Hukukun uygulanmasıyla görevli olan yargı makamları, biraz daha ileri giderek henüz yürürlüğe girmemiş olan hukuki düzenlemelerin uygulanmasını da isteyebilir mi? Bir gün yürürlüğe girecek olan herhangi bir yasal düzenlemeye uygun davranmayanlar hakkında ihlal kararı verebilirler mi? Söz konusu düzenlemenin yürürlükte olmadığı bir anda meydana gelen bir fiil dolayısıyla bu fiili gerçekleştiren kişiler, kurumlar veya kuruluşlar yaptırıma tabi tutulabilir mi? O günkü koşullar altında söz konusu düzenleme ile getirilen yükümlülüğü olmayan bir kişiden gerçekten buna uygun davranması beklenebilir mi? Anayasa Mahkemesi, tüm bu soruların cevabının “Evet” olduğunu ifade ettiği bir karar verdi. Peki ama hukuk fakültesinin daha ilk sınıfında “Hukuka Giriş Dersi” kapsamında öğretilen ilke ve kurallara ne oldu?
Anayasa Mahkemesi, (Mahkeme) 14 Ekim 2020 tarihli ve 31274 sayılı Resmi Gazete’de yayımlanan “E.Ü. Başvurusu”[1] kararıyla (Karar) işverenin henüz yürürlüğe girmemiş olan bir yasal düzenlemeyi uygulaması gerektiğine hükmederek hukukun en temel ilke ve kuralları bakımından ciddi bir biçimde tartışılması gereken bir karar vermiştir. İşverenin iş yerinde gerçekleşen bir tartışma sonrasında bozulan düzen ve aksayan işler karşısında düzeni sağlamak amacıyla çalışanların kullandığı kurumsal e-postaları, iş ile ilgili yaşanan bir tartışma kapsamında 2015 yılında incelemesi, Anayasa Mahkemesi’ne göre 7 Nisan 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (Kanun) ile getirilen yükümlülüklere aykırı hareket edilmesi anlamına gelmektedir. Burada sorulması gereken kilit soru şudur: Gerçekten işveren daha sonra kendisine böyle bir yükümlülük getirileceğini tahmin edebilir miydi? Ya da daha doğru ve kapsayıcı bir ifadeyle, bir hukuk devletinde kişilerden kâhin olması beklenebilir mi?
İşte bu yazıda Anayasa Mahkemesi tarafından verilen söz konusu kararı hukukun genel ilke ve kuralları ile başta Kanun olmak üzere ulusal ve uluslararası anlamda kişisel verilerin korunması mevzuatı kapsamında inceleyerek işverenlerin çalışanların e-postalarını incelemesinin kapsam ve sınırları sorununa ilişkin tespitlerde bulunacağım.
I. Karara Konu Olay
Kararın konusunu, bir avukatlık ortaklığında (işveren) yöneticisi ve ekip arkadaşlarıyla yaşadığı sorunlara istinaden kurumsal e-posta adresi işveren tarafından incelenen avukatın başvurusu oluşturmaktadır. İşveren, söz konusu avukatın da içerisinde olduğu beş kişilik bir ekipte, yönetici ve avukat hakkında ekibin diğer üç (3) üyesi ile ilgili çeşitli tartışmalar yaşadıkları, nesnelliklerini kaybettikleri, iş düzenini bozdukları ve bu nedenle projelerin sağlıklı bir şekilde yürümesi için gerekli ortamın kaybolmasına neden oldukları şeklinde şikâyet dilekçeleri almıştır.
İş yeri düzenine ilişkin kendisine gelen şikayetleri inceleme, kurumsal düzeni ve çalışma barışını sağlama görev ve yetkisi olan işveren, bunun üzerine yaptığı araştırmada çalışanına ait kurumsal e-postaları incelemiş ve söz konusu çalışana ilişkin şikayetlerin haklı olduğunu tespit etmiştir. İncelenen e-postalar neticesinde söz konusu avukatla olan iş ilişkisinin devam etmesinin mümkün olmadığına kanaat getiren işveren başvurucu ile iş ilişkisini sona erdirmiştir.
Buraya kadar olan olaylarda hangi hususlara dikkat etmek gerekir:
- Çalışanda bulunan bilgisayar, işveren tarafından kendisine tahsis edilen iş bilgisayarı; işveren tarafından incelenen yazışmalar kurumsal e-posta aracılığıyla yapılan yazışmalardır.
- İşveren, aşağıda detaylı olarak açıklanacağı üzere 4857 sayılı İş Kanunu (İş Kanunu) ve 6098 sayılı Türk Borçlar Kanunu’nun (TBK) ilgili hükümleri çerçevesinde yönetim hakkına sahip olup, bu yönetim hakkı çerçevesinde iş yerinde gerekli düzeni oluşturmak ve sürdürmek, iş barışını sağlamak, iş yerinde meydana gelen sorun ve tartışmaları inceleyerek karara bağlamak ve bunun için de çalışanlara ait kişisel verileri kullanmakla yetkilidir. Üstelik bu hususlar bir yetkinin de ötesinde aynı zamanda işverenin yükümlülüklerini de oluşturmaktadır.
- İşveren, yapmış olduğu incelemeyi yalnızca kendisine gelen şikâyet doğrultusunda yapmış ve sadece çalışanın sorun yaşadığı iddia edilen diğer çalışanlar ile arasındaki e-posta yazışmalarını incelemiştir.
- İşverenin incelediği e-postaların diğer tarafı iş yeri dışındaki kimseler olmayıp; yine işverenin kendi çalışanlarıdır.
İşten çıkarılması üzerine işe iade istemli tespit davası açan çalışan, tartışmayı kendisinin başlatmadığını, söz konusu e-posta yazışmalarının o dönemdeki işlerin gerginliği ile söylenen ve ekip yöneticisi ile yaptığı şahsi ve dışarıya yansımayan görüşmeler olduğunu iddia etmiştir. Ayrıca geriye dönük incelemeler yapılacak olsa benzer e-postaların diğer çalışanlar arasında da geçtiğinin tespit edilebileceğini eklemiştir. ,
İşveren ise buna karşılık olarak kendisine birden fazla şikâyet dilekçesi sunulduğunu, çalışma ekibinde yaşanan sıkıntıların temelinde olayların değil söylemlerin olması ve ispatı neredeyse imkânsız olan anlık hareketlerin yaşanması nedeniyle kurumsal e-postaları incelemek zorunda kaldığını ve bu incelemesi neticesinde de gerçekten tehdit, psikolojik taciz ve hakaret içerikli mesaj içerikleri tespit ettiğini dile getirmiştir.
