korunması Kanunu adıyla öyle bir norm dahil oldu ki bilinen bir çok ezberi bozdu. Bir Kanun düşünün ki, özel-kamu, sivil-memur, işçi- işveren, kadın-erkek gibi hiçbir sektör, kategori, cinsiyet ya da statü ayrımı yapmadan, bizlerin, yani bireylerin kişisel bilgilerinin artık gelişigüzel kullanılamayacağını söylüyor. 

“Kanunun 5 inci maddesi: Kişisel veriler ilgili kişinin açık rızası
olmaksızın işlenemez.”

Dolayısıyla istihdam ilişkisinin kurulması için gerekli olan Sözleşme aşamasından başlayarak, çalışana özlük dosyası oluşturulması, mal ve hizmet üretimine dair iş süreçlerinin yürütülmesi, işyerine özgü kurumsal düzenlemeler, iş sağlığı ve güvenliği prosedürleri, satış, pazarlama, insan kaynakları ve muhasebe gibi temel ticari işlemlerin odağında çalışana ait bir çok kişisel verinin hareketliliği söz konusu. Kimlik, nüfus ve her türlü iletişim bilgleri, banka hesap numarası, elektronik posta adresi, sağlık verileri, adli sicil kaydı gibi daha bir çok kişisel veriyle birlikte çalışanın işyerinde fiziki ve elektronik ortamda yaptığı iletişim ve yazışma süreçleri… Şurası bir gerçek ki, bu verileri kullanmadan da işyerindeki faaliyetlerin yürümesi ve işverenin (kamu kurumu bile olsa) devlete ve çalışana karşı borç ve yükümlülüklerini yerine getirmesi mümkün değil. Öte yandan Kanuna göre, veri sahiplerinin onayını (açık rızasını) almadan verilerin kullanılması (işlenmesi) yasak.

Peki nasıl olacak?

Tabi ki Kanunda öngörülen açık rıza şartı mutlak bir ölçü değil. Aksi takdirde günlük yaşamda kaos yaşanacaktı. Alışmamız gereken bu yeni yasal düzenleme, Kanunun 5 inci maddesinde sayılan koşulların varlığı halinde çalışanların onayını almadan veriler üzerinde işverenin işlem yapabileceğini öngörmekte. Bu noktada ise, işverenin kanunen gözden kaçırmaması gereken önemli bir ayrıntı daha var: Aydınlatma Yükümlülüğü. Kısaca anlamı; işverenin çalışanın hangi bilgilerine, hangi hukuki ya da makul-anlaşılır-açıklanabilir bir gerekçeyle erişeceğini önceden çalışana bildirmesi zorunluluğu.

Ya da, bu yazıyı kaleme almamıza neden olan Romanyalı Barbulescu’nun, eski işverenine karşı yürüttüğü ve Avrupa İnsan Hakları Mahkemesi Büyük Dairesinin verdiği kararla sonuçlanan hukuk mücadelesinde dikkat çekilen önemli bir husus.

AİHM (ECHR)’den Barbulescu Kararı

İşverenin, Başvurucunun Elektronik İletişim ve Yazışma İçeriklerine erişimi

Romen Mihai Bogdan Barbulescu’nun AİHM serüveni, işyerine ait internet ve kurumsal Yahoo Messenger hesabını kişisel amaçları doğrultusunda kullanmış olduğu gerekçesiyle işvereninin kendisinden açıklama yapmasını istemesiyle başlıyor. Hemen belirtelim ki ilgili Daire ve Büyük Dairenin karar metinleri 90 sayfadır. Burada elimden geldiği kadar her iki aşamayla ilgili tüm tarafların argümanlarını dikkate alarak özetlemeye çalışacağım. 4 üncü Daire (Fourt Section) ve Büyük Daire (Grand Chamber) kararlarının tam metinleri bu bağlantıdan temin edilebilir.

Adı geçen kişi, 2007 yılı itibariyle özel sektörde satış görevlisi olarak görev yapmakta. İşvereninin bilgisi ve talimatıyla müşteri hizmetlerine yönelik bir kurumsal Yahoo Messenger hesabı açıyor. Bildiğimiz anlık, gerçek zamanlı ileti transferi yapılabilen online chat hizmeti.

