Kişisel Verileri Koruma Kurulu (“Kurul”), şikayetçi ilgili kişinin (“Şikayetçi”) ortağı olduğu limited şirket (“Limited Şirket”) bünyesinde kullandığı @şirketadı.com.tr uzantılı, kişisel verilerini de içeren kişisel e-posta hesabına izinsiz ve hukuka aykırı erişim sağlanması; erişim ayarlarının değiştirilmesi; söz konusu e-posta hesabındaki tüm verilerin silinmesi ve kaldırılmasına ilişkin talebin e-postanın bağlı olduğu IP adreslerinin sahibi olan veri sorumlusu (“Veri Sorumlusu”) tarafından reddi hakkındaki şikayetine (“Şikayet”) ilişkin 27.01.2020 tarihli ve 2020/59 sayılı kararı (“Karar”) verdi.
Veri Sorumlusu şirket, kendisinden istenilen savunma çerçevesinde, (i) Veri Sorumlusu şirketin Genel Müdürünün aynı zamanda Limited Şirketin ortağı ve yetkili müdürü olduğu, (ii) mülkiyeti Limited Şirkete ait olan e-posta hesabının Şikayetçinin kişisel hesabı olmadığı, şirkete ait işlemler için tahsis edilen bir hesap olduğu, (iii) Asliye Ticaret Mahkemesinin ve Savcılığın kararları ile sabit olarak söz konusu şirket uzantılı e-posta adresine erişimin hukuka aykırı olarak gerçekleştirilmediği, (iv) yedek sunuculardan erişilen e-postaların sadece açılan davalarda delil olarak Mahkeme ve suç duyurusu esnasında Savcılığa sunulduğu, (v) Şikayetçinin e-posta hesabına erişildiği ve erişim ayarlarının değiştirildiği iddialarının gerçekten uzak olduğu ve bu iddiaların Mahkeme ve Savcılık tarafından reddedildiği, (vi) Şikayetçinin e-posta hesabına ait tüm verilerinin, yedeklerinin ve kopyalarının silinmesi isteminin delil karartma amacı taşımasından ötürü reddedildiğini, (vii) Veri Sorumlusu şirketin Genel Müdürünün, 6102 sayılı Türk Ticaret Kanunu’nun 626. maddesi uyarınca müdürlük görevini yerine getirebilmek doğrultusunda şirket uzantılı e-posta adresinin yedek kayıtlarını denetlemesinin hukuka uygun olduğunu belirtmiştir.
Kurul, Şikayetçinin Şikayeti, Veri Sorumlusunun savunması ve ilgili mevzuat hükümlerini incelemesi sonucu, (i) 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. maddesinin 2. fıkrasının (e) bendi kapsamında bir hakkın tesisi, kullanılması ve korunması amacıyla işleme yapıldığı, (ii) kişisel veriler kullanılarak Asliye Ticaret Mahkemesinde dava açılması suretiyle kişisel veri işlenmesinin KVKK’nın 28. maddesinin 1. fıkrasının d bendi kapsamına uygun olduğu ve (iii) söz konusu tespitlerinin ardından Şikayete ilişkin KVKK kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.
Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.