İlk derece mahkemesi, çalışanın ekipteki diğer çalışanlarla kavgaya varan tartışmalar yaşaması, bu tartışmaların çalışanın tutum ve davranışlarından kaynaklanması ve söz konusu mail adresinin çalışanın görevi gereği işlerini yürütmesi için kendisine verilen ve işveren tarafından da her zaman incelenebileceğini bildiği e-mail adresi olması gerekçeleriyle işverenin feshini haklı fesih niteliğinde kabul ederek davanın reddine karar vermiştir.
Yerel mahkemede yapılan yargılama neticesinde şu hususların altını çizmek gerekir:
- Çalışan yaşanan olayların normal olduğunu ve geriye dönük inceleme yapılsa benzer yazışmaların tespit edileceğini ifade etmiştir. Çalışan tehdit ve taciz içerikli e-posta yazışmalarını normal karşılayabilecek tutum ve davranışlara sahiptir. Ayrıca kendi ifadesinden de anlaşılacağı üzere işveren tarafından düzenli olarak herhangi bir şikâyet olmaksızın çalışanlara ait e-postaların sürekli ve düzenli incelenmesi gibi bir süreci yoktur.
- İşverene yöneltilen şikayetler, nitelik olarak çalışanların birbirleri arasındaki söylemlere ve anlık hareketlere dayanan ve ispati neredeyse imkânsız olaylara dayanmaktadır.
- İlk derece mahkemesi tarafından çalışanın kendisine verilen mail adresinin işveren tarafından her zaman incelenebileceğini bildiği tespiti yapılmıştır.
Söz konusu e-posta yazışmalarının iki kişi arasındaki özel yazışmalar olduğunu iddia eden çalışan ilk derece mahkemesi tarafından verilen kararı temyiz etmiş; işveren ise yazışmaların kurumsal e-posta hesapları üzerinden gerçekleştirildiğini, bu iletişim adreslerinden yapılan tüm yazışmaların işverene ait sunucuda tutulduğu ve o dönem Yargıtay tarafından verilen kararlar uyarınca bu e-postaları denetleme yetkisi olduğunu ifade etmiştir. İlk derece mahkemesi tarafından verilen karar çalışanın çalışma barışını bozan nitelikte davranışları olduğu gerekçesiyle gerekçesi değiştirilmek ve feshin niteliği geçerli fesih şeklinde değiştirilmek suretiyle onanmıştır.
Yargıtay aşamasındaki iddia ve savunmalardan şu hususlara dikkat etmek gerekir:
- Çalışan kurumsal e-posta adresi üzerinden aynı iş yerinde çalışan diğer bir kişiyle olan yazışmaların şahsi ve özel yaşamına ilişkin olduğunu iddia etmektedir.
- İşveren tarafından denetlemenin yapıldığı döneme ait Yargıtay kararlarında işverenin çalışanlarına ait e-postaları denetleyebileceğine ilişkin kanaatler söz konusudur.
Kararın Yargıtay tarafından onanması üzerine konu, çalışan (Başvurucu) tarafından 15 Temmuz 2016 tarihinde yapılan başvuruyla Anayasa Mahkemesi önüne gelmiştir.
II. Kişisel Verilerin Korunması Kapsamında İşçi-İşveren İlişkisi
1. Genel Olarak
Çalışma hayatının insanların yaşamında önemli bir yer ve zaman kapladığı günümüzde işçi-işveren ilişkisi de kişisel veriler bakımından önem arz eder. İş sözleşmesinin kuruluş aşamasında ve devamı süresince; işçi, işverene ekonomik ve hukuki bir bağımlılık içindeyken; işveren de işçisini koruma ve gözetme borcu altındadır. İşçi-işveren arasındaki bu karşılıklı ilişki işverenin çalışanına ait kişisel verilerini işlemesini zorunlu hale getirmektedir. Ayrıca gelişen bilişim teknolojilerinin sağladığı imkanlar bu ilişkinin kişisel veriler ile olan bağlantısının farklı bir bakış açısıyla ele almayı zorunlu hale getirmiştir. Dolayısıyla iş ilişkisinin kurulması, çalışma süreci, işten ayrılma ve hatta işten ayrıldıktan sonrası da dahil olmak üzere iş ilişkisinde kişisel veriler özel bir önem taşır.
Bu nedenle 7 Nisan 2016 tarihine yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinin şüphesiz en büyük etkisi işçi-işveren arasındaki ilişki üzerinde olmuştur. Bundan sonra işverenler, çalışanlarına ait kişisel verileri işleme sürecinde birçok yükümlülüğe tabi kılınmıştır. Bu Kanun’un yürürlüğe girmesinden önce de kişisel verilerin korunmasının, özel hayatın gizliliği kapsamında korunması gerektiği şekilde Anayasal bir güvence altına alınmış olması sebebiyle şüphesiz kişisel verilerin korunması yükümlülüğü söz konusuydu. Ancak hangi bilgilerin kişisel veri olduğu, bu verilerin ne şekilde korunacağı, hangi somut yükümlülüklerin yerine getirilmesi gerektiği pozitif hukuk normları aracılığıyla düzenlenmiş değildi. Nitekim Kanun’un yürürlüğe girmesiyle birlikte şirketlerde yaptığımız Kanun’a uyumluluk projelerinde çalışanlarına karşı veri sorumlusu konumunda bulunan işverenlerin yükümlülükleri büyük yer kaplamakta, bu çerçevede çalışanların kişisel verilerinin ne şekilde işlendiğini detaylı bir biçimde açıklayan aydınlatma metinleri, gerekli yerlerde çalışanın onayını alan açık rıza metinleri, verilerin ne zaman imha edileceğini dair bilgi veren saklama ve imha politika ve tabloları ve diğer gerekli politikaların oluşturulması yasal bir zorunluluk olarak yerine getirilmektedir. Zira Kanun ile veri sorumlusuna ciddi bir uyum aşaması ve dokümantasyon yükümlülüğü getirilmişti. Peki Kanun’dan önce de durum böyle miydi?
Kanun’un 2016’da yürürlüğe girmesiyle birlikte daha önce hiçbir pozitif hukuk normuna ve şarta tabi olmayan kişisel verilerin işlenmesine ilişkin süreçler, bir anda hem baştan sona tüm iş süreçlerini kapsayan hem de ciddi yükümlülükler getiren kurallara tabi kılınmıştır. Bu tarihten önce kişisel verilerin korunması kavramı yok muydu? Elbette vardı. Ancak bu kavramla ilgili somut hiçbir yükümlülük getirilmemişti. Peki kişisel verilerin korunması için somut yükümlülük olmak zorunda mıydı? Kanaatimce değildi, kişisel veriler yine korunmalıydı, ancak bu koşullar altında veri işleyen bir şirketten ancak kişisel veriler üzerinde kişilerin temel hak ve özgürlüklerine doğrudan müdahale etmemesini bekleyebilirsiniz, daha sonradan yürürlüğe girecek bir Kanun ile getirilen somut yükümlülükleri yerine getirmesini bekleyemezsiniz.
