Belçika Veri Koruma Otoritesi (Data Protection Authority – DPA), işten ayrılan bir çalışanın profesyonel e-posta hesabının uzun süre aktif bırakılmasının ve bu hesapta kişisel verilerin işlenmeye devam edilmesinin Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) hükümlerine aykırı olduğuna karar verdi. Bu karar, işverenlerin ayrılan personelle ilişkili dijital hesapları nasıl yönetmesi gerektiğine dair önemli bir emsal teşkil ediyor.
Olayda, ilgili kişi işten ayrıldıktan yaklaşık iki yıl sonra, kendisine ait iki kurumsal e-posta adresinin hâlâ aktif olduğunu fark etti. Eski çalışan, hesaplara erişim sağlanmasını ve bu hesaplarda yer alan kişisel verilerin silinmesini talep etti. Ancak işveren, e-posta hesaplarının teknik nedenlerle açık tutulması gerektiğini ileri sürerek talepleri reddetti.
Şikâyet üzerine inceleme yapan Belçika DPA, kısa bir süre için iş sürekliliği gerekçesiyle e-posta hesabının aktif tutulmasının meşru menfaat kapsamında değerlendirilebileceğini kabul etti. Ancak aradan uzun zaman geçtikten sonra bu menfaatin ortadan kalktığını ve veri işlemenin gereksiz hale geldiğini vurguladı.
Otorite; işverenin, eski çalışanın e-posta hesabını açık tutarak kişisel verileri işlemeye devam etmesinin hukuka uygun bir dayanağı olmadığına hükmetti. Bu kapsamda GDPR’ın; hukuka uygunluk ve şeffaflık ilkesi (md. 5), meşru menfaat şartı (md. 6), erişim hakkı (md. 15) ve silme hakkı (md. 17) gibi maddelerinin ihlal edildiği tespit edildi ve şirket hakkında kınama cezası verildi.
Geçmişe Dönük Benzer Kararlar Var Mı?
Belçika Veri Koruma Otoritesi, geçmiş yıllarda da işten ayrılan çalışanların e-posta hesaplarının uzun süre kapatılmamasını GDPR ihlali olarak değerlendirmiş; bazı dosyalarda yalnızca kınama ile yetinilmeyip idari para cezası uygulanmasına da karar vermişti. Bu kararlar, Belçika’da eski çalışanlara ait e-posta hesaplarının yalnızca çok sınırlı ve gerekçeli bir süre açık tutulabileceği yönündeki yerleşik yaklaşımı pekiştiriyor.
Türkiye’de Durum Ne?
Türkiye’de KVKK ve Kurul kararları, eski çalışanlara ait e-posta hesaplarının süresiz ve gerekçesiz şekilde açık tutulmasına ilişkin açık bir yasak getirmese de, bu hesaplar üzerinden yapılan işlemlerin kişisel verilerin korunması ilkelerine uygun olması gerektiğini ortaya koyuyor. Yaklaşım, eski çalışanlara ait e-posta hesaplarının yönetiminin KVKK kapsamında değerlendirilebileceğini ve bu konuda işverenler açısından şikâyet ve yaptırım riski doğabileceğini gösteriyor.
