Veri Sorumlusu İşveren Tarafından Eski Çalışanı Olan İlgili Kişinin Kurumsal E-Posta Hesabına Aydınlatma Yapılmaksızın Erişilmesi

25.05.2022

Yazarlar: Berfu Yalçın, Beyza Büyükağaçcı

Kişisel Verileri Koruma Kurulu tarafından 23.05.2022 tarihinde yayımlamış olan 25/11/2021 tarihli ve 2021/1187 sayılı Kurul kararında1 “Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesinin” kanuna aykırı olup olmadığı incelenmiştir.

Kurul veri ihlalinin olup olmadığının tespitinde öncelikle söz konusu tarihte ilgili kişi ile veri sorumlusu arasındaki iş akdinin feshedilmiş olup olmadığının değerlendirilmesi gerektiğini ifade etmiş ancak söz konusu hususa ilişkin henüz verilmiş bir mahkeme kararının da bulunmadığını tespit etmiştir.

Kurul, veri sorumlusu tarafından ileri sürülen, çalışanlarına tahsis etmiş olduğu e-posta adresinin Kanun kapsamında kişisel veri olmadığı iddiasının Kanun kapsamındaki “kişisel veri” tanımı karşısında geçerli olmadığını tespit ettikten sonra zira yalnızca ilgili kişinin adı, soyadı gibi sadece kimliğini ortaya koyan bilgilerin değil e-posta adresi, özel yazışmaları, şahsi banka hesap dökümleri, harcama kayıtları gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin de kişisel veri niteliğini haiz olduğunu dile getirmiştir.

Ayrıca Kurul, kararında konu ile ilgili Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi kararlarına atıf yapılmış ve söz konusu mahkemeler tarafından verilen kararlarda yer alan önemli hususlara dikkat çekilmiştir. Bu kapsamda işveren tarafından yapılan çalışanın kullanımına sunulduğu iletişim araçları ve iletişim içerikleri incelemesinin çalışanın temel hak ve özgürlüklerine ne şekilde bir müdahalede bulunduğunun değerlendirmesinde esas alıancak kıstasları özetle,

“Kısıtlayıcı ve zorlayıcı düzenlemeler hakkında ilgili kişinin açık ve net şekilde bilgilendirilmesinin gerektiği, çalışanların temel hakkına yönelik müdahale ile meşru amaç arasında ölçülülük değerlendirilmesinin yapılmasını ve söz konusu değerlendirmenin ölçülülük ilkesinin gereklilik, elverişlilik ve orantılılık unsurlarını içermesinin gerekli olduğu,

İşverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapılmasının elzem olduğu, İşveren tarafından yapılan incelenmenin haklı olduğunu gösteren meşru gerekçelere dayanılmasının gerektiği ve iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçelerin aranmasının gerekli olduğu ve çalışanın önceden bilgilendirilmediği durumda işverenin iletişimlerin içeriğine erişememesi gerektiği,

E-posta hesabı üzerinden yapılacak işlemlere ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hallerde işçinin temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentisinin öngörülebilecek bir durum olduğu İşverenin, çalışanlarının iletişimlerini takip etmek için tedbirler alması durumunda, bu tedbirlerin istismarına karşı uygun ve yeterli önlemleri de sağlaması gerektiği ” şeklinde belirlemiştir.

Somut olay değerlendirilirken konu ile ilgili olarak değinilen AYM ve AİHM kararlarında yer verilen kriterler de göz önüne alındığında, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kişisel Verileri Koruma Kanunu ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında herhangi bir aydınlatma yapılmadığı tespit edilmiştir.

Kurul, ilgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaksızın veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin ihlal teşkil ettiğini tespit etmiştir. Bununla birlikte ilgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasını Kurul’a başvuruda bulunmuş olsa da veri sorumlusuna karşı herhangi bir başvuruda bulunmadığından bu konuda inceleme yapılmayacağı şeklinde değerlendirmiştir.

Kurul, İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebini veri sorumlusunun söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olmasının ifade edilmesi sebebiyle ve yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına karar vermiştir.

İlgili kişinin, veri sorumlusunun, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu işlemlerin Kanun'un 9’uncu maddesinde yer alan yurtdışına veri aktarılmasında uygulanacak usule uygun olarak gerçekleştirmesi gerektiği iddiasına ilişkin; resen inceleme kararı alınmasının uygun olacağına karar verilmiştir.

Son olarak, veri sorumlusu tarafından her ne kadar ilgili kişinin iş saatlerinde söz konusu e-posta hesabı üzerinden özel nitelikli yazışmalar yapması söz konusu yazışmaları işleme ve kaydetme hususunda işverene açık rıza verdiği şeklinde yorumlanacağı, bu nedenle söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmesi kapsamında değerlendirileceği iddia edilmiş olsa da somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunduğu sonucu çıkmayacak, kişisel verilerin alenileştirilmesinden bahsedilemeyecektir.

Sonuç:

İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaksızın veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesi Kanun’a aykırılık teşkil edecektir. Buna ek olarak ilgili kişinin bahse konu verilerinin silinmesi talebine karşı söz konusu veriler bakımından devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle yargı konusu olan hususlara ilişkin inceleme yapılmamıştır. Bununla birlikte, ilgili kişinin “hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin yurtdışına aktarılmasında uygulanacak usule uyulması” iddiası önemli görülmüş ve bu hususa ilişkin olarak resen inceleme başlatılmasına karar verilmiştir. Nihayetinde, çalışanlarının e-posta içeriklerini denetlemek isteyen işverenlerin, mutlak suretle mevzuata uygun şekilde aydınlatma görevlerini yerine getirmeleri, ilgili e-posta hizmetinin alındığı şirketin serverlarının yurtdışında bulunması halinde ise mevzuatta yer alan yurtdışına veri aktarımına ilişkin kurallara riayet etmeleri gerekmektedir.

Bu bilgi notu ve varsa ekleri, sadece bilgilendirme amacıyla tarafınızla paylaşılmıştır. Bu bilgi notu, uygun yasal tavsiye olmaksızın herhangi bir özel durumda veya somut olayda uygulanmamalıdır. Bu bilgi notu, diğer internet adreslerinin linklerini içerebilir, ÜreyhukuK kendisine ait olmayan web sitelerinden hiçbir şekilde sorumlu değildir ve herhangi bir web sitesi ile ilgili bilgileri, içeriği, sunumu veya doğruluğu onaylamaz, açık veya zımni herhangi bir garanti vermez. Bu bilgi notunun telif hakları ÜreyhukuK’a ait olup işbu bilgi notu ÜreyhukuK’un önceden yazılı izni olmaksızın çoğaltılamaz, çevrilemez ve değiştirilemez.

Veri Sorumlusu İşveren Tarafından Eski Çalışanı Olan İlgili Kişinin Kurumsal E-Posta Hesabına Aydınlatma Yapılmaksızın Erişilmesi

Arama

Son Yayınlar

Muvazzaf Askerlik Ödevi Nedeniyle İşten Ayrılan İşçinin Hakları

Limited Şirketlerde Pay Devri

Anayasa Ve İdare Hukukunda Yürütmenin Durdurulması

5510 Sayılı Kanun Kapsamında Fiili Hizmet Süresi Zammı Uygulaması

Özel Okul Öğretmenlerinin İş Sözleşmelerinin Hukuki Niteliği

Kategoriler

Arşiv