Ancak Temmuz ayında bir gün işvereninin Barbulescu’dan, mesai saatleri içerisinde kurumsal internet ağını ve mesajlaşma hizmetini kişisel amaçlarla kullandığını ileri sürerek açıklama istemesiyle şaşkınlık yaşıyor. Zira ne görsün! Açıklama istemi ekinde 45 sayfalık, gün, saat ve ID numarası gibi bilgiler eşliğinde erkek kardeşi ve nişanlısı ile olan yazışmaların ayrıntısı! Hem de bazıları koyu sohbet türünden! Barbulescu’nun şaşkınlığı bitmiyor, çünkü kişisel Yahoo hesabıyla ilgili ayrıntılar da yer alıyor ekte. Kişi bunun suç olduğunu belirtse de iş akdinin feshedilmesi akıbetinden kurtulamıyor.

İç Hukuk Yolları…

İş akdinin sonlandırılmasına yönelik iş hukukunu ilgilendiren taleplerini bir yana bırakalım. Daha önce AİHM’nin Birleşik Krallık’dan yapılan bir başvuru neticesinde aldığı kararı (Copland v. the United Kingdom, no. 62617/00, ECHR 2007I) gerekçe göstererek Bükreş Mahkemesinde şu gerekçeyle bir dava açıyor: Çalışanın işyerinden telefon ve e-posta ile kurduğu iletişim “özel yaşam” ve “haberleşme” kavramları kapsamındadır, bu da literatürde Avrupa İnsan Hakları Sözleşmesi olarak bilinen (Convention for the Protection of Human Rights and Fundamental Freedoms) düzenlemenin 8 inci maddesi ile korunmaktadır. Bu nedenle işten çıkarılmam yasadışıdır ve iletişimimi izleyerek ve içeriklerine erişerek eski işverenim ceza hukukunu ihlal etmiştir.

Açılan bu davada ilk derece mahkeme 2007 yılı Aralık ayında; Romanya İş Kanunu ve kurumsal iç düzenlemelerdeki hükümler uyarınca, işvereni tarafından uyarılmış olmasına rağmen işyerindeki internet ve ekipmanı kişisel amaçları doğrultusunda kullanarak disiplin prosedürlerini ihlal ettiği gerekçesiyle başvurucu bakımından herhangi bir hak ihlali doğmadığına hükmediyor. Karardaki bir gerekçe de oldukça ilginç: Davacının savlarını çürütmek için işverenin, iletişim ve yazışma içeriklerini soruşturma konusu yapıp deşifre etmesinden başka çaresi yoktu! Temyiz Mahkemesi de, üstelik 95/46 sayılı AB Direktifindeki (aynı zamanda GDPR’a da ilham veren) veri işlemeye dair prensipleri göz önüne alarak; işverenin, işletmesinin düzgün çalışmasını sağlamak ve bu nedenle de çalışanlarını denetlemek gibi temel bir hakkı olduğu, bu hakkın, disipline riayeti sağlama adına çalışanının iletişim ve yazışmalarını izlemeyi ve hatta içeriklerini kaydedip deşifre etmeyi de kapsadığı, önceden çalışanlarını Yahoo Messenger’ı sadece iş amaçlı kullanmaları konsunda uyardığını da dikkatealarakilkderecemahkemesinin kararınıyerindebulunca Kahramanımz soluğu AİHM’de alıyor.

Ve AİHM süreci… İlk Daire Aşaması:

Barbulescu, işvereninin, özel yaşamının ve yazışmalarının mahremiyetini ihlal etmek suretiyle iş akdini fesh ettiğini, bunun da AİH Sözleşmesinin 8 inci maddesini ihlal anlamına geldiğini ileri sürerek yine Sözleşmenin 34 üncü maddesi uyarınca 15 Aralık 2008’de Avrupa İnsan Hakları Mahkemesine (European Court of Human Rights) başvuruyor.