Tam da bu noktanın Türkiye’de büyük bir çıkmaz haline geldiğini düşünmekteyim. Her ne kadar yürüttüğümüz Kanun’a uyumluluk projeleriyle kişisel verilerin işlenmesi süreçlerini belirli kural ve şartlara tabi olacak şekilde düzenlesek de bu konunun tek başına bir proje işi olmadığı ne yazık ki anlaşılmış değildir. Türkiye’de kuruluşundan bu yana kişisel veri alırken, toplarken, saklarken, aktarırken hiçbir kurala tabi olmayan şirketlerin birkaç yılda veya 6-8 aylık bir projeyle bir anda getirilen çok ciddi yükümlülükleri yerine getirmesini, daha da ötesi bunları özümseyebilmesini beklemek gerçekçi bir bakış açısı değildir. Bu açıdan elinden gelen tüm gayreti gösteren şirketlerin de bu emeklerine rağmen çok zor durumda kaldığını belirtmek gerekir.
2. İşverenler Tarafından Çalışanlara Ait E-postaların İncelenmesi Sorunu
İşverenler tarafından çalışanlara ait kurumsal e-posta adreslerinin incelenmesi, konuyla ilgili yaşanan sorunların en başında yer almaktadır. İşverenin Kanun’un yürürlüğe girmesinden önce konuyla ilgili yetki ve sınırları neydi, Kanun’dan sonra ne oldu? Bu husus Kanun’un yürürlüğe girmesinden bu yana dört seneden fazla bir süre geçmesine rağmen hala somut bir şekilde ortaya konulmuş değildir. Zira her soru ve çözüm arayışında işçinin kişisel verilerinin korunması hakkı ile işverenin yönetim hakkı, iş yeri düzeninin sağlanması zorunluluğu ve uygulama gerçekleri karşı karşıya gelmektedir.
İşverenin çalışanlara ait e-posta yazışmalarını inceleyip inceleyemeyeceği olan hukuk açısından 6698 sayılı Kanun’un yürürlüğe girmesinden önce ve sonra olmak üzere mevcut düzenlemeler ışığında tespit edilmek üzere ikiye ayrılmalıdır. Bu ayrımı burada yapmak yerine aşağıda Mahkeme’nin kararının gerekçelerine ilişkin değerlendirmede bulunurken somut olayla bağlantılı bir şekilde açıklamayı tercih etmekteyim.
III. Anayasa Mahkemesi’nin İhlal Kararı ve Kararın Gerekçeleri
Anayasa Mahkemesi, açıklamış olduğu gerekçelerle, derece mahkemeleri tarafından belirttiği anayasal güvenceleri gözeten özenli bir yargılama yapılarak pozitif yükümlülüklerin yerine getirilmediğine kanaat getirerek Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkı ile Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin ihlal edildiğine karar vermiştir.
Mahkeme’nin ihlal kararına ilişkin gerekçelerine değinmek gerekir.
1. Genel Olarak
Her şeyden önce Anayasa Mahkemesi tarafından yapılan incelemenin böylesine önemli ve hemen bütün işverenleri etkileyecek nitelikteki bir karar açısından oldukça yetersiz ve eksik olduğunu, üstelik yer yer yanlış bir izlenime neden olan açıklamalara dayandığını belirtmeliyim. Kararın genel niteliği bu şekilde olmakla birlikte ihlal kararına gerekçe olarak gösterilen temel dayanaklar bakımından durumun daha da vahim olduğunun, bu noktada eksik ve yetersiz incelemenin çok daha ötesinde hukukun temel ilke ve kurallarına aykırı bir incelemenin yapıldığının altını önemle çizmeliyim.
İlk olarak Anayasa Mahkemesi’nin, zaman yönünden uyuşmazlığa uygulanma imkânı bulunmayan KVKK ve yer yönünden Türk mahkemeleri nezdinde mevzuat niteliği taşımayan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) kararın mevzuat bölümünde yer verdiği görülmektedir. Buna karşılık, hukuk devletinde hukuk güvenliğinin esas olduğu ve bu kapsamda “Yasaların Geriye Yürümezliği İlkesi”nin geçerli olduğu hatırlatılmalıdır. Dolayısıyla o dönemde var olmayan 6698 sayılı Kanun hükümlerinin Mahkeme kararında dikkate alınmış olması, başlı başına, hukuki güvenlik ilkesinin ihlalidir. Keza GDPR da, daha önceki değerlendirmelerimde de ifade ettiğim üzere, ancak tavsiye niteliğinde bir önerme olarak görülebilecek iken; hiçbir bağlayıcılığı ve uygulanabilirliği yoktur. Nitekim GDPR hükümlerinin doğrudan uygulanabilir olmadığı Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanan kararlarla da sabittir. Zira Kurul, çeşitli konularda kendisine gelen görüş talepleri karşısında GDPR hükümlerini öneri niteliğinde kabul ettiğine dair kararlar vermiştir.
Zira Mahkeme, 10 Ocak 2015 tarihinde gerçekleşen bir olayı o günün şartlarına ve mevcut yasal düzenlemelerine göre değil (ex ante); bugünün yasal düzenlemelerine göre (ex post) inceleyerek işverenin olay tarihinde yapması gereken hususları bugünkü yasal düzenlemelere atıf yaparak belirlemiştir. Oysaki bir olayın hukuka uygunluğunu değerlendiren yargı merciinin, bu incelemesini olayın gerçekleştiği an yürürlükte olan pozitif hukuk normlarına göre yapması gerektiği hukuk mantığının temeline ilişkin bir husustur. İnceleme sırasında mevcut olan hukuka göre geçmişe ilişkin yapılan bir inceleme başlı başına bir hukuka aykırılıktır.
Öyleyse yazının giriş kısmında da belirtmiş olduğum gibi, Anayasa Mahkemesi bir işverenin henüz yürürlüğe girmemiş olan bir yasal düzenlemeyle kendisine getirilecek olan yükümlülükleri tahmin etmesini ve buna göre hareket etmesini mi beklemektedir? Temennim, Mahkeme’nin böyle bir beklenti içerisinde olmadığı, en azından daha az vahim olarak nitelendirilecek şekilde “bir hata sonucu” bu şekilde hüküm kurmuş olmasıdır. Aslında Anayasa Mahkemesi’nin böyle vahim bir hata yapma lüksü yoktur. Avrupa İnsan Hakları Sözleşmesi ve Anayasa’ya uygunluk denetimi yapmakla görevli olan Anayasa Mahkemesi’nin hukukun genel temel ilkelerini göz ardı etmesinin maruz görülebilecek bir yanı olmadığını düşünmekteyim.
