İşten Ayrılan Çalışanların Kurumsal E-posta Geçmişleri Diğer Bir Çalışanın Kullanımına Sunulabilir Mi? – KVKK Bağlamında Bir Değerlendirme
06.05.2024
1. GİRİŞ
Çalışma hayatı, şirketlerin kurumsal bir hafıza oluşturmasını ve bu hafızayı faaliyetlerinde kullanmalarını gerektiriyor. Söz konusu kurumsal hafızanın, çoğunlukla çalışanların ürettikleri bilgi ve belgelerden oluştuğu söylenebilir. Örneğin bir çalışanın satış süreçlerine ilişkin oluşturduğu standart operasyon prosedürü veya bir avukatın hazırladığı bir iş sözleşmesi, ilgili şirket tarafından uzun yıllar kullanılabilmektedir. Ancak söz konusu belgeler dışında, bir çalışanın kurumsal e-posta adresinde yer alan e-postalar da, şirketin kurumsal hafızasını oluşturur.
Şirketler, işten ayrılan çalışanlarının yeni işe başlayacak çalışanlara bir “handover” ya da iş aktarımı yapmasıyla söz konusu kurumsal hafızanın devamlılığını sağlayabilirler. Ancak bu durum her zaman mümkün olmamaktadır. Bu nedenle, bu durumun mümkün olduğu durumlar da dahil olmak üzere, işten ayrılan çalışanların kullandıkları kurumsal e-posta adresinin içeriğinin, yani bu adrese gelen ve bu adresten gönderilen e-postaların (mailbox) yeni işe başlayacak çalışana ya da halihazırda istihdam edilmiş bir başka çalışana tahsis edilmesi durumu ortaya çıkabiliyor.
Ticari bir ihtiyaçtan doğan bu durumun hukuki yönlerinin irdelenmesi gerekir. İlk bakışta konunun ticaret hukuku, iş hukuku, kişisel verilerin korunması hukuku ve anayasa hukuku bağlamında değerlendirilmesi gerektiğini söylemek mümkün. İşbu makalede konuyu kişisel verilerin korunması bağlamında inceleyeceğiz.
Kurumsal e-posta hesapları, kişilerin çalıştıkları işyerinde ticari faaliyetlerde kullandıkları ve genelde “kişiadı.soyadı@şirketadı.com” şeklinde kurgulanan e-posta hesaplarıdır. Bu hesaplar, her ne kadar şirketin mülkiyetinde olsa da, içerikleri ve uzantıları vesilesiyle “kişisel veri” olarak nitelendirilir.
Kişisel Verilerin Korunması Kanunu’nun (bundan sonra “KVKK”) 3/d maddesinde kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Bu bağlamda söz konusu kurumsal e-posta hesaplarının ve içeriğinin kişisel veri olduğu konusunda bir tereddüt yaşanmamalıdır.
2. KİŞİSEL VERİLERİN İŞLENMESİ VE ÖZEL HAYATIN GİZLİLİĞİ
KVKK, kişisel verilerin elde edilmesinden imha edilmesi sürecine kadar geçen sürede yapılan tüm işlemleri “veri işleme” olarak nitelendiriyor. Veriyi elde etme, kaydetme, değiştirme, aktarma, yeniden düzenleme gibi faaliyetler, veri işleme örnekleri olarak kanunda tanımlanmış durumdadır.
Bir verinin işlenebilmesi, KVKK doğrultusunda çeşitli şartlara tabi kılınmıştır. KVKK’nın 4/2 maddesinde veri işlemeye ilişkin genel şartlar şu şekilde sıralanıyor;
- Hukuka ve dürüstlük kuralına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- Gerektiği kadar muhafaza edilme.
KVKK’nın 5’inci maddesinde ise kişisel verilerin işlenmesi için diğer şartlar sıralanmıştır. Ana kural kişisel verilerin kişinin açık rızası ile işlenebileceği olmakla birlikte, madde 5/2’de çeşitli istisna halleri tanımlanmış ve bu hallerin varlığı halinde açık rızaya gerek duyulmadan kişisel verilerin işlenebileceği düzenlenmiştir.
Bununla birlikte, KVKK’nın 10’uncu maddesinde “kişisel verilerin elde edildiği anda”, ilgili kişinin yani kişisel verileri işlenecek kişinin “aydınlatılması yükümlülüğü” tanımlanmıştır. Yani bir veri işlenmeden evvel, veri sahibinin bu konuda bilgilendirilmesi şarttır.