Bu noktada hemen başlıklar halinde de olsa, kişisel veri güvenliği konusunda Mahkemenin değerlendirmesine esas aldığı yerel ve uluslarası düzenlemeleri sizlerle paylaşmak isterim:

  • Romanya Anayasası (26 ve 28 inci maddeleri)
  • Romanya Ceza Kanunu ( 195 inci madde)
  • Romanya İş Kanunu (40 ıncı madde)
  • AB’nin, 95/46 sayılı Direktifin temel kriterlerini esas alan 2001/677 sayılı “Kişisel Kerilerin İşlenmesi ile İlgili Olarak Bireylerin Korunması ve Bu Verilerin Serbest Dolaşımı Hakkındaki” Yasa (3, 5 ve 18 inci madeler)
  • “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması” konulu 108 sayılı Avrupa Konseyi Sözleşmesi, 1981 ( 2,3,5,8,9 ve 10 uncu maddeler), Romanya’da 2002 yılında Yürürlüğe girmiş
  • “Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki” 95/46 sayılı Avrupa Parlamentosu ve Konsey Direktifi, 24/10/1995 (2,6,7, ve 8 inci maddeler)
  • 95/46 sayılı Direktifin uyarınca kurulan Çalışma Grubunun Eylül 2001 tarihli Görüşü ve 2002 yılındaki Çalışma Dokümanı,

Tarafların görüşleri ve dosya inclemesi Başvuru Mahkemenin 4 üncü Dairesine tevzi edilmiş. Romanya devleti özetle; işverenin, interneti kişisel amaçlı kullanmaması gerektiği ve yazışmalarının izleneceğine dair kendisini başlangıçta uyardığını, bu aşamada başvurucunun Messenger hesabınıda özel yaşamı ile ilgili kişisel bilgilerinin bulunabileceğini hatırlatmadığı gibi, iş ilişkisinin sona ermesinden sonraki süreçte de, sadece müşterilerle iletişim amaçlı kullandığını beyan etmiş olmasının yerel mahkemeleri ve işverenini mesaj içeriklerine erişime yönlendirdiğini ileri sürmüş.

Başında kişisel amaçlı da kullandığını itiraf etseymiş mahkemelerin daha dengeci bir prosedür izleyeceğini açıkça itiraf etmiş. Ve ilgili kişinin kendisinin bir talebi ya da hatırlatması olmadığı müddetçe izleme ve denetim yapılabileceğine dair Fransız Yargıtayının bir içtihadını gerekçe göstermiş ve AİH Sözleşmesinin 8 inci maddesi kapsamında bir ihlallin söz konusu olmadığını ileri sürmüş. Başvurucu da bun karşın, Yahoo Messenger programının doğası gereği ancak kişisel ve Özel yaşama dair yazışmaların yapılabildiği, nitekim ifşa edilen veriler arasında kendisi, erkek kardeş ve nişanlısının kimlikleriyle sağlık ve cinsel yaşamına dair diğer özel nitelikli verilerin de bulunduğunu, dahil kişisel veriler olduğunu, bunların da 2001/677 sayılı AB Yasası ve 95/46 sayılı Direktifle koruma altında olduğunu, işvereninin Messenger hesabına da iş amaçlı kullandığından farklı bir ID ile giriş yaptığını, yazışma içeriklerinin dökümlerinin de iş arkadaşlarına ifşa edildiğini, yerel mahkemelerin de konuya dar bir bakışla yaklaşarak, genel olarak iş akdinin fesih gerekçesi üzerine yoğunlaştığını, Messenger’ın özel ve işle ilgili bilgiler kolayca ayırt edilebilecek bir program olduğu halde işyerindeki ekipman ve program üzerinde bir inceleme yapmadığını beyan etmiş.