Buradaki sorunun sıradan bir işçi-işveren uyuşmazlığının çok ötesinde olduğuna dikkat çekmek isterim. Bu hata, normların uygulanma zamanına ilişkindir. Hukuka giriş derslerinde okutulduğu gibi, medeni hukuk, ceza hukuku, idare hukuku vb. temel derslerinin giriş bölümlerinde de ilgili hukuk dalının normlarının ne zaman ve ne şekilde yürürlüğe gireceği ve uygulanacağı ders kitaplarına yazılır ve hukuk fakültesi öğrencilerine öğretilir. Dolayısıyla buradaki sorun bir iş hukuku ya da kişisel verilerin korunması hukuku sorunu olmayıp, hukuk genel teorisine ilişkin bir sorundur. Öte yandan bugün işçi-işveren ilişkisi açısından yapılan bu hatalı yorum yarın yöneten - yönetilen, iktidar – muhalefet, kolluk – vatandaş vb. açısından da yapılabilir. Dolayısıyla burada somut uyuşmazlığın ötesinde ilkesel bir sorun ve hukuk normlarının uygulanmasına ilişkin bir hata bulunmaktadır. Bu yazının da temel amacı bu yanlışı ortaya koymaktır.
Bu ilkesel yanlışı ortaya koymak için mevcut durumda Mahkeme’nin ihlal kararına gösterdiği gerekçeler üzerinden gerçekten işverenin tahmin etme yükümlülüğü olup olmadığını konuşacağız.
2. Anayasa’nın “Özel hayatın gizliliği” Kenar Başlıklı 20. Maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Mahkeme, kararın incelemesinde Anayasa’nın 20. maddesi ile Kanun kapsamında bir değerlendirme yapmış ve 20. maddenin ihlal edildiğine kanaat getirmiştir[2].
Kişisel verilerin korunması, 7 Mayıs 2010 tarihli 5982 sayılı Kanun’un 2. maddesiyle Anayasa’nın “Özel hayatın gizliliği” başlıklı 20. maddesine eklenen fıkra ile Anayasal koruma altına alınmıştır. Bu fıkra ile herkesin kişisel verilerinin korunmasını isteme hakkına sahip olduğu düzenlenmiş ve hakkın neleri kapsadığına ilişkin genel bir çerçeve çizilmeye çalışılmıştır. Böylece kişisel verilerin korunması hakkı Anayasal bir hak olarak korunmaya başlanmıştır.
Ancak dikkat edilmelidir ki, söz konusu fıkra ile kişilere pozitif bir yükümlülük getirilmesi gibi bir durum söz konusu değildir. Nitekim fıkranın son cümlesinde de “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” ibaresi yer almaktadır. Dolayısıyla Anayasa’ya yapılan eklemeyle aslında kişisel verilerin korunması bir temel hak ve özgürlük olarak kabul edilmiş ancak bu hakka ilişkin düzenlemeler getirilmiş değildir. Bu hakkın nasıl korunacağı, hangi esas ve usullere bağlı olduğu, diğer bir deyişle hangi hallerde bu hakkın ihlal edilmiş olacağı belirsizdir. Bu düzenlemeyle, esas olarak devlete bu konuda bir pozitif hukuk normuyla düzenleme yapma yükümlülüğü getirilmiştir. Bu belirsizlik şüphesiz 6698 sayılı Kanun’un 7 Nisan 2016 tarihinde yürürlüğe girmesiyle giderilmiştir.
Ancak aradaki bu altı senelik zaman diliminde bu hak nasıl korunacaktır? İşte bu noktada büyük bir açmaz söz konusudur. Anayasa’ya 2010 yılında eklenen fıkra ile 2016 yılında yürürlüğe giren Kanun ile getirilen somut yükümlülüklerin hiçbiri getirilmemiştir. Elbette bu durum 2010 yılında yapılan düzenlemenin hiçbir etkisi olmadığı anlamına gelmez. Ancak bu düzenlemenin etkisinin büyük ölçüde uygulamada değil, teorik anlamda olduğunu kabul etmek gerekir. Maddenin uygulamadaki etkisi 6698 sayılı Kanun ile olmuştur. Bundan önceki dönemde uygulamada veri işleyen kişiler tarafından pozitif bir yükümlülüğü yerine getirmelerini beklemek mümkün değildir. Zira aksi bir kabul 2010 yılı itibariyle veri işleyen tüm kişi ve kuruluşların 6698 sayılı Kanun’a aykırı hareket ettiği gerekçesiyle Anayasa’nın 20. maddesini ihlal ettikleri anlamına gelmektedir.
Somut olaydaki temel problem de budur: Karara konu olayın gerçekleşme tarihi bu zaman aralığındadır ve Kanun hükümlerinin uygulanması mümkün değildir. Bununla birlikte ne yazık ki Anayasa Mahkemesi 2015 yılında gerçekleşen bir olayın hukuka uygunluğuna ilişkin denetlemesinde 2016 yılında yürürlüğe giren Kanun çerçevesinde bir inceleme yaparak ciddi bir biçimde tartışılması gereken bir karara imza atmıştır:
“Ancak Anayasa’nın 20. ve 22. maddelerinde yer bulan özel hayata saygı ile kişisel verilerin korunmasını isteme hakları ve haberleşme hürriyetine ilişkin güvenceler ile 6698 sayılı Kanun ile hukuk sistemimizde mevcut olan genel düzenlemelerin iş hukuk uyuşmazlıklarında uygulanması yönünde bir engel olmadığı gözetildiğinde…[3]”
Mahkeme, bu ifadesiyle açıkça “konuyla ilgili özel düzenlemeler 6698 sayılı Kanun ile getirildiği için iş hukuka ilişkin uyuşmazlıklarda da bu Kanun’u uygulamamda hiçbir sakınca yok” demektedir. Ancak görünen o ki, Mahkeme tarafından uygulaması yönünde engel olmadığı düşünülen Kanun’un yürürlük tarihi atlanmıştır. Zira Mahkeme’nin bu kararı aynı zamanda “Kanun’un yürürlüğe girdiği tarihten önceki tüm iş uyuşmazlıklarında bu Kanun hükümleri çerçevesinde inceleme yaparım ve 20. madde kapsamında da ihlal kararı verebilirim” demektir. Söz konusu 20. maddeye yapılan ekleme 2010 tarihinde olması nedeniyle de Mahkeme, bundan sonra 2010 – 2016 yılları arasında önüne gelen tüm uyuşmazlıklarda işverenlerin Kanun ile getirilen düzenlemelere uygun davranmasını mı arayacaktır?
Mahkeme’nin bu bakış açısından hareketle, Kanun ile getirilen somut yükümlülükler hala tamamen yerine getirilemiyor iken; veri sorumlularına dönüp “2016’da yürürlüğe girecek yükümlülükleri tahmin etmen ve buna uygun davranman gerekirdi” mi diyeceğiz? Buna dayanak olarak da Anayasa’nın 20.maddesini mi göstereceğiz? Peki hukuk gerçekten böyle bir şey mi? Hukukun uygulanmasıyla görevli olan yargı makamları daha da öteye giderek henüz yürürlüğe girmemiş olan hukukun getireceği pozitif yükümlülüklerin önceden yapılmasını nasıl bekleyebilir? Zira Anayasa Mahkemesi tarafından yapılan tam da budur.
