İşten Ayrılan Çalışanın E-Posta Hesabının Yönetimi
Giriş
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma arkadaşına yönlendirilir. Bu uygulama, işyerinin devam eden iş ve projelerinin sorunsuz bir şekilde sürdürebilmek ve önemli e-postaların, çalışan ayrıldıktan sonra bile kaybolmasını önlemek amacıyla yapılır. Ancak işveren, iş ilişkisi sona ermiş olsa dahi bu şekilde çalışana ait kişisel verileri işlemeye devam ettiğini sıklıkla gözden kaçırır. Zira çalışanlar, kurumsal e-posta hesaplarını kişisel amaçlar için kullanabilir veya ilgili adrese gönderilen e-postalar göndericiye ait kişisel veri içerebilir. Üstelik, ad, soyadı gibi gerçek kişilere ait bilgiler içeren e-posta adresleri tek başına dahi kişisel veri olarak kabul edilir.
Dolayısıyla bu yöndeki bir uygulama, çalışanın özel hayatın gizliliği ve korunması hakkını ihlal etme riskini barındırır. Nitekim bu riskin farkında olan veri koruma otoriteleri tarafından da bu konu ele alınmış ve işten ayrılan çalışanlara ait e-posta hesaplarının aktif tutulması ve çalışana ait e-postalara erişilmesi kişisel verilerin korunması hakkının ihlali olarak değerlendirilmiştir. Bu makalede, işverenlere yol gösterici mahiyette değerlendirmeler içeren Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) 03.08.2023 tarih ve 2023/1321 sayılı kararı[1] ve Belçika Veri Koruma Otoritesi’nin (“Otorite”) 29.09.2020 tarih ve 64/2020[2] sayılı kararı ele alınır.
Kurul Kararı
Kurul Kararına Konu Olay
Karara konu olayda, ilgili kişi, daha önce ortağı olduğu şirketten ayrıldığını, ancak ortaklık döneminde kullandığı e-posta adresinin aktif tutularak şirketin bu adrese gönderilen e-postaları okuduğunu, bu konuda veri sorumlusuna yaptığı başvurunun ise sonuçsuz kaldığını ileri sürerek Kurul’a başvurmuştur. Veri sorumlusu şirket ise savunmasında özetle, ilgili kişinin işten ayrılmasından sonra e-posta hesabının kapatılarak kullanımının engellendiğini, şirket uygulaması ile uyumlu bir şekilde şirkete ait uzantıya sahip söz konusu e-posta adresine gönderilen iletilerin “tanımsız mail” olarak yöneticilere yönlendirildiğini ve iddiaların aksine e-postalarda herhangi bir kişisel verinin yer almadığını belirtmiştir.
Kurul’un Tespit ve Değerlendirmeleri
Kurul yaptığı incelemede, ilgili kişinin ortaklıktan ayrıldığını bilmeyen eski bir müşteriye ait e-postanın yanıtlandığını, aynı zamanda ilgili kişi ile birlikte çalışan personel tarafından sehven yanlış adrese gönderilen e-postaya yorumsuz bir şekilde dönüş yapıldığını, dolayısıyla her ne kadar ilgili e-posta adresinin kapanmış olduğu belirtilmişse de bu adrese ileti gönderilmeye devam edildiğini tespit etmiştir.
Kararda e-posta iletilerinin kişisel veri niteliğinde olduğu kabul edilmiş ve veri sorumlusu işveren tarafından 6989 sayılı Kişisel Verilerin Korunması Kanunu’nda belirlenen işleme şartlarına uyulmadan kişisel veri işlendiği belirtilmiştir. Başka bir anlatımla, işverenin işten ayrılan çalışanlara ait e-posta hesabına erişebilmesi için mevcut herhangi bir yasal dayanağının bulunmadığı ve bu yöndeki uygulamanın hukuka aykırı olduğu değerlendirilmiştir. Bu doğrultuda Kurul, işveren hakkında 50.000,00 TL idari para cezası uygulanmasına karar vermiştir. Kararda dikkat çeken bir diğer konu ise işverenin işten ayrılan kişilere ilişkin kişisel veri işleme faaliyetine son vermesi için düzeltme yapması ve şikâyete konu kişisel verilerin imha edilmesi yönünde talimatlandırılmasıdır.