Anlık mesaj iletim özelliği nedeniyle program, kendisini yazışmaları konusunda gizlilik beklentisine sevk etmiş. Aksi durumda hiç bir kişisel bilgisini paylaşmamış olacağını, işvereninin talimatıyla hesabın şifresini de kendisinin oluşturmuş olmasının kendisinde güven tesis ettiğini paylaşmış. Daha da önemlisi, işverenin yazışmaları izleyeceğine dair önceden kendisini bilgilendirmediğini, dosyadaki bahse konu işyerine ait iç düzenlemeden de izleme yapacağının anlaşılmadığını vurgulamış. (Nitekim Daire, 3 Temmuz tarihli o belgede de Barbulescuyla diğer çalışanların imzasının olmadığı bilgisini not etmiş.) Yazışma içeriklerine erişilip ifşa edilmesiyle sonuçlanana özel yaşamına müdahalenin ölçülülük ilkesi ve hedeflenen meşru amaçla uyuşmadığını iddia etmiş. Hadisenin başlangıcında programı tamamen iş amaçlı kullandığını söylemiş olsa da, her halükarda işveren tarafından mesai içerisinde kişisel ilişkiler kurup geliştirme hakkının engellenemeyeceğini belirterek cümlelerini tamamlamış.

Değerlendirme…

Daire, Özle Yaşam kavramının, beşeri ilişkiler kurmayı ve geliştirmeyi de içerdiğini hatırlatıyor öncelikle. Ve işyerinden yapılan telefon görüşmeleri ile iş ortamında kullanılan kişisel ekipmanların özel yaşam kapsamında değerlendirildiğine dair daha önce alınan bazı kararlara atıf yaparak çalışanın haklı bir gizlilik beklentisinin olacağını kaydediyor.

İlk olarak, Başvurucunun yerel mahkeme sürecinden önce, hakkındaki iddia ya da şüpheler karşısında işverene savunmasını ya da görüşlerini sunabilmiş olmasını, iç hukuk yolu ve özel yasaların işlemesi bakımından önemli buluyor Daire. Devamında, ilk derece ve temyiz mahkemelerinin daha çok ve özellikle, başvurucunun Messenger’da sadece işle ilgili yazışmalar olduğunu iddia etmiş olması üzerine tahkikatı yürüttüğüne, işverenin de aynı saikle hareket ederek, işle ilgili bilgilere erişmenin meşru menfaati gereği olduğu gerekçesiyle yazışma içeriklerine ulaştığına kesin kanaat getirmiş.

Ne var ki yerel mahkemelerin kararlarında, başvurucunun yazışma içeriklerinin belirleyici unsur olmadığını kanaat getirmiş. Kararlarda, başvurucunun erkek kardeşi ve nişanlısının kimliklerinden bahsedilmemiş. Onun yerine, sadece yazışmalarda kategorik olarak kişisel bilgilerin yer aldığı olgusundan hareketle çalışanın işyerine ait ekipmanları kişisel amaçlı kullanarak işyeri disiplin kurallarını ihlal ettiği sonucuna odaklandığını tespit etmiş.

Dairenin vardığı diğer bir nokta ise; Barbulescunun söz konusu davranışıyla işyerini ya da işverenini maddi bir zarara uğratıp uğratmadığına bakılmaksızın, işverenin her zaman çalışanının görevlerini yerine getirip getirmediğini tetkik etmesinin makul bir davranış olduğu. Nitekim bunu yaparken davacının Messenger hesabı dışında bilgisayarındaki diğer dosya ya da verilere erişmediği notunu düşüyor. Böylece işverenin, kişisel verileri izleme ve kaydetme işleminde sınırlı ve ölçülü davrandığı sonucuna varıyor.

Tabi, Başvurucunun hesabı neden kişisel amaçlı kullandığına dair bir açıklama getirmemiş olmasını da önemli bir ayrıntı olarak değerlendiriyor.

Ve nihayetinde aire 12 Ocak 2016 tarihinde 6’ya karşı 1 muhalif oyla aldığı kararda, Romanya yargı organlarının, özel yaşam ve yazışma hakkına saygı ile işverenin meşru menfaati arasındaki adil dengeyi sağlamada bir kusurunun olmadığını, dolayısıyla da başvurucu bakımından AİH Sözleşmesinin 8 inci maddesinin ihlallinden söz edilemeyeceğine yer vermiş.