Hukuk, mantık kurallarının geçerli olduğu, hayatın içinden çıkan ve bilimsel inceleme yöntemlerini kullanan sosyal bir bilimdir. Akla, mantığa ve bilime aykırı hiçbir önerme, kural ve kararının hukukta yeri yoktur. Nasıl ki, insanlardan gelecekte suç olarak düzenlenebilecek bir eylemi bugünden yapmamaları belenemez ise ya da tam tersi olarak suç normları geçmişe etkili olarak uygulanamazsa, bu genel geçer kural diğer hukuk disiplinleri açısından geçerlidir. Hukuk normları yürürlüğe girdikleri andan itibaren ileriye doğru uygulanırlar. Bunun tek istisnası failin lehe olan suç normunun geçmişe etkili olarak uygulanmasıdır. İş hukukunda ya da kişisel verilerin korunması hukukunda böyle bir norm yoktur.
Ayrıca insanları herhangi bir şeyden sorumlu tutabilmeniz için o şeyi bilmeleri, en azından o şeyin varlığı hakkında detaylı bir biçimde olmasa da o şey hakkında bilgi sahibi olmaları gerekir. Örneğin fail suç normu hakkında detaylı bilgi sahibi olmasa da gerçekleştirdiği eylemin haksızlık oluşturduğu konusunda bir bilgiye sahip olmalıdır, biz buna ceza hukukunda haksızlık bilinci diyoruz. Bu bilincin olmaması halinde faile kusurluluğu bulunmadığı için ceza verilmemesi gerektiğini söylüyoruz.
Somut olay açısından ise her ne kadar Anayasa’nın 20. maddesi ile genel bir düzenleme yapılmışsa da, veri sorumluları tarafından aydınlatma yapılması gerektiğine ve bunun hangi durumlarda ve nasıl yapılması gerektiğine ilişkin hiçbir düzenleme bulunmamaktadır. O tarihte Anayasayı yapanların ve Anayasa Mahkemesi’nin bile bilmediği bir düzenlemeyi, tüm veri sorumlularının bilmesini beklemek mantıkla açıklanabilecek bir durum değildir.
3. Anayasa’nın “Haberleşme hürriyeti” Kenar Başlıklı 22. Maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Başvurucu Anayasa’nın 20. maddesinin yanı sıra “Haberleşme hürriyeti” başlıklı 22. maddesinin de ihlal edildiğini iddia etmiş ve Mahkeme tarafından da bu iddia kabul edilerek haberleşme hürriyetinin ihlal edildiğine karar verilmiştir. Ancak Mahkeme’nin bu kararını gerekçelendirmediğini belirtmeliyim. Bu açıdan başkaca herhangi bir inceleme yapılmamış ve yalnızca ilgili maddeyi belirtmekle yetinerek hüküm kısmında maddenin ihlal edilmiş olduğuna ilişkin kanaatini açıklamıştır. Dolayısıyla söz konusu madde bakımından Mahkeme’nin değerlendirilebilecek açıklama ve kanaatleri bulunmamaktadır.
Bununla birlikte Mahkeme’nin kararından bağımsız olarak somut olayda haberleşme hürriyetinin ihlal edilip edilmediğine ilişkin görüşlerimin Anayasa’nın 20. maddesi bakımından yaptığım açıklamalarla benzer yönde olduğunu belirtmeliyim. Zira haberleşmenin gizliliği kişisel verilerin korunmasıyla yakından ilgili olup; kişisel verilerin korunması haberleşme özgürlüğüne ilişkin hakların korunmasını da beraberinde getirmektedir. Bunun nedeni haberleşme hürriyetine konu olan başta haberleşmenin içeriği, tarafların isim ve telefon numaraları, taraflar arasında gerçekleştirilen bağlantılar, görüşmelerin süresi gibi bilgiler olmak üzere diğer tüm bilgilerin gerçek bir kişiyle ilişkilendirilebildiği ölçüde kişisel veri niteliğinde olmasıdır. Dolayısıyla e-postaların incelenmesi suretiyle kişisel verilerinin elde edilebileceğini bilmek durumunda olan başvurucunun, aynı doğrultuda haberleşmenin incelenebileceğini de bilebilmelidir. Hali hazırda işveren tarafından sağlanan ve kontrol edilen bir sistemi kullanan başvurucunun, bu sistemin denetlenemeyeceği şeklinde bir beklentisi de olamaz.
Sonuç olarak her şeyden önce Mahkeme’nin 22. madde bakımından ihlal kararı vermiş olmasına rağmen karar içerisinde bu yönden yeterli bir inceleme yapmış olduğunun anlaşılmadığı yönündeki eleştirilerimi belirtmeliyim. Mahkeme’nin 22. maddenin ihlal edilmiş olduğuna ilişkin kanaati bakımından ise yukarıda açıklamış olduğum nedenlerden dolayı 20. madde için yapmış olduğum açıklamalar geçerlidir.
4. Gerçekten Bir Mahremiyet Beklentisi Bulunmakta Mıdır?
Mahremiyet beklentisinin bulunup bulunmadığını tespit etmek için öncelikle yazışmaların kişisel yazışmalar mı yoksa iş ile ilgili mi olduğu tespit edilmelidir. Başvuruya konu olay incelendiğinde, yazışmaların Mahkeme’nin de belirttiği üzere, “e-posta mesajlarının başvurucu ile ekip yöneticisi arasında geçen ve genel olarak birbirleriyle ve işyeri ile ilgili düşüncelerin açıklandığı, yer yer tartışma şeklindeki diyaloglardan” ibaret olduğu görülmektedir.
Dolayısıyla yazışmalar, başvurucunun bir kişiyle yaşadığı tartışmalar ve gerçekleştirdiği tehditler itibariyle “kişisel”, bu kişinin başvurucunun işyerindeki ekip yöneticisi olması ve yazışmaların işyerinin kendisi ile diğer çalışanlar hakkında olması itibariyle de “iş ile ilgili”dir.
Öncelikle ifade etmeliyim ki, iş ile ilgili olan yazışmalar işçi kadar işvereni de ilgilendirdiğinden herhangi bir mahremiyet beklentisi makul ve meşru kabul edilemeyecektir. Öte yandan kişisel yazışmalar ise kural olarak mahremiyet altında değerlendirilebilir. Buna karşılık Mahkeme, 24.03.2016 tarihli ve 2013/4825 sayılı Ömür Kara ve Onursal Özbek başvurusuna ilişkin kararının 68. paragrafında, kurumsal e-posta adresinden gerçekleştirilen kişisel yazışmaların korunmasında da makul bir mahremiyet beklentisinin bulunamayacağına karar vermiştir:
“Başvurucuların kurumsal e-posta hesapları üzerinden gerçekleştirdikleri kişisel yazışmaların korunması konusunda makul bir beklenti içinde oldukları sonucuna ulaşılamaz.”