Sonuç olarak Kurul, işverenler tarafından ayrılan çalışanların e-posta hesaplarının şirket içerisinde yönlendirilmesini ve e-posta iletilerine erişilmesini hukuka uygun bulmaz. Kurul’un kararından şirketlerin bu yöndeki uygulamalarını terk ederek farklı bir sistem kurgulamaları gerektiği anlaşılır.
Otorite Kararı
Otorite Kararına Konu Olay
Benzer bir olayı ele alan Otorite kararında ilgili kişi, uzun bir dönem boyunca aile şirketinin yöneticisi olarak görev almış ve şirketin genel işleyişi ve ticari, düzenleyici ve yönetimsel alanlarında kilit bir rol oynamıştır. İlgili kişinin şirketteki görevi 2016 yılında aniden ve herhangi bir anlaşma sağlanmaksızın sona erdirilmiştir. Buna rağmen işveren, ilgili kişinin adını ve soyadını içeren iki adet e-posta adresini kullanmaya devam etmiştir. Bu durumu fark eden ilgili kişi, 2019 yılında veri sorumlusuna başvurarak bu adreslerin kullanımının durdurulmasını talep etmiş, ancak başvurusu sonuçsuz kalmıştır.
Veri sorumlusu işveren ise savunmasında aşağıda özetlenen gerekçelere yer vermiştir:
- E-posta arşivinde mevcut ve fesih tarihinden sonra ulaşan tüm e-postalar yönetim asistanına yönlendirilmiş ve gönderilerin cevaplandırılmasında bahse konu hesap kullanılmamıştır. İlgili kişiye ait hesaba gönderilen iletiler, yönetim asistanının e-posta adresi üzerinden yanıtlanmıştır.
- E-posta arşivi yalnızca iş ilişkisi kapsamında incelenmiştir. İlgili kişiye ait şahsi e-postalara erişilmesi hiçbir zaman hedeflenmemiştir.
- Söz konusu e-posta hesabı, ilgili kişinin şirket yöneticisi olarak şirket faaliyetleri ve iş akışı açısından oldukça önemli bir konumda bulunması nedeniyle aktif tutulmuştur. Şirket böylelikle işlerin yönetimi açısından önem arz eden hiçbir bilgi veya iletinin kaybolmamasını amaçlamıştır.
Otorite’nin Tespit ve Değerlendirmeleri
Kurul gibi Otorite de çalışanlara ait e-posta adreslerinin kişisel veri niteliğinde olduğunu kabul etmiştir. Aynı zamanda, işten ayrılan ilgili kişiye ait hesaplara ileti gönderen ve mevcut durum hakkında bilgi sahibi olmayan üçüncü kişilerin de kişisel verilerinin hukuka aykırı olarak işlendiğini değerlendirmiştir.
Otorite’ye göre, eski çalışanlara ait e-posta hesaplarının uzun süreler boyunca aktif tutulması ve bu hesapların şirket içerisinde üçüncü kişilere yönlendirilmesi Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) temel ilkelerine (adil, yasalara uygun ve şeffaf veri işleme ilkesi, amaçla sınırlı olma ilkesi, veri minimizasyonu ilkesi ve sınırlı süre ile saklama ilkesi) aykırıdır. Somut olayda veri sorumlusu aleyhine 15.000,00 Avro para cezasına hükmedilmiştir.
Otorite, aşağıda açıklanacağı üzere, eski çalışana ait e-posta hesabının kısa bir süre boyunca aktif tutularak bu hesaba gönderilebilecek e-postalar açısından otomatik yanıt sistemi kurulması gerektiğini vurgulamıştır. Buna göre, otomatik yanıt ile e-posta gönderen üçüncü kişiler çalışanın işten ayrıldığı hakkında bilgilendirilmeli ve ulaşabilecekleri farklı bir adrese yönlendirilmelidir.
