Kuruma intikal eden şikâyette özetle; 

• İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu, 
• Feshin geçersizliği ve istifaya zorlamak için uygulanan mobbing nedeniyle iş akdinin feshedildiği gerekçesiyle ilgili kişi tarafından işe iade davası açıldığı ve aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunulduğu, 
• Şirket tarafından verilen cevabın yeterli olmadığı, ilgili kişi işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, ayrıca bu durumun Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5’inci maddesine de aykırılık oluşturduğu, 
• Şirketin kendi yayınladığı iş sözleşmesi eki olan “Etik Kurallar ve Disiplin Yönetmeliği”ne de aykırı davrandığı, İş Kanunu’nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği, 
• e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulmaya çalışıldığı, “Bilgi Formu ve Muvafakatname” başlıklı belgenin 2. ve 3. sayfalarının başka belgelerden alındığı, dipnotu İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı, 
• Bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı, muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı 

ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

• İlgili kişinin şirket bünyesinde “Pazarlama ve İç İletişim Yöneticisi" olarak görev yaptığı ve iş akdinin haklı sebeple feshedildiği, tamamı ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiği, ayrıca bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığı ve yine kurumsal e-posta adresinden ilk olarak kişisel e-posta adresine sonra da üçüncü kişiye ait e-posta adresine ilettiği, şirketin bu eylemden denetim esnasında haberdar olduğu,
• İlgili kişinin gerek gizlilik ve kişisel verilerin korunması mevzuatına dair bilgilendirilmiş bir yönetici olması gerekse de uzun yıllardır çalışma hayatının içinde yer alması sebebiyle anılan işlemlerin hukuka ve etik kurallara aykırı olduğunu bilecek konumda olduğu, kendisinin işveren nezdinde, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilerine hukuka aykırı olarak erişilmesini engellemek; kişisel verilere, üçüncü kişiler tarafından erişilmesini ve paylaşılmasını da engelleyerek güvenli bir şekilde korunmasını sağlamak; kişisel verilerin üçüncü bir tarafla paylaşılması gereken süreçlerde gerek Kanun gerekse Kişisel Veri Koruma Politikası ile şirket tarafından belirlenen diğer ilke ve kararlar uyum hususunda azami özeni göstermek ve olağan iş akışı dışında değerlendirilebilecek şüpheli paylaşımları şirket içinde ilgili birimlere bildirmek hususunda görevlendirdiği kişi konumunda olduğu, 
• İlgili kişinin bahse konu davranışının mevzuat hükümlerine, iş sözleşmesine, kişisel verilerin korunmasına ve gizlilik taahhütlerine, doğruluk borçlarına aykırılık teşkil ettiği ve iş akdinin haklı nedenle feshedildiği, ilgili kişinin iş akdinin feshi üzerine şirket aleyhine işe iade davası ikame ettiği,
• Kurumun ilgi yazısında dava dosyasına sunulan eklerin sayfalarının aldatma kastı ile değiştirildiği gibi yakışıksız bir iddianın öne sürüldüğü belirtilmekte ise de şirketlerinin bu gibi bir davranışa tevessül etmesinin mümkün olmadığı, bu iddianın ilgili kişinin ekleri fiziken karıştırmasından kaynaklandığını umdukları,
• İlgili kişinin kişisel verilerinin hukuka aykırı işlendiğine yönelik iddialarına ilişkin cevaplar ile işlemenin esasına, amacına ve hukuki sebeplerine ilişkin olarak; ilgili kişinin, ticari verileri havi kaydı şirket hakimiyet alanı dışına çıkarmak ve başka bir çalışanın ses kaydını izinsiz şekilde kayda alıp kendi şahsi e-posta hesabı ile üçüncü bir kişiye aktarmak şeklinde gerçekleşen hukuka aykırı tutumunu bastırmak ve hukuki ihtilafta lehine delil yaratmak adına, şirketlerinin bu olaya vakıf olma durumunu sorgulamakta olduğu,
• Buna karşın şirketlerinin ilgili kişinin verilerini otomatik olan ve/veya olmayan yöntemlerle işlemek suretiyle ilgili kişi aleyhine hiçbir dönem hukuka aykırı bir ihlal gerçekleştirmediği, nitekim şirketlerinin çalışanlarının mevzuata, şirket politikalarına, gizlilik yükümlülüklerine, bilgi güvenliği prosedürlerine, disiplin hükümlerine riayet ettiğini izlemek ve denetlemekle hem yetkili hem de görevli olduğu, mevcut çalışanları arasındaki ilişkileri gözetmek ve tüm çalışanlarının kişisel haklarını korumakla mesul olduğu, şirketlerinin iletişim sistemlerinin ve ekipmanlarının kullanımının, kurumsal e-posta hesabı üzerinden gerçekleştirilen yazışmaların güvenliğinin sağlanması, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebileceği hususunda ilgili kişinin, Çalışanlara Ait Kişisel Verilerin İşlenmesine Dair Politika, Çalışan Aydınlatma Metinleri ve muhtelif iç düzenlemeler kapsamında müteaddit kereler bilgilendirildiği,
