1. Anayasa Mahkemesi’nin, şirket eposta adreslerinin kullanımına ilişkin kararı.
T.C. Anayasa Mahkemesi’nin 5 Şubat 2021 tarihli Resmi Gazete’de yayınlanan 2018/31036 başvuru numaralı, 12.01.2021 tarihli kararı ile, tartışmalara konu olan şirket eposta adreslerinin kullanımına ve şirket tarafından bu hesaba müdahale sınırlarına dair açıklık getirilmiştir.
Anayasa Mahkemesi’ne bireysel başvuruda bulunan (“Başvurucu”), kurumsal eposta hesapları ile gerçekleştirdiği yazışmaların bilgilendirme yapılmadan ve rızası alınmadan incelendiğini, bu yazışmalara dayanılarak performans düşüklüğü nedeniyle iş akdinin haksız olarak feshedildiğini belirtmiştir. Bankanın eposta içeriklerini incelemesi ve Mahkemenin bu içerikleri hükme esas delil olarak kabul etmesi sonucu özel hayatına saygı ve haberleşme hürriyetinin ihlal edildiğini ileri sürmüştür.
Anayasa Mahkemesi, yaptığı incelemede, çalışan ile imzalanmış olan iş sözleşmesi kapsamında eposta hesaplarının yalnızca iş için kullanılacağı, banka tarafından denetlenebileceği, eposta adresinin amacına uygun kullanılması gerektiği, performans düşüklüğü veya başka işte çalışma yasağına uyulmaması halinde de iş akdinin feshedilebileceğinin açıkça düzenlendiğini görmüştür.
Her ne kadar normal şartlar altında çalışan kendisine tahsis edilmiş eposta hesabına müdahalede bulunulmayacağı yönünde makul bir beklentisi olsa da, iş sözleşmesindeki bu hüküm sebebiyle artık böyle bir beklentide olmaması gerektiği belirtilmiştir.
Anayasa Mahkemesi’nce ayrıca eposta hesabına yapılan müdahalenin, mahkemenin talebi doğrultusunda ve talep sınırları dahilinde kalınarak gerçekleştirildiği tespit edilmiş, bu sebeple herhangi bir hak ihlali bulunmadığı yönünde karar vermiştir.
2. Kişisel Verileri Koruma Kurulu’nun “İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası” hakkında 27/01/2020 tarihli ve 2020/59 sayılı Kararı
Şikayet eden tarafından, ilgili şirkete eposta hesabının ve içeriğinin silinmesi talebinin reddi üzerine Kişisel Verileri Koruma Kurumu’na şikayet hakkı kullanılmıştır.
Veri sorumlusu özetle, şikayet edenin kullandığı eposta adresinin şirket adına kayıtlı kurumsal eposta adresi olduğu ve bu adrese erişimin; şikayet edenin görevini ifa etmemesi ve kötü yönetimi sebebiyle gerçekleştirildiği, nihayetinde de, mahkemece bu kayıtlardaki kötüniyetli kullanımın tespit edildiğini, bu verilerin silinmesinin, yargı makamlarını yanıltmak ve delil karartmak sonucunu doğuracağı şeklinde savunmala yapmıştır.
Kurul ise bu doğrultuda;
Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin, “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise yine Kanun ilgili maddesi kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığı yönünde karar vermiştir.
3. Kişisel Verileri Koruma Kurulu’nun “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında 27/01/2020 tarihli ve 2020/66 sayılı Kararı
Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.
Kurul, yürüttüğü soruşturma neticesinde, meşru bir amaç için veri işlemesinin söz konusu olmadığı, Kanun 5. Maddesinde yer alan kişisel veri işleme şartlarının şikayete konu olayda bulunmadığı ve veri sorumlusu tarafından uygun güvenlik düzeyini temin etmek üzere tedbirlerin alınmadığı değerlendirilmiş ve 100.000TL idari para cezasına hükmedilmiştir.
4. Kişisel Verileri Koruma Kurulu’nun Yurtdışına Veri Aktarımı ile ilgili Taahhütname Başvurusu Hakkındaki Duyurusu
Bir veri sorumlusu tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.
Bu izin, Kurul tarafından verilmiş ve yayınlanmış olan ilk izin olmakla, bundan sonraki muhtemel izin taleplerinin karara bağlanması için bir yol açtığını ve bundan sonraki başvuruların makul sürelerde sonuçlandırılacağına dair bir ipucu vermektedir.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.