Lexpera Blog

Kurum İçi Soruşturmalarda İşçinin Kurumsal E-Postalarına Erişim Suç Mudur?

A. Giriş

İşçinin kurumsal e-posta trafiği kurum işleyişinin önemli bir parçasıdır. Madalyonun diğer tarafında ise bu e-postalar, iş sözleşmesinin feshi için ispat aracı olarak kullanılabilmektedir. Peki bu e-postalara erişilmesi ceza hukuku açısından bir sonuç doğurmakta mıdır? Bu yazıda anılan sorunun cevabı aranacak ve kurum içi soruşturmalarda işçinin kurumsal e-postalarına erişim fiilinin ceza hukuku boyutuna ilişkin genel bir değerlendirme yapılacaktır. Esasa geçmeden önce yazının kapsamı, kullanılan yöntem ve çeşitli kavramların içeriğine değinilmelidir.

Yazının kapsamı kurum içi soruşturmalarla sınırlı tutulmuştur. Kurum ifadesinden anlaşılması gereken özel hukuk tüzel kişileri veya adi şirketlerdir. “E-posta” ifadesinden işçinin kurumsal e-postası anlaşılmalıdır. “Kurum içi”nden kasıt raporlama faaliyetinin ilgili kurumdaki kişilere yapılmasıdır. Kurumların sadece kendi hukuk müşavirliği aracılığıyla yürüttüğü denetim faaliyetleri bu yazının kapsamı dışındadır. Keza idari, disiplin veya ceza soruşturmaları da çalışmanın kapsamı dışında tutulmuştur.

Bir blog’ta yayınlanması sebebiyle yazıda akademik bir formata başvurulmamış ve ilgili her kesimi bilgilendirici nitelikte genel bir içerik hazırlanmıştır.

B. Kurum İçi Soruşturmanın Tanımı ve İşleyişi

Kurum içi soruşturma,

  • kurumun mevcut veya eski işçisinin,
  • gerçekleştirdiği veya gerçekleştirmeye devam ettiğinden şüphelenilen bir fiil sonucunda,
  • kurum veya işinin kamu ve/veya özel hukuk alanında sorumluluğunun doğma ihtimaline karşı,
  • kurum dışından görevlendirilen bağımsız ve tarafsız bir denetçi tarafından,
  • şüpheye dayalı maddi gerçeğin ortaya çıkarılabilmesi için yapılan

araştırma ve raporlama faaliyetidir.

Kurum içi soruşturma, iç denetimin bir türüdür. Keza iç denetimdeki gibi kurum içi soruşturmada da hedeflenen, ilgili kurumun faaliyetlerini geliştirmek ve bu faaliyetlerin sekteye uğramasını engellemektir[1]. Kurum içi soruşturmaya rengini veren ise kamu ve/veya özel hukuk sorumluluğunun doğabilecek olmasıdır. Bu tür bir hukuki sorumluluğun doğma ihtimali karşısında kurum içi soruşturmalar genellikle hukuk bürolarına bırakılmaktadır. Hukuk bürolarının uyum (“compliance”) departmanları bu tür kurum içi soruşturmalar konusunda hizmet veren alt birimlerdir. Bu süreçlerde kimi zaman bağımsız denetim şirketlerine de başvurulabilmektedir.

Kurum içi soruşturma şikâyet veya re’sen fark edilen bir husus üzerine kurum yetkililerinin ön araştırmasıyla başlar. Ön araştırma sonucunda iddiaya konu olay ciddi bulunursa ilgili kurum, bir hukuk bürosu veya denetim şirketine başvurur. Başvuru üzerine kurum ile hukuk bürosu veya denetim şirketi arasında yapılacak denetim faaliyetinin kapsamı belirlenir.

Kurum içi soruşturmanın kapsamı şüphelenilen olayla bağlantılı,

  • basılı veya dijital verilerin (e-postalar, kurum içi yazışma için kullanılan program içerikleri vb.) incelenmesi ve
  • kişilerin (çoğunlukla işçilerin) ifadesine başvurmaktan ibarettir.

