Anayasa Mahkemesi (“AYM”) son birkaç yılda verdiği kararlarda, saydığı ön şartların varlığı halinde, işverenlerin çalışanlarının kurumsal e-posta yazışmalarını incelemesinin kişisel veri ihlali ve anayasal hak ihlali olarak değerlendirilemeyeceği yönünde bir içtihat oluşturmuştu. Kişisel yazışmaların incelenmesi konusunun kamu ayağında ise yakın zamanda Rekabet Kurulu’nun (“Kurul”) imza attığı bazı kararlar; teşebbüslerin çalışan ve yetkililerinin dijital verilerinin ne denli inceleme konusu edilebileceğine ilişkin dikkatleri üzerine çekti. Rekabet Kurumu’nun (“Kurum”) yerinde inceleme yetkisinin kapsamında teşebbüs çalışanlarının e-posta ve WhatsApp yazışmalarının ayrıntılı incelemeye tabi tutulabileceği zaten biliniyordu, ancak Kurul, Unmaş Unlu Mamuller Sanayi ve Ticaret A.Ş. (“Unmaş”) (Rekabet Kurulu, 20.05.2021, 21-26/327-152), Çiçek Sepeti İnternet Hizmetleri A.Ş. (“Çiçek Sepeti”) (Rekabet Kurulu, 27.05.2021, 21-27/354-173) ve Doğuş Planet Elektronik Ticaret ve Bilişim Hizmetleri A.Ş. (“N11”) (Rekabet Kurulu, 27.05.2021, 21-27/354-172) hakkında verdiği son kararlarda bu inceleme yetkisini bir adım öteye taşıdı. Kurum daha önceleri, yalnızca teşebbüse ait olan veya şirket hattı ile kullanılmakta olan cep telefonlarını inceleyebiliyorken artık inceleme yetkisini kişisel cep telefonlarındaki yazışmalara kadar genişletti.
Bilindiği üzere Kurum, görevlerini yerine getirirken gerekli gördüğü tüm bilgiyi kamu kurum ve kuruluşlarından, teşebbüslerden ve teşebbüs birliklerinden isteyebiliyor. 2020 yılının haziran ayında Rekabetin Korunması Hakkında Kanun’da yapılan değişiklikle yerinde inceleme yetkisinin kapsamı belirginleştirildi. Değişiklik öncesinde yerinde incelemenin teşebbüsün her türlü malvarlığında yapılabileceği belirtiliyordu. Son yıllarda verilerin ağırlıklı olarak dijital ortamlarda bulunması dikkate alınarak, yerinde incelemelerde uzmanların teşebbüslerin defterlerini, fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerini ve belgelerini inceleyebilecekleri ve bunların kopyalarını ve fiziki örneklerini alabilecekleri açıkça belirtildi. Yine aynı yılın ekim ayında Kurum “Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz”u yayımladı. Kurum eskiden beri meslek personelinin teşebbüslere ait sunucu, bilgisayar, taşınabilir cihaz, CD, DVD, USB, harici hard disk, yedekleme kayıtları ve bulut servisleri gibi bilişim sistemleri ve depolama araçlarında inceleme yapabiliyordu, ancak çalışanların şahsi elektronik cihazları konusunda bir belirsizlik vardı. Kılavuz’da cep telefonları ve tabletler gibi taşınabilir iletişim cihazları için şöyle bir ayrım öngörüldü: Bu cihazlar üzerinde önce hızlı gözden geçirme işlemi yapılarak teşebbüse ait dijital veri içerip içermedikleri tespit ediliyor. Eğer cihazın tümüyle şahsi kullanıma özgü olduğu belirlenirse bunlar incelemeye tabi tutulmuyor. Teşebbüse ait veri içerdiği anlaşılan cihazlar ise adli bilişim araçları vasıtasıyla inceleniyor. Yani her halükarda Kurum hızlı bir inceleme ile de olsa şahsi cihazları da gözden geçirebiliyor.
