EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"E-Posta" etiketli kararlar

2023/1321

03/08/2023

Konu: İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden şikâyete göre, ilgili kişi, eski ortağı olduğu veri sorumlusu Şirketten ayrılarak yeni bir şirket kurmuş, ancak eski ortağı olduğu döneme ait e-posta adresinin hala aktif olduğunu ve bu adres üzerinden gönderilen e-postaların okunduğunu tespit etmiştir. Bu durumun kendisi için haksız rekabet ve maddi zarara yol açtığını düşünen kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemlerin yapılmasını talep etmiştir. Yapılan inceleme sonucunda veri sorumlusundan alınan savunmada, ilgili kişinin ortaklıktan ayrılmasıyla e-posta adresinin kapatıldığı ve teknik olarak kullanılamaz hale getirildiği belirtilmiştir. Ayrıca, söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği ve iddialara rağmen bu e-postalarda kişisel veri bulunmadığı ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun değerlendirmeleri ışığında, ilgili kişinin eski e-posta adresine, şu anda pasif durumda olmasına rağmen, hala ileti gönderildiği tespit edilmiştir. Bu e-posta adresindeki veriler kişisel veri niteliğinde olup, ilgili kişinin işten ayrılmasına rağmen e-posta gönderiminin engellenmemesi sebebiyle tanımsız e-posta üzerinden iletiler görüntülenmeye devam edilmektedir. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi kapsamında bir dayanağa sahip olmadığı için, Kanun’un 18. maddesi uyarınca veri sorumlusuna idari para cezası uygulanması yönünde karar verilmiştir. Ayrıca, söz konusu sistemde işten ayrılan kişilere ilişkin kişisel veri işleme faaliyetinin sonlandırılması için düzenlemeler yapılması ve bu düzeltmelerin Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir. Şikayet konusu kişisel verilerin imha edilmesi de talep edilmiş ve bu yönde veri sorumlusuna talimatlandırma yapılmıştır.

Ceza: 50.000 TL idari para cezası verilmesi yönünde karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/928

01/06/2023

Konu: Bir üniversite tarafından ilgili kişilerin kişisel ve özel nitelikli kişisel verilerinin yer aldığı belgenin e-posta ekinde üçüncü kişilerle paylaşılması

Kararı Paylaşın

Karar Özeti:

Bir üniversitede çalışan personelin kendisi ve diğer pek çok personelin isim, e-posta, telefon ve PCR test sonuçlarını içeren Excel dosyası rektör tarafından bir kısım personele e-posta aracılığıyla iletilmiş. Şikayet üzerine Kurum inceleme başlatmıştır. İncelemede, e-postayı alan personellerin bilgisi paylaşan kişilerin amirleri olmadığı dolayısıyla herhangi bir kontrol amaçlı gönderilmediği, tamamen ilgisiz kişilerle verilerin paylaşıldığı ortaya çıkmıştır. Üniversite tarafından yapılan savunmada dosyanın sehven gönderildiği söylense de şikayet eklerindeki ekran görüntüleri incelendiğinde dosyanın sehven değil, bilinçli olarak eklendiği görülmüştür. Kanunun 5 ve 6. maddeleri işleme şartlarına uyulmadan ihlal edilmiştir. Kamu kurumu olması sebebiyle ceza verilmemiş, sorumlu kişiler adına disiplin soruşturması başlatılması talep edilmiştir.

Ceza: Kamu tüzel kişisi olduğu için ceza verilmemiştir. Disiplin soruşturması başlatılmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/67

12/02/2023

Konu: Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet yazısında özetle; Veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, şirket vekilinin ilgili kişinin şahsi vekili olmadığından bahisle yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, gönderim yapılan e-posta adresi şikayetçiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan açık rıza beyanının geçersiz olduğu,veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği, daha sonraki tarihlerde yapılan işlemlerde veri sorumlusu tarafından şikayetçiye e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı belirtilmiştir. Kurul yapmış olduğu inceleme sonucunda şikayete konu yanlış e posta adresinin ilgili kişi talebi üzerine hemen değiştirilmesine imkan sağladığı için veri sorumlusunun özen yükümlülüğünü yerine getirdiğine, kişilerin iletişim bilgilerini belirli periyotlara güncel tutmadığı için veri sorumlusunun uyarılmasına, Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/86

