Eski Çalışanın Kurumsal E-posta Hesabına İşveren Tarafından Erişilmesi Veri İhlali midir?
Eski çalışanın kurumsal e-posta hesabına erişilmesinin uygun olup olmadığını değerlendirebilmek üzere, tarafların amaçlarını da göz önünde bulundurarak birtakım değerlendirmelerin yapılması gerekiyor. Peki, ilgili kararda şikayet konusu neydi ve Kurul süreçlerin iyileştirilmesi noktasında ne tarz ipuçları verdi?
Şikayet, temel olarak aşağıda belirtilen üç ayrı noktada şekilleniyor:
- İlgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına veri sorumlusu tarafından erişim sağlanması
- Veri sorumlusu tarafından, şirket e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirimin yapılmamış olması ve bu hususa dair denetim kriterlerinin belirlenmemesi
- İlgili kişiye ait kişisel verilerin işleme şartlarına aykırı olarak işlenmesi, üçüncü kişilere aktarılması ve bu hususa yönelik herhangi bir aydınlatmanın yapılmaması, açık rızanın alınmaması
Peki, Kurul firmanın işlettiği süreçte ne tarz eksiklikler gördü ve hangi aksiyonların alınması gerektiğini belirtti:
- İş ilişkisi kapsamında ilgili kişiye tahsis edilen kurumsal e-posta hesabının sadece işin ifası amacı ile kullanılacağına dair veya işveren tarafından çalışanların e-postalarının incelenebileceğine ve denetlenebileceğine ilişkin aydınlatmanın yapılması gerektiğini belirtti.
- Veri işlemenin ancak ve ancak Kanun’un 5’inci maddesinde belirtilen işleme şartlarına dayandırılarak yapılması gerektiğini vurguladı.
- “İlgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında, verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceğini”; bunun bir açık rıza beyanı olmadığı ve kişisel verilerin alenileştirilmesi kavramına açıklık getirilmesinin faydalı olacağını vurguladı.
Kısaca; kurumsal e-posta hesabına işveren tarafından erişilebileceğine dair aydınlatmanın yapılması, açık rızanın alınması ve incelemenin amaçla sınırlı tutulması dikkat edilmesi gereken hususların en başında geliyor.
Firmalar tarafından Kanun’a uyum çalışmaları tamamlanmış olsa dahi, mevzuata ve güncel gelişmelere uyumun hassasiyet gösterilerek takip edilmesi, faaliyetler devam ettiği sürece alınan tedbirlerin işletilmesi ve “sürekli iyileştirme” prensibi doğrultusunda çalışmaların gözden geçirilmesi önem arz ediyor.
Herkese iyi haftalar.
