EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Eğitim sektörü ile ilgili kararlar

2021-32-2067

18/10/2021

Konu: Veri sorumlusu tarafından veri güvenliği için yeterli teknik ve idari tedbirin alınmaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından alınan bir başvuruda, lisede bulunan bir öğrencinin yapmış olduğu fazla devamsızlıkla ilgili bildirim mesajı başka bir öğrenciye atıldı ve bu mesaj öğrencinin tam adı, devamsızlığı ve disiplin cezasını içeriyordu. Lise ilgili mesajdan dolayı özür diledi ve diğer öğrenciden mesajın silinmesini istedi fakat okulda yayılan söylentilerden rahatsız olan ilgili kişi şikayette bulundu. Yapılan incelemeler sonucunda, lisenin gerekli teknik ve idari tedbiri almadığı, kişisel verilerin paylaşıldığına karar verildi.

Ceza: Ceza açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2020010355

04/05/2021

Konu: Veri sorumlusu tarafından kişisel verilerin yeterli güvenliğinin sağlanamaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma otoritesi tarafından alınan başvuru da, elektronik okul yönetim sisteminde bir denetleyici olan veri sorumlusu şirketin 424 çocuğu etkileyen veri ihlali sonucunda inceleme başlatılmıştır. Yapılan incelemeler sonucunda mentor sistemindeki teknik tedbir eksikliği nedeniyle yetkisiz bir tarafın birçok çocuğun kimlik numaraları ve resimleri hakkında bilgiye ulaştığı bildirilmiştir. Şirket, veri ihlalini farkettiği zaman okulları bilgilendirmiştir ancak öğrencileri etkilenmesine engel olamamıştır. Bir velinin hesabından elektronik okul yönetim sistemine erişildiği tespit edilmiştir. Söz konusu velinin amacı sistemin açıklarına dikkat çekmek olduğu yazılı olarak teyit edilmiştir. Velinin ifadesine göre çocukların resimleri dışında başka veri incelenmemiştir. Bir velinin diğer çocukların kişisel verilerini indirmesi sonucunda veriler, veri ihlali sebebiyle silinmiştir. Bunun yanı sıra şirket, öğrencilerin kimlik numaralarını yanlış okula göndermiştir. GDPR madde 5 ihlal edilmiş olup güvenlik ihlalinden etkilenen kayıtlı kişilerin kişisel verilerinin yeterli güvenliği sağlanamamıştır.

Ceza: 23.585 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9451734

09/07/2020

Konu: Veri sorumlusu okulun bünyesinde bulunan öğrencilerden bazılarının Özel Nitelikli Kişisel Verileri de dahil olmak üzere birtakım kişisel verilerini ifşalanması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu okul bulunduğu bölge tarafından finanse edilen bir projeye katılan ilgili kişi öğrencilerin kişisel verilerini içeren bir listeyi, web sitelerine yanlışlıkla yükledi. Bu liste, diğerlerinin yanı sıra mali durumları, engelleri ve yetersiz eğitim durumları ile ilgili bilgileri içeriyordu. Şikayet üzerine okul, listeyi yalnızca her öğrencinin aldığı puanı içeren yeni bir listeyle değiştirmiştir. İtalya Veri Koruma Otoritesi, okulun kişisel verileri yasa dışı bir şekilde yaydığını ve veri minimizasyonu, yasallık, adalet ve şeffaflık ilkelerini ihlal ettiğini savunuyor. Ayrıca, okulun bir kamu kurumu olarak yeterli bir yasal zemine dayanmadığını ve ifşalanan bazı bilgilerin Özel Nitelikli Kişisel Veri olduğunu tespit ettiler. Yasa dışı veri işleme işlemleri yanlışlıkla yapıldığından ve okul listeyi değiştirdiğinden İtalya Veri Koruma Otoritesi küçük bir para cezası verilmesine karar verilmiştir.

Ceza: 2.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9445324

02/07/2020

Konu: Veri sorumlusu okulun reşit olmayan ilgili kişilerin aşı olup olmadıkları bilgisini ve kişisel verilerini kamuya açık alanda ifşalaması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu İtalya’da bir okuldur. Veri sorumlusu okulun ön kapısına, reşit olmayan öğrencilerin isimlerinin, doğum tarihlerinin, ikamet adreslerinin, telefon numaralarının ve “aşı belgesi yok” ifadesini içeren listeler astı. İtalya Veri Koruma Otoritesinin yaptığı soruşturma sonrası okul bu eyleminin sağlık verilerinin işlenmesi olarak değerlendirilmesi gerektiği argümanını sunmuştur. Ancak “aşı belgesi yok” ifadesi kalemle yazılmış ve müdür tarafından bildirildiğinden dolayı aşı yükümlülüklerine fiilen uyan öğrencilerin gerçek durumunu yansıtmadığından, sağlık verilerinin işlenmesi olarak değerlendirilmedi. Müdür yanlış dağıtımı kabul ettiğinden ve listelerin kaldırılması ve personelin mahremiyet eğitiminin desteklenmesi gibi karşı önlemlerin alınmasını temin ettiğinden, küçük bir para cezası verilmesine karar verilmiştir.