İşten Ayrılan Çalışanların E-Posta Hesaplarının Yönetimi
Yukarıda kısaca değindiğimiz üzere gerek Kurul gerekse Otorite işten ayrılan çalışana ait e-posta hesabının aktif tutularak şirket içerisinde farklı bir çalışana yönlendirilmesini hukuka aykırı bulmaktadır. Her iki veri koruma otoritesinin gerekçeleri incelendiğinde, işverenlerin işten ayrılan çalışanların e-posta hesaplarının yönetimine ilişkin kurgulayabilecekleri en iyi sistemin aşağıdaki gibi olabileceği söylenebilir:
- Çalışanlar, iş ilişkisi sona ermeden önce işveren tarafından tahsis edilen e-posta hesabının akıbeti hakkında aydınlatılmalıdır. Bu aydınlatma kapsamında, e-posta yönetim sisteminin iç politika ve prosedürlerinde açıklanması ve bunların çalışanlar için ulaşılabilir olması aranır.
- Çalışana işten ayrılmadan önce kişisel e-postalarını şahsi hesabına iletme ve bunları işyeri bilgisayarından silme imkânı tanınmalıdır.
- E-posta hesabına erişim en geç çalışanın işten ayrıldığı gün engellenmelidir.
- Erişime kapatılan e-posta hesabına gönderilebilecek e-postalar açısından otomatik yanıt sistemi kurulmalıdır. Otomatik yanıtın hesap sahibinin artık şirkette çalışmadığı bilgisini ve onun yerine iletişime geçilmesi gereken kişinin iletişim bilgilerini içermesi gerekir.
- Bu yöntem, makul bir süre için ayakta kalmalıdır. Otorite, makul sürenin yaklaşık 1 (bir) ay olacağını, ancak somut duruma ve özellikle ilgili kişinin üstlendiği sorumluluk derecesine bağlı olarak uzatılabileceğini belirtir. Ancak bu sürenin her halükârda 3 (üç) ayı geçmemesi önerilir. Sürenin uzatılması halinde bu durum gerekçelendirilmeli; ilgili kişinin rızası alınmalı ya da en azından bilgilendirilmesi sağlanmalıdır. İşveren, uzatma süresinin sona ermesini beklemeden mümkün olan en kısa sürede alternatif bir çözüm yolu aramalı ve uygulamalıdır.
- Otomatik yanıt süresi dolduktan sonra e-posta hesabı silinmelidir.
- İşyerinde herhangi bir aksaklığa neden olmamak için, e-posta arşivinde mevcut önemli e-postalar çalışan işten ayrılmadan önce ve eğer mümkünse onun varlığında başka bir çalışana yönlendirilebilir. Taraflar arasında bir uyuşmazlık mevcutsa, güvenilir bir kişinin müdahalesi tavsiye edilir.
Sonuç
İşten ayrılan çalışanlara ait e-posta hesaplarının yönetimi açısından, her iki veri koruma otoritesi, işverenin şirket içerisinde iş akışının sağlanmasına yönelik menfaatini meşru kabul etmemiş, çalışanın kişisel verilerinin korunması hakkını üstün tutmuştur. Bu nedenle, işten ayrılan çalışanlara ait e-posta hesaplarının aktif tutularak şirket içerisinde farklı bir çalışana yönlendirilmesi veri koruma mevzuatının ihlali olarak değerlendirilmiştir. Otoritelerin bu yaklaşımı sonucunda, işverenlerin mevcut uygulamalarını gözden geçirerek temel veri koruma ilkeleri doğrultusunda işten ayrılan çalışanlara ait kişisel verilere en hafif müdahaleyi teşkil edecek yöntemi seçmesi gerektiği söylenebilir.
Otorite tarafından kabul edilen en uygun yöntem ilgili çalışana e-posta gönderen kişilerin farklı bir çalışana yönlendirilmesi ve çalışanın da bu süreç hakkında bilgilendirilmesidir. Ancak Otorite ve Kurul kararı, atılması gereken adımlar açısından yol göstericidir. Bu doğrultuda, her şirketin, veri koruma otoriteleri tarafından çizilen sınırlar dahilinde kendi işleyişine uygun adımları atması ve veri koruma ilkeleri ile uyumlu bir sistem kurgulaması gerekir.
- Kişisel Verilerin Korunması Kurulu’nun 03.08.2023 tarih ve 2023/1321 Sayılı Karar Özeti, https://kvkk.gov.tr/Icerik/7776/2023-1321, (Erişim Tarihi: 04.02.2024).
- Belçika Veri Koruma Otoritesi’nin 29.09.2020 ve 64/2020 sayılı Kararı, https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-64-2020.pdf, (Erişim Tarihi: 04.02.2024).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...