Görüldüğü üzere Anayasa Mahkemesi, kişisel yazışmaları işyerindeki bilgisayar ile ve kurumsal e-posta hesabı üzerinden gerçekleştiren başka bir başvurucu hakkında, bu yazışmaların korunacağı hususunda makul bir beklentisi bulunamayacağına karar vermiştir. Buna karşılık değerlendirmemize konu kararın 75. paragrafında ise bunun tam tersi bir değerlendirmede bulunmuştur. Bu ise ancak sürpriz karar kavramı ile açıklanabilir ve “sürpriz karar yasağını” ihlal eder. Bu ilke ve yasağa ilişkin, oldukça isabetli bulduğum Yargıtay 9. Hukuk Dairesi’nin 14.09.2020 tarihli ve E. 2016/26476, K. 2020/7547 sayılı kararının ilgili kısmı başka söze gerek bırakmayacak kadar açıktır:
“Hukuk devletinin asli unsurları arasında yer alan hukuki belirlilik veya güvenlik ilkesi, hukuki durumlarda belirli bir istikrarı temin etmekte ve kamunun mahkemelere güvenine katkıda bulunmaktadır. Birbiriyle uyuşmayan mahkeme kararlarının sürüp gitmesi, yargı sistemine güveni azaltarak, yargısal bir belirsizliğe yol açabilir (AİHM, Nejdet Şahin ve Perihan Şahin/Türkiye, B. No: 13279/05, 20.10.2011, § 57). İçtihat değişikliğinin sürpriz karar yasağı çerçevesinde de değerlendirilmesi gerekir. Sürpriz karar, ilgilinin yargılamanın o ana kadarki seyrine göre, haklı olarak beklemediği, umulmadık bir kararla karşılaşmasıdır. Sürpriz karar yasağı ise, yargılamanın adil ve hakkaniyete uygun şekilde yürütülmesi durumunda tarafların öngöremedikleri bir kararla karşılaşmamalarını ifade eder…”
5. Anayasa Mahkemesi’nin AİHM İçtihadına İlişkin Açıklamaları: AİHM Kararları Doğru Mu Yorumlandı?
Anayasa Mahkemesi, yapmış olduğu incelemesinde Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarına atıf yapmış ve ihlal kararını da özellikle AİHM’in e-posta adreslerinin denetimine dair 2016 yılında vermiş olduğu “Barbulescu v. Romanya” kararına dayandırmıştır. Mahkeme, AİHM’in söz konusu kararında işverenin çalışana ait e-posta hesabını denetlemesi nedeniyle Avrupa İnsan Hakları Sözleşmesi’nin (Sözleşme) “Özel ve aile hayatına saygı” başlıklı 8. maddesinin ihlal edildiğine yönelik karar verdiğini hatırlatmıştır[4]. Ancak Mahkeme tarafından atıf yapılan karar inceleme konusu karardan farklıdır.
- AİHM’in “Barbulescu v. Romanya” kararında işveren tarafından incelenen ve incelendiği için ihlal kararı verilen hesap, çalışana ait şahsi e-posta hesabıdır.
AİHM’in kararına konu olayda özel bir şirkette çalışan başvurucunun hem iş amaçlı kullandığı hem de ayrıca kendisine ait Yahoo Messenger hesabı bulunmaktadır. Başvurucunun çalıştığı iş yeri yönergesine göre ofis kullanımı için tahsis edilmiş olan bilgisayar, telefon, fotokopi ve faks gibi araçların kişisel amaçlar için kullanılması yasaktır. Bununla birlikte yönergede işverenin söz konusu araçlar üzerinde yapılacak iş ve eylemlerin izlenebileceğine dair hüküm yer almamaktadır. Başvurucunun Yahoo Messenger üzerinden yaptığı iletişim dokuz gün boyunca kaydedilmiş ve iş saatlerinde interneti kişisel amaçlarla kullandığı için işten çıkarılmıştır. İlk derece ve istinaf mahkemelerinden sonuç alamayan başvurucu konuyu AİHM’e götürmüştür.
Dikkat edilmelidir ki, AİHM kararında işveren tarafından incelenen ve incelendiği için ihlal kararı verilen hesap çalışana ait şahsi hesap niteliğinde olan Yahoo Messenger hesabıdır. Burada işveren tarafından çalışanın Yahoo Messenger hesabı üzerinden yaptığı özel yazışmaları incelenmiş ve bu özel yazışmaları gerekçe gösterilerek iş akdi feshedilmiştir. Anayasa Mahkemesi’nin önüne gelen olayda ise inceleme konusu hesap kurumsal e-posta adresi olup; erişilen içerikler de iş yerinde bulunan diğer çalışanlarla yapılan ve dolayısıyla özel yazışma niteliğinde olmayan yazışmalardır. Dolayısıyla burada işveren tarafından çalışanına bilgilendirme yapması halinde dahi meşru bir işleme faaliyeti bulunmamaktadır. İşverenin çalışanına kişisel e-posta adresini incelebileceği şeklinde bilgilendirme yapması şüphesiz kabul edilebilir bir müdahale değildir. Bu nedenle de mevcut düzenlemeler ışığında işverenin bilgilendirme yükümlülüğü olup olmadığı sorgulanmamış, işveren tarafından şahsi e-posta adresinin incelenmesi suretiyle özel yazışmalara erişilmesi doğrudan müdahale şeklinde değerlendirilmiştir.
- AİHM konuyla ilgili en güncel kararı olan “Libert v. Fransa” kararında olayın olduğu sırada yürürlükte olan ulusal yasalara atıf yapmış ve işveren tarafından yapılan denetlemenin ihlal olmadığına kanaat getirmiştir.
Oysaki AİHM tarafından verilmiş olan Anayasa Mahkemesi’nin dayanak olarak gösterdiği söz konusu karardan hem çok daha yeni hem de önüne gelen somut olayla birebir aynı olan “Libert v. Fransa” kararı söz konusudur. Büyük Daire, bu davanın incelemesini Bărbulescu v. Romanya davasında karar verilinceye kadar ertelemeye karar vermiş ve burada ihlal kararı çıkmasına rağmen Fransa’nın mevcut yasal düzenlemelerine büyük önem atfederek ihlal olmadığına yönelik karar vermiştir.
Anayasa Mahkemesi yukarıda verilmiş olan kararı yanlış yorumlamanın yanı sıra bu çok önemli kararı da atlamıştır. Zira AİHM’in çalışanların bilgisayarlarının incelenip incelenemeyeceğine ilişkin vermiş olduğu en güncel kararı bu kararıdır. Anayasa Mahkemesi’nin her şeyden önce bu kararı ele alması ve buna göre bir değerlendirme yapması gerekirdi.