19/01/2023

Konu: Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma ilgili kişi tarafından iletilen şikayette özetle ilgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine aktarılması ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınıp kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu belirtilmiştir. Aynı zamanda İşe başlarken şirket tarafından imzalatılan iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza şeklinde olduğu, şirketin e-posta içeriklerini izlediği, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulduğu belirtilmiştir. Veri sorumlusunun şikayete ilişkin cevabi yazısı ve Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin imzalamış olduğu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiğine, e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde sayılan işleme şartları kapsamında gerçekleştirildiğine, e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesi hususunda herhangi bir hukuka aykırılık bulunmadığı değerlendirilmiş olup veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığu hususunda somut bir emareye ulaşılmadığına, ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına ve e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması konusunda Kanun’a aykırılık bulunmadığına, bu kapsamnda ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddiaların yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1072

07/10/2022

Konu: İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette özetle; İlaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edilidiğine ilişkin veri sorumlusuna başvurduğu ve e-posta adresinin ecza depoları vasıstasıyla elde edildiği ifade edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusuna 50.000 TL İdari Para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/925

08/09/2022

Konu: İlgili kişinin e-posta adresine, başka abonelere ait e-faturaların gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin, kendi e-posta adresine bir başka aboneye ait e-faturaların iletilmesi ile ilgili 2019 yılında veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurumu’na ilk şikayetinde bulunduğu, bu şikayete istinaden veri sorumlusuna Kişisel Verileri Koruma Kurulu tarafından idari para cezası uygulanmasına karar verildiği ve veri sorumlusu kişisel verilerin korunmasına ilişkin gerekli tedbirlerin alınması adına talimatlandırıldığı belirtilmiştir. İlgili kişi daha sonra bir başka abonenin e-faturalarının da kendisine iletilmeye başladığını ifade etmiştir. Kurul, veri sorumlusunun Kanun’un 12. maddesinin 1 numaralı bendindeki “gerekli teknik ve idari tedbirleri alma” yükümlülüğünü yerine getiremediğine, buna istinaden yapılan talimata rağmen bir abonenin e-faturalarını ilgili kişiye göndererek söz konusu yükümlülüğün ihlaline devam ettiğine, bunun yanında ilgili kişinin e-posta adresini bir başka abonenin kullanabilme ihtimalinin ancak e-posta adresleri için uygulanabilecek bir doğrulama mekanizması olmaması durumunda mümkün olmasının, veri sorumlusunun kişisel verileri korumak adına alması gereken teknik tedbirleri almadığını açıkça gösterdiğine ve “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiğine kanaat getirmiş, 200.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 200.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/902

02/09/2022

Konu: İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma yapılan bir şikayette özetle veri sorumlusu şirketle herhangi bir etkileşime geçilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rıza onayı alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği ve veri sorumlusunun ilgili kişiden özür dileyerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun yapılan yanlışın fark edilmesi üzerine iptal işlemini başlattığı fakat bazı müşterilere kısa mesaj gitmesine engel olamadığını beyan edildiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aukırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikayet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili veri ihlal bildiriminde bulunmadığı da dikkate alınarak 30.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 30.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/853

01/09/2022

Konu: Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma tarafından incelenen ilgili kişi şikayetinde özetle; veri sorumlusu olan yasal bahis platformuna hiç kayıt olmamış olmasına rağmen veri sorumlusu tarafından ilgili kişiye, içinde ilgili kişinin kişisel verilerinin bulunduğu bir e-posta iletildiği ve hemen arkasından gelen ikinci bir e-posta ile “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği, İlgili kişinin talebi üzerine e-posta adresinin kayıtlı olduğu üyelikten kaldırıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun ilgili kişinin kişisel verisi olan e-posta adresini Kanun’da öngörülen herhangi bir hukuki şarta dayanmaksızın işlendiğine, bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini Kanun’da sayılan herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına ve şikâyete konu olayda asıl üyenin kişisel verilerinin şikâyetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili Kanun gereği ilgili kişilere ve Kurula bildirim yapılması gerektiği husunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: 250.000 TL İdari Para Cezası Uygulanmasına Karar Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/861

01/09/2022

Konu: İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının veri sorumlusu bir pazarlama şirketi tarafından açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine ticari elektronik ileti gönderdiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı dikkate alınarak veri sorumlusu şirket hakkında 150.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına karar verilmiştir.

Ceza: 150.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/774

03/08/2022

Konu: Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 120.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 41234

Türkçe dilinde GDPR karar özetlerini görmek ister misin?