İşveren İç Soruşturmasında Dijital Delilin Hukuki Sınırları

İşveren İç Soruşturmasında Dijital Delilin Hukuki Sınırları

Bir şirkete, çalışanının ticari sır aktardığına veya işyeri düzenini ağır biçimde zedeleyen bir iletişim kurduğuna dair ciddi bir ihbar ulaştığında ilk refleks çoğu zaman bilgisayar kayıtlarına, kurumsal e-postalara ve mesajlaşma uygulamalarına yönelir. Ancak soruşturmanın haklı bir amaçla başlaması, elde edilen her dijital kaydın kendiliğinden kullanılabilir delile dönüşeceği anlamına gelmez. İşverenin yönetim yetkisi ile çalışanın özel hayatı, haberleşme özgürlüğü ve kişisel verilerinin korunması hakkı tam da bu noktada karşı karşıya gelir.

İç soruşturmada dijital delilin hukuka uygun kullanımı, yalnız KVKK uyumundan ibaret değildir. Sorun; hangi veriye hangi gerekçeyle erişildiği, çalışanın önceden ne ölçüde bilgilendirildiği, incelemenin içerik denetimine mi yoksa trafik verisine mi yöneldiği, aynı sonucun daha hafif bir yöntemle elde edilip edilemeyeceği ve nihayet bu malzemenin fesih, disiplin veya tazminat sürecine nasıl taşındığı sorularının birlikte cevaplanmasını gerektirir (Anayasa m. 20 ve 22; 6698 sayılı Kanun m. 4, 5, 10 ve 12).

Bu içerik 18.04.2026 itibarıyla hazırlanmıştır. Somut olayda kullanılacak delilin niteliği, işveren politikalarının içeriği, cihazın kime tahsis edildiği, veri işleme zinciri ve feshin dayanağı ayrı ayrı değerlendirilmelidir.

İçindekiler

  1. Dijital Delilin Hukuki Çerçevesi
  2. Bilgilendirme, Meşru Amaç ve Ölçülülük
  3. Kurumsal E-Posta, Şirket Telefonu ve Log Kayıtları
  4. WhatsApp, Kişisel Hesaplar ve Karma Kullanım Sorunu
  5. İç Soruşturmada Delilin Korunması ve İspat Rejimi
  6. Feshe Giden Süreçte Dijital Delilin Ağırlığı
  7. Varsayımsal Olay Üzerinden Uygulama
  8. Karar Matrisi
  9. Uygulamada Sık Yapılan Hatalar
  10. Sık Sorulan Sorular
  11. Kaynakça ve Atıf Listesi

Dijital Delilin Hukuki Çerçevesi

İş ilişkisi içinde üretilen dijital kayıtlar tek bir hukuk alanına ait sayılmaz. Kurumsal e-posta yazışması aynı anda kişisel veri barındırabilir, haberleşme özgürlüğü alanına temas edebilir, işverenin yönetim hakkı kapsamında değerlendirilir ve uyuşmazlık çıktığında ispat hukukunun konusu haline gelir. Bu çok katmanlı yapı nedeniyle, işverenin “cihaz benim, veriye bakarım” yaklaşımı ile çalışanın “işyerinde hiçbir dijital iz denetlenemez” savunması aynı ölçüde indirgemeci kalır. Türk Borçlar Kanunu işverenin işçinin kişiliğini koruma borcunu, İş Kanunu özlük dosyası ve işyeri düzeni üzerinden yürüyen veri akışını, KVKK ise işleme faaliyetinin genel ilkelerini belirler (TBK m. 417 ve 419; 4857 sayılı İş Kanunu m. 75).

Anayasa Mahkemesi de bu alana ilişkin kararlarında, devletin pozitif yükümlülüğü çerçevesinde derece mahkemelerinin menfaat dengesini görünür biçimde kurmasını istemektedir. E.Ü. kararında işverenin kurumsal e-posta hesabını incelemesi ile ortaya çıkan uyuşmazlık, özel hayata saygı hakkı ve haberleşme özgürlüğü ekseninde ele alınmıştır. Mahkeme, işveren denetiminin kategorik olarak yasaklanmadığını; fakat meşru amaç, önceden bilgilendirme, sınırlı müdahale ve yargısal denetimde gerekçelendirme kriterlerinin aynı anda aranacağını vurgulamıştır. Ardından gelen Celal Oraj Altunörgü ve Samet Ayyıldız kararları, aynı alan içinde ihlal ve ihlal bulunmaması sonucunun delilin niteliğine, bilgilendirmenin açıklığına ve müdahalenin kapsamına göre değiştiğini gösterir.

Doktrinde de bu mesele, veri koruma ve iş hukuku eksenlerinin birlikte okunması gerektiği yönünde ele alınır. Ömer Özkaya ile İbrahim Toprak kişisel verilerin korunmasını salt idari yaptırım rejimi olarak değil, anayasal bir insan hakkı olarak değerlendirirken; Gonca Gülsüm Çelik ve Gizem Meral Kılınç işverenin işçi verilerine ilişkin yükümlülüklerinin iş sözleşmesinden doğan sadakat ve gözetme borçlarından ayrıştırılamayacağını belirtir (Ömer Özkaya/İbrahim Toprak, 2022; Gonca Gülsüm Çelik, 2025; Gizem Meral Kılınç, 2023). Miray Özer Deniz ile Osman Uyaroğlu ise özel nitelikli veriler ile işçinin kişiliğinin korunması başlıklarının, işverenin soruşturma saikiyle dahi sınırsız veri kullanımına izin vermediğini gösterdiğini vurgular.

