E-Mail Gizliliği ve KVKK (GDPR) Uyumluluğu

E-posta gizliliği, e-posta’ların aktarım sırasında veya bir sunucuda depolanırken güvende tutulması anlamına gelir. Bir e-posta gönderme işlemi, e-posta istemcileri, ISS’ler ve sunucular gibi birçok donanım ve yazılım sistemini içerir. Bu sistemler aracılığıyla işlenen e-posta’lar, çeşitli aşamalarda yetkisiz saldırılara açıktır.

Saldırganların e-posta’ları ele geçirmesini önlemek için işletmelerin gizlilik protokolleri olması gerekir. Bu protokoller işletmenin e-posta sistemine yerleşirse; istenmeyen e-posta, kimlik avı ve kimlik sahtekarlığı saldırıları önlenebilir.

E-Mail Gizlilik Yasası Nedir?

Gizlilik hem internette ve hem de e-posta yoluyla büyüyen bir endişedir ve e-posta gizlilik yasaları bunun bir parçasıdır. E-mail gizlilik yasaları, e-mail yoluyla iletilen verilerin gizliliğini yönetir. E-posta güvenliği, e-posta servis sağlayıcısına ve nasıl kurulduğuna bağlıdır. Genel bir yasal konu olarak, kişisel e-posta özel olmalıdır. Çoğu kişi e-posta’larının okunmadığına inanır, ancak insanlar e-posta’larını gizli tutma haklarının ihlal edildiğini hissettiklerinde e-posta gizlilik yasaları yürürlüğe girer.

Elektronik mahremiyete ilişkin bazı yasal ilkeler birçok ülkenin anayasalarında veya yasalarında yer almıştır. Bazen yazışmaların gizliliği yasaları olarak da bilinirler ve; mühürlü mektupların, telefon konuşmalarının, mobil ve elektronik iletişimlerin içeriğinin devlet yetkilileri veya herhangi bir üçüncü şahıs tarafından ele geçirilmeyeceğini garanti ederler. E-posta gizlilik yasaları bu şekilde insanların e-posta yoluyla özgürce iletişim kurmasına izin verir. Bu yasaların bir istisnası, suç faaliyetinden şüphelenilmesidir.

Örneğin, Amerika Birleşik Devletleri Anayasası, e-posta yazışmalarının bu tür gizliliğini garanti etmez. Bu nedenle kongre, 1986 yılında, bilgisayar veya diğer elektronik cihazları kullanan kişilerin gizlilik haklarına ilişkin hükümler koyan Elektronik İletişim Gizliliği Yasasını kabul etmiştir. Yasa, birisinin e-posta’lar da dahil olmak üzere elektronik iletişimin içeriğini okumasını veya ifşa etmesini suç haline getirir. Özünde, bu tür e-posta gizlilik yasaları, insanları e-posta’ları söz konusu olduğunda meydana gelen herhangi bir yasadışı faaliyetten korur. Fakat iş e-posta’ları ile ilgili gizlilik yasaları biraz farklıdır. Örneğin ABD’de, iş yerinde Elektronik İletişim Gizliliği Yasası’nın bir istisnası vardır. Kurumsal bir işveren, şirketin e-posta hizmeti aracılığıyla gönderilen veya alınan e-posta’ları okumasına izin veren şirket çapında kurallara sahip olabilir. Çoğu eyalet, işverenin bir çalışanın işyeri e-posta’sına bakma hakkını desteklemiştir. Kanada da işyerinde kullanılan kurumsal e-posta’larla ile ilgili benzer yasalar çıkarılmıştır.

Bununla birlikte, bir işverenin, çalışan e-posta’sını ticari amaçlar için değil de, özel amaçlar için izlediğini düşünmeye yönlendiren politikalar varsa, e-posta’ları izleme söz konusu olduğunda işverenin hakları sınırlı olabilir.

