Not: Bu yazı  Aralık 2015’te Avrupa Veri Koruma Gözetmeni tarafından yayımlanan AB Kurumlarında Kişisel Veri ve Elektronik İletişim Kılavuzu’nun 2.5. Numaralı alt başlığı olan “Çalışanın Yokluğunda E-postalara Erişim” kısmının resmi olmayan Türkçe çevirisini içermektedir. Kılavuzun GDPR’ın henüz yürürlüğe girmediği dönemde yayımlanmış olması gözden kaçırılmamalıdır. Ayrıca KVKK ile AB mevzuatı arasında bulunan farklar dolayısıyla, EDPS tarafından düzenlenen kılavuzda tavsiye edilen bazı hususların Türk Mevzuatı için uygulanabilir olmadığı da dikkate alınması gereken bir husustur.

Kılavuz AB kurumlarına yönelik olarak hazırlanmış olmakla yazı içerisinde bahsi geçen “kurum” ifadesi AB kurumlarını ifade etmektedir. Ancak ilgili bölümde yer alan tavsiyeler tüm veri sorumluları için dikkate alınabilir olduğundan işbu kısım tercüme edilmiştir.

Kılavuzun tamamına EDPS’nin internet sayfasından erişebilirsiniz.

AB Kurumlarında Kişisel Veri ve Elektronik İletişim Kılavuzu

2.5. Çalışanın Yokluğunda E-postalara Erişim

57. Kurumunuz, işin devamı gerekçesiyle çalışanın yokluğunda çalışanların posta kutusu içeriklerine erişmek isteyebilir. Çalışanların uzun süreli izinde olduğu, kurumunuzdan ayrıldığı ya da vefat ettiği durumlar örnek olarak ele alınabilir.

58. Genel olarak kişisel amaçla kullanım sınırlandırıldığından , böyle bir erişim çalışanların gizlilik hakkına, muhtemelen makul, bir müdahaleye yol açabilir.

Tavsiye 9: İşin devamı gerekçesiyle kişisel posta kutularına erişim ihtiyacınızı azaltmak için koruyucu tedbirler alın.

59. Çalışanların yokluğunda kişisel posta kurularına erişim ihtiyacınızı en aza indirmek için, ilgili e-postaların başka bir yerden de erişilebilir olduğundan emin olmanız gerekir. Örnek olarak:

a. Çalışanlarınızı döküman ya da dava yönetim sisteminde olduğu gibi tüm ilgili e-postaları elektronik dosyalara kaydetmeleri veya yazışmaları kağıt dosyalarda arşivlemeleri yönünde talimatlandırın,

b. İlgili tüm çalışanların erişebileceği şekilde belirli birim/hizmet/sektörler için işlevsel mail kutuları tanımlayın. Akabinde alıcıların işle ilgili tüm yazışmaları bu e-posta kutularına kopyalamasını isteyin.

c. Kurumdan ayrılan çalışanları tam bir şekilde devir raporu sunmaları hususunda talimatlandırın.

60. Bu önlemler kişisel posta kutularına erişim ihtiyacını azaltmanıza yardımcı olabilir. Ancak, yine de kişisel bir posta kutusuna erişmeniz gerekebilir.

Tavsiye 10: Çalışanın olmadığı hallerde çalışan posta kutusuna erişmeniz gereken durumlar için bir politika benimseyin.

61. Çalışanın olmadığı hallerde çalışan posta kutusuna erişim süreci bir politikada tanımlamalıdır. Bu politika kurulunuzun daha genel kurallarının bir parçası olabilir ve basılı dosyalara erişimi de kapsayabilir.

62. Çalışanlar bu politika hakkında hem kurumunuzda işe başladıkları zamanlarda mesela e-posta kullanım politikası aracılığıyla genel olarak, hem de e-posta hesaplarına erişmeyi planladığınız zamanlar gibi durumlarda özel olarak bilgilendirilmelidirler. Kullanıcıya bu erişimin gerekliliği, aciliyeti, aranan bilgisinin niteliği ve kapsamı konusunda detaylı olarak açıklama yapılmalıdır. 12. madde kapsamında (108 nolu paragrafa bakınız) ekip üyelerine sağlanacak bilgiye ek olarak, kullanıcılar ayrıca Tüzüğün 18. maddesi kapsamındaki itiraz etme hakkı kapsamında da aydınlatılmalıdır.

63. Kişilere ulaşmak imkansız ise ya da orantısız bir çaba gerektiriyorsa aydınlatma yapılması zorunlu değildir (12/2. Madde).

64. Şayet, 59 numaralı paragrafta önerilen hafifletici önlemlere rağmen, erişim kurumunuz için halen gerekli ise politikanızda belirtilen çerçevede posta kutusuna erişebilirsiniz.

65. Ancak, e-postalara erişim yalnızca belirli koşullar ve önlemler altında gerçekleştirilebilir. Kurumuzun e-posta politikası, bu türden durumlarda e-postalara erişilebilmesi için net kurallar ortaya koymalıdır. Erişim, örneğin mesaj içeriğine ulaşmadan önce belirli anahtar kelimeler ya da konu satırlarının aratılması gibi, kademeli olmalı, veri koruma görevlisinin bilgilendirilmeli ve erişimin hukuka uygunluğunun doğrulanabilmesi için logların tutulmalıdır.

Örnek 5 : Kurumunuzdan ayrılan bir çalışanın posta kutusuna erişim

Kurumunuzun kurallarına göre, ekip üyelerinin tüm ilgili yazışmaları bir doküman yönetim sistemine kaydetmesi zorunludur. Bu dahili e-posta ve bölüm müdürünün onay dökümanları ile daha sonra söz konusu durumu ele alacak kişilerin ihtiyaç duyacağı diğer bilgileri de içermektedir. Böyle bir uygulama iş devir notları ile birlikte ele alındığında, işin devam etmesi gerekçesi ile eski çalışanın posta kutusuna erişim ihtiyacını büyük olasılıkla ortadan kaldıracaktır.

Şayet böyle bir erişim yine de gerekli ise, mümkün olursa eski çalışan bu konuda aydınlatılacaktır. Çalışanların kişisel içeriklerine erişimden kaçınmak adına çalışanlara özel yazışmaların ayrı bir dosyaya bu şekilde etiketlenerek kaydedilmesi hususunda talimat verilmesi halinde kişisel içeriklere erişimden kolaylıkla kaçınılabilir. Kurumunuzun kurallarına göre, çalışanların posta kutuları ayrılma tarihinden itibaren iki ay içerisinde silinmiş olacaktır.

66. Açık rıza, yukarıda bahsedilen durumda posta kutusuna erişim için uygun bir hukuki dayanak değildir. E-posta hesabına erişimin gerekçesi iş devamlılığıdır ve bu nedenle gerekli ve ölçülü olarak sayılmıştır. Daha fazla bilgi için 29. Madde Çalışma Grubu’nun 15/2001 sayılı görüşünün 13. paragrafına ve 08/2001 sayılı görüşünün 3. paragrafına bakabilirsiniz.

67. Erişimin gerekli olabileceği bir diğer durum, çalışanın hayati menfaatlerinin korunması için gerekli olması halinde ciddi şekilde hasta olan çalışanın aile üyelerine erişim verilmesidir. Burada gerekli olarak erişim uygun güvenlik önlemleri ile sağlanmalıdır.