EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2022/861

2022/861

01/09/2022

Konu: İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının veri sorumlusu bir pazarlama şirketi tarafından açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine ticari elektronik ileti gönderdiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı dikkate alınarak veri sorumlusu şirket hakkında 150.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına karar verilmiştir.

Ceza: 150.000 TL İdari Para Cezası Verilmiştir.

Kuruma intikal eden dilekçede özetle; ilgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine kampanya, reklam vb. içerikli e-posta gönderildiği, ilgili kişi tarafından veri sorumlusuna ait e-posta adresine başvuruda bulunularak iletişim bilgilerinin ve kimlik bilgilerinin nereden ve nasıl temin edildiğinin sorulduğu, tarafına reklam/kampanya içerikli e-postaların gönderilmemesinin, kişisel verilerinin imha edilmesinin ve imha edilen bilgiler hakkında tarafına bilgi verilmesinin talep edildiği ancak veri sorumlusu tarafından verilen cevapta sadece e-posta adresi ve bilgilerinin kayıtlardan silindiğinin belirtildiği, verilerinin nereden temin edildiğine ilişkin herhangi bir bilgi verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu şirketten savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirketlerinin avukat büroları için yazılımlar ürettiği ve pazarladığı, avukatlık bürolarına tanıtım faaliyetlerinde bulunmak için avukatlık bürolarında çalışan avukatların e-posta adreslerinin internet arama motorlarında yapılan aramalardan temin edildiği, burada bulunan bilgilerden kişinin sadece isim, çalıştığı büro adı ve e-posta adresi bilgilerinin sistemlerine kaydedildiği,
  • Pazarlama içerikli e-postanın 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesinde yer alan “Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir” hükmüne dayanılarak gönderildiği, ilgili e-postanın kişinin mesleği ile ilgili bir yazılım ürününün tanıtımı amaçlı olduğu,
  • İlgili kişiye gönderilen e-postanın sonunda e-posta listesinden çıkılmasının talep edilebileceğine ilişkin “Bu E-Posta ile rahatsızlık verdiysek özür dileriz. E-Posta Listemizden Çıkmak için Tıklayınız” şeklinde bir metin ve bağlantının bulunduğu, ilgili kişinin bu bağlantıyı kullanarak firmaya talepte bulunduğu ve ilgili kişinin e-posta adresinin kayıtlardan silindiği, bünyelerindeki avukatlık büro adresleri ve kişisel verilerin başka hiçbir tüzel kişiliğe aktarılmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 01/09/2022 tarihli ve 2022/861 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
  • Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • İlgili kişinin kişisel verilerinin Kanuna aykırı olarak işlendiği iddiası bakımından yapılan incelemede; Karar tarihi itibariyle arama motorlarında yapılan araştırmada, avukat sorgulamasına ilişkin hizmet veren çeşitli internet sitelerinde yer alan ilgili kişinin e-posta adresinin şikayet edilen adresten farklı olduğu, şikayete konu e-posta adresine internet ortamında erişilememiş olmakla birlikte şikayete konu olayın gerçekleştiği tarihte, veri sorumlusu tarafından belirtilen büroda çalıştığı ve veri sorumlusu tarafından bahse konu e-posta adresinin internet arama motorlarından temin edildiğinin beyan edildiği dikkate alındığında, şikayete konu e-posta hesabının da şikayet tarihinde internet arama motorları üzerinden herkesin erişimine açık olacak şekilde alenileştirildiği kanaatine varıldığı,
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğu, ancak ilgili verinin alenileştirilmiş olmasının diğer bir ifadeyle kamuya açık hale getirilmiş olmasının bu kişisel verilerin her türlü amaç için işlenebileceği anlamına gelmediği, ancak alenileştirme amacıyla bağlantılı ve amaçla sınırlı olarak işlenebileceği, şikayete konu somut olayda ise ilgili kişinin iş e-posta adresinin avukatlık mesleğine yönelik yapılacak iletişimler kapsamında aleni hale getirildiği, pazarlama/reklam amacıyla yapılacak işlemlere ilişkin bir alenileştirme iradesini içermediği,
  • Diğer taraftan, veri sorumlusunun avukat olan ilgili kişinin e-posta adresini 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesinde yer alan “Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir” hükmüne istinaden reklam amaçlı ileti göndermek suretiyle işlediğini belirtmesine karşın, 1136 sayılı Avukatlık Kanunu’nun “Avukatlıkla birleşemeyen işler” başlıklı 11’inci maddesinde “Aylık, ücret, gündelik veya kesenek gibi ödemeler karşılığında görülen hiçbir hizmet ve görev, sigorta prodüktörlüğü, tacirlik ve esnaflık veya meslekin onuru ile bağdaşması mümkün olmayan her türlü iş avukatlıkla birleşemez” hükmüne yer verilerek avukatların ne esnaf ne de tacir sıfatıyla hareket edemediği belirtildiğinden avukat olan ilgili kişiye bu hükme dayanılarak onay alınmaksızın ticari ileti gönderilemeyeceği,
  • Dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunması sebebiyle Kanun’un 12’nci maddesinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davrandığı,
  • Veri sorumlusu tarafından ilgili kişiye verilen yanıtın yetersiz olduğu iddiası bakımından yapılan incelemede; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 6’ncı maddesinin, “(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir… (5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” hükmünü haiz olduğu, veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta sadece kişisel verilerinin silindiği yönünde bilgi verildiği ancak ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki diğer bilgi taleplerinin yanıtsız bırakıldığının tespit edildiği,
  • Veri sorumlusunun ilgili kişiye ve Kuruma ilettiği cevap yazılarında ilgili kişiye ait ve sistemlerinde kayıtlı olan kişisel verilerin sistem kayıtlarından silindiğini beyan etmesine karşılık silmeye ilişkin tevsik edici herhangi bir belge ibraz etmediği

değerlendirmelerinden hareketle;

  • İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı, veri sorumlusunun ilgili kişinin kişisel verilerinin Kanunda yer alan işleme şartları kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu kanaatine varıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına; diğer taraftan ilgili kişiye başvurusunda talep ettiği hususlara ilişkin olarak açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici (KEP Delili, e-posta ekran görüntüsü veya APS alındısı niteliğindeki) belgeyle birlikte Kuruma bilgi vermesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu tarafından Kuruma sunulan cevabi yazıda, ilgili kişinin talebi üzerine ilgili kişiye ait e-posta adresinin kayıtlardan silindiği bilgisi verilmekle birlikte silmeye ilişkin tevsik edici herhangi bir belgenin yazı ekinde sunulmadığı ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından; veri sorumlusunun, ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi ve buna ilişkin kayıtların Kuruma iletilmesi gerektiği yönünde talimatlandırılmasına

karar verilmiştir.

Kararı Paylaşın

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?