Dava, Bir SNCF (Fransız Ulusal Demiryolu Şirketi) çalışanının iş bilgisayarına el konulması sonucunda, pornografik dosyalar ve üçüncü bir kişi için hazırlanmış sahte sertifikalar depoladığı ortaya çıktıktan sonra görevden alınmasıyla ilgilidir. Başvuran, 8. maddeye (özel ve aile hayatına saygı hakkı) dayanarak, işvereninin kendi çalışma bilgisayarının sabit sürücüsünde saklanan kişisel dosyalarını yokluğunda açtığından şikâyet ederek konuyu Temyiz Mahkemesi’nden sonra AİHM’e götürmüştür. Libert’in bilgisayarına el konulduğu sırada Fransız kanunları tarafından işverenlerin, kişisel olarak tanımlanmadıkça, çalışanların çalışma bilgisayarlarındaki dosyaları açabileceği öngörülmüştür. Bu nedenle söz konusu müdahale hukuken bizim o tarihte yürürlükte bulunan hukukumuza benzer bir temel taşımaktadır.
Mahkeme müdahalenin, “başkalarının haklarının” korunmasını garanti altına almak üzere yapıldığını ve böyle bir durumda, meşru olarak, çalışanlarının, yerleştirdikleri bilgisayar olanaklarını sözleşme yükümlülükleri ve geçerli yönetmeliklerle uyumlu bir şekilde kullanmasını sağlamak isteyen işverenlerin hakları olduğunu belirtmiştir. Fransız kanunları özel hayatı korumak için bir mekanizma içeriyordu: İşveren, işlevlerini yerine getirirken çalışanlarını verdiği bilgisayarların sabit disklerinde saklanan profesyonel dosyaları açabilmekteydi. Yerel mahkemelerin bu ilkeyi uyguladığı ve söz konusu davada, bu ilkenin, dosyalar usulüne uygun şekilde özel olarak tanımlanmadığı için, işverenin söz konusu dosyaları açmasını engellemediğini düşündüğü tespit edilmiştir.
Mahkeme, durumu, bir çalışanın profesyonel veri kaydetmek amaçlı bütün bir sabit sürücüyü özel kullanım için kullanamayacağı ve “kişisel veri” genel teriminin, çalışan tarafından şahsen işlenmekte olan çalışma dosyalarını da kapsayacağı ve bu nedenle özel hayatla ilgili açıkça belirlenmiş öğeler bulunamayacağı şekilde değerlendirdi. Dolayısıyla çalışanın bilgisayarının incelendiği ve inceleme sonucunda ulaşılan verilere dayanılarak işten çıkarıldığı olayda işverenin müdahalesinin haklı ve meşru olduğu ve özel hayatın gizliliğinin ihlal edilmediği kanaatine varılmıştır.
Somut olayda da benzer şekilde işveren tarafından verilmiş olan bilgisayarda tanımlı yine işveren tarafından tanımlanmış olan kurumsal e-posta hesabı söz konusudur. Öte yandan incelemenin yapıldığı esnada 6698 sayılı Kanun hükümleri yürürlükte değildir. Bu sırada mevcut olan yasal düzenlemeler de bu şekilde bir inceleme yapılabileceğini düzenlemektedir.
Türk Borçlar Kanunu’nun 419. maddesinde işverenin denetleme yetkisi düzenlenmiş ve herhangi bir bilgilendirme yükümlülüğünden söz edilmemiştir: “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.”
Öte yandan olayın gerçekleştiği sırada 2016 ve 2015 yıllarında verilen Yargıtay kararları da işverenin yetkisini çok net bir biçimde ortaya koymuştur:
“İşverenin kendisine ait bilgisayar ve e-mail adresleri ile bu adreslere gelen e-postaları her zaman denetleme yetkisi bulunmaktadır.[5]”
Kararın bugünkü bakış açısıyla haklı olduğunu hiçbir şekilde savunmamakla birlikte, o günkü bir işveren açısından mevcut olan yetki ve yükümlülükler bu şekildedir.
7 Nisan 2016 tarihinde yürürlüğe giren Kanun bu konuyu açık ve anlaşılır bir biçimde düzenlemektedir. Bu tarihten itibaren Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğü Kanun’da yer alan geçiş süreleri de dikkate alınarak açık rıza gereksin ya da gerekmesin (istisnalar haricinde) veri ilgilileri, veri sorumluları tarafından mutlaka aydınlatılmalıdır. Kanunda belirtilen istisnalar dışında aydınlatma yapılmadan gerçekleştirilecek her türlü veri işleme hukuka aykırıdır. Dolayısıyla 2015 tarihinde yaşanan ve yargılama konusu olan bu olay 2016 yılının ikinci yarısında yaşanmış olsaydı işveren kesinlikle hukuka aykırı hareket etmiş olurdu ve Anayasa Mahkemesi kararını ayakta alkışlamak gerekirdi. Ancak ne yazık ki hukuk en temel ilkeleri unutulmuş ve böylesine hatalı bir karar verilmiştir.
6. İşverenin Bilgilendirme Yükümlülüğü
Anayasa Mahkemesi’nin ihlal kararını dayandırdığı gerekçelerden biri de işveren tarafından bilgilendirme yapılmamış olmasıdır[6]. İşverenin konuyla ilgili bilgilendirme yükümlülüğü var mıdır? Var ise bunun esas ve usulleri hangi hukuk normuyla düzenlenmiştir?
Öncelikle yukarıda da belirtildiği gibi işveren tarafından yapılan inceleme 2015 yılına aittir ve bu dönemde 6698 sayılı Kanun’un 10. maddesi uyarınca getirilen “aydınlatma yükümlülüğü” somut bir biçimde söz konusu değildir. Ancak Kanun ile işverenlerin aydınlatma yapması pozitif bir hukuk normuyla düzenlenmiştir. Öyle ki, bunun için bir geçiş süreci öngörülmüş ve işverenlerin yükümlülüklerini yerine getirebilmeleri için belli bir süre tanınmıştır. Zira Kanun’un uygulanmasından önce mevcut olan durum değişmiş ve kişisel verilerin işlenmesinde yeni bir dönem başlamıştır.
Kanun ile getirilen aydınlatma yükümlülüğünden sonra konuyla ilgili Tebliğ de yayımlanmış ve Kurul tarafından birçok rehber ve karar yayımlanmıştır. İşveren tarafından yapılacak olan bilgilendirmenin esas ve usulleri bu şekilde belirlenmiş ve bugün nasıl bir aydınlatma yapılacağı bilinir hale gelmiştir. Günümüzde söz konusu esas ve usullere uygun bir Aydınlatma Metni hazırlanmakta ve çalışanların bilgisine sunulmaktadır.