Bunun üzerine Barbulescu 12 Nisan 2016 tarihininde, Sözleşmenin 34 üncü maddesinin verdiği hakkı kullanarak davanın Büyük Dairede görülmesi talebinde bulunmuş. 6 Haziran günü de Büyük Daire’ye havale edilmiş.

…ve Final: Büyük Daire

Mahkeme AİH Sözleşmesinin meşhur 8 inci maddesindeki kavramlara açıklık getiriyor: Öncelikle, bireyin diğer bireylerle iletişime geçmek suretiyle sosyal kimliğini geliştirme olasılığını dikkate alarak özel sosyal yaşam (private social life) kavramını hatırlatmış. Bu nedenle de özel hayatın, mesleki faaliyetler ile kamusal bağlamdaki iş işlemleri de kapsayabileceğini açıklamış.

Gelelim haberleşme (correspondence) kavramına. Özel hayat kavramının aksine, Sözleşmede haberleşme kelimesinin bir sıfatla nitelenmediğine dikkat çekiyor. Tıpkı bir işyerinden yapılan telefon görüşmesinin özel yaşam kapsamında Sözleşmenin 8 inci maddesiyle güvence altına alındığı gibi, aynı güvencenin işyerinden iletişim amacıyla gönderilen e-postaların yanı sıra, bir kişinin internet kullanımının izlenmesinden (monitoring) elde edilen bilgiler için de geçerli olduğunun altını çiziyor.

Bu aşamada Büyük Dairenin, karar oluştururken mevzuat havuzuna aşağıdaki düzenlemeleri de dahil ettiğini görüyoruz:

  • Romanya Medeni Kanunu (998 ve 998 uncu maddeler)
  • “Bilgisayar Ortamındaki Kişisel Veri Dosyalarının Düzenlenmesine İlişkin” BM Yönergesi, 1990 (1,2,3,4 ve 6 inci maddeler)
  • “İşçilerin Kişisel Verilerinin Korunmasına Dair” ILO Uygulama Esasları (ILO Code of Practice), 1997 ( 5, 6 ve 11 nolu İlkeler)
  • “İstihdam Bağlamında Kişisel Verilerin İşlenmesi” konulu AB Bakanlar Komitesi Tavsiye Kararı, 2015 (4, 6, 10, 14 üncü maddeler)
  • AB Temel Haklar Kararnamesi, 2007/C 303/01 (7 ve 8 inci maddeler)

Prosedür gereği Büyük Daire Romanya devletinden iddialara ilişkin cevaplarını istemiş. İlk aşamadaki bilgilere ek olarak Romanya özetle; iletişim ve yazışma içeriklerinin 5-13 Temmuz arasında işveren tarafından izlenip gerçek zamanlı kaydedildiğini, Avrupa Konsey üyeleri arasında da, çalışanın kişisel verişlerini izleme, internet kullanımı ya da ön bilgilendirme konularında yerleşmiş bir uygulama olmadığını, yine de yerel mahkemelerin başvurucunun temel hak ve hürriyetleri ile işverenin ticari nitelikli meşru menfaatleri arasındaki dengeyi gözettiğini beyan etmiş.

Ayrıca, işyerindeki disiplin prosedürü sürecinde de başvurucunun haberleşme içeriklerinin özel olduğunu hatırlatma imkanı olduğu halde bunu yapmadığını, özel hayatına dair bilgileri içerdiğini söylemiş olsaydı yerel mahkemelerin de konuya farklı yaklaşmış olacağını ileri sürmüş. Esasen bizzat kendisinin çıktısını aldığı mesaj içeriklerinin de sadece disiplin kurulundaki 3 kişi tarafından görüldüğünü not etmiş. Yerel mahkemelerin elinde görüşme içeriklerinin olmadığını, sadece türlerinin soruşturma konusu yapıldığı ve özel olduğuna kanaat getirildiğini belirtmiş.

