26 Şub, 2021

[:tr]Emsal KVKK Kararları[:en]Equivalent KVKK Decisions [:]

[:tr]1. Anayasa Mahkemesi’nin, şirket eposta adreslerinin kullanımına ilişkin kararı.

T.C. Anayasa Mahkemesi’nin 5 Şubat 2021 tarihli Resmi Gazete’de yayınlanan 2018/31036 başvuru numaralı, 12.01.2021 tarihli kararı ile, tartışmalara konu olan şirket eposta adreslerinin kullanımına ve şirket tarafından bu hesaba müdahale sınırlarına dair açıklık getirilmiştir.

Anayasa Mahkemesi’ne bireysel başvuruda bulunan (“Başvurucu”), kurumsal eposta hesapları ile gerçekleştirdiği yazışmaların bilgilendirme yapılmadan ve rızası alınmadan incelendiğini, bu yazışmalara dayanılarak performans düşüklüğü nedeniyle iş akdinin haksız olarak feshedildiğini belirtmiştir. Bankanın eposta içeriklerini incelemesi ve Mahkemenin bu içerikleri hükme esas delil olarak kabul etmesi sonucu özel hayatına saygı ve haberleşme hürriyetinin ihlal edildiğini ileri sürmüştür.

Anayasa Mahkemesi, yaptığı incelemede, çalışan ile imzalanmış olan iş sözleşmesi kapsamında eposta hesaplarının yalnızca iş için kullanılacağı, banka tarafından denetlenebileceği, eposta adresinin amacına uygun kullanılması gerektiği, performans düşüklüğü veya başka işte çalışma yasağına uyulmaması halinde de iş akdinin feshedilebileceğinin açıkça düzenlendiğini görmüştür.

Her ne kadar normal şartlar altında çalışan kendisine tahsis edilmiş eposta hesabına müdahalede bulunulmayacağı yönünde makul bir beklentisi olsa da, iş sözleşmesindeki bu hüküm sebebiyle artık böyle bir beklentide olmaması gerektiği belirtilmiştir.

Anayasa Mahkemesi’nce ayrıca eposta hesabına yapılan müdahalenin, mahkemenin talebi doğrultusunda ve talep sınırları dahilinde kalınarak gerçekleştirildiği tespit edilmiş, bu sebeple herhangi bir hak ihlali bulunmadığı yönünde karar vermiştir.

2. Kişisel Verileri Koruma Kurulu’nun “İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası” hakkında 27/01/2020 tarihli ve 2020/59 sayılı Kararı

Şikayet eden tarafından, ilgili şirkete eposta hesabının ve içeriğinin silinmesi talebinin reddi üzerine Kişisel Verileri Koruma Kurumu’na şikayet hakkı kullanılmıştır.

Veri sorumlusu özetle, şikayet edenin kullandığı eposta adresinin şirket adına kayıtlı kurumsal eposta adresi olduğu ve bu adrese erişimin; şikayet edenin görevini ifa etmemesi ve kötü yönetimi sebebiyle gerçekleştirildiği, nihayetinde de, mahkemece bu kayıtlardaki kötüniyetli kullanımın tespit edildiğini, bu verilerin silinmesinin, yargı makamlarını yanıltmak ve delil karartmak sonucunu doğuracağı şeklinde savunmala yapmıştır.

Kurul ise bu doğrultuda;
Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin, “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise yine Kanun ilgili maddesi kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığı yönünde karar vermiştir.

3. Kişisel Verileri Koruma Kurulu’nun “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında 27/01/2020 tarihli ve 2020/66 sayılı Kararı

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

Kurul, yürüttüğü soruşturma neticesinde, meşru bir amaç için veri işlemesinin söz konusu olmadığı, Kanun 5. Maddesinde yer alan kişisel veri işleme şartlarının şikayete konu olayda bulunmadığı ve veri sorumlusu tarafından uygun güvenlik düzeyini temin etmek üzere tedbirlerin alınmadığı değerlendirilmiş ve 100.000TL idari para cezasına hükmedilmiştir.

4. Kişisel Verileri Koruma Kurulu’nun Yurtdışına Veri Aktarımı ile ilgili Taahhütname Başvurusu Hakkındaki Duyurusu

Bir veri sorumlusu tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.