Kurum içi soruşturmada hangi anda nasıl bir yol izleneceği ise tamamen somut olayın şartlarına göre belirlenmektedir. Bu soruşturmalar kural olarak gizli yürütülmektedir. Ancak soruşturmaya konu kişilerin beyanına başvurulduğunda, soruşturmanın içeriğinin belli bir bölümü soruşturulanla paylaşılabilmektedir.

Soruşturmanın çeşitli safhalarında ara raporlar hazırlanmakta ve böylece araştırmanın seyri çizilmektedir. Ara raporlar nihai sonucu içermeyen ancak soruşturmanın geldiği safhayı özetleyen bilgi notlarıdır. Kurum yetkilileri bu ara raporları inceleyerek araştırmanın derinleştirilip derinleştirilmemesine veya araştırmanın istikametine yön verebilmektedir. Nihai rapor ise kurumun araştırma talep ettiği konuda ulaşılan nihai sonucu gösterir bilgi notudur. Kurumlar özellikle bu raporlara göre adli ve/veya idari mercilere başvuru yapıp yapmamaya karar vermektedir.

Kurum içi soruşturmalardaki en önemli konulardan birisi, kurum kontrolündeki platformlar üzerinde gerçekleşen iletişim faaliyetlerinin incelenmesidir. Bu incelemenin önemli bir bölümü işçinin kurumsal e-postası üzerinden gerçekleşir. Bu e-posta üzerinde gerçekleşecek incelemenin kapsamı ikiye ayrılır:

  1. E-posta trafiğinin incelenmesi: Burada e-postadaki iletişim içeriğine girilmeden gönderen, alıcı, gönderim tarih/saati vb. e-postanın iletim bilgileri incelenmektedir.

  2. E-posta içeriğinin incelenmesi: Burada e-posta trafiğine ek olarak e-postanın içeriğine erişilmektedir. Haliyle bu inceleme, e-posta trafiğinin incelenmesine nazaran işçinin özel hayatına yönelik daha ağır bir müdahaledir.

C. İsnat Edilebilecek Suç Tipleri

İşçinin e-postasına kurum içi soruşturma kapsamında erişilmesi halinde isnat edilebilecek suçun belirlenebilmesinde öncelikle e-postanın hukuki niteliği incelenmelidir. İşçinin e-posta içeriği birçok niteliğe sahiptir. Bu içerik işçinin ve/veya başka bir kişinin kişisel verisi olabilir. Şayet kişisel veri değilse dahi her halükârda bir tür iletişim faaliyetinin konusudur. Daha geniş bir perspektiften bakıldığında da e-posta trafiği/içeriği işçinin özel hayatı kapsamındadır. Bu noktaya kadar e-postanın niteliğine ilişkin tespitlere yer verdik. E-postanın niteliği tek başına suç tipini belirlemek için yeterli değildir. Aynı zamanda fiilin gerçekleşme şekli de suç tipi için belirleyicidir.

İşçinin e-postalarına erişilebilmesi için bunlar, iç soruşturmayı üstlenenlere gönderilir. Bu gönderim genellikle sanal ortamlar üzerinden yapılır. Gönderim akabinde soruşturmacılar e-postalara bir bulut sisteminden anlık olarak ulaşır veya kendi sistemlerine kaydeder. E-postaların soruşturmacıların hakimiyet alanına girmesiyle bu e-postalara erişim sağlanabilir. Erişim hem e-posta trafiğine hem de içeriğine ulaşmayı sağlar. Fiilin gerçekleştirilme şekline ek olarak, failin fiil ile kurduğu manevi bağ da suç tipi için belirleyicidir.

Her somut olaya göre değişiklik gösterse de yukarıda sayılan kriterler ışığında işçinin e-postalarına erişim halinde aşağıdaki suç tipleri gündeme gelebilir:

  1. Haberleşmenin gizliliğini ihlal (TCK[2] m. 132)
  2. Özel hayatın gizliliğini ihlal (TCK m. 134)
  3. Kişisel verilerin kaydedilmesi (TCK m. 135)
  4. Verileri hukuka aykırı olarak verme veya ele geçirme (TCK m. 136)

Her olayda failin bu dört suç tipinden ayrı ayrı ceza alması pek mümkün değildir. Yukarıda sayılan kriterlere ek olarak görünüşte ve gerçek içtima kurallarına göre bu suç tiplerinden hangisinin ya da hangilerinin oluştuğu ve failin bunlardan hangisinden dolayı sorumlu olduğu belirlenecektir.

