Şirket e-posta adresleri ve içerikleri KVKK kapsamında kişisel veri sayılabilir. İşveren olarak hangi yükümlülükleriniz var, çalışanların hakları neler ve nasıl uyumlu kalırsınız? Tüm detaylar bu yazıda.
TL;DR — Hızlı Yanıt
Evet, çalışanlara ait e-posta adresleri ve özellikle kişisel içerik barındıran e-posta yazışmaları KVKK kapsamında kişisel veri sayılabilir. İşverenler e-posta sistemlerini yönetirken çalışanları bilgilendirmek, veri işleme amaçlarını belgelemek ve orantılı denetim ilkesine uymak zorundadır. Türkiye'deki veri merkezinde barındırılan Connect365 kurumsal e-posta servisi, bu süreçte KVKK uyumlu bir altyapı sunar.
Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesine ilişkin kapsamlı bir çerçeve oluşturmaktadır. Pek çok işveren ise kurumsal e-posta adreslerinin ve bu adreslerdeki yazışmaların bu çerçevede nasıl değerlendirileceği konusunda belirsizlik yaşamaktadır. Çalışan e-postaları gerçekten kişisel veri mi sayılır? İşverenin gelen-giden maillere erişim hakkı var mı? Veri ihlali durumunda sorumluluk kime ait olur?
Bu sorular hem İK departmanları hem de BT yöneticileri için kritik önem taşımaktadır. Aşağıda konuyu tüm boyutlarıyla ele alıyor, pratik öneriler sunuyoruz.
KVKK'nın 3. maddesi kişisel veriyi şu şekilde tanımlar: "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi." Bu tanım oldukça geniştir.
Kurumsal e-posta bağlamında değerlendirildiğinde:
Kişisel Verileri Koruma Kurulu (KVKK Kurulu) kararlarında da mesleğe ilişkin yazışmalar dahil olmak üzere çalışanlara ait dijital izlerin kişisel veri olarak kabul edildiği görülmektedir.
İşveren, kurumsal e-posta altyapısının sahibidir ve meşru yönetim amacıyla belirli ölçüde erişim hakkına sahiptir. Ancak bu hak sınırsız değildir. KVKK çerçevesinde işveren aşağıdaki koşulları sağlamak zorundadır:
KVKK'nın 10. maddesi uyarınca işveren, hangi e-posta verilerinin ne amaçla, hangi hukuki dayanak ile işlendiğini çalışanlara önceden bildirmek zorundadır. Bu bilgilendirme genellikle iş sözleşmesine eklenen bir bilgi güvenliği politikası veya çalışan aydınlatma metni aracılığıyla yapılır.
İşlenen verinin amaca uygun ve yeterli, ancak aşırıya kaçmayan ölçüde olması gerekir. Tüm çalışanların e-postalarını sürekli taramak yerine yalnızca belirli bir şüphe veya meşru iş gereksinimi durumunda erişim sağlanması, orantılılık ilkesiyle daha uyumludur.
KVKK, kişisel veri işlemenin belirli hukuki dayanaklardan birine dayanmasını zorunlu kılar. Çalışan e-postalarının izlenmesinde en sık başvurulan dayanak, meşru menfaat (madde 5/2-f) ve sözleşmenin ifasıdır. Ancak meşru menfaat gerekçesi çalışanın temel haklarını zedelememelidir.
Kurumsal e-posta hizmetinin nerede barındırıldığı, KVKK uyumu açısından kritik bir faktördür. KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasını kural olarak yasaklamakta; yeterli korumaya sahip ülke veya alıcı kategorisine aktarım için ise Kurul onayı ya da açık rıza gibi özel mekanizmalar öngörmektedir.
| Kriter | Yurt Dışı Altyapı | Türkiye Altyapısı |
|---|---|---|
| KVKK Madde 9 uyumu | Ek mekanizma gerektirir | Doğrudan uyumlu |
| Veri egemenliği | Riskli | Tam kontrol |
| Yerel denetim kolaylığı | Sınırlı | Yüksek |
| Örnek servis | Google Workspace (~₺290/ay), Microsoft 365 (~₺270/ay) | Connect365 (₺99/kullanıcı/ay) |
Connect365, Turkcell veri merkezinde Türkiye'de barındırılan altyapısıyla e-posta verilerinizin yurt dışına çıkmamasını güvence altına alır. Bu durum, özellikle kamu kurumları, sağlık kuruluşları ve finans şirketleri gibi yoğun mevzuat denetimine tabi sektörler için büyük avantaj sağlar.
Connect365, kurumsal e-posta altyapınızı Türkiye'deki Turkcell veri merkezinde güvenle barındırmanızı sağlar. Verileriniz hiçbir zaman yurt dışına çıkmaz; KVKK'nın 9. maddesinde öngörülen yurt dışı aktarım mekanizmalarına ihtiyaç duymadan tam uyumlu bir altyapıya kavuşursunuz.
Daha fazla bilgi veya demo için 0312 434 35 34 numaralı hattı arayabilirsiniz.
Evet. ahmet.yilmaz@sirket.com.tr gibi bir adres, belirli bir kişiyi tanımladığı için KVKK kapsamında kişisel veri sayılır.
Meşru iş gereksinimi veya şüphe durumunda belirli koşullarla okuyabilir; ancak bunu önceden çalışana bildirmesi ve orantılılık ilkesine uyması zorunludur.
Kişisel bilgi barındıran içerikler kişisel veri kapsamına girer. Sağlık veya inanç gibi özel nitelikli veri içeriyorsa çok daha katı koruma kuralları uygulanır.
Evet. KVKK'nın 10. maddesi uyarınca işveren, hangi verilerin hangi amaçla işlendiğini çalışanlara önceden bildirmek zorundadır.
Hesabın kapatılması, yönlendirilmesi ve içeriklerin aktarımı konusunda KVKK uyumlu yazılı bir prosedür bulunmalıdır. Gereksiz veriler imha edilmelidir.
Aykırı değil; ancak arşivlemenin amacı, süresi ve erişim koşulları belgelenmiş olmalı, çalışanlar bilgilendirilmelidir.
Doğrudan ihlal değil, ancak KVKK'nın 9. maddesi kapsamında yurt dışına veri aktarımı için Kurul onayı veya yeterlilik kararı gibi ek mekanizmalar gerekir.
72 saat içinde KVKK Kurulu'na bildirim yapılması gerekebilir. İhlalden etkilenen kişiler de vakit geçirmeksizin bilgilendirilmelidir.
Evet. Connect365, verileri Türkiye'deki Turkcell veri merkezinde barındırır; veriler yurt dışına çıkmaz ve KVKK'nın yurt dışı aktarım hükümlerine tabi olmaz.
Yasal zorunluluk olmasa da KVKK uyumu ve iş hukuku açısından yazılı bir e-posta kullanım politikasına sahip olmak hem işvereni hem çalışanı korur.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.