Yasal·
1 Nisan 2026
Şirket e-posta hesabını iş için kullanan bir çalışanın gelen kutusunu işveren okuyabilir mi? Bu soru, hem küçük ölçekli işletmelerin hem de kurumsal hukuk departmanlarının masasına sıkça düşen, yanıtı sandığınızdan çok daha nüanslı bir konudur. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun bu alanı doğrudan etkiler; AB'nin Genel Veri Koruma Tüzüğü (GDPR) ise yabancı ortaklara veya Avrupa pazarına hitap eden şirketleri bağlar.
Çalışan e-posta izleme meselesini ele alırken birden fazla hukuki katmanı göz önünde bulundurmak gerekir. Bunların başında kişisel veri koruma mevzuatı gelir.
6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu), 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanunun 5. maddesi, kişisel veri işlemenin hukuki dayanaklarını sınırlı sayıda saymaktadır: açık rıza, kanunda açıkça öngörülme, sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğü, temel hak ve özgürlüklere zarar vermemek kaydıyla meşru menfaat. Çalışan e-postalarının izlenmesi, bu dayanakların birinden mutlaka yararlanmak zorundadır.
4857 sayılı İş Kanunu'nun 26. maddesi, işverenin "haklı nedenle derhal fesih" hakkını düzenler; e-posta denetimi bu kapsamda delil toplamak amacıyla kullanılabilir. Ancak Yargıtay 9. Hukuk Dairesi'nin yerleşik içtihadına göre hukuka aykırı yollarla elde edilen dijital kanıtlar mahkemede kabul edilmemektedir.
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemeleri, kurumsal ağ trafiğinin kaydedilmesine ilişkin yükümlülükler de barındırmaktadır.
Son olarak, Avrupa Birliği'ne veri aktarımı söz konusu olduğunda GDPR (AB 2016/679)'nin 88. maddesi ve Çalışma Bağlamında Veri Koruma'ya ilişkin hükümleri devreye girer. KVKK'nın GDPR uyumlu hale getirilmesi çalışmaları hâlâ sürmektedir.
Her izleme yöntemi aynı hukuki riski taşımaz. Aşağıdaki tablo, yaygın izleme tekniklerini ve Türk hukuku kapsamındaki genel geçerliliğini özetlemektedir.
| İzleme Türü | Teknik Açıklama | Hukuki Geçerlilik (TR) | Dikkat Edilmesi Gereken Husus |
|---|---|---|---|
| Meta veri kaydı | Kimden-kime, tarih, saat, boyut; içerik okunmaz | Genellikle izin verilebilir | Çalışan bilgilendirilmeli, amaç sınırlı tutulmalı |
| Başlık (header) analizi | Konu satırı, alıcı listesi, CC/BCC | Koşullu — önceden bilgilendirme şart | Konu satırı kişisel bilgi içerebilir |
| İçerik tarama (keyword) | Belirli anahtar kelimeleri arayan otomatik filtreler | Koşullu — orantılılık ilkesi uygulanır | Kural listesi şeffaf olmalı; aşırı geniş olmamalı |
| Tam içerik okuma | İşveren veya IT ekibinin e-postaları birebir okuması | Riskli — somut şüphe ve belgelenmiş gerekçe zorunlu | KVKK md. 12 kapsamında veri güvenliği ihlali sayılabilir |
| Kişisel e-posta hesapları | Gmail, Hotmail vb. — şirket ağından erişilse bile | İzin verilmez | 5237 sayılı TCK md. 132 (haberleşme gizliliği) kapsamında suç |
KVKK'ya tam uyum için işverenin öncelikle yazılı bir Kabul Edilebilir Kullanım Politikası (KKP) oluşturması ve çalışana imzalatması gerekir. Bu politika; hangi sistemlerin izlendiğini, hangi amaçla ve hangi sıklıkla kayıtların incelenebileceğini açıkça ortaya koymalıdır. KVKK md. 10 kapsamındaki aydınlatma yükümlülüğü, sözleşmeye ek olarak ayrıca yerine getirilmelidir.
Kişisel Verileri Koruma Kurulu'nun (KVKK Kurulu) 31 Mayıs 2019 tarih ve 2019/165 sayılı kararı, işyerinde kişisel veri işlenmesine ilişkin temel ilkeleri belirlemiştir. Bu karara göre işveren; amaçla sınırlılık, orantılılık ve veri minimizasyonu ilkelerine uymak zorundadır. Başka bir deyişle, güvenlik ihlali şüphesi taşımayan rutin bir çalışanın her e-postasının sistematik olarak okunması orantılı bir müdahale sayılmaz ve hukuka aykırıdır.
Türkiye, Avrupa İnsan Hakları Sözleşmesi'ne (AİHS) taraf olduğundan AİHM kararları iç hukuku dolaylı olarak etkiler. Bărbulescu / Romanya (AİHM Büyük Dairesi, 5 Eylül 2017, Başvuru No. 61496/08) davası, bu alandaki en önemli emsal niteliğindedir.
Büyük Daire, işverenin çalışanın anlık mesaj yazışmalarını izlemesinin AİHS'in 8. maddesi (özel hayata saygı hakkı) kapsamında değerlendirileceğine hükmetmiştir. Mahkeme, ulusal mahkemenin çalışanı önceden bilgilendirip bilgilendirmediğini, izlemenin kapsamını, özel yazışmaların okunup okunmadığını ve işverenin meşru amacının başka araçlarla sağlanıp sağlanamayacağını incelemesi gerektiğini vurgulamıştır. Bu kriterler, Türk iş mahkemelerinin benzer davalarda başvurduğu ölçütlerle örtüşmektedir.