İşçinin e-postalarına erişim halinde suçun oluşup oluşmadığına ilişkin en belirleyici kriter ise hukuka uygunluk sebebidir.

D. Hukuka Uygunluk Sebepleri

a. Hakkın Kullanılması

E-postalara erişimde akla gelen ilk hukuka uygunluk sebebi hakkın kullanılmasıdır. İşverenin yönetim hakkı kapsamında işçinin e-postalarının denetlenmesi mümkün olabilmektedir[3]. Yönetim hakkının kullanılması işin yürütülmesi, işyeri düzeninin ve güvenliğinin sağlanması amaçlarıyla sınırlıdır[4]. Kişiye sıkı sıkıya bağlı bir hak olmadığı için bu hakkın kullanılması vekaleten de sağlanabilir. Nitekim kurum içi soruşturma yapacak kişilerin e-postalara erişimi bu esasa dayanmaktadır. Ancak böylesi bir erişim, işçinin özel hayatına yönelik bir müdahale olduğu için bu hakkın kullanım kapsamı son derece dikkatli çizilmelidir. Kurum içi soruşturma yapanlar bu hukuka uygunluk sebebinden faydalanabilmek için aşağıdaki hususlara dikkat etmelidir:

  1. E-postalara erişimden önce işçiye e-postalarının denetlenebileceğine yönelik açık bildirim yapılmalıdır[5]. Erişimden sonra geriye dönük yapılan bildirimler geçersizdir. Erişilebilecek e-postalar ise bildirim yapıldıktan sonra oluşturulanlardır. Bildirimden önce oluşturulan e-postalara erişim için işçinin rızası alınmalıdır.
  2. Bildirimde kişisel verilerin işlenmesinin hukuki dayanağı, amacı, denetlemenin ve veri işlemenin kapsamı, kişisel verilerin saklama süresi, işçinin denetimle bağlantılı sahip olduğu hakları, denetimin olası sonuçları, kurum içinden hangi kişilerin denetim kapsamındaki içeriklere erişebileceği ve kişisel verilerin aktarılabileceği olası üçüncü kişiler belirtilmelidir.
    3ç Kurum içi soruşturmayı yürütenler bildirimdeki kapsama uymalıdır.
  3. İşçiye yönelik iddianın ilgili olduğu zaman aralığındaki e-postalar incelenmelidir.
  4. Sadece e-posta trafiğinin ilgili iddiayı ispatlamaya yeterli/elverişli olduğu durumda e-posta içeriği incelenmemelidir.
  5. İşçiye yönelik iddia, işçinin e-postalarının incelenmesini gerekli kılmalıdır.
  6. Kurum içi soruşturmada görevlendirilen kişiler dışında e-postalara erişim sağlanamamalıdır.
  7. Kurum içi soruşturmayı yürütenler, veri güvenliğinin sağlanmasına yönelik gerekli tedbirleri almalıdır.

b. Rıza

Bir diğer hukuka uygunluk sebebi rızadır. Rızanın nasıl alınacağına ilişkin kapsam KVKK’nın[6] uygulanıp uygulanmayacağına göre değişmektedir. Bu çıkarım rıza konusunda KVKK ile TCK arasındaki özel-genel norm ilişkisinden kaynaklanmaktadır[7]. İstisnai durumlar haricinde işçinin e-postaların incelenmesinde KVKK uygulama bulacaktır. Bu sebeple de işçiden bir rıza alınacaksa öncelikle KVKK hükümleri dikkate alınmalıdır. Bu noktada da işçiden açık rıza alınmalıdır. Şayet KVKK kapsamına girmeyen istisnai bir hal varsa bu durumda TCK’daki ilgilinin rızası hükümleri uygulanacaktır. TCK’ya göre işçiden mutlaka açık rıza alınması gerekmez. Örtülü rıza da TCK kapsamında geçerli kabul edilmektedir. Hem KVKK hem de TCK anlamında rızanın geçerliliğine bakılırken bir önceki paragrafta birden sekize kadar numaralandırılmış hususlara uygun olduğu ölçüde dikkat edilmelidir.

Hem KVKK hem de TCK açısından işçinin e-postalarının işlenmesine yönelik vereceği rızada özgür iradesinin olup olmayacağı tartışmalıdır. Zira böyle bir rızanın alınmasının işverenin dayatmasına dönüşebileceği, iş ilişkisinin devam edebilmesi adına işçisinin böyle bir rızayı özgür iradesi dışında verebileceği ve işveren/işçi ilişkisinde zayıf tarafın işçi olduğu gibi gerekçeler sunulmaktadır. Özellikle iş ilişkisinin bir süredir devam ettiği durumlarda işçinin bu ilişkiyi devam ettirebilmek için sonradan vereceği rızaya yönelik geçersizlik iddiasında bulunulabilmektedir. Bu tartışmayı devre dışı bırakabilmek için işe giriş sırasında işçiden rıza alınması daha yerindedir.

E-postaları incelendikten sonra işçiden geriye dönük rıza alınamaz. Fiil işlendikten sonra işçinin bu yönde verdiği onay teknik olarak icazettir. İcazet ise bir hukuka uygunluk sebebi değildir. Bu sebeple en geç e-postalara işveren tarafından erişim sağlanana kadar işçiden rıza alınmalıdır.

Kurum içi soruşturma başladıktan sonra rızanın alınması verimsiz bir yöntemdir. Çünkü rızasının alınacağını öğrenen işçi, kolaylıkla iç soruşturmanın yürüyüşünü etkileyecek adımlar atabilecektir. Ayrıca işçinin rızasının alınmasına ilişkin itiraz şerhi düşmesi de mümkündür. Böylesi bir şerh söz konusuysa da yine bu anlamda bir hukuka uygunluk sebebinden bahsedilemeyecektir.

Yukarıda sayılan hukuka uygunluk sebeplerinin şartları oluşmamışsa ceza yargılamasına konu olaya göre kurum içi soruşturmayı yürütenlerin cezai sorumluluğu doğabilecektir. Şartlarının oluşmasına rağmen yine de hukuka uygunluk sebeplerinde sınır aşımı söz konusu olabilir. Örneğin iddia konusunu araştırmak için haziran ayında iletilen e-postaları incelemek yeterliyken işçinin bir yıllık e-postalarının incelenmesi hukuka uygunluk sebebinde sınır aşımını gündeme getirebilecektir. Bu halde yine olayın somut şartlarına göre TCK m. 27/1 uygulanacaktır.

E. Kurum Yetkililerinin İştiraki

Kurum yetkilisinin işçinin e-postalarına erişim sağlaması ve bunları kurum içi soruşturmayı yapan ilgililere aktarması şayet herhangi bir hukuka uygunluk sebebinden yararlanmıyorsa veya hukuka uygunluk sebebinde sınır aşımı varsa yukarıda sayılan suç tiplerinin oluşmasına sebebiyet verebilir. Böylesi bir ihtimalde kurum yetkilileri hem iç soruşturmayı yapanların fiillerine iştirak etmiş hem de aktarım sebebiyle anılan suç tiplerini işlemiş olabilirler. Ancak failliğin şerikliğe göre asliliği kuralı gereğince böylesi bir durumda kurum yetkilileri sadece fail olarak sorumlu tutulacaklardır. Bu sebeple de işçinin e-postalarına erişim sağlanmadan önce mevcut durum kurumun hukuk müşavirleri tarafından dikkatlice incelenmelidir.

F. Öneriler: Ceza Sorumluluğunun Doğmaması Adına Yapılabilecekler

Öncelikle yapılması gereken iş sözleşmelerine yönetim hakkı kapsamında işçinin e-postalarına hangi durumlarda erişim sağlanabileceğine ilişkin detaylı bir madde eklenmesidir. Bu maddenin kaleme alınmasında yukarıda belirttiğimiz hususlar dikkate alınmalıdır. Ayrıca bu maddede işçinin özel iletişimini bu kanaldan sürdürmemesi ve sadece iş ilişkisinin gereğince bu e-postayı kullanması gerektiği belirtilmelidir. E-postalara erişim sağlandıktan sonra geriye dönük yapılan bildirim veya iş sözleşmesi değişikliklerinin geçersiz olduğu unutulmamalıdır. Bildirimden önce oluşturulan e-postalara erişim için de işçinin rızası alınmalıdır. İç soruşturmayı yürütecekler bu bildirimin yapılıp yapılmadığını veya iş sözleşmesinde böylesi bir erişime imkân veren bir düzenlemenin var olup olmadığını tespit etmelidir.

Erişim sağlamadan önce yönetim hakkı kapsamında olunup olunmadığı dikkatle analiz edilmelidir. Kurum içi soruşturma için görevlendirilen birimlerin sadece kurum yetkililerinin beyanlarına dayalı e-postalara erişim sağlamamalıdır. İşçilere bildirim yapılıp yapılmadığı veya sözleşmedeki ilgili maddenin geçerliliği ayrıca incelenmelidir.

Kural olarak işçinin şahsi e-posta trafiği/içeriğinin yönetim hakkı kapsamında hiçbir şekilde incelenemeyecektir. İstisnai olarak da işçinin kurumsal e-postası üzerinden şahsi e-postasına gönderdirdiği e-posta içerikleri yönetim hakkı kapsamında dolaylı olarak incelenebilir. Bu istisna haricinde işçinin şahsi e-postasına erişim -işçinin rızası hariç-, sadece Ceza Muhakemesi Kanunu hükümlerine göre ceza yargılamasında söz konusu olabilecektir.

Hazırlanan ara/nihai raporların başında bu raporların sadece kurumun belirlediği kişilerin okumasına özgülendiği ve raporun gizli olduğu belirtilmelidir.


Yazar bu çalışmanın nihayete erdirilmesindeki katkılarından dolayı Arş. Gör. Aslı Ekin Yılmaz’a teşekkürlerini iletmektedir.


Dipnotlar


  1. https://www.iia.org.uk/about-us/what-is-internal-audit/ (Çevrimiçi), ET: 01.09.2021. ↩︎

  2. 5237 Sayılı Türk Ceza Kanunu (Bundan sonra “TCK” olarak kısaltılacaktır). ↩︎

  3. Canan Erdoğan, “İşçilerin E-Posta Hesaplarının İşveren Tarafından İncelenmesi Hakkındaki 24.03.2016 Tarihli ve 2013/4825 Başvuru Numaralı Anayasa Mahkemesi Kararı Üzerine”, Legal İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, 2017, Cilt: 14 – Sayı: 55, sa. 1351 – 1386, s. 1367. ↩︎

  4. AYM, Başvuru No: 2018/6578, T. 18.05.2021. ↩︎

  5. AYM, Başvuru No: 2018/31036, T. 12.01.2021. ↩︎

  6. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Bundan sonra “KVKK” olarak anılacaktır). ↩︎

  7. Eşref Barış Börekçi, Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136), On İki Levha Yayıncılık, İstanbul, 2020, s. 103-104. ↩︎

Kaynakça

Canan Erdoğan, “İşçilerin E-Posta Hesaplarının İşveren Tarafından İncelenmesi Hakkındaki 24.03.2016 Tarihli ve 2013/4825 Başvuru Numaralı Anayasa Mahkemesi Kararı Üzerine”, Legal İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, 2017, Cilt: 14 – Sayı: 55, sa. 1351 – 1386, s. 1367.

Eşref Barış Börekçi, Kişisel Verileri Verme, Yayma veya Ele Geçirme Suçu (TCK m. 136), On İki Levha Yayıncılık, İstanbul, 2020.

AYM, Başvuru No: 2018/6578, T. 18.05.2021.

AYM, Başvuru No: 2018/31036, T. 12.01.2021.

https://www.iia.org.uk/about-us/what-is-internal-audit/ (Çevrimiçi), ET: 01.09.2021.

Lexpera Blog’da yayımlanan yazılar, yazarlarının görüşlerini ifade eder. Lexpera Blog’da bir yazıya yer verilmesi, o yazıda savunulan görüşlerin On İki Levha Yayıncılık tarafından benimsendiği anlamına gelmez. Yazılar, bilgi amaçlı olup, hukuki mütalaa ya da tavsiye niteliği taşımamaktadır.
Author image
Yeditepe Üniversitesi Hukuk Fakültesi Ceza ve Ceza Muhakemesi Hukuku Anabilim Dalı