E-Mail Gizliliği ve GDPR Uyumluluğu

25 Mayıs 2018’de AB’de yürürlüğe giren GDPR (Genel Veri Koruma Yönetmeliği), insanlara kişisel bilgilerine kimlerin erişebileceği ve bu bilgilerin nasıl kullanıldığı konusunda daha fazla kontrol sağlamayı amaçlar. Örneğin, kişiler kendileriyle ilgili hangi bilgilerin saklandığını görebilir ve bu bilgilerin silinmesini isteyebilir.

GDPR, kişisel verilerin korunmasına ilişkin kural ve ilkeleri belirler. Bu ilkeler şirketlerin verileri toplama, depolama veya kullanma biçimine yöneliktir. E-posta veya e-posta pazarlamasına doğrudan vurgu yoktur. Ancak, bir şirketin posta kutusu, kişisel sayılabilecek birçok veri içerir: İsimler, e-posta adresleri, konuşmalar ve çok daha fazlası. Bu nedenle, bir e-posta, GDPR gereksinimleriyle uyumlu olması gereken değerli bir varlıktır. Bu, e-posta pazarlamasını, istenmeyen posta önleme etkinliklerini ve ayrıca e-posta şifrelemesini ve güvenliğini içerir.

E-Mail Gizliliği ve KVKK Uyumluluğu

GDPR’ye benzer şekilde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte işletmelerin ve organizasyonların müşteri verilerini toplama, saklama ve kullanma şekli kalıcı olarak değiştirildi.

Türkiye sınırları içinde yaşayan kişilerin, verilerinin korunmasına ilişkin kanuni çerçeveyi belirleyen ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanan kanun, en temel haliyle kişisel verilerin işlenebileceği, saklanabileceği ve aktarılabileceği koşulları ve veri sorumluları ile veri işleyenlerin yükümlülüklerini ortaya koyar.

E-mail gizliliğini de kapsayan KVKK yürürlüğe girmeden önce ülkemizde kişisel verilerin korunmasına ilişkin özel bir yasa yoktu. Verilerin korunması, Türk Ceza Kanunu’nun çeşitli hükümleri ile düzenlenmişti.

Şimdi ise KVKK’ya uyulmadığı takdirde, karşılaşılacak hukuki yaptırımlar aşağıdaki şekilde belirlenmiştir:

KVKK’nın 17. maddesinde, kişisel verilere ilişkin suçlarda 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümlerinin uygulanacağı belirtilmiştir.

a) Kişisel verilerin hukuka aykırı olarak işlenmesi durumunda, 1 yıldan 3 yıla kadar hapis cezası,

b) Yasadışı olarak veri sağlanması veya elde edilmesi yükümlülüğüne uymayanlara 2 ila 4 yıla kadar hapis cezası verilmesi,

c) Yasal olarak belirlenen sürede kişisel verilerin silinmesi yükümlülüğüne uymayanlara 1 ila 2 yıla kadar hapis cezası verilecektir.

KVKK’nın 18. maddesine göre, kişisel verilerini 7. maddeye aykırı olarak silmeyen veya anonim hale getirmeyenler, 5237 sayılı Kanunun 138. maddesine göre cezalandırılır.

a) 10. maddede belirtilen bilgilendirme yükümlülüğüne uymayanların 5.000 ila 100.000 TL lirasına kadar idarî para cezası ödemesi,

b) 12. maddede belirtilen veri güvenliğine ilişkin yükümlülüklere uymayanların 15.000 ila 1.000.000 TL idarî para cezası ödemesi,

c) 15. maddede belirtilen kurul tarafından verilen kararlara uymayanlara 25.000 ila 1.000.000 TL idarî para cezası verilmesi,

ç) 16. maddede belirtilen Veri Sorumluları Siciline kayıt ve bildirimde bulunma yükümlülüğünü yerine getirmeyenlere 20.000 ila 1.000.000 TL idarî para cezası verilir.