Güner Law Office | View firm profile
“Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi” hakkında Kişisel Verileri Koruma Kurulunun (“Kurul”) 25/11/2021 tarihli ve 2021/1187 sayılı Karar Özeti’ne ilişkin değerlendirmemizi aşağıda bulabilirsiniz.
Konu: Başvuruda, İlgili kişi tarafından, nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişilmiş olduğu, veri sorumlusu tarafından şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu, bu
hususa dair denetim kriterlerinin de belirlenmediği, veri sorumlusu tarafından, artık ilgili kişinin işvereni sıfatını haiz olmadığı dönem de dahil olmak üzere, ilgili kişiye ait kişisel verilerin işlendiği ve üçüncü kişilere aktarıldığı, ilgili kişiye bu hususta aydınlatma yapılmadığı ve/veya açık rızasının alınmadığı belirtilmiştir. Ayrıca, müşterilerin ve çalışanların bilgilerinin Microsoft tarafından sağlanan OneDrive bulut sisteminde muhafaza edildiği, adı geçen hizmet sağlayıcı firmanın sunucularının yurt dışında bulunuyor olması sebebiyle söz konusu işlemelerin Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) “kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesine uygun olarak gerçekleştirilmesi gerektiği bildirilmiştir.
Kurul’un Tespitleri:
Kurul’un kararında aşağıdaki açıklamalar önem arz etmektedir:
- Veri sorumlusunun, çalışanlarına tahsis etmiş olduğu e-posta adresi KVKK kapsamında kişisel veri niteliğini haizdir.
- Veri sorumlusu tarafından yapılan, ilgili kişinin, işyerinde ve iş saatlerinde ilgili e-posta hesabı üzerinden özel yazışmalar yaparken bu yazışmalarda yer alan verilerin olağan denetim yükümlülüğü kapsamında işverenin erişimine açık olabileceğini göz önünde bulundurması gerektiği, ilgili kişinin söz konusu yazışmaları işleme ve kaydetme hususunda işverene açık rıza verdiğinin kabul edilmesi, zira söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu savunmaları yerinde değildir. Kişisel verinin aleni kabul edilebilmesi için verilerin ait olduğu kişinin, verilerin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir, yoksa bir kişinin kişisel verisinin herkesin ulaşabileceği bir yerde olması aleni olmasını sağlamamaktadır.
- Bunun yanında, alenileştirme durumunda dahi kişisel veri, elde edilme amacı dışında işlenemez.
- Kararda ayrıca şu hususlara da değinilmiştir: (i) Şayet başvurucunun yeni bir iddiası var ise bu hususla ilgili olarak öncelikle veri sorumlusuna başvurmalıdır; (ii) Veri sorumlusunun “devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle [verilerin] silinemeyeceği” iddiası yerindedir; (iii) Verilerin yurt dışına aktarıldığı iddiası re’sen incelenmelidir.
Değerlendirme: İşverenlerin çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetleri, birtakım kriterler1 ölçüsünde ve hassasiyetle uygulanmalıdır. Veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabı tahsis edilmiş ise de ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak aydınlatma yapılmalıdır.
* * *
Yukarıdaki notumuza ilişkin herhangi bir sorunuz olması halinde bizlere her zaman ulaşabilirsiniz.
Güner Hukuk Bürosu 1996 yılında kurulmuştur. Kuruluşundan bu yana; şirketler hukuku, birleşme ve devralmalar, banka-finans, enerji, teknoloji, medya-telekomünikasyon ve uyuşmazlık çözümü alanlarında Türkiye’nin önde gelen ofislerinden biri haline gelmiştir.
İletişim
Ece Güner Toprak
Yönetici Ortak
[email protected]
Burçak Kurt Biçer
Ortak
[email protected]
Uğurkan Şeber
Avukat
[email protected]
[1] İşbu kriterler: 1) İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru/ciddi gerekçeler, 2) Süreçle ilgili olarak çalışanların işveren tarafından önceden bilgilendirilmesi ((i) iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, (ii) denetlemenin ve veri işlemenin kapsamı, (iii) verilerin saklanacağı süre, (iv) veri