Yerinde inceleme yapacak meslek personeli, inceleme başlamadan hemen önce teşebbüs personelini; kişisel veya önemli olup olmadığına bakılmaksızın, hiçbir silme işlemi yapılmaması gerektiği yönünde uyarıyor. Bundan sonra teşebbüsün organizasyon şemasını talep ederek kimlere ait cihazlar üzerinde inceleme yapılacağını tespit ediyor. Yerinde inceleme esnasında kişisel cihazlardaki veriler dahil herhangi bir verinin silinmesi yerinde incelemenin engellenmesi olarak değerlendiriliyor. İşte tam da bu noktada yerinde inceleme yetkisinin ne denli geniş bir kapsamı olduğu açıkça görülebiliyor: Meslek personeli, çalışanlarca herhangi bir silme işlemi yapıldığını tespit ederse, bu silme eylemi dahi yerinde incelemenin engellenmesi olarak değerlendiriliyor ve bu gerekçeyle teşebbüsün yıllık gayri safi gelirinin binde beşi oranında idari para cezası verilmesine karar verilebiliyor. Nitekim Unmaş ve Çiçek Sepeti kararlarında WhatsApp yazışmaları silindiği için; N11 kararında da yine WhatsApp yazışmaları silindiği ve bir defter teşebbüs binası dışına çıkarıldığı için benzer cezalar verilmesine karar verildi.
Yerinde incelemeye ilişkin olarak özellikle teşebbüs çalışanlarına ait WhatsApp sohbet içeriklerinin incelenmesi dikkati çekiyor. Eğer yerinde inceleme devam ettiği esnada WhatsApp içeriklerinin silindiği tespit edilirse silinen veriler adli bilişim cihazları yardımıyla geri getirilerek incelemeye tabi tutulabiliyor.
Kararlarda, meslek personelinin dijital veriler üzerinde yerinde inceleme yapmak amacıyla pek çok yönteme sahip olduğu görülüyor: Veri silindiğine ilişkin bir şüphe doğması halinde sohbetin karşı tarafı olan kişinin de davet edilerek cep telefonu üzerinde doğrulama incelemesi yapılması, WhatsApp grupları/log kayıtlarının incelenmesi, WhatsApp web uygulamasının kullanılması, uzaktan çalışan yetkililerin verilerine uzaktan erişilmesi gibi.
Kısacası Kurum; kanunun kendilerine tanıdığı yetki doğrultusunda bilgilendirme yaparak teşebbüsleri incelenebilecek tüm cihazlara ilişkin haberdar ediyor. Dolayısıyla verilerin önemli veya kişisel nitelikte olup olmadığının değerlendirmesini teşebbüs yetkililerinin veya çalışanlarına bırakmıyor. Bu noktada Kurum’un hiçbir hoşgörü payı olmadığı açıkça anlaşılıyor: Yerinde inceleme devam ederken çalışanların verilere kelimenin tam anlamıyla “dokunmaması” gerekiyor. Daha da önemlisi her halükarda silinen verilerin bile Kurum tarafından geri getirilerek detaylı incelemeye tabi tutulabileceği görülüyor.
Etik ve Uyum Programı Nasıl Hazırlanır?
Kurumsal Etik ve Uyum Programı Geliştirme Gereğinin Ardındaki İtici Güçler
Sorumlu İş Modelinin Şirkete Yararları
Sorumlu İş Modeli
İş Etiği ve Uyum Politikalarının Ticari Hayattaki Yeri ve Önemi
Sağlam Temeller Üstüne! Etik ve Uyumun Suistimalle Mücadeledeki Önemi
Gençlerden Geleceğe: Sürdürülebilirlik ve Etik Zirvesi Manifestoları
ISO 37301 Uyum Yönetim Sistemi (Compliance Management Systems) Standardı Neden Önemlidir?