• Şirketlerinin mahrem bilgi ve sırları hakkında bilgi edinme olanağına sahip, bu bilgileri kendi veya rekabet gücü bulunan farklı bir firma adına ekonomik bir değer olarak kullanabilecek duruma gelen çalışanlarına getirilen gizlilik yükümlülüklerinin şirket iç düzenlemelerinde ve ikili sözleşmelerde yer aldığı, bu düzenlemelere uyumun şirketlerinin ticari mevcudiyetini koruması, hizmet hacmi ve piyasadaki rekabet gücünde telafisi imkânsız zararların oluşmaması yönünden hayati önem taşıdığı,
• Şirketleri tarafından çalışanlarına zimmetli bilgisayar ve kurumsal e-postaların kullanımında hukuka ve işverenin haklı menfaatlerine uygun davranılması gerektiği, bu gerekliliğe paralel hükümlerin E-Posta Güvenliği Politikasında, Bilgi ve Yazılım Alışverişi Politikasında, Kabul Edilebilir Kullanım Politikasında düzenlendiği, tüm bu iç düzenlemelerinin çalışanların erişimine de açık halde tutulduğu,
• Nitekim, Kurulun da şirket sunucularından şirket e-posta hesabı üzerinden gerçekleştirilen yazışmalara erişim sağlanmasında hukuka aykırılık görülmediğine dair kararlarının mevcut olduğu ve bunlarda; "şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan e-postaların kişisel içerik taşımayacağının" vurgulandığı,
• Bu kapsamda iç düzenlemelere uyumun had safhada önem arz ettiği, şirket bilgilerinin, özel kalıp tasarımlarının şirket dışına aktarımı ve e-posta iletişim politikalarına uygunluğu kapsamında kişi bazında e-posta hesaplarının, şirket dışı iletişimleri ve aktarımlarının denetlenmesi yönünde örneklem tekniğiyle incelendiği, bu denetim sırasında çalışan kurumsal e-posta hesabı - çalışan şahsi e-posta trafiğinde şikayetçinin gerçekleştirdiği aktarım şüpheli görülerek, iki adet e-posta gönderisinin içeriğine girildiği ve netice ile mağaza bilgilerinin ilgili kişiye ait kurum e-posta adresinden ilgili kişinin kişisel e-posta adresine iletildiği ve şirket çalışanı ile gerçekleştirilen telefon görüşmesi kaydının yine kurumsal e-posta adresinden ilgili kişinin kişisel e-posta adresine ve üçüncü bir kişiye aktarıldığına dair bulguların elde edildiği,
• Kurumsal e-posta hesabının denetimine dair veri işleme faaliyetinin 6698 sayılı Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan; "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve (f) bendinde yer alan "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" veri işleme şartlarına dayalı olarak gerçekleştirildiği ve Kanun’un ilgili maddelerindeki şartları sağlayan bu işleme faaliyeti için açık rıza alınmasını gerektirir hallerin istisnası kapsamında kaldığı, kaldı ki elde edilen bulgu ve olası sonuçlarının da, işleme faaliyetinin şirketlerinin haklı menfaatlerini korumak adına belirli, açık ve meşru bir amaç dahilinde gerçekleştirdiğini ortaya koyduğu kanaatinde oldukları,
• Şirket çalışanlarının e-posta adresleri üzerinde hangi işleme faaliyetlerinin, hangi veri işleme şartına dayalı olarak gerçekleştirildiği hususuna ilişkin olarak; güvenlik, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebildiği, bu işleme faaliyetine ilişkin çalışanlarına aydınlatma gerçekleştirildiği ve yine yukarıda bahsedilen muhtelif yollarla kurumsal e-postaların şahsi kullanımından kaçınılması gerekeceği, bu e-postaların denetlenebileceği hususunda bilgilendirme sağlandığı,
• Ayrıca bu denetim esnasında şüpheli olmayan yazışmaların içeriğinin tetkik edilmediği, sadece içerdiği anahtar kelimeler ve ekler uyarınca hassas görülen yazışmaların incelendiği, Kurumsal Denetim Aktivite Raporunun Teknoloji birimi/unvanlı Bilgi Güvenliği Teknoloji eğitimi almış çalışanları tarafından gerçekleştirildiği ve denetim talebinin doğrudan şirket üst yönetiminden gelmesinin öncelikli koşul olduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/86 sayılı kararı ile; 

