Şirket E-posta Adresinin Denetimi: Delil Toplama ve “Hakkın Korunması” İstisnası (Karar: 2020/59)
Kişisel Verileri Koruma Kurulu (Kurul), 27/01/2020 tarihli bu kararıyla, iş hayatında çokça merak edilen “İşveren veya ortak, şirket uzantılı e-posta adresimi inceleyebilir mi?” sorusuna kritik bir yanıt vermiştir. Karar, şirket menfaatlerinin korunması ve hukuki bir hakkın tesisi söz konusu olduğunda, kurumsal e-posta yazışmalarının denetlenmesinin KVKK ihlali sayılmayacağını tescil etmiştir.
1. Olayın Özeti: Zimmet Şüphesi ve Sunucu Yedekleri
Olay: Bir limited şirket ortağı (Şikâyetçi), şirket tarafından kendisine tahsis edilen ismine özel şirket e-posta adresine (isim@sirketadi.com.tr) diğer ortak tarafından izinsiz erişildiğini iddia etmiştir. Şikâyetçi, e-posta hesabındaki tüm verilerin silinmesini talep etmiş ancak talebi reddedilince Kurul’a başvurmuştur.
Veri Sorumlusunun (Şirket) Savunması:
- Şikâyetçinin şirket gelirlerini suistimal ettiğinden şüphelenildiği,
- Şikâyetçinin bilgi vermekten kaçınması üzerine, şirket müdürü tarafından sunucu yedekleri (server backups) üzerinden inceleme yapıldığı,
- Yapılan incelemede zimmet ve görev suistimali bulgularına rastlandığı ve bu kayıtların Asliye Ticaret Mahkemesi’ne delil olarak sunulduğu,
- Savcılığın da bu konuda “şirket işleri için kullanılan maillerin kişisel içerik taşımayacağı” gerekçesiyle takipsizlik kararı verdiği belirtilmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Bir Hakkın Korunması”
Kurul, kurumsal e-posta adreslerinin denetlenmesini KVKK’nın 5. maddesindeki istisnalar üzerinden analiz etmiştir:
A. Şirket E-postasının Niteliği
Şirket tarafından tahsis edilen ve faturası şirketçe ödenen e-posta adresleri, kural olarak iş ve işlemlerin takibi için sunulur. Kurul, bu adreslerin kullanım amacının şirket menfaatleri olduğunu vurgulamıştır.
B. Hakkın Tesisi, Kullanılması ve Korunması (Md. 5/2-e)
KVKK Madde 5/2-e uyarınca; bir hakkın tesisi, kullanılması veya korunması için veri işlenmesi zorunluysa ilgili kişinin açık rızası aranmaz.
- Karar: Şirketin uğradığı zararın tespiti ve mahkemede hak aranması amacıyla e-posta yedeklerine bakılması, “bir hakkın korunması” kapsamında hukuka uygun bir veri işleme faaliyetidir.
C. Yargı Faaliyetleri İstisnası (Md. 28/1-d)
KVKK Madde 28/1-d uyarınca; kişisel verilerin yargı makamları tarafından infaz, soruşturma veya kovuşturma işlemlerine ilişkin olarak işlenmesi durumunda Kanun hükümleri uygulanmaz.
- Tespit: Verilerin mahkemeye delil olarak sunulması süreci, yargı faaliyeti kapsamında değerlendirilmiştir.
3. Karar Sonucu: “İşlem Yapılmasına Gerek Yok”
Kurul inceleme neticesinde;
- Veri işlemenin şirketin haklarını korumak için zorunlu olduğu,
- Verilerin mahkemeye sunulmasının yargısal bir süreç olduğu,
- Şikâyetçinin verileri sildirme talebinin, mahkemdeki delilleri karartma riski taşıdığı,Gerekçeleriyle, şirket hakkında herhangi bir idari yaptırım uygulanmamasına karar vermiştir.
4. Özgür Eralp Perspektifi: “İş E-postası Özel Mülk Değildir”
Bilişim ve iş hukuku tecrübemizde, çalışanların veya ortakların “Kendi ismim yazıyor, o halde özel hayatımdır” yanılgısına düştüğünü sıkça görüyoruz. Bu karar, kurumsal e-postaların birer “iş aracı” olduğunu ve bu araçların kötüye kullanılması durumunda işverenin denetim yetkisinin bulunduğunu göstermektedir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, bu denetim yetkisini kullanmadan önce mutlaka çalışanlarına/ortaklarına “E-posta Kullanım Politikası” sunmalı ve denetim yapılabileceğine dair aydınlatma yapmalıdır. Bu kararda şirketi kurtaran en büyük etken, incelemenin bir “zimmet/suistimal” iddiasına dayanması ve verilerin sadece mahkemeye sunulmuş olmasıdır. Eğer şirket bu yazışmaları panolara assa veya ilgisiz kişilerle paylaşsa idi, sonuç tamamen farklı (ihlal yönünde) olabilirdi. “Hakkın korunması” yetkisi, sınırsız bir ifşa hakkı vermez.
Sıkça Sorulan Sorular
1. Patronum şirket mailimi her istediğinde okuyabilir mi?
Kural olarak hayır. Ancak iş sözleşmesinde veya şirket politikasında “denetim yapılabileceği” belirtilmişse ve haklı bir sebep (suistimal şüphesi, işin aksaması vb.) varsa ölçülü olmak kaydıyla okuyabilir.
2. Şirket mailimden kişisel (özel) yazışmalar yaparsam ne olur?
Kurul ve Yargıtay kararları, iş e-postasının özel işler için kullanılmamasını tavsiye eder. Eğer özel yazışmalarınız denetime takılırsa ve şirket sizi önceden uyarmışsa, mahremiyet iddianız zayıflayabilir.
3. İşten ayrıldığımda şirket mailimdeki her şeyin silinmesini isteyebilir miyim?
Şirketin ticari devamlılığı veya hukuki haklarını koruması (borç-alacak ilişkisi vb.) için bu mailleri saklama hakkı olabilir. Ancak işle ilgisiz safi kişisel verilerinizin silinmesini talep edebilirsiniz.
4. E-posta yedeklerine bakılması “hackleme” sayılır mı?
Eğer erişim yetkili sistem yöneticisi (IT) aracılığıyla ve şirket sunucusu üzerinden yapılıyorsa siber suç sayılmaz; veri sorumlusunun denetim yetkisi kabul edilir.
5. Mahkemeye sunulan mailler delil olarak kabul edilir mi?
Evet. Bu karar da teyit etmektedir ki; KVKK uyarınca hukuka uygun işlenen (hakkın korunması kapsamında) veriler mahkemede yasal delil olarak kullanılabilir.
Kaynaklar
- KVKK Kurumu – 2020/59 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 5, 28)
- Türk Ticaret Kanunu (Madde 626)
Etiketler
KVKK, Şirket E-postası Denetimi, Sunucu Yedekleri, Bir Hakkın Korunması İstisnası, Zimmet Şüphesi, 2020/59 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Delil Karartma, İşçi-İşveren İlişkisi, Yargı Faaliyeti İstisnası
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),