e-Posta Adresine İzinsiz ve Hukuka Aykırı Olarak Erişilmesi
“İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti
Karar Tarihi |
: |
27/01/2020 |
Karar No |
: |
2020/59 |
Konu Özeti |
: |
İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişilmesi |
Kuruma intikal eden bir şikâyette, ilgili kişinin ortağı bulunduğu …….Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek, söz konusu hususlara ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- Şikâyet edilen veri sorumlusunun Genel Müdürünün aynı zamanda ilgili kişinin ortak olduğu …..Ltd. Şti’nin diğer ortağı ve yetkili müdürü olduğu,
- Ticari işlerin takip edilmesi için ortağı olduğu şirketin müdürü sıfatıyla söz konusu e-posta adresinin ilgili kişiye tahsis edildiği, ortağı olduğu şirkete ait işlemlerin ilgili kişi tarafından takip edilmekte olmasına rağmen ilgili kişinin gerçekleştirdiği işlem ve kayıtlar hakkında hiçbir bilgi vermemesi, genel kurul davetine de icabet etmemesi üzerine şirket Genel Müdürünün, ilgili kişinin gerçekleştirdiği işlemleri ve yazışmalarını bulmak amacıyla şirket e-posta sunucusundan şirkete ait info@şirketadı.com.tr e-posta adresinin yazışmalarına bakıldığı, Asliye Ticaret Mahkemesinin dosyasına konu ve şirket gelirlerinin suiistimaline ilişkin e-posta yazışmalarına, ilgili kişinin hesabına erişilmek suretiyle değil ilgili kişinin kendisinin talebiyle önceden dâhil edildiği e-posta hesabının sunucu yedeklerinden ulaşıldığı,
- E-posta ve eki kayıtları, yevmiye defteri ve fatura kayıtları ile şirketin gelirlerinin yatırıldığı banka kayıtlarının karşılaştırılması sonucunda, ilgili kişinin geçmiş yıllarda müdürlük görevini kötüye kullanarak şirket gelirlerinden bir kısmını muhtelif banka hesaplarına transfer ettiğinin tespiti üzerine Asliye Ticaret Mahkemesi nezdinde dava açıldığı,
- E-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu şirket genel müdürü hakkında, ilgili kişinin söz konusu e-posta hesabının izinsiz olarak ele geçirildiği ve söz konusu hesaptaki kişisel bilgilerinin tümünün alenileştirildiği ve başkaca kişilerle paylaşıldığı, böylece ilgili kişinin 6698 sayılı Kanun kapsamındaki haklarının açıkça ihlal edildiği yönünde Savcılığa yaptığı şikâyet başvurusuna ilişkin olarak, “şirket ortakları tarafından şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan maillerin kişisel içerik taşımayacağı, şirket serverlarından elde edilen bilgilerin hukuk ve ceza yargılamasına delil olarak sunulmasının suç teşkil etmeyeceği, müştekinin şirket iş ve işlemleri dışındaki kişisel verilerinin başkaca bir ortamda kullanıldığı, yayıldığı vb. bir iddiasının da bulunmadığı, yine şirket mail içeriklerinden özel hayatına ilişkin bilgi ve veri elde edildiğine dair bir iddiasının da bulunmadığı, iddia edilen suçların ise unsurları itibariyle oluşmadığı” gerekçesiyle kovuşturma yapılmasına yer olmadığına karar verildiği,
- Mülkiyeti, ortağı olduğu şirkete ait olan ve faturası şirket tarafından ödenen e-posta hesabının ilgili kişiye, şirkete ait işlemlerin takibi ile sözleşme ve ödeme işlemleri için tahsis edildiği ve kişisel bir e-posta hesabı olmadığı,
- İddia edildiği gibi, söz konusu şirket uzantılı e-posta adresine hukuka aykırı bir erişimin gerçekleşmediğinin gerek Asliye Ticaret Mahkemesinin gerekse Savcılığın kararları ile sabit olduğu ve “server yedek” kayıtlarından elde edilen e-postaların, ilgili kişinin müdürlükten azil, şirketi uğrattığı zararın tazmini ve ticari kayyım atanması talepli açılan davalarda delil olarak yalnızca Mahkemeye ve suç duyurusu esnasında da Savcılığa sunulduğu,
- İlgili kişinin, müdürlük yetkisinin tedbiren kaldırılması ve yerine yönetici kayyım atanması sonrasında söz konusu adresine erişildiği ve erişim ayarlarının değiştirildiği iddiasının gerçeğe aykırı olduğu ve Kurumu yanıltmaya yönelik olduğu; bu yöndeki iddianın Mahkeme ve Savcılık tarafından reddedildiği,
- İlgili kişinin söz konusu e-posta adresine ait tüm verilerin yedekleriyle kopyalarının silinmesi yönündeki talebinin, şirket mailini kullanarak şirket aleyhine işlemiş olduğu zarar doğurucu, şirket gelirlerini zimmete geçirme ve suç teşkil eden fiillerine ilişkin delilleri Mahkemede ortadan kaldırma, bu delilleri karartma, hukuken geçersiz kılabilme amacına dönük olduğundan reddedildiği ve bunun hukuka uygun olduğu,
- Şikayet edilen e-posta hesabının bulunduğu IP adreslerinin sahibi şirketin Kanun ve Türk Ceza Kanunu (TCK) uyarınca işlediği bir suç veya kabahatinin bulunmadığı, TCK’nın 26/1 maddesi gereğince, hakkını kullanan kimseye ceza verilemeyeceği; şikayet edilen şirket genel müdürünün, aynı zamanda ilgili kişinin ortak olduğu şirketin de ortağı ve yetkili müdürü olması sebebiyle, Türk Ticaret Kanununun 626 ncı maddesi hükmü uyarınca müdürlük görevini yerine getirebilmek ve şirket menfaatini korumak için şirkete ait sözleşme ve müşteri yazışmalarını denetlemek yükümlülüğünün bulunduğu, şirketin diğer müdürü olan ilgili kişinin hesap vermekten kaçınması üzerine, şirket uzantılı mail adresinin yedek kayıtlarının denetlenmesinin Kanuna ve hukuka uygun olduğu
belirtilmiştir.
İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/59 sayılı Kararı ile;
- Kanunun 4 üncü maddesinde kişisel verilerin işlenmesinde uyulacak genel ilkelerin, 5 inci ve 6 ncı maddelerinde de kişisel veriler ile özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği, bu çerçevede, ad, soyad, adres, telefon numarası, Türkiye Cumhuriyeti kimlik numarası, doğum tarihi gibi kişisel verilerin herhangi bir veri sorumlusu tarafından işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,
- Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ancak kişisel verilerin
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı
değerlendirmelerinden hareketle;
- Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.