Başvurucu bu aşamada özellikle işveren tarafından önceden bilgilendirilmediği savını pekiştiriyor. Özetle; iletişim ve haberleşme kayıtlarının izlenip kaydedileceğinde dair internet kullanım politikası benzeri bir vasıtayla işvereni tarafından önceden aydınlatılmadığını, buna dair rızasına da başvurulmadığını, bu şekilde önceden bilgilendirilmiş olsaydı özel yaşamı dair bazı bilgileri bu mecrada paylaşmaktan imtina etmiş olacağını ifade ediyor.

Yerel iş mahkemelerinin de yargı yetkileri olduğu halde, sadece iş akdinin feshedilmesi sonucu üzerinde durduklarını, Sözleşmenin 8 inci maddesindeki temel hak ve hürriyet bağlamında bir tahkikat yapmadıklarını ileri sürüyor. Ve işyerinde sadece bir adet yazıcı cihazı bulunduğu ilin 45 sayfalık yazışma içeriklerinin diğer çalışanlarca da görülmüş olabileceği hususunu ekliyor.

Mahkeme dosyasında, Davacının işyerindeki bilgisayarı ve anlık mesaj uygulamasını kullanmak suretiyle kurduğu iletişimin de haberleşme’nin diğer bir formu olduğu bilgisine yer veriliyor.
Çalışma Grubunun (WP29) 2001 ve 2002 yıllarındaki; çalışanların elektronik ortamdaki iletişim ve yazışmalarına dair verilerinin, şeffaflık, dürüstlük, gereklilik ve ölçülük testlerini geçmesi halinde ve çalışanın bunun bilincinde olması koşuluyla izleme ve denetime tabi tutulabileceği, hatta, hastalık vb nedenlerle işinin başında olmadığı durumlarda elektronik postasına erişilebileceği yönündeki görüşü de değerlendirmede dikkate alınmış .

Fransa’nın görüşü…

Bu arada görüşü istenilen Fransa, Medeni Kanun, İş Kanunu ve Ceza Kanunlarındaki hükümler ve Yargıtaylarının yerleşik içtihadları doğrultusunda; işyerinde kendisine tahsis edilen elektronik ekipmanlardaki verilerine ancak, çalışanın kişisel bilgilerini içerdiğini önceden açık ve anlaşılır biçimde belirtmiş olması koşuluyla bir işverenin erişim sağlayabileceğini, dolayısıyla, işveren tarafından önceden, güdülen meşru amaç ve disiplin prosedürleri doğrultusunda kullanılacağı hususunda çalışanın bilgilendirilmiş olmasının gerektiğini bildirmiş. Çalışan tarafından kişisel/özel bilgiler içerdiği uyarısı yapıldıktan sonra bile bir erişim ve gerekli bilgileri kaydetmek gerekiyor ise, bu kez de işverenin mahkeme aracılığıyla gerekli önlemeri aldırması ve yetkili bir kiş nezaretinde bu verilere erişim sağlanmasının gerektiği paylaşılmış.

Avrupa İşçi Sendikaları Konfederasyonunun düşüncesi…

Yine görüşü istenen Konfederasyon da, çalışanın kişisel verilerin işlenmeden önce mutlaka çalışanın açık rızasını alınmış, en azından önceden işçi temsilcisiyle birlikte aydınlatılmış olmasının gerektiğini belirtmiş.

Büyük Daire, çalışanların işyerindeki faaliyetleri sırasında özel yaşamları ya da haberleşmeleri ile ilgili verilere erişim sağlanması sorununu yasal zeminde çözmek adına üye devletler arasında -çok azı hariç- bir konsensüs sağlanmadığı notunu düşüyor.

Değerlendirme ve KARAR…

Büyük Daire, 4 no’lu Daireden farklı olarak:

  • Başvurucunun işveren tarafından, işyerine ait internet ve diğer imkanların kişisel amaçlı kulanımının yasak olduğu hususunda yazılı olarak bilgilendirildiğini, ancak, yazışmaların belirli bir yöntemle izlenip denetleneceğine dair bilgilendirildiği konusunun belirgin olmadığı tespitini yapıyor. Nitekim uluslararası ve Avrupa’nın konuyla ilgili standartlarının, veri sahibinin bilgilerine yönelik herhangi bir izleme yapılmadan önce, bunun kapsamı ve özel yaşamın gizliliğine müdahalenin ne ölçüde olacağı konularında aydınlatılmasını öngördüğünü hatırlatıyor.
  • Ayrıca, yerel mahkemelerin izleme-denetlemenin kapsamına, izinsiz müdahalenin derecesine veya izleme için ileri sürülen nedenlerin meşru ve geçerli olup olmadığına dikkat etmediğini gözlemlemiştir.