Buradan Çıkan Hukuki Ölçüt: İç soruşturmada kullanılan dijital kayıt, yalnız işyeri düzeninin bir aracı değil; aynı zamanda kişisel veri, haberleşme içeriği ve yargısal delil niteliği taşıyabilir. Bu nedenle kullanılabilirlik incelemesi, mülkiyet veya zilyetlik tartışmasına indirgenmeden; meşru amaç, şeffaflık, gereklilik ve orantılılık ekseninde yapılmalıdır.

Bilgilendirme, Meşru Amaç ve Ölçülülük

İşverenin dijital denetime yönelmesinde ilk soru, gerçekten belirli ve meşru bir amacın bulunup bulunmadığıdır. İç soruşturma; ticari sır sızdırılması, işverenin güven ilişkisini zedeleyen davranışlar, bilgi güvenliği ihlali, taciz veya hakaret iddiaları, işyeri varlıklarının kötüye kullanılması gibi somut bir olay üzerinden ilerlemelidir. Genel bir merak, çalışan davranışını rutin biçimde izleme arzusu veya sonradan olası uyuşmazlıklara malzeme toplama saiki bu eşiği karşılamaz. AYM’nin Mehmet Çağrı Özaltın ve Mehmet Karakaş kararlarında tartışılan güven ilişkisi boyutu, dijital incelemenin soyut şüpheye değil, makul şekilde somutlaşmış olguya dayanması gerektiğini göstermektedir.

Bilgilendirme koşulu ise uygulamada çoğu zaman eksik kurulur. İşverenin kabul edilebilir kullanım politikası, e-posta güvenlik politikası, mobil cihaz tahsis metni veya iç iletişim prosedürü bulunabilir; fakat bu metinler çalışana yalnızca imzalatılmış olmakla yetinilip fiili kullanım örüntüsüne yansıtılmadığında, soruşturma anında meşruiyet sağlamaya yetmeyebilir. E.Ü. kararında ihlalin temel nedenlerinden biri, çalışanın kurumsal hesaptaki iletişimin hangi koşullarda izlenebileceği konusunda önceden yeterince bilgilendirilmemesiydi. Buna karşılık Celal Oraj Altunörgü kararında, iş sözleşmesi ve işyeri kuralları içindeki açık kullanım sınırlamalarının mahkemenin değerlendirmesinde belirleyici olduğu görülür.

Şeffaflık, aydınlatma yükümlülüğünün soyut metinle yerine getirildiği anlamına gelmez. Kişisel Verileri Koruma Kurulu’nun 2023/86 sayılı karar özeti, kurumsal e-posta hesabının denetlenmesinde işverenin aydınlatma kapsamı, meşru menfaat gerekçesi ve amaçla sınırlılık ilkeleri bakımından neyi ispatlaması gerektiğini açıkça göstermiştir. Kurul, şirket politikalarının varlığını tek başına yeterli saymamakta; çalışanın hangi verisinin, hangi amaçla, hangi yoğunlukta işleneceğinin öngörülebilir biçimde ortaya konmasını aramaktadır. Bu yaklaşım, AYM içtihadıyla uyumludur ve disiplin soruşturması ile veri işleme faaliyetinin aynı dosyada birleştiği durumlarda daha da önem kazanır.

Ara Değerlendirme: Bilgilendirme yoksa veya yalnız genel ifade düzeyinde kalmışsa işveren, sonradan “kurumsal araç bana aitti” savunmasına sığınmakta zorlanır. Buna karşılık açık politika, somut olay, sınırlı inceleme ve gerekçeli kayıt zinciri birlikte kurulmuşsa, dijital delilin meşru zeminde kullanılabilmesi mümkün hale gelir.

Kurumsal E-Posta, Şirket Telefonu ve Log Kayıtları

Kurumsal e-posta hesabı ile şirket telefonunun aynı yoğunlukta korunacağını varsaymak doğru değildir. Trafik verisi, erişim kaydı, dosya indirme zamanı, dışarı aktarılan veri miktarı veya cihaz hareket kaydı çoğu durumda içerik incelemesinden daha hafif bir müdahale sayılır. İçerik incelemesi ise yazışmanın bizzat okunmasını, eklerin açılmasını veya mesaj metninin soruşturma dosyasına alınmasını gerektirir; bu yüzden daha ağır gerekçelendirme ister. AYM’nin Kemal Karanfil kararı, kişisel veri ve haberleşme alanına giren malzemenin otomatik sistemlerde tutulmasının dahi başlı başına hak etkisi doğurabileceğini ortaya koyar. İşveren bakımından bunun anlamı şudur: teknik olarak erişilebilir olan her kayıt, soruşturma dosyasına kendiliğinden giremez.