Bu izin, Kurul tarafından verilmiş ve yayınlanmış olan ilk izin olmakla, bundan sonraki muhtemel izin taleplerinin karara bağlanması için bir yol açtığını ve bundan sonraki başvuruların makul sürelerde sonuçlandırılacağına dair bir ipucu vermektedir.

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en] 1.The decision of the Constitutional Court regarding the use of company e-mail addresses.

T.R. With the decision of the Constitutional Court published in the Official Gazette dated February 5, 2021 with the application number 2018/31036 and dated 12.01.2021, the use of the e-mail addresses of the companies subject to the discussions and the limits of intervention in this account by the company were clarified. 

The applicant (“the Applicant”), who made an individual application to the Constitutional Court, stated that the correspondence he made with his corporate e-mail accounts was examined without informing and without obtaining his consent, and that the employment contract was unfairly terminated due to poor performance based on these correspondences. He claimed that as a result of the bank’s examination of the contents of the email and the Court’s acceptance of these contents as the main evidence for the judgment, respect for his private life and freedom of communication were violated. 

In its examination, the Constitutional Court has seen that within the scope of the employment contract signed with the employee, it is clearly regulated that the e-mail accounts will only be used for business, can be audited by the bank, the e-mail address must be used for its purpose, and that the employment contract can be terminated in case of failure to comply with the impairment of performance or other prohibition of employment. 

Although the employee has a reasonable expectation that the email account assigned to him will not be intervened under normal conditions, it has been stated that he should not have such an expectation due to this provision in his employment contract. 

It was also determined by the Constitutional Court that the intervention made to the e-mail account was carried out in line with the request of the court and within the limits of the request, therefore it decided that there was no violation of rights. 

2.The Decision of the Personal Data Protection Board dated 27/01/2020 and numbered 2020/59 on the “allegation that the e-mail address used by the relevant person in the company of which he is a partner was accessed without permission and illegally”

Upon the rejection of the request by the complainant to delete the e-mail account and content of the relevant company, the right to complain to the Personal Data Protection Authority was used. 

The data controller briefly states that the e-mail address used by the complainant is the corporate e-mail address registered on behalf of the company and access to this address; He defended that it was committed due to the complainant’s failure to fulfill his duty and mismanagement, and ultimately the court determined the malicious use of these records, and that deletion of these data would mislead the judicial authorities and obfuscate the evidence. 

In this direction, the Board;
In order to protect the rights of the company of which the person is a partner, the personal data obtained from the server backup records of the said e-mail address, “…. Data processing is mandatory within the scope of establishment, use and protection of a right ”and the personal data processing activity carried out due to the lawsuit is considered to be within the scope of the relevant article of the Law, so there is no action to be taken regarding the said complaint. 

3.Decision of the Personal Data Protection Board dated 27/01/2020 and numbered 2020/66 on “The processing of the contact number of the relevant person by an electricity distribution company without any processing conditions”

In summary, in a complaint submitted to the institution; Informative SMS messages were sent to the contact number of the person concerned, on different issues related to several electricity subscriber numbers not belonging to him by an electricity distribution company, he did not want to receive information messages about the subscriptions, his contact number was deleted from the contact information of the contracts and the result of his application. Stating that an application was made to the data controller as much as the number of the subscriber number to be notified in writing, but that no action was taken and no response was made by the data controller within the scope of the application, however, the information message was still sent to the contact number, and the necessary action within the scope of the Personal Data Protection Law (Law) It has been requested to be 

As a result of the investigation conducted by the Board, it was evaluated that there was no data processing for a legitimate purpose, the personal data processing conditions included in Article 5 of the Law were not in the event subject to the complaint, and measures were not taken by the data controller to ensure the appropriate level of security, and an administrative fine of 100,000 TL was imposed. . 

4.Announcement of the Personal Data Protection Board on the Application for Undertaking for Data Transfer Abroad

The application of the Undertaking for the transfer of personal data abroad by a data controller was evaluated by the Personal Data Protection Board within the scope of subparagraph (b) of paragraph 2 of Article 9 of the Personal Data Protection Law numbered 6698, and the said data transfer was authorized by the Board on 09.02.2021.

This permission, being the first permission issued and published by the Board, gives a clue that it opens a way for the possible future leave requests to be decided and that the next applications will be concluded within reasonable periods. 

 [:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram