EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2023/1321

2023/1321

03/08/2023

Konu: İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden şikâyete göre, ilgili kişi, eski ortağı olduğu veri sorumlusu Şirketten ayrılarak yeni bir şirket kurmuş, ancak eski ortağı olduğu döneme ait e-posta adresinin hala aktif olduğunu ve bu adres üzerinden gönderilen e-postaların okunduğunu tespit etmiştir. Bu durumun kendisi için haksız rekabet ve maddi zarara yol açtığını düşünen kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemlerin yapılmasını talep etmiştir. Yapılan inceleme sonucunda veri sorumlusundan alınan savunmada, ilgili kişinin ortaklıktan ayrılmasıyla e-posta adresinin kapatıldığı ve teknik olarak kullanılamaz hale getirildiği belirtilmiştir. Ayrıca, söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği ve iddialara rağmen bu e-postalarda kişisel veri bulunmadığı ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun değerlendirmeleri ışığında, ilgili kişinin eski e-posta adresine, şu anda pasif durumda olmasına rağmen, hala ileti gönderildiği tespit edilmiştir. Bu e-posta adresindeki veriler kişisel veri niteliğinde olup, ilgili kişinin işten ayrılmasına rağmen e-posta gönderiminin engellenmemesi sebebiyle tanımsız e-posta üzerinden iletiler görüntülenmeye devam edilmektedir. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi kapsamında bir dayanağa sahip olmadığı için, Kanun’un 18. maddesi uyarınca veri sorumlusuna idari para cezası uygulanması yönünde karar verilmiştir. Ayrıca, söz konusu sistemde işten ayrılan kişilere ilişkin kişisel veri işleme faaliyetinin sonlandırılması için düzenlemeler yapılması ve bu düzeltmelerin Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir. Şikayet konusu kişisel verilerin imha edilmesi de talep edilmiş ve bu yönde veri sorumlusuna talimatlandırma yapılmıştır.

Ceza: 50.000 TL idari para cezası verilmesi yönünde karar verilmiştir.

Kuruma intikal eden şikâyette özetle; ilgili kişinin daha önce ortağı olduğu veri sorumlusu Şirket’ten ayrılarak yeni bir şirket kurduğu, ancak veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği,  bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı, bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • Şirket genel kurul kararı ile ilgili kişinin ortaklıktan ayrıldığı, bu kapsamda ilgili kişinin e-posta adresinin de kapatıldığı, kapanan e-posta adresinin kullanılmasının teknik olarak da mümkün olmadığı,
  • Söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği, ticari e-posta adreslerinde personel sirkülasyonu (isim değişiklikleri) olduğu için, ön kısmında ne yazdığına bakılmaksızın silinen e-posta adreslerinin sonunda veri sorumlusu Şirket’e ait uzantı olduğu sürece söz konusu e-postaların  “tanımsız mail” olarak yönetici e-postasına düştüğü, söz konusu yönlendirmenin mail hizmeti sunan firma tarafından gerçekleştirildiği,
  • İddiaların aksine, şikayet konusu e-postalarda herhangi bir kişisel verinin yer almadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1321 sayılı Kararı ile;

  • Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin 1’inci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
  • Veri sorumlusu Şirket’ten ayrılmasından sonra ilgili kişinin, yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu Şirketin faaliyet alanı ile aynı işi yapmaya başladığı,
  • Bu süreçte ilk olarak, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,
  • İkinci olarak ilgili kişinin yeni firmasının bir çalışanının sehven eski e-posta adresine mesaj ilettiği, veri sorumlusu Şirket yetkilisinin bu mesaja yorumsuz bir e-postayla dönüş yaptığı,
  • Bu çerçevede her ne kadar veri sorumlusu; bahse konu e-posta adresinin kapanmış olduğunu, kendi şirketi nezdinde kullanılan e-posta adresleri arasında yer almadığını ve bu e-posta adresine gönderilen iletilerin “tanımsız mail” olarak yönetici e-postasına geldiğini ifade etse de, ilgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu minvalde ilgili kişinin işten ayrılmasından sonra e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesindeki herhangi bir işleme şartına dayanmadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,
  • Söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Şikayete konu kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?