Kişisel verilerin işlenmesi konusu değerlendirilirken, özel hayatın gizliliği hakkına da değinmek gereklidir. Zira her bir veri işleme faaliyeti yürütülürken, verisi işlenen kişinin özel hayatına dair belirli bir alana da dahil olunmaktadır. Özel hayatın gizliliği, Antik Yunan’dan beri süregelen en temel insan haklarından birisidir. Kişisel verilerin korunması hukuku da bu hak üzerinden neşet etmiştir.
Özel hayatın gizliliği, Anayasa’nın 20’inci maddesinde “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz” ifadesiyle düzenlenmiştir. İşten ayrılan çalışanların kurumsal e-posta hesapları ve içeriği tartışılırken, özel hayatın gizliliği hakkı önemli bir yer tutmaktadır.
3. KURUMSAL E-POSTA İÇERİĞİNİN İŞLENMESİ
Bu açıklamalar ışığında, bir çalışana ait kurumsal e-posta hesabının içeriğinin, şirkete ait bir sunucuda yalnızca “depolanıyor” olması dahi, bu e-posta hesabının içeriğinde yer alan kişisel verilerin “işlenmesi” anlamına gelmektedir.
Söz konusu kurumsal e-posta hesabının, işe yeni başlayan başka bir çalışana tanımlanması, bu çalışanın bilgisayarında depo edilmesi ya da bulut tabanlı sunucularda depo ediliyor olsa dahi bu yeni çalışan tarafından e-posta hesabına erişim sağlanması, bir “veri işleme” faaliyeti olarak nitelendirilmektedir.
Bir çalışana tahsis edilmiş kurumsal e-posta hesabının, bu çalışan işten ayrıldıktan sonra kullanılmaya devam edilmesi, sıklıkla karşılaşılan bir uygulamadır. Bu uygulamanın birçok nedeni bulunabilir. Örneğin ilgili çalışan satış ya da müşteri iletişimi gibi alanlarda istihdam edilmiş olabilir. Bu durumda bu kişi işten ayrıldıktan sonra söz konusu müşterilerin aynı e-posta adresine gönderdikleri iletilerin şirket tarafından alınmaya devam edilmesi, ticari faaliyetin yürütülmesi için gerekli olabilir.
Bir başka örnek, şirket için önem arz eden bir pozisyonda bulunan ve iş devri yapamadan ilgili pozisyondan ayrılan kişiler için söz konusu olabilir. Böyle bir durumda, kritik pozisyonda bulunan söz konusu kişinin kurumsal e-posta hesabının içeriği ya da arşivi, ilgili pozisyona yeni atanacak kişinin kullanımına açılabilir. Bu uygulamaların tüm sektörlerde yaygın olarak kullanıldığı görülmektedir.
4. KURUMSAL E-POSTA İÇERİĞİNİN İŞLENMESİ İÇİN GEREKENLER
Çalışanlara tahsis edilen kurumsal e-posta adreslerindeki içeriklerin depolanması, izlenmesi ve erişilmesi, Kişisel Verileri Koruma Kurulu’nun ve Anayasa Mahkemesi’nin çeşitli kararlarına da konu olmuştur.
Örneğin Kurul, 2023/86 sayılı kararında, bir çalışanın şikayeti üzerine veri sorumlusunun çalışanlarına tahsis ettiği e-posta adresindeki içerikleri izlemesine ilişkin oldukça detaylı bir karar vermiştir. Kararda, işverenin kendi üzerine düşen yükümlülükleri yerine getirdiği ve bu nedenle kişisel verilerin korunması bağlamında bir ihlal bulunmadığı hususu kayıt altına alınmıştır. İlgili kararda, Anayasa Mahkemesi’nin ve Avrupa İnsan Hakları Mahkemesi’nin daha önceki karar ve tespitlerine atıf yapılmıştır.
Kurul, 2021/1187 sayılı kararında da benzer bir şikayet üzerine detaylı bir değerlendirme yapmış, AYM ve AİHM kararları ışığında yapmış olduğu değerlendirmesinde, işverenin üzerine düşen yükümlülükleri yerine getirmediğinden bahisle ihlal kararı vermiş ve idari para cezası uygulamıştır.