Ve nihayet 5 Eylül 2017 günü yapılan karar toplantısında Mahkeme, yerel mahkemelerin tarafların karşılıklı hak-menfaatleri arasında adil bir denge kuramadığına ve başvurucunun kişisel haklarının yeterince korunamadığına böylece Sözleşme’nin 8. maddesinin ihlal edildiğine 6’ya karşı 11 üyenin oyuyla karar vermiş.

Ne Anlamalıyız?

Peki bu kadar uzun anlatımdan sonra, gerek Barbulescu’nun hikayesinden ve gerekse Mahkemenin referans aldığı uluslararası düzenlemelerden çalışan ve işverenler olarak payımızda düşen nedir diye düşünebilirsiniz.

Günümüzde sık ve kaçınılmaz olarak kullanılan iletişim kanallarından elektronik posta, online destek-yardım, çağrı merkezi gibi çalışanların haberleşme, yazışma ve iletişim amaçlı yaptıkları işlemleri ve bunların içeriklerini denetlemek konusunda öncelikle keyfilikten (arbitrariness) kaçınılması gerekmekte. Ve tabi ki her zaman göz önünde bulundurulacak temel prensiplerimiz:

  • Ölçülülük,
  • Şeffaflık,
  • Dürüstülük
  • ve Makul ve Meşru bir Ticari Menfaat.

Bu temel prensipler doğrultusunda her şeyden önce ve evvelen yapılması gereken; henüz çalışanla iş ilişkisinin kurulduğu Sözleşme aşamasında, ya da, mevcut çalışanlara yönelik böyle bir uygulamaya gidilecekse işleme henüz başlanmadan uygulamanın varlığından haberdar etmek. Diğer bir tabirle, 6698 sayılı Kişisel Verilerin Korunması Kanunun 10 uncu maddesindeki Aydınlatma Yükümlülüğü yerine getirmek. Herhangi bir şekil şartı öngörülmemek ve isbat yükümlülüğü veri sorumlusuna ait olmakla birlikte yazılı ya da kayıtlı bir formatta olmasını öneriyoruz. İşte bu prosedüre göre çalışana sunulacak olan bir metinde,

  • Çalışana işyerindeki görevi nedeniyle yaptığı yazışmalar ve diğer iletişimlerin trafiğiyle birlikte içeriklerini de izleme ve denetlemenin meşru gerekçesi ve hedeflenen amaç açık ve anlaşılır bir şekilde belirtilmelidir.
  • Erişilecek ya da denetlenecek yazışma ve içeriklerin türü ve kapsamı, bu işlem nedeniyle oluşacak müdahalenin sınırı ve ölçüsü ile süresi ortaya konulmalıdır. (Tüm haberleşme kanalları mı, sadece internetteki gezinme trafiği ile ilgili anlık kayıtlar mı, telefon görüşmesiyse HTS kayıtları mı yoksa aynı zamanda tapeler de mi, e- posta ise sadece alım- gönderi bilgisi mi, yazışma içerikleri de mi, ya da izlemenin devamlı mahiyette mi, sadece işverenin öngördüğü belirli bir döneme özgü mü olacağı )
  • Erişim ve kayıt alma nedeniyle doğabilecek ver güvenliği ihlallini önlemeye yönelik idari ve teknik nitelikli önlemlerin neler olduğuna yer verilmelidir.
  • Ve çalışanın bu metni okuyarak yazışma ve haberleşme içeriklerine işverenin erişim sağlayacağını anladığına ve onay verdiğine dair imzasını almak.