Kurumsal e-postanın iş amaçlı tahsis edilmiş olması, işverene sınırsız içerik denetimi vermez. AYM, Celal Oraj Altunörgü kararında işveren lehine değerlendirme yaparken dahi, denetimin işin yürütülmesiyle bağlantılı olması ve çalışanı önceden bilgilendiren kuralların açık bulunması şartını vurgulamıştır. Aynı çizgi, uygulamada daha hafif yöntemlerin önce tüketilmesini de gerektirir. Şüphe ticari sır aktarımıysa, ilk bakılacak veri her zaman mesaj içeriği değildir; önce gönderim zamanı, alıcı sayısı, dosya boyutu, USB bağlantısı veya bulut yükleme hareketleri gibi daha az müdahaleci verilerle olayın omurgası kurulabilir. Senem Ermumcu ile Sencer Metin Ses/Refik Korkusuz’un çalışmaları, iş ilişkisinde veri işleme faaliyetinin amaçla bağlantılı ve sınırlı kalması zorunluluğunun özellikle yeni teknolojiler ve yapay zeka destekli izleme araçları bakımından ağırlaştığını göstermektedir.

Şirket telefonları ve mobil cihaz yönetim sistemleri bakımından da benzer bir ayrım yapılmalıdır. Cihazın şirket malı olması, çalışanın kişisel kullanıma hiç alanı bulunmadığı anlamına gelmez; özellikle hibrit çalışma düzeninde cihazlar fiilen karma kullanıma açık hale gelmektedir. Fırat Gerçek başvurusu, çalışanlar arasında yapılan cep telefonu yazışmalarının feshin dayanağı haline geldiği olaylarda, mahkemenin yalnız delilin varlığına değil delile erişim biçimine ve müdahalenin sınırına da bakması gerektiğini ortaya koymuştur. Burada meşru amaç ile müdahalenin yoğunluğu arasında bağ kurulamazsa, delilin maddi doğruluk üretmesi bile hukuki kullanılabilirliği kurtarmayabilir.

Hukuki sonuç: Trafik verisi ile içerik denetimi aynı kategori değildir. İçeriğe erişim her zaman daha ağır müdahaledir ve daha sıkı gerekçelendirme ister.

Pratik sonuç: İç soruşturma başlatıldığında önce daha hafif inceleme araçları kullanılmalı; hangi aşamada içerik incelemesine geçildiği tutanakla gösterilmeli ve aynı amaca daha sınırlı bir yöntemle ulaşılamadığı somut biçimde kaydedilmelidir.

WhatsApp, Kişisel Hesaplar ve Karma Kullanım Sorunu

İşyerindeki en kırılgan alan, kişisel hesabın iş ilişkisine temas ettiği noktadır. Kurumsal e-posta hesabında önceden tanımlı kullanım kuralları bulunabilir; buna karşılık kişisel WhatsApp hesabı, kişisel e-posta kutusu veya çalışanın kendi telefonundaki mesajlaşma uygulaması çok daha güçlü bir mahremiyet beklentisi doğurur. Samet Ayyıldız ve Ertan Enginyurt kararları, çalışanların mesajlaşma içeriklerinin feshe dayanak yapıldığı uyuşmazlıklarda, elde etme yönteminin ve kullanım amacının ayrıca sorgulanması gerektiğini göstermektedir. Delil içeriği ağır olabilir; fakat delilin özel alanı aşan yöntemlerle ele geçirilmesi, ayrı bir hukuka uygunluk incelemesini zorunlu kılar.

Fırat Gerçek ile E.A. kararları birlikte okunduğunda, AYM’nin tek tip bir yasak ya da serbestlik kuralı kurmadığı görülür. Mahkeme, derece mahkemelerinden şu soruların cevaplanmasını ister: Çalışana önceden hangi sınırlar bildirildi? İnceleme içerik boyutuna neden ulaştı? Alternatif yöntem var mıydı? Ulaşılan malzeme yalnız soruşturma konusu ile mi sınırlı kaldı? Fesih, elde edilen verinin ağırlığıyla orantılı mıydı? Bu test yapılmadan sadece “mesaj var, o halde fesih haklıdır” demek artık yeterli değildir. Nurten Kemer ile Volkan Güneş’in yakın tarihli çalışmaları, sosyal medya ve anlık ileti gruplarından elde edilen verilerin delil olarak kullanılmasında tam da bu hukuka uygunluk eşiğinin belirleyici olduğunu göstermektedir.

Karma kullanım pratiği, işveren açısından en riskli alanlardan biridir. Çalışana tahsis edilen bilgisayarda kişisel yazışma yapılması, o malzemeyi otomatik olarak işverenin serbest inceleme alanına bırakmaz. Aynı şekilde çalışanların işyeri içinde kurduğu mesaj grupları da her durumda “işyeri iletişimi” sayılmaz. Burada hukuki nitelendirme, hesabın aidiyeti, cihazın kime ait olduğu, kullanım politikası, gruba erişimin nasıl sağlandığı ve yazışmanın soruşturma dosyasına hangi kanalla girdiği üzerinden yapılmalıdır. Yalnız ekran görüntüsünün bir üçüncü kişi tarafından işverene iletilmiş olması ile, işverenin çalışan cihazına doğrudan girip veri çıkarması aynı hukuki durumda değerlendirilemez.