Anayasa Mahkemesi, vermiş olduğu kararında kişisel verilerin korunması mevzuatı uyarınca ortaya konulmuş olan nitelikte bir aydınlatma yapılmadığından söz etmiştir[7]. Diğer bir deyişle işverenin, 2016 yılında Kanun’un yürürlüğe gireceğini, Kurul’un konuyla ilgili Tebliğ yayımlayacağını, konuyu açıklığa kavuşturan karar ve rehberleri duyuracağını tahmin etmesini ve bu çerçevede oluşturulacak olan bir içerikte işçinin bilgilendirilmesini istemiştir. Ancak bu mümkün müdür ve bırakınız hayatın olağan akışını, evrenin olağan akışına uygun mudur?[8]
Peki, 2016 yılından önce işçinin kişisel verilerinin nasıl işleneceğine dair hiçbir bilgiye sahip olmaması ve işverenin konuyla ilgili açıklama yapmaktan kaçınarak gizlemesi de kabul edilebilir miydi? Bana göre elbette kabul edilemezdi. Her şeyden önce özel hayatın gizliliği hakkı en temel hak ve özgürlük niteliğinde olup; bu hayata yalnızca sır niteliğindeki bilgilerin dahil olmadığı hem yargı makamlarının oluşturmuş olduğu içtihat hem de doktrin görüşleriyle yerleşmiştir. Bununla birlikte işverenin çalışanına yönelik bugünkü anlaşılan bilgilendirme niteliğinde bir aydınlatma yapmasını beklemek mümkün değildir. Bu kapsamda işverenin, çalışanını işlediği kişisel veriler bakımından yanıltmaması, bilgi vermekten özellikle kaçınmaması ve çalışan sorguladığı takdirde konuyla ilgili bilgi vermekten imtina etmemesi anlaşılmalıdır. Ancak ayrıca bir çabayla yerine getirilecek bir biçimde pozitif bir yükümlülük beklemek hakkaniyete aykırıdır; zira böyle bir yükümlülük düzenlenmiş değildir.
Dolayısıyla somut olayda da bu hususların aranması gerektiğini düşünmekteyim: İşveren, kurumsal e-postaların incelenebileceğini özellikle gizledi mi? Çalışan bu konuyla ilgili bilgi almak istemesine rağmen işveren konuyla ilgili bilgi vermekten kaçındı mı? Burada şekli bir bilgilendirme aranmamalı, işçinin hem objektif hem de sübjektif olarak “bilebilir bir durumda” olup olmadığı sorgulanmalı ve bu doğrultuda bir tespit yapılmalıdır.
Somut olayda bu şekilde bir değerlendirme yapıldığında söz konusu işverenin bir avukatlık ortaklığı olduğu dikkate alındığında, ekip halinde çalışanların da avukat olduğu sonucuna rahatlıkla ulaşılabilir. Objektif açıdan bakıldığında; çalışanlarına kullanımları için kişisel bilgisayar veren, kurumsal e-posta hesabı veren, dolayısıyla avukatlık ortaklığının kullandığı bir sunucusu (server) olan bir avukatlık ortaklığının iş hacmi, niteliği ve çalışan sayısı bakımından orta ve üstü düzey bir avukatlık ortaklığı olduğu anlaşılmaktadır. Dolayısıyla dışarıdan bakıldığında böyle bir kuruluşun tüm kurumsal dijital çözümleri sunduğu ve bunları kontrolü altında tuttuğu rahatlıkla söylenebilir. Nitekim bu husus Mahkemenin kararında da belirtilmektedir. O halde çalışan avukat açısından objektif olarak bu bilgilere sahip olduğu, kişinin kim olduğundan bağımsız olarak anlaşılmaktadır.
Başvuruda bulunan kişi açısından sübjektif değerlendirme yapmak, dava dosyalarını görme şansımız olmadığı için çok mümkün olmasa da, bir tahminde bulunmak gerekirse, 2015 yılında bu ölçekteki bir avukatlık ortaklığında bağlı avukat olarak çalışan bir kişinin, öznel olarak da gerektiğinde hem bilgisayarlarının hem de kurumsal e-maillerinin incelenebileceğini biliyor olması gerekir. Nitekim kurumsal dijital çözümlerde bu husus tüm sektörler de hem 2016 öncesinde hem de sonrasında bilinen bir gerçek ve yazılı olmayan bir kuraldır.
O halde başvurucun hem objektif hem de sübjektif açıdan bu bilgiye sahip olduğu söylenebilir. O halde işverenin o tarihte yürürlükte olan hukuk ve Yargıtay’ın bu konudaki yerleşik kararları uyarınca ayrıca bir bilgilendirmede bulunması gerekmez. Bu düzeyde bir çalışanın bunu zaten biliyor olduğu kabul edilmelidir.
IV. Sonuç
Sonuç olarak Anayasa Mahkemesi bu kararı ile büyük bir hataya imza atmıştır. Aslında karar iki açıdan okunmalıdır: 1) Olması gereken hukuk açısından, 2) Olan hukuk açısından.
Eğer Mahkeme halen yürürlükte bulunan ve olması gereken hukuk açısından tespitte bulunup, daha sonra ex ante bir yöntemle o tarihte geçerli olan hukuka göre bir karar vermiş olsaydı gerçekten övgüyü hak eden ve hukuka uygun bir ilke kararına imza atmış olacaktı.
Ancak Mahkeme bunu yapmayıp, ex post bir yöntemle, bugünün hukuk normları ve hukuk anlayışı ile son derece dinamik ve değişken bir alan kişisel verilerin korunması hukuku alanında son derece hatalı bir karar vermiştir.
Bu karar o kadar hatalıdır ki, KVK hukuku ya da iş hukuku bakımından değil, hukuk normlarının zaman bakımından uygulanmasına ilişkin temel bilgi ve mantık hatası içermektedir. Dolayısıyla Mahkeme bu yanlış bakış açısından bir an önce dönmeli ve ilk fırsatta benzer bir uyuşmazlık önüne geldiğinde bu hatayı düzeltmelidir.
Murat Volkan Dülger*
-------------------------------------
* Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku ve Ceza Muhakemesi Hukuku ve Bilişim Hukuku Anabilim Dalı Başkanı,
[1] Anayasa Mahkemesi, Başvuru No: 2016/13010, Karar Tarihi: 17.09.2020 (R:G. Tarih – Sayı: 14.10.2020 – 31274)
[2] Para. 63 vd.
[3] Para. 72.
[4] Para. 43-48.
[5] 22. HD. 01.09.2016, E. 2016/6321, K. 2016/13143, 22. HD. 10.03.2015, E. 2013/36288, K. 2015/9548.
[6] Para. 75, 76.
[7] Para. 76
[8] Yazımızın konusunun dışında olduğu için burada zamanda yolculuğa ilişkin başta Einstein ve Hawking olmak üzere bu konuda fikir ileri süren teorik fizikçilerin görüşlerine değinmeyeceğim.