"İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi" hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1321 sayılı Karar Özeti
Karar Tarihi | : | 03/08/2023 |
Karar No | : | 2023/1321 |
Konu Özeti | : | İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi |
Kuruma intikal eden şikâyette özetle; ilgili kişinin daha önce ortağı olduğu veri sorumlusu Şirket’ten ayrılarak yeni bir şirket kurduğu, ancak veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği, bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı, bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;
- Şirket genel kurul kararı ile ilgili kişinin ortaklıktan ayrıldığı, bu kapsamda ilgili kişinin e-posta adresinin de kapatıldığı, kapanan e-posta adresinin kullanılmasının teknik olarak da mümkün olmadığı,
- Söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği, ticari e-posta adreslerinde personel sirkülasyonu (isim değişiklikleri) olduğu için, ön kısmında ne yazdığına bakılmaksızın silinen e-posta adreslerinin sonunda veri sorumlusu Şirket’e ait uzantı olduğu sürece söz konusu e-postaların “tanımsız mail” olarak yönetici e-postasına düştüğü, söz konusu yönlendirmenin mail hizmeti sunan firma tarafından gerçekleştirildiği,
- İddiaların aksine, şikayet konusu e-postalarda herhangi bir kişisel verinin yer almadığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1321 sayılı Kararı ile;
- Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin 1’inci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
- Veri sorumlusu Şirket’ten ayrılmasından sonra ilgili kişinin, yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu Şirketin faaliyet alanı ile aynı işi yapmaya başladığı,
- Bu süreçte ilk olarak, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,
- İkinci olarak ilgili kişinin yeni firmasının bir çalışanının sehven eski e-posta adresine mesaj ilettiği, veri sorumlusu Şirket yetkilisinin bu mesaja yorumsuz bir e-postayla dönüş yaptığı,
- Bu çerçevede her ne kadar veri sorumlusu; bahse konu e-posta adresinin kapanmış olduğunu, kendi şirketi nezdinde kullanılan e-posta adresleri arasında yer almadığını ve bu e-posta adresine gönderilen iletilerin “tanımsız mail” olarak yönetici e-postasına geldiğini ifade etse de, ilgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu minvalde ilgili kişinin işten ayrılmasından sonra e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesindeki herhangi bir işleme şartına dayanmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,
- Söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- Şikayete konu kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.