Kısa eşik testi: Dijital malzeme kişisel hesap veya kişisel cihaz kökenliyse, soruşturma dosyasına girmeden önce şu dört soru ayrı ayrı cevaplanmalıdır: Veriye kim erişti? Erişim önceden öngörülebilir miydi? Aynı sonuca daha hafif müdahaleyle ulaşmak mümkün müydü? Kullanım, yalnız somut ihlalin aydınlatılmasıyla mı sınırlı kaldı?

İç Soruşturmada Delilin Korunması ve İspat Rejimi

Dijital delilin hukuka uygunluğu kadar, güvenilir biçimde korunması da belirleyicidir. İç soruşturmada elde edilen ekran görüntüsü, log dökümü, e-posta yedeği veya mesaj kayıtları; kim tarafından ne zaman alındığı, ilk haliyle saklanıp saklanmadığı ve üzerinde değişiklik yapılıp yapılmadığı bakımından izlenebilir değilse, mahkemede ikna gücü zayıflar. Bu gereklilik, yalnız ceza usulüne özgü bir zincirleme muhafaza mantığı değildir; medeni yargı ve iş yargısı bakımından da delilin güvenilirliğini etkiler. Erdem Özdemir’in ispat yükü ve deliller üzerine çalışması ile Ali Ekin’in dijital hayatın fesihe etkilerine ilişkin incelemesi, işveren lehine görünen dijital malzemenin usulüne uygun tutulmadığında aleyhe dönebileceğini göstermektedir.

Furkan Çakır kararı, kişisel verilerin hukuka aykırı şekilde ele geçirilmesine ilişkin etkili soruşturma yükümlülüğünü öne çıkarır. Her ne kadar bu başvuru işveren iç soruşturmasından değil ceza soruşturmasından doğsa da, ortaya koyduğu ilke nettir: veriye nasıl ulaşıldığı karanlıkta bırakılırsa, delilin içeriğinden önce erişim biçimi tartışma konusu olur. Benzer biçimde H.Ö. kararı, hassas nitelikte verilerin elde edilmesi ve ifşa edilmesi alanında mahremiyet ihlalinin ne kadar ağır sonuç doğurabileceğini gösterir. İç soruşturmada insan kaynakları, bilgi işlem ve dış danışmanlar arasında kontrolsüz dolaşan veri, ileride hem iş davası hem KVKK yaptırımı hem de ceza sorumluluğu doğurabilir.

Bu nedenle delil koruma adımı, teknik bir görev listesi değil hukuki bir savunma omurgasıdır. İnceleme başlatılırken erişim yetkisi sınırlandırılmalı, mümkünse görüntü alma ve hash kaydı gibi yöntemlerle veri bütünlüğü korunmalı, üçüncü kişi paylaşımı kısıtlanmalı ve soruşturma sonunda hangi malzemenin neden dosyada tutulduğu ayrıca belirlenmelidir. Yeliz Bozkurt Gümrükçüoğlu, K. A. Sevimli ve İlke Gürsel’in çalışmaları; iş ilişkisinde işçinin kişisel verilerinin korunmasının yalnız ilk toplama anıyla ilgili olmadığını, saklama, erişim ve imha aşamalarının da işverenin sorumluluk alanında bulunduğunu ortaya koymaktadır.

Bu Çerçevenin Uygulamadaki Sonucu: İç soruşturma dosyasındaki dijital malzemenin güvenilirliği, yalnız “gerçek mi sahte mi” sorusuna indirgenemez. Asıl mesele, verinin hangi yolla alındığı, ilk hâlinin korunup korunmadığı ve soruşturma sınırını aşıp aşmadığının ispatlanabilir olmasıdır. Bu zincir kurulmadığında işveren haklı görünen olguyu usul hatasıyla zayıflatabilir.

Feshe Giden Süreçte Dijital Delilin Ağırlığı

İç soruşturmada elde edilen dijital malzemenin feshe götürmesi için iki ayrı eşik aşılmalıdır: delilin hukuka uygunluğu ve delilin ağırlığının fesih yaptırımını taşıyıp taşımadığı. İşveren çoğu zaman birinci aşamayı atlayıp doğrudan ikinci aşamaya geçmekte, mesaj veya e-posta içeriğini tek başına “güven ilişkisi sona erdi” cümlesiyle eşitlemektedir. Buna karşılık Erol Eski kararı, işveren veya yönetim kurulu hakkında kullanılan ifadelerin dahi bağlamından koparılarak feshe dayanak yapılamayacağını; sözün içeriği, muhatabı, işyeri etkisi ve yaptırımın ağırlığı birlikte değerlendirilmeden sağlıklı sonuç kurulamayacağını gösterir. Umut İlter ile Zülfü Sezgin kararları da geçerli neden denetiminin yalnız şüpheye değil, objektif ve somut olgulara dayanmasını ister.

Fesih yoluna gidilmeden önce daha hafif tedbirlerin yeterli olup olmadığı da tartışılmalıdır. Uyarı, erişim yetkisinin daraltılması, görev yerinin değiştirilmesi, veri dışa aktarımının teknik olarak engellenmesi veya disiplin yaptırımı gibi daha hafif seçenekler mümkünken doğrudan iş akdinin sona erdirilmesi, ölçülülük incelemesinde sorun doğurur. Efe Yamakoğlu’nun işçinin yetersizliği ve performans kriterleri üzerine makalesi ile Melda Sur’un şüphe feshi karar incelemesi, iş güvencesi rejiminde feshin son çare niteliğinin zayıflatılmasının mahkeme önünde savunulmasının güç olduğunu gösterir. İç soruşturmada dijital delilin bulunması, otomatik olarak “fesih zorunluluğu” doğurmaz.

