Karar Özeti: Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.