Son olarak Kurul, 2020/59 ve 2023/1321 sayılı kararlarında ise, ilgili şirketten ayrılan eski ortakların e-posta adreslerindeki içeriklerin işlenmesine ilişkin değerlendirmeler yapmış ve yine benzer kriterleri kullanarak neticeye varmıştır.
Bu bağlamda, Kurul tarafından AİHM ve AYM kararlarına da dayanılarak yapılan değerlendirmeler ve ortaya konulan kriterler şu şekilde özetlenebilir;
- İşçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulması gerektiği,
- İşverenin iletişimin denetlenmesi ya da arşivin kullanılması konusunda çalışanları açık bir şekilde bilgilendirip bilgilendirmediği,
- İşveren tarafından yapılan izleme ve denetlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi,
- İletişimin bir kısmının mı yoksa tamamının mı izlendiği,
- İzleme faaliyetinin zaman açısından sınırlı olup olmadığı,
- İzleme sonuçlarına erişimi olan kişilerin sayısı,
- İşverenin söz konusu izleme faaliyeti için meşru gerekçelerinin bulunup bulunmadığı,
- İşverenin izleme faaliyetinin müdahaleci olması durumunda işçiye yeterli güvencenin sağlanıp sağlanmadığı,
- Söz konusu faaliyetin istismarına karşı uygun ve yeterli önlemlerin sağlanıp sağlanmadığı,
- İzleme faaliyeti ile amaçlanan sonuca daha az müdahaleci bir yöntemle ulaşılıp ulaşılamayacağı.
Bu ilkeler ışığında, çalışanların kurumsal e-posta adresleri üzerinden gerçekleştirdikleri iletişimin izlenmesi ve işten ayrılan çalışanların kurumsal e-posta hesaplarının içeriklerinin başka bir çalışana tahsis edilmesi KVKK açısından mümkündür. Ancak şu şartların yerine getirilmesi gerekmektedir;
- Çalışanlar, e-posta adreslerinin yalnızca iş amacıyla kullanılması gerektiği konusunda bilgilendirilmelidir.
- Çalışanlar, e-posta adreslerindeki içeriklerin, şirket tarafından izlenebileceği ya da kişi işten ayrıldıktan sonra başka bir çalışana tahsis edilebileceği konusunda, açık ve detaylı bir şekilde bilgilendirilmeli ve aydınlatma yükümlülüğü yerine getirilmelidir.
- Çalışanların e-posta adreslerindeki içeriğin, ne kadar süre boyunca başka bir çalışana tahsis edileceği, net bir şekilde belirlenmelidir.
- Çalışanların e-posta adreslerindeki içeriğin, belirlenen sürenin sonunda ne şekilde imha edileceği kararlaştırılmalı ve çalışanlar bu konuda bilgilendirilmelidir.
- İlgili e-posta içeriklerinin kim ya da kimler tarafından görülebileceği tespit edilmelidir.
- E-posta içeriklerinin denetlenmesi ve başka bir çalışana tahsisi konusunda, bir politika hazırlanmalı veyahut şirketin Kişisel Verilerin Korunması Politikası’nda bu konuya yer verilmelidir.
- İşten ayrılan çalışanın e-posta adresindeki içeriklerin tahsis edileceği çalışanlarla, kişisel verilerin korunması ve gizliliğe ilişkin taahhütname imzalanmalıdır.
- E-posta içeriklerinin yurt dışında yer alan bir sunucuda tutuluyor olması halinde, kişisel verilerin yurt dışına aktarılması için gerekli işlemler yapılmalıdır.
5. SONUÇ
- İşten ayrılan çalışanların kurumsal e-posta adreslerindeki içeriğin, işe yeni başlayan ya da halihazırda istihdam edilmiş bir çalışana tahsis edilmesi KVKK açısından uygundur.
- Ancak söz konusu faaliyetin KVKK açısından uygun olması için, bazı şartların yerine getirilmesi gerekmektedir.
- Bu faaliyetin sınırlarının belirlenmesi ve sürecin bir prosedüre oturtulması oldukça önemlidir. Bu durum ve çalışanların e-posta hesaplarını yalnızca iş için kullanmaları gerekliliği, çalışanlara mutlaka bildirilmelidir.
- İzleme ve kullanım faaliyetinin bir süre ile sınırlanması ve bu sürenin sonunda ilgili verilerin imha edilmesi gerekmektedir.