Burada savunma alınması ve çelişme imkanı da unutulmamalıdır. Dijital materyalin çalışana hiç gösterilmemesi, hangi kaydın neyi ispatladığının açıklanmaması veya açıklamanın yalnız soyut bir “kurum itibarını zedeleme” cümlesiyle geçiştirilmesi, ileride yargısal denetimi zayıflatır. İşe iade davasında mahkeme, yalnızca delilin varlığına değil, işverenin değerlendirme yöntemine de bakar. Asiye Şahin Emir ile Mehmet Bağcı’nın işe iade yargılamasına ilişkin çalışmaları, usul omurgası zayıf kurulmuş fesihlerde maddi haklılık iddiasının tek başına sonucu taşımadığını göstermektedir.

Dijital malzemenin yaptırıma dönüştürülmesinde zamanlama da başlı başına önem taşır. İşveren, ihbar ile fesih tarihi arasındaki dönemde ne yaptığını açıklayabilmelidir: Delil korundu mu, savunma istendi mi, ilgili çalışanın erişimi geçici olarak sınırlandı mı, olayın işyeri üzerindeki etkisi ölçüldü mü? Bu sorular cevapsız bırakıldığında soruşturma, sonradan kurulan bir fesih gerekçesi izlenimi verir. Özellikle şirket içi yazışma, kapalı mesaj grubu veya yöneticilere gönderilen eleştirel e-postalar söz konusu olduğunda, delilin iş ilişkisini gerçekten çekilmez hale getirip getirmediği ayrıca ortaya konmalıdır. Yusuf Yiğit ile Fatih Aydın/Dilek Dulay Yangın’ın sosyal medya ve ifade hürriyeti eksenindeki incelemeleri, işverenin kurumsal rahatsızlığını hukuk düzenince korunabilir fesih nedeninden ayıran sınırın tam da burada bulunduğunu göstermektedir.

Bir başka güçlük de aynı dijital malzemenin birden fazla hukuki fonksiyon yüklenmesidir. Şirket bazen tek bir ekran görüntüsüne veya tek bir e-posta zincirine dayanarak hem sadakat borcunun ihlal edildiğini, hem rekabet yasağına aykırı davranıldığını, hem de veri güvenliğinin zedelendiğini ileri sürer. Bu tür yığılma, ilk bakışta dosyayı kuvvetlendiriyor gibi görünse de mahkeme önünde ters etki doğurabilir; çünkü her hukuki nitelendirme ayrı bir maddi temel ve ayrı bir orantılılık testi gerektirir. Aynı malzeme bakımından hangi bölümün kişisel veri, hangi bölümün iş sırrı, hangi bölümün ifade özgürlüğü alanına girdiği ayrıştırılmadan yazılan fesih bildirimi, delilin hacmini artırır ama hukuki açıklığını azaltır. Bu nedenle soruşturma raporu ile fesih bildiriminin dili özenle kurulmalı; isnat ile dayanak veri arasında doğrudan bağ kurulmalı ve gereğinden fazla dijital içerik dosyaya taşınmamalıdır.

Buradan Çıkan Hukuki Ölçüt: Dijital malzeme, ancak hukuka uygun elde edilmişse ve fesihten daha hafif araçlarla sonuca ulaşılamadığı gösterilebiliyorsa geçerli veya haklı neden tartışmasının taşıyıcı unsuru olabilir. Aksi halde delil vardır ama fesih ölçüsüzdür yahut delil vardır ama hukuka uygunluğu yetersizdir sonucuna ulaşılır.

Varsayımsal Olay Üzerinden Uygulama

Varsayımsal olay: Ankara merkezli bir savunma sanayii tedarikçisi, teklif dosyalarından birinin rakip firmaya sızdığı yönünde e-posta alır. Şirket, ihale ekibinde çalışan bir proje yöneticisinin son iki haftada olağan dışı sayıda dosya indirdiğini ve kişisel bulut hesabına erişim yaptığını bilgi işlem kayıtlarından görür. Aynı çalışana tahsisli dizüstü bilgisayarda kurumsal e-posta hesabı, şirketin kabul edilebilir kullanım politikası kapsamında yer alırken, WhatsApp Web oturumu da açık görünmektedir. İnsan kaynakları, bilgi işlem ve şirket avukatı birlikte hareket ederek log kayıtlarını muhafaza altına alır; ancak mesaj içeriklerine geçmeden önce çalışandan savunma ister ve içerik incelemesinin neden zorunlu görüldüğünü tutanakla kaydeder.

Bu olayda hukuken doğru ilk adım, bütün iletişimi topluca okumak değil; sızıntı iddiasıyla bağlantılı trafik verisini, dosya hareketlerini ve erişim zamanlarını sınırlandırılmış biçimde incelemektir. Eğer bu inceleme, yalnız kurumsal e-posta üzerinden rakip firmaya dosya çıkışı yapıldığına işaret ediyor ve politika metinlerinde kurumsal hesabın iş amacıyla kullanılacağı açıkça düzenlenmişse, içerik incelemesine yönelmenin hukuki zemini güçlenir. Buna karşılık, kişisel WhatsApp hesabına doğrudan erişim için aynı rahatlık yoktur; burada ya çalışanın açık açıklaması, ya üçüncü kişiden gelen hukuka uygun bir bildirim ya da başka bir yargısal süreçte usulüne uygun elde edilmiş malzeme gerekir.

Hukuki sonuç: İç soruşturmanın meşruiyeti, delilin kapsamını kademeli biçimde genişleten ve her aşamayı ayrı gerekçelendiren bir modelle korunur. Pratik sonuç: Şirket, bilgi işlem loglarını saklayıp kurumsal hesap denetimini açık politika ve somut şüpheyle sınırlı tuttuğu ölçüde hem KVKK hem de iş davası bakımından savunulabilir bir zemin elde eder; kişisel hesaplara kontrolsüz yönelirse soruşturmanın tamamını tartışmalı hale getirebilir.

Karar Matrisi

İç soruşturmada dijital delil kullanılmadan önce aşağıdaki matriste yer alan ayrımların tek tek netleştirilmesi gerekir:

İncelenen veri Ön koşul Meşruiyet eşiği Başlıca risk Tercih edilecek yaklaşım
Kurumsal e-posta trafik verisi Açık kullanım politikası ve somut olay bağlantısı Orta Gereksiz geniş veri toplama Önce trafik verisiyle olay omurgasını kurmak
Kurumsal e-posta içeriği Önceden bilgilendirme, meşru amaç, daha hafif aracın yetersizliği Yüksek Haberleşme özgürlüğü ve kişisel veri ihlali İçerik incelemesini soruşturma konusu ile sınırlamak
Şirket telefonu çağrı ve erişim kayıtları Cihaz tahsisi, politika bilgisi, amaç bağlantısı Orta Karma kullanımdaki mahremiyet alanının aşılması İçerikten önce zaman, alıcı ve bağlantı verisini değerlendirmek
Kişisel WhatsApp veya kişisel e-posta Çok güçlü gerekçe ve hukuka uygun erişim kanalı Çok yüksek Delilin tümden hukuka aykırı sayılması Doğrudan erişimden kaçınmak; alternatif ispat araçları aramak
Log ve bulut erişim kayıtları Saklama politikası, yetki sınırı, veri bütünlüğü Orta Manipülasyon ve zincir eksikliği Hash, zaman damgası ve erişim tutanağıyla korumak
Soruşturma sonucu fesih kararı Delilin kullanılabilirliği, savunma alınması, daha hafif yaptırım analizi Yüksek İşe iade ve KVKK yaptırımı birlikte doğması Karar gerekçesini dijital delilin sınırlarına göre yazmak

Matriste görüldüğü üzere işverenin en güvenli yolu, erişim yoğunluğunu somut ihtiyaca göre kademelendirmektir. Önce sınırlı kayıt, sonra gerekirse içerik, en son da yaptırım değerlendirmesi yapılmalıdır. Bu sıranın tersine çevrilmesi, yani ön inceleme yapılmadan doğrudan içerik avına çıkılması, delilin güvenilirliğinden önce hukukiliğini tartışmalı hale getirir. Çiftçi & Partners’ın veri koruma, iş hukuku ve analizler çizgisinde öne çıkan ortak mesele de budur.

Uygulamada Sık Yapılan Hatalar

İlk hata, şirket malı cihaz ile sınırsız denetim yetkisini eşitlemektir. Cihazın mülkiyetinin işverende olması, çalışanın haberleşme özgürlüğünü sıfırlamaz. AYM içtihadı, özellikle önceden bilgilendirme bulunmayan dosyalarda bu yaklaşımın sürdürülebilir olmadığını açıkça göstermektedir.

İkinci hata, içerik incelemesine çok erken geçmektir. Çoğu dosyada önce log, erişim zamanı, dosya boyutu, alıcı listesi ve bulut hareketleri incelendiğinde soruşturmanın omurgası kurulabilir. Daha hafif müdahale imkanı varken içeriğe girilmesi, işveren lehine görünen dosyayı zayıflatır.

Üçüncü hata, veri koruma boyutu ile iş hukuku boyutunu ayrı dosyalar sanmaktır. İşveren, iç soruşturmada kullandığı malzemeyle aynı anda hem işe iade davasında hem KVKK incelemesinde hem de kişisel veri şikayetinde açıklama yapmak zorunda kalabilir. Bu nedenle tutanak, aydınlatma, erişim yetkisi ve saklama politikası tek bir çatı altında düşünülmelidir.

Dördüncü hata, savunma istemini soyut bırakmaktır. Çalışana yalnız “iletişim kayıtların incelendi” demek yeterli değildir. Hangi davranışın soruşturulduğu, hangi dijital malzemenin buna dayanak yapıldığı ve savunmanın hangi süre içinde istendiği anlaşılır biçimde kurulmalıdır. Aksi takdirde işveren, delilin varlığına rağmen usul adaletini zedeleyen taraf haline gelebilir.

Beşinci hata, iç soruşturma sonunda gereksiz veri tutmaktır. Delil ihtiyacını aşan yazışma içeriklerinin insan kaynakları, yöneticiler ve üçüncü kişiler arasında dolaşması, başlangıçta meşru olabilecek incelemeyi sonradan veri ihlaline dönüştürebilir. Bu sebeple soruşturma kapanınca saklama ve imha kararları da ayrıca verilmelidir. Konuya yakın bir genel çerçeve için Çiftçi & Partners’ın işyerinde çalışan kişisel verilerinin işlenmesine ilişkin analizinde çizilen ayrımlar da dikkate alınmalıdır.

Altıncı hata, soruşturma dosyasını yalnız insan kaynakları belgesi gibi görmektir. Aynı dosya çoğu zaman ileride işe iade davasında, kıdem ve ihbar tazminatı uyuşmazlığında, KVKK başvurusunda ve hatta ceza soruşturmasında açılabilir. Bu nedenle şirket içi rapor dili, gündelik yazışma diliyle karıştırılmamalı; kanaat cümleleri ile ispat cümleleri birbirinden ayrılmalıdır. “Muhtemelen”, “kuvvetle ihtimal” veya “yönetim güveni sarsılmıştır” gibi değerlendirmeler, hangi dijital bulgunun hangi sonuca götürdüğü açıklanmadığında tek başına taşıyıcı olmaz.

Yedinci hata, teknik ekibin yaptığı veri toplama işlemini hukuki denetimden geçirmemektir. Bilgi işlem birimi soruşturma ihtiyacını karşılamak için geniş veri çekebilir; fakat hukuk birimi bu verinin ne kadarının dosyada kalacağını ve hangi kısmın amaç dışı olduğunu ayıklamak zorundadır. Bu ayrım yapılmadığında işveren, gerçekten ihtiyacı olan birkaç kayıt yerine çok daha geniş bir mahremiyet alanına müdahale etmiş olur. Mahkemelerin giderek daha fazla üzerinde durduğu ölçüt de tam budur: soruşturma ihtiyacının ötesine geçen veri işleme, baştaki haklı sebebi aşan yeni bir hukuki sorun üretir.

Sık Sorulan Sorular

İşveren kurumsal e-posta hesabını her zaman inceleyebilir mi?

Hayır. Kurumsal hesabın iş amaçlı tahsis edilmiş olması incelemeyi otomatik olarak meşru kılmaz. Önceden bilgilendirme, meşru amaç, daha hafif yöntemin yetersizliği ve amaçla sınırlılık birlikte aranır.

Çalışanın kişisel WhatsApp yazışmaları feshe dayanak olabilir mi?

Somut olayın özelliklerine göre mümkün olabilir; ancak bu alan çok daha güçlü bir mahremiyet beklentisi doğurduğundan, veriye nasıl ulaşıldığı ve erişimin hukuka uygunluğu ayrıca ispatlanmalıdır. Kişisel hesaba doğrudan ve kontrolsüz erişim ciddi hukuki risk taşır.

İç soruşturmada yalnız ekran görüntüsü yeterli delil sayılır mı?

Tek başına her zaman yeterli değildir. Ekran görüntüsünün kaynağı, ilk hali, ne zaman kim tarafından alındığı ve başka kayıtlarla desteklenip desteklenmediği önem taşır. Delil zinciri zayıfsa mahkeme ikna gücünü düşük görebilir.

Çalışana açık rıza imzalatmak sorunu çözer mi?

Hayır. İş ilişkilerinde açık rıza her zaman güvenli ve yeterli hukuki temel değildir. İşverenin meşru menfaatinin varlığı, aydınlatma yükümlülüğü, ölçülülük ve alternatif yöntemlerin değerlendirilmesi yine de gerekir.

Dijital delil hukuka uygun olsa bile fesih mutlaka geçerli sayılır mı?

Hayır. Delilin kullanılabilir olması ile feshin ölçülü olması ayrı sorulardır. Mahkeme, dijital malzemenin ağırlığını, iş ilişkisine etkisini, savunma alınmasını ve daha hafif yaptırım seçeneklerini birlikte değerlendirir.

Sonuç

İşveren iç soruşturmasında dijital delilin en zayıf halkası çoğu zaman verinin içeriği değil, veriye giden yoldur. Bilgilendirme eksikliği, inceleme kapsamının belirsizliği, kişisel alan ile kurumsal alanın karıştırılması ve delil zincirinin korunmaması, başlangıçta güçlü görünen dosyayı hem iş hukuku hem veri koruma bakımından savunulamaz hale getirebilir.

Sağlam bir soruşturma modeli, önce somut olguyu tanımlar; sonra daha hafif inceleme araçlarını kullanır; içerik incelemesine yalnız zorunluysa geçer; çalışanın savunmasını gecikmeden alır ve yaptırımı elde edilen malzemenin ağırlığıyla orantılı kurar. İşveren için güvenli yol budur. Çalışan bakımından da adil denetim, tam burada başlar.

Çiftçi & Partners ile ön değerlendirme: Kurumsal e-posta incelemesi, çalışan yazışmalarının soruşturmaya alınması, veri sızıntısı şüphesi, iş akdinin dijital delile dayanılarak feshi veya KVKK şikayeti ihtimali içeren dosyalarda süreç tasarımı ilk saatlerde belirleyici olur. Somut kayıtların ve soruşturma mimarisinin birlikte değerlendirilmesi için iletişim sayfası üzerinden büroyla temas kurulabilir.

