6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel verilerin işlenmesinin genel ilkesi 'açık rıza'dır. Ancak kanunda öngörülen istisnai halleri ve bu hallerin işveren tarafından kurumsal e-posta denetimi bağlamında nasıl yorumlanabileceğini tartışınız.

KVKK uyarınca kişisel verilerin işlenmesi, kural olarak ilgili kişinin 'açık rızası'na tabidir. Ancak, Kanunun 5. maddesinde bu kuralın istisnaları belirlenmiştir. Bu istisnalar şunlardır: kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunma veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. İşveren tarafından kurumsal e-posta denetimi bağlamında, genellikle 'veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması' istisnası gündeme gelebilir. Ancak bu istisnanın uygulanabilmesi için işverenin meşru menfaatinin (örneğin işyerinin düzen ve güvenliğinin sağlanması, verimin düşmesinin önlenmesi) çalışanın temel hak ve özgürlüklerine (özel hayatın gizliliği, haberleşme özgürlüğü) zarar vermemesi gerekmektedir. Ayrıca, denetimin 'makul, sınırlı ve ölçülü' olması ve 'son çare' niteliğinde olması şarttır. KVKK, işlenenin amaçla bağlantılı, sınırlı ve ölçülü olması ile dürüstlük kuralına uygunluk ilkelerini de emreder. İşveren, denetleme amacını ve yöntemini şeffaf bir şekilde çalışanlara önceden bildirmelidir.