Güvenlik·
4 Nisan 2026
Bir çalışan şirketten ayrıldığında, kurumsal e-posta hesabının nasıl ve ne zaman kapatılacağı sorusu yalnızca teknik bir mesele değildir; veri güvenliği, yasal uyumluluk ve iş sürekliliği açısından da kritik öneme sahiptir. Yanlış yönetilen bir hesap kapatma süreci, hem kurumsal veriyi tehlikeye atar hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ciddi hukuki sorumluluklar doğurabilir.
Bir çalışanın işten ayrılmasının ardından kurumsal e-posta hesabının açık kalması, birden fazla güvenlik riski barındırır. Ayrılan çalışan hesaba erişimini sürdürürse hassas iş yazışmalarını, müşteri bilgilerini veya ticari sırları kopyalayabilir. Hesap ele geçirilirse (özellikle parola değiştirilmemişse) sosyal mühendislik saldırıları için ideal bir platform haline gelir.
Yasal boyutta ise 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 12. maddesi, veri sorumlularına "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak" yükümlülüğü getirir. Ayrılan çalışanın hesabına üçüncü bir kişi tarafından erişilmesi, bu yükümlülüğün ihlali anlamına gelir. Kişisel Verileri Koruma Kurulu, yetersiz güvenlik önlemleri gerekçesiyle idari para cezası uygulayabilir.
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında ise ticari elektronik ileti gönderme yetkisi yalnızca yetkili personele aittir. Hesap hâlâ açıksa ve eski çalışan veya yetkisiz kişi bu hesaptan ileti gönderirse, hukuki sorumluluk işletmeye aittir.
Aceleyle yapılan bir hesap silme işlemi, iş sürekliliğini sekteye uğratabilir. Bu nedenle kapatma işlemine geçmeden önce aşağıdaki adımların tamamlanması gerekir:
Aşağıdaki tablo, büyük kurumsal e-posta platformlarında standart kapatma adımlarını ve her adımın tahmini süresini özetlemektedir:
| Adım | Yapılacak İşlem | Sorumlu | Süre |
|---|---|---|---|
| 1 | Parolayı sıfırla ve çok faktörlü kimlik doğrulamayı devre dışı bırak (veya yalnızca IT kontrolüne al) | IT / Sistem Yöneticisi | Ayrılık günü — iş saatleri içinde |
| 2 | Hesabı "askıya al" (suspend): E-posta alımı devam eder, giriş engellenir | IT / Sistem Yöneticisi | Ayrılık günü |
| 3 | Gelen e-postalar için otomatik yönlendirme ve OOO mesajı kur | IT / Sistem Yöneticisi | Ayrılık günü |
| 4 | Posta kutusunu 30–90 gün arşivle (şirket politikasına ve yasal yükümlülüklere göre) | IT / İK | 1–3 ay |
| 5 | Arşiv süresinin sonunda posta kutusunu kalıcı sil, log kaydını sakla | IT / Veri Sorumlusu | Politika süresinin dolumunda |
| 6 | İK ve Hukuk birimine bildirim yap; KVKK kapsamında veri imha kaydı oluştur | Veri Sorumlusu / İK | Silme tarihinde |
Türk iş hukukunda belge saklama süreleri çeşitli mevzuatla düzenlenmektedir. 6102 sayılı Türk Ticaret Kanunu'nun 82. maddesi uyarınca ticari defterler ve belgeler on yıl süreyle saklanmak zorundadır; ticari yazışmalar da bu kapsama girer. Bu durum, özellikle sözleşme müzakereleri veya ticari teklifleri içeren e-postaları doğrudan etkiler.
Öte yandan 6698 sayılı KVKK, kişisel veri içeren iletişimlerin "işleme amacının ortadan kalkmasıyla birlikte" silinmesini veya anonim hale getirilmesini zorunlu kılar. Bu iki yükümlülük çatıştığında —TTK kapsamındaki 10 yıllık saklama ile KVKK kapsamındaki silme yükümlülüğü— veri sorumlusunun TTK saklama yükümlülüğü süresince veriyi saklayabileceği, ancak bu veriye erişimi kısıtlaması ve yalnızca yasal zorunluluk kapsamında kullanması gerektiği kabul edilmektedir. Kişisel Verileri Koruma Kurumu'nun rehberlik belgeleri bu değerlendirmeyi destekler niteliktedir.
Şirketler zaman zaman ayrılan çalışanın adresini (örneğin ahmet.yilmaz@sirket.com.tr) yeni bir çalışana atamak ister. Bu uygulama teknik açıdan mümkün olsa da çeşitli riskler içerir:
En iyi uygulama; adresin en az 3–6 ay boyunca "yönlendirme modunda" tutulması, ardından kalıcı olarak kaldırılması ve tamamen yeni bir adresin oluşturulmasıdır.
Microsoft 365: Kullanıcı hesabı "bloke" edildiğinde (Azure AD üzerinden) oturum açma engellenir; ancak posta kutusu 30 gün boyunca lisanssız şekilde korunur. Microsoft 365 Uyumluluk Merkezi üzerinden Litigation Hold veya In-Place Hold etkinleştirilerek posta kutusunun silinmesi engellenebilir ve mahkeme kararı gibi durumlarda içerik korunabilir.