Teknik açıdan arşivleme (archiving) ve aktif izleme (active monitoring) birbirinden ayrılmalıdır. E-posta arşivleme; gelen-giden tüm iş yazışmalarının değiştirilemez biçimde saklanması anlamına gelir. Birçok sektörde bu bir yasal zorunluluktur: Türk Ticaret Kanunu md. 82, ticari defterlerin ve yazışmaların on yıl süreyle saklanmasını öngörür. Benzer yükümlülükler finans sektöründe BDDK düzenlemeleriyle, kamu ihale süreçlerinde ise 4734 sayılı Kamu İhale Kanunu kapsamında uygulanır.
Arşivleme otomatik ve tekdüze biçimde gerçekleştirildiğinde, içerik okunmadığı sürece kişisel veri işleme yoğunluğu düşük kabul edilir. Bununla birlikte arşivlere erişim politikası, aydınlatma metninde açıkça yer almalıdır.
KVKK md. 18 uyarınca aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlularına 5.000 TL ile 100.000 TL arasında idari para cezası uygulanabilir. Veri güvenliğini ihlal eden işverenlere ise 15.000 TL ile 1.000.000 TL arasında ceza öngörülmektedir. Kişisel Verileri Koruma Kurumu 2023 yılı faaliyet raporuna göre kurumun o yıl uyguladığı toplam idari para cezası miktarı 40 milyon TL'yi aşmıştır.
Ceza hukuku boyutunda ise 5237 sayılı Türk Ceza Kanunu'nun 132. maddesi (haberleşmenin gizliliğini ihlal) ve 136. maddesi (verileri hukuka aykırı olarak verme veya ele geçirme) altı aya kadar hapis cezası öngörmektedir.
Hayır, koşulsuz olarak okuyamaz. Türk hukukunda KVKK'nın orantılılık ve amaçla sınırlılık ilkeleri geçerlidir. İçerik okuma ancak somut bir hukuki gerekçeye (güvenlik ihlali şüphesi, disiplin soruşturması gibi) ve önceden yazılı bilgilendirmeye dayandığında meşru kabul edilebilir.
Bu durumda bile işveren kişisel yazışmaları doğrudan okuyamaz. Politikada "iş e-postası yalnızca iş amaçlıdır" ibaresi yer alsa bile, çalışanın özel yazışmalarına erişim AİHM içtihadı (Bărbulescu / Romanya) doğrultusunda özel hayata müdahale sayılabilir. Tavsiye edilen yol, politikada kişisel kullanımı açıkça yasaklamak ve bunu bildiren uyarı mesajları eklemektir.
Temel hukuki çerçeve değişmez; çalışanın fiziksel konumu KVKK yükümlülüklerini ortadan kaldırmaz. Uzaktan çalışmada genellikle daha kapsamlı teknik araçlar (VPN, MDM, uç nokta güvenliği) kullanıldığından aydınlatma metninin bu araçları da kapsayacak biçimde güncellenmesi önemlidir.
Sistem yöneticisinin teknik bir arıza ya da güvenlik güncellemesi sırasında e-postalara rastlantısal erişimi genellikle izleme kapsamında değerlendirilmez. Ancak sistematik veya kasıtlı içerik okuma, teknik gereklilik kanıtlanmadığı sürece sorun yaratabilir. Bu ayrımın iç politikada net biçimde tanımlanması gerekir.
Açık rıza tek başına yeterli olmayabilir. KVKK Kurulu'nun çeşitli kararlarında belirtildiği üzere, işveren-çalışan ilişkisindeki güç dengesizliği nedeniyle çalışanın rızası gerçek anlamda özgür iradeyi yansıtmayabilir. Bu nedenle sözleşmenin ifası veya meşru menfaat gibi alternatif hukuki dayanaklara öncelik verilmesi önerilir.
Hukuka uygun yollarla elde edilen kayıtlar delil olarak kabul edilir. Yargıtay 9. Hukuk Dairesi'nin yerleşik içtihadına göre ise hukuka aykırı biçimde (önceden bildirim yapılmaksızın veya ölçüsüz yöntemlerle) elde edilen dijital kanıtlar iş mahkemelerinde geçersiz sayılabilir.
Evet. KVKK, çalışan sayısına göre muafiyet tanımaz. Veri sorumlusu sıfatı taşıyan her işveren, ister tek çalışanlı olsun ister çok uluslu bir grup, yükümlülüklere tabidir. VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yükümlülüğü ise belirli eşiklerin üzerindeki işletmeler için geçerlidir.
TTK md. 82 uyarınca ticari yazışmalar on yıl saklanmalıdır. KVKK'nın veri minimizasyonu ilkesi gereği bu süre aşıldıktan sonra verilerin silinmesi veya anonim hale getirilmesi gerekir. Arşivleme politikanız bu süreleri ve silme prosedürlerini açıkça belirtmelidir.
Evet, kesinlikle. KVKK md. 10 kapsamındaki aydınlatma yükümlülüğü, hangi yazılım veya sistemin kullanıldığını, ne tür verilerin işlendiğini ve amaçlarını kapsar. Gizli izleme aracı kullanmak hem idari para cezasına hem de tazminat davalarına zemin hazırlar.
Türkiye'de yerleşik çalışanlar için Türk hukuku (KVKK ve İş Kanunu) uygulanır. Yurt dışına veri aktarımı söz konusuysa KVKK md. 9 uyarınca yeterli koruma güvencesi (Kurul kararı veya standart sözleşme maddeleri) sağlanması zorunludur.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.