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
• İlgili kişinin şikâyet dilekçesinde; veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin ve veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddialarının mevcut olduğu,
• İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği,
• 17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, bu kararlarda özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceğine ilişkin değerlendirmelere yer verildiği, bu bağlamda, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken; işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, iletişimin bir kısmı veya tamamının mı izlendiği, izlemenin zaman açısından sınırlı olup olmadığı, sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği, her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı,
• Uluslararası Çalışma Örgütü’nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu,
• Madde 29 Çalışma Grubu’nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği; izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği,
• Veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kuruma intikal ettirilen Yazılım Alışverişi Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Bilgilendirme, E-Posta Güvenliği, Pazarlama ve İç İletişim Yöneticisi Görev Tanımları, Taahhütname başlıklı metinler incelendiğinde; e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği, hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan  hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiş olduğu,
• Öte yandan, ilgili kişi tarafından aydınlatma ve açık rıza metinlerinde veri sorumlusunun yanıltıcı bir şekilde evrakları karıştırarak sunduğu iddiasına ilişkin olarak veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğu,
• E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak; veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu’nun 25’inci maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıklayamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunduğu,
• Veri sorumlusunun e-posta denetimi aracılığıyla ulaşılması istenen amaç ile orantılı bir kişisel veri işleme faaliyetinde bulunup bulunmadığı ve söz konusu denetim gerçekleşmeksizin veri sorumlusunun amacına ulaşıp ulaşamayacağı hususlarına ilişkin olarak; veri sorumlusu tarafından Kuruma intikal ettirilen Bilgi Güvenliği Yönetim Sistemi Kurumsal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğinde veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıslar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği dolayısıyla  söz konusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği,
• Veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddiasına ilişkin olarak; e-posta denetimi aracılığıyla elde edilen kişisel verilerin yukarıda yapılan değerlendirmeler çerçevesinde fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı, bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
• Öte yandan, İş Kanunu'nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü süreler geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu iddiaları ile ilgili olarak; İş Kanunu’nun “Derhal fesih hakkını kullanma süresi” başlıklı 26’ncı maddesinde “24 ve 25 inci maddelerde gösterilen ahlak ve iyiniyet kurallarına uymayan hallere dayanarak işçi veya işveren için tanınmış olan sözleşmeyi fesih yetkisi, iki taraftan birinin bu çeşit davranışlarda bulunduğunu diğer tarafın öğrendiği günden başlayarak altı iş günü geçtikten ve her halde fiilin gerçekleşmesinden itibaren bir yıl sonra kullanılamaz.” hükmünün yer aldığı, söz konusu maddede yer alan sürelerin fesih hakkının kullanılmasına ilişkin olarak düzenlenmiş süreler olduğu, e-posta verilerinin saklanması hususu ile ilgisinin bulunmadığı, e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı 

değerlendirmelerinden hareketle;

• İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirildiği,
• Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
• E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
• İlgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığı,
• E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı

hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,

Veri sorumlusu tarafından somut olayda yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına,

E-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı, bu kapsamda, ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddialarının yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.