EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Okul sektörü ile ilgili kararlar

2020031243

07/04/2021

Konu: Veri sorumlusunun kişisel verileri izinsiz paylaşması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir ilkokul çalışanın, anlaşmasının sona erdiği bir danışmanlık şirketine, şikayet eden kişinin çocuğunun kişisel bilgilerini ve zorbalık davasına ilişkin hassas bilgilerini içeren e postanın, veri sahibinin rızası olmadan göndermesi hakkında şikayet aldı. Okula göre, şirketin e-postasını yanıtlayan çalışan, şirketle olan işbirliğinin sona erdiğinden haberdar değildi ve bu nedenle iletişiminde iyi niyetliydi. Buna rağmen ilkokul, şikayetçilerden özür diledi. Veri Koruma Otoritesi, okulla işbirliği sona erdikten sonra, okulun şikayetçinin çocuğuyla ilgili kişisel bilgileri danışmanlık şirketine iletme yetkisinin bulunmadığını değerlendirdi. Okulun, şikayetçinin çocuğunun davasına dahil olan tüm çalışanların şirket ile işbirliğinin sona erdiği konusunda bilgilendirilmesini sağlamadığı için okulun davranışını kınadı.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-00608

13/01/2021

Konu: Veri sorumlusu tarafından, kişisel verilerin ilk toplanma amacı dışında çocukların ebeveynlerinin e-posta adreslerinin kamuya açıklanması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından yapılan inceleme sonucunda; veri işleyen tüm velilere, bu ebeveynlerin tüm e-posta adreslerinin Blind Carbon Copy (BCC) yerine Carbon Copy (cc) olarak göründüğü bir bülten gönderdi. Veri sahibi daha sonra, veri işleyen bu önlemleri uyguladıklarını söyledikten sonra bile, CC’deki e-posta adreslerini içeren e-postalar göndermeye devam ettiklerini iddia etmesi üzerine veri işleyen, velilerle işleme faaliyetinin hukuka uygunluğu kapsamında sözleşmeden doğan gereklilik temelinde iletişim kurarak iletişim bilgileri olmadan okulun velilerle iletişim kurması mümkün olmadığından özgür bir seçim olmadığını belirtmiştir. Veri Koruma Otoritesi daha sonra, amacın asıl amaçla uyumlu olması durumunda, iletişim bilgilerinin başlangıçta işlenenden farklı bir amaç için işlenmesinin mümkün olduğunu ve bu Sözleşmede meşru amaca uygun işlemeye dayanmanın mümkün olup olmadığını değerlendireceğini belirtti. Ancak, Veri Koruma Otoritesi; sadece okulla ilgili iletişim bilgilerini verdikleri için bunun velilerin makul beklentileri dahilinde olmadığını belirterek diğer ebeveynlerin bu ilişkiye dahil olmadığını, bu nedenle amaçların bağdaşmadığına karar vermiştir. Her kişisel veri işlenmesi yasal bir temele dayanması gerektiğinden, amaçla bağdaşmayan bu işleme yasa dışıdır. Veri Koruma Otoritesi, tüm ebeveynlere aynı anda ulaşmanın meşru bir menfaat olarak hizmet edebileceğini kabul etse de bu amaca ulaşmak için kullanılan araçların gerekli olmadığını ve posta adreslerini görünür kılmamak için basit bir teknik önlem mevcut olduğunu belirtti. Yukarıda belirtildiği