Evet bilginin çok çabuk ve kolayca dolaşabildiği bir teknoloji çağındayız. Marka, patent gibi endüstriyel üretimin sırlarının değerli olduğu, rekabetin kızıştığı ve pastadan daha fazla pay kapmak adına pazarlama ve müşteri ilişkilerinde kalitenin arandığı iş dünyasında vasıflı ve güven veren işgücü de önem arz etmekte.

Elektronik altyapılı işlem ve faaliyetlerle yürüyen bir iş dünyasında, sermaye sahiplerinin iş disiplinini ve kurumsal işleyişi sürüdürülebilir kılmak, ticari iş güvenliğini ve ekonomik çıkarlarını korumaya yönelik olarak çalışanlarının yaptığı işlemleri bilmek ve kontrol etme refleksi anlaşılabilir bir durum.

Bizde durum nasıl?

Ülkemizde iş hukuku alanında yargıya intikal etmiş benzer davalarda Yüksek Mahkeme’nin verdiği kararların henüz AİHM kararları ile uyumlu olduğunu söyleyemeyiz. Nitekim çalışanların, kendilerine tahsis edilen bilgisayar, e-posta vb. İşyeri imkanlarıyla yaptığı yazışma içeriklerine işverenler tarafından erişim sağlanmasının da konu edildiği davalarda, bizim de taraf olduğumuz AİH Sözleşmesinin 8 inci maddesi hükmünün dikkate alınmadığını görüyoruz. Yargıtay’ın, çalışanın işyerindeki elektronik yazışma içeriklerine erişim sağlanmasının ardınan iş akdinin feshini İş Kanunu hükümleri çerçevesinde değerlendirdiğine dair örnek kararlardan bazıları (13.12.2010 tarih, Esas No: 2009/447 Karar No: 2010/37516, 03.05.2016 tarih, Esas No: 2016/6321 , Karar No: 2016/13143), Bu kararlarda, İşverenin kendisine ait bilgisayar ve elektronik posta adresleri ile bu adreslere gelen elektronik postaları her zaman denetleme yetkisi bulunduğu yer verilmiş.

Sonuç

Sonuç olarak diyebiliriz ki; iş ortamında işin gereği için bile olsa bir çalışanın özellikle elektronik haberleşme ve yazışmalarda kendi özel yaşamına dair bilgileri paylaşması kaçınılmaz bir gerçek. Ve bu içerikler temel insan hakları bağlamında çalışanlara ait korunması gereken özel hayat ve yazışmaların gizililiği konseptinde. Peki hukuk mantığı ile ticari yaşamın dinamiklerinin karşılaştığı bu düzlemde, çalışanın iletişim ve haberleşme içeriklerine gerçekten erişim gerekiyor mu? İçerikleri kaydedip kullanmakla başlangıçta hedeflenen amaç kıyaslandığında ölçülü davranılmış olur musunuz?

Ticari kaygılar mı yoksa her türlü tedbir de alınmasına rağmen muhtemel bir ihlalin doğuracağı hukuki ve cezai sorumluluk riskini üstlenmek mi? Muhakkak bu temel soruları yine her bir Veri sorumlusu işveren kendi şartları içinde değerlendirileceklerdir.

Bu noktada, AB ölçeğindeki beklentiye paralel olarak ülkemizde de Veri Koruma Otoritesince konuyla ilgili bir rehber çalışması yapılması daha bunlar gibi diğer soru işaretlerini giderecektir

29 Nisan 2020
0
0
çalışanlar iletişim iş hayatı özel hayat
Related Posts
SECURITY vs. FREEDOM: THE FIGHT OVER ENCRYPTION
 20 Mart 2023
ICO Accepted a Pet’s Name As Its Handlers Personal Data
 25 Şubat 2023
BİNLERCE İNTERNET SİTESİ DAHA KAYDET TUŞUNA BASMADAN GİRDİĞİNİZ VERİLERİ TOPLUYOR
 17 Mayıs 2022
Ali Atlıhan
Ali Atlıhan
Yorum Bulunmuyor

Yorum Yapın