Kaynakça ve Atıf Listesi

Resmi Kaynaklar

  1. Türkiye Cumhuriyeti Anayasası, m. 13, 20, 22, 36 ve 49.
  2. 6698 sayılı Kişisel Verilerin Korunması Kanunu, m. 4, 5, 10 ve 12.
  3. 4857 sayılı İş Kanunu, m. 19, 25 ve 75.
  4. 6098 sayılı Türk Borçlar Kanunu, m. 417 ve 419.
  5. 6100 sayılı Hukuk Muhakemeleri Kanunu, m. 189 ve 199.
  6. 5237 sayılı Türk Ceza Kanunu, m. 132, 134 ve 136.
  7. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun, trafik verisi ve erişim kayıtlarına ilişkin hükümler.
  8. Kişisel Verileri Koruma Kurulu’nun 19/01/2023 tarihli ve 2023/86 sayılı karar özeti, kurumsal e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması.

Mahkeme Kararları

  1. AYM, Ömür Kara ve Onursal Özbek [2. B.], B. No: 2013/4825, 24/3/2016.
  2. AYM, E.Ü. [GK], B. No: 2016/13010, 17/9/2020.
  3. AYM, Celal Oraj Altunörgü [1. B.], B. No: 2018/31036, 12/1/2021.
  4. AYM, Samet Ayyıldız [1. B.], B. No: 2018/34548, 28/12/2021.
  5. AYM, Fırat Gerçek [1. B.], B. No: 2019/25604, 21/9/2022.
  6. AYM, Ertan Enginyurt [2. B.], B. No: 2019/37012, 23/11/2022.
  7. AYM, Mehmet Çağrı Özaltın [2. B.], B. No: 2019/37417, 5/10/2023.
  8. AYM, Erol Eski [1. B.], B. No: 2021/53760, 17/7/2024.
  9. AYM, Mehmet Karakaş [2. B.], B. No: 2022/21240, 3/12/2025.
  10. AYM, Furkan Çakır [1. B.], B. No: 2020/36976, 13/2/2024.
  11. AYM, Kemal Karanfil [2. B.], B. No: 2017/24776, 24/5/2018.
  12. AYM, H.Ö. [1. B.], B. No: 2019/20473, 3/2/2022.

Bilimsel Çalışmalar

  1. Ömer Özkaya, İbrahim Toprak, “Anayasa Mahkemesi Kararları Işığında Bir İnsan Hakkı Olarak Kişisel Verilerin Korunması”, Sayıştay Dergisi, 2022.
  2. Gonca Gülsüm Çelik, “İşverenin İşçinin Kişiselverilerini Koruma Yükümlülüğü”, Konya Barosu Dergisi, 2025.
  3. Gizem Meral Kılınç, “İşverenin İşçinin Kişisel Verilerini Koruma Yükümlülüğü”, Konya Barosu Dergisi, 2023.
  4. Miray Özer Deniz, “İşçilerin Özel Nitelikli Kişisel Verilerinin Korunması ve Bundan Doğan Sorumluluk”, Türkiye Adalet Akademisi Dergisi, 2021.
  5. Osman Uyaroğlu, “Türk Borçlar Kanunu Madde 417 Bağlamında İşçinin Kişiliğinin Korunması”, Türkiye Adalet Akademisi Dergisi, 2023.
  6. Sencer Metin Ses, Refik Korkusuz, “İş İlişkisinde Kişisel Verilerin Yapay Zeka Destekli Sistemler Yardımıyla İşlenmesi”, Ankara Sosyal Bilimler Üniversitesi Hukuk Fakültesi Dergisi, 2025.
  7. Senem Ermumcu, “Kişisel Verilerin Korunması Kanununun İşverenlere Yüklediği Sorumluluklar”, Pamukkale Üniversitesi İşletme Araştırmaları Dergisi, 2021.
  8. Nurten Kemer, “Sosyal Medyadan Elde Edilen Verilerin İş Yargılamasında Delil Olarak Kullanılması”, Kırıkkale Hukuk Mecmuası, 2025.
  9. Volkan Güneş, “İşçinin Anlık İleti (Sohbet) Gruplarındaki İfadeleri Nedeniyle İş Sözleşmesinin Feshi”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, 2025.
  10. Yusuf Yiğit, “Yargı Kararları Işığında İşçinin Sosyal Medya Paylaşımı Nedeniyle İş Sözleşmesinin İşverence Feshinin Koşulları”, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, 2024.
  11. Ali Ekin, “Yargıtay Kararları Işığında Dijital Hayatın İş Sözleşmesinin Feshine Etkileri”, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, 2024.
  12. Yeliz Bozkurt Gümrükçüoğlu, “İş İlişkisinde İşçinin Kişisel Verilerinin Korunmasına İlişkin Sorunlar ve Kişisel Verilerin Korunması Kanunu”, İş Hukukunda Yeni Yaklaşımlar, Beta, 2017.
  13. K. A. Sevimli, “Veri Koruma Hukuku İlkeleri Işığında Türk Borçlar Kanunu Madde 419”, Sicil İş Hukuku Dergisi.
  14. İlke Gürsel, İşçinin Kişisel Verilerinin Korunması Hakkı, Adalet Yayınevi, 2016.




Tags

Ne düşünüyorsunuz?

Bağlantılı analizler