Google Workspace: Yönetici konsolundan kullanıcı "askıya alınır"; e-posta alımı devam eder, oturum açma engellenir. Google Vault ile arşivleme ve e-Discovery işlemleri yürütülebilir. Kullanıcı silinse bile posta kutusu 20 gün boyunca kurtarılabilir durumda kalır.
Her iki platformda da e-posta yönlendirme, mail routing kuralları aracılığıyla sunucu düzeyinde tanımlanabilir; bu sayede kullanıcı parolasına gerek kalmadan gelen iletiler başka bir adrese aktarılır.
Başarılı bir e-posta hesabı kapatma süreci, İnsan Kaynakları ile Bilgi Teknolojileri birimlerinin koordinasyonuna dayanır. İK biriminin işten ayrılık tarihi ve koşulları hakkında IT'yi önceden bilgilendirmesi; IT'nin de kapatma işlemlerini ayrılık günü mesai bitimine kadar tamamlaması beklenir. Bu süreç yazılı bir offboarding politikasına bağlanmalı ve her kapatma işlemi log olarak kayıt altına alınmalıdır.
Kişisel Verileri Koruma Kurumu'nun Kişisel Veri Güvenliği Rehberi (Nisan 2018), "çalışan ayrılıklarında erişim yetkilerinin derhal sonlandırılması" konusunu idari tedbir başlığı altında açıkça ele almaktadır.
Genel kabul görmüş uygulama, ayrılık günü iş saatleri içinde —tercihen son çalışma gününün sonunda— hesabın askıya alınmasıdır. Özellikle disiplinli ayrılıklarda veya güvenlik kaygısı olan durumlarda kapatma, ayrılığın tebliğiyle eş zamanlı yapılmalıdır.
Hesabın aktif bırakılıp yönetici tarafından izlenmesi, 6698 sayılı KVKK kapsamında "iletişimin gizliliği" ilkesini ihlal edebilir. Anayasa'nın 22. maddesi ve 5237 sayılı Türk Ceza Kanunu'nun 132–134. maddeleri haberleşmenin gizliliğini güvence altına almaktadır. Bu nedenle içeriğe erişim ancak açık hukuki gerekçeyle (örneğin mahkeme kararı) mümkündür.
Ticari yazışmalar için 6102 sayılı TTK'nın 82. maddesi uyarınca 10 yıl önerilir. İş ilgili olmayan veya tamamen kişisel nitelikteki içerikler KVKK uyarınca mümkün olan en kısa sürede silinmelidir.
Teknik açıdan mümkündür; ancak kişisel veri karışıklığı ve kimlik yanıltıcılığı riskleri nedeniyle önerilmez. En az 3–6 aylık bekleme süresi ve yönlendirme dönemi sonrasında adresin tamamen emekliye alınması daha güvenli bir yaklaşımdır.
KVKK'nın 11. maddesi uyarınca ilgili kişi, kendi kişisel verilerine ilişkin bilgi talep edebilir. Ancak ticari sır kapsamındaki veya üçüncü kişilerin kişisel verilerini içeren yazışmalar bu hakkın istisnasında kalabilir. Talepler hukuk birimi aracılığıyla değerlendirilmelidir.
Genel uygulama 30–90 gündür. Bu süre, müşterilerin ve iş ortaklarının yeni iletişim adresine geçişi için yeterli zaman tanır. Kritik görevler için süre 6 aya kadar uzatılabilir.
Mesaj; ilgili kişinin artık şirkette görev yapmadığını, iletişim için başvurulacak kişi veya departmanı ve genel şirket iletişim bilgilerini içermelidir. Ayrılan çalışanın neden ayrıldığına dair bilgiye kesinlikle yer verilmemelidir.
Evet. KVKK'nın 12. maddesindeki teknik tedbir yükümlülüğü ve olası bir Kurul denetiminde ispat yükümlülüğü nedeniyle kapatma tarihi, sorumlu kişi ve yapılan işlemler yazılı log olarak saklanmalıdır. Bu kayıt, veri imha tutanağının bir parçası olarak değerlendirilebilir.
Temel adımlar aynıdır; ancak Microsoft 365, Google Workspace veya benzeri platformlarda "hesap askıya alma" ve "veri tutma politikası" (retention policy) yönetim konsolundan kolayca uygulanabilir. Yerel sunucu (on-premise) çözümlerine kıyasla denetim günlükleri de genellikle daha kapsamlı ve erişimi kolaydır.
Yazılı bir prosedür yoksa; hesap kapatma işlemleri tutarsız uygulanır, denetim izleri eksik kalır ve bir güvenlik ihlali yaşandığında KVKK kapsamındaki "uygun teknik tedbir" yükümlülüğünün yerine getirildiğini ispat etmek güçleşir. Kişisel Verileri Koruma Kurulu, bu durumu idari para cezası için gerekçe olarak kabul edebilir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.