Ceza: 2.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020031451

17/04/2020

Konu: Veri sorumlusunun kişisel verileri izinsiz üçüncü kişilerle paylaşması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir ilkokulda üç öğrenci arasında yaşanan kavgada bir öğrenci diğer iki öğrenciye zorbalık yaptı. Okulun yaptığı değerlendirme planında, diğer iki öğrenciye zorbalık yaptığına inanılan öğrenciye Eğitim Müdürlüğü tarafından ruh sağlığı teşhisi konulmuştur. İlkokul müdürü bu konularda üç çocuğun velileriyle iletişime geçtiğinde yanlışlıkla değerlendirme planını düzeltmeden göndermiş ve bu nedenle zorbalıktan şüphelenilen öğrencinin tıbbi teşhisi diğer taraflarca öğrenildi. Yönetici, bu hatanın e-postanın gönderildiği gün gerçekleştiğini fark etti ve veri ihlalini bildirmek için Veri Koruma Otoritesi ile iletişime geçti. Ayrıca, e-postanın alıcılarını bu veri ihlali konusunda bilgilendirerek, e-postayı dikkate almamalarını ve silmelerini istedi. Veri Koruma Otoritesi, veri ihlali bildiriminin o noktaya kadar yeterli olduğunu okula başka bir işlem yapmayacağını bildirdi. Ancak Veri Koruma Otoritesi , yeni gerçeklerin ortaya çıkması veya bu konuda şikayette bulunulması durumunda davayı yeniden açacağını bildirdi. Zorbalık yaptığı inanılan çocuğun ebeveynleri çocuklarının kişisel verisi izinsiz paylaşıldığı için şikayette bulundu. Veri Koruma Otoritesi şikayet sonucunda okulun bu verileri gereken uygun güvenlik seviyesinde işlememiş olmasının ayıplı olduğunu değerlendirerek okul aleyhine bir kınama yayınladı.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9283029

06/02/2020

Konu: Veri sorumlusunun bünyesinde çalışanların kadrosunu ve ilgili kişilere ait kişisel verileri yayınlaması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir lisedir. Veri sorumlusunun bünyesinde çalışan yaklaşık 1500 kişi ile ilgili kişisel verileri ayrıntılı bir şekilde web sitesinde yayınlaması üzerine yapılan şikayet neticesinde soruşturma başlatılmıştır. İtalya Veri Koruma Otoritesi, öğretim personelinin kişisel verilerinin ifşa edilmesinin yasallık, adalet ve şeffaflık ve “veri minimizasyonu” veri koruma ilkesine aykırı olduğunu tespit etmiştir. Garante ayrıca okulun sağlıkla ilgili verileri de yayınladığını tespit etti. Neticede veri sorumlusuna 4.000 Euro para cezası verilmesine karar verilmiştir.

Ceza: 4.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9283014

31/01/2020

Konu: Veri sorumlusunun, bünyesinde çalışan ilgili kişilerin kişisel verilerini ve sağlık durumlarına ilişkin verileri web sitesinde ifşalaması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir lisedir. Veri sorumlusu bünyesinde çalışmakta olan öğretmenlerin kişisel verilerini ve Özel Nitelikli Kişisel Veri olan sağlık verilerini web sitesinde ifşalamıştır. İtalya Veri Koruma Otoritesine yapılan şikayet neticesinde soruşturma başlatılmıştır. Veri sorumlusu okul resmi web sitesinde bazı öğretmenlere ait e-posta adresi, mali kod ve sağlık durumuyla ilgili bilgiler de dahil olmak üzere, öğretmenlerin kişisel verilerini orantısız miktarda yaydı. Ek olarak veri sorumlusu malul olan ilgili kişilerin isimlerinin yanına bir belirteç koymuştur. İtalya Veri Koruma Otoritesi, okulun şeffaflık amacıyla öğretmen listelerini yayınlama hakkına sahip olmakla birlikte, GDPR’ı ihlal edecek şekilde kişisel verilerin orantısız işlenmesini yapmaması gerektiğini açıkladı. Ayrıca, e-posta adresi, mali kod ve sağlık durumu gibi gereksiz bilgilerin yayılması, şeffaflık amacıyla kamu kurumları tarafından gerçekleştirilen verilerin çevrimiçi işlenmesine ilişkin Otorite tarafından yayınlanan yönergelerle uyumlu değildir. Sonuç olarak Otorite, yayılan verilerin miktarı ve hassasiyeti ile bir yandan da okulun kısıtlı bütçesi ve dava başlamadan belgenin silinmesi göz önünde bulundurarak veri sorumlusuna 4.000 Euro para cezası verilmesine karar verilmiştir..

Ceza: 4.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?