Macaristan Veri Koruma Otoritesi, çalışanların e-postalarının incelenmesi ile ilgili iki ayrı olayda veri sorumlularına para cezası verdi. Birinci olayda, hastalık izninde olan bir çalışanın görevini gereği gibi ifa edip etmediğinin tespiti amacıyla işveren tarafından çalışma masası, bilgisayarı ve e-postaları kontrol edildi. Bu kontrolün ardından çalışanın e-postası işveren tarafından askıya alındı. Çalışan bu durum üzerine Macaristan Veri Koruma Otoritesi’ne şikâyette bulundu. Çalışan, yazışmalarının incelenmesi için işveren tarafından kendisine bir ön bildirim yapılmadığını ve bu nedenle de öncesinde kişisel bilgilerini kopyalayıp silme şansının olmadığını ifade etti. Otorite, çalışanın talebini haklı bularak işverene para cezası verdi. İkinci olayda ise iş yerinden bir yıl önce ayrılan bir direktörün e-postaları işveren tarafından incelendi. Direktör, Otorite’ye birinci davada olduğu gibi e-postalarının inceleneceğine dair bir bilgilendirmenin yapılmadığını ve bu nedenle de kişisel bilgilerini kopyalayıp silme şansının olmadığı gerekçesiyle şikâyet başvurusunda bulundu. Otorite, bu olayda da çalışanın talebini haklı bularak işverene para cezası verdi. Her iki olayda da veri sorumlusu işverenlerin, çalışanlarının kişisel verilerinin işlenmesine ilişkin yeterli bir aydınlatma yapmadığı ve bu hususta uygun şirket içi politikalarının mevcut olmadığı tespit edilmiştir.

Çalışanların e-posta ve bilgisayarlarında işveren tarafından yapılan denetimler son dönemde sıklıkla kararlara konu olmaktadır. Bu konuya ilişkin olarak Avrupa İnsan Hakları Mahkemesi’nin Bărbulescu kararı belirlediği kriterler açısından önemli bir yer teşkil etmektedir. AİHM Bărbulescu kararında, işyeri bilgisayarındaki bir uygulamada yer alan nişanlısı ile özel yazışmaları incelenen çalışanın bu hususta mahremiyet beklentisine sahip olduğunu belirtmiştir. Belirlenen kriterler doğrultusunda çalışanın önceden yeterli şekilde bilgilendirilmediğini ve başvurulan yöntemin de ölçülü olmadığını ifade ederek özel hayatın gizliliğinin ihlal edildiğine karar vermiştir. AİHM, çalışanların kişisel verilerinin korunması konusunda özellikle işverenlere rehber olacak kriterlerini şu şekilde belirtmiştir:

1) Çalışanın yazışmalarını ve diğer iletişimini izlemek için işveren tarafından kendisine bir ön bildirim yapılmış mıdır?

2) İletişimin denetlenmesinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesi nedir? Bu bağlamda, iletişimin akışı ile içeriğinin denetlenmesi birbirinden farklılık arz etmektedir.

3) İletişimin denetlenmesi ve içeriğine erişilmesi konusunda işveren meşru gerekçelere sahip midir? Özellikle iletişimin içeriğinin denetimi daha net bir gerekçelendirme gerektirmektedir.

4) Doğrudan çalışanın yazışmalarının içeriğine erişmek yerine daha az müdahaleci yöntem ve tedbirler mevcut mudur?

5) Denetleme faaliyetinin sonuçları nelerdir ve bu sonuçlar işveren tarafından ne şekilde kullanılmıştır?

6) Özellikle işverenin izleme faaliyeti müdahaleci bir nitelikte olduğunda, çalışan yeterli koruyucu önlemlere sahip midir? Nitekim bu koruyucu önlemler dahilinde çalışanın önceden bilgilendirilmediği durumda işverenin iletişimlerin içeriğine erişememesi gerekmektedir.

Daha önceki bültenlerimizde yer verdiğimiz Libert/Fransa kararında da AİHM; işveren tarafından önceden bu hususta detaylı bir kurumsal politika ve direktiflerin çalışana sunulmuş olması sebebiyle, iş bilgisayarlarının işveren tarafından kontrol edilmesinin çalışanların özel hayatın korunması hakkını ihlal etmediğine karar verdi. Söz konusu karar Mahkeme’nin çalışanların haberleşmesinin işveren tarafından izlenmesine ilişkin Bărbulescu kararıyla beraber değerlendirildiğinde; iş ilişkisi kapsamında mahremiyet hakkı ve kişisel verilerin korunmasına dair son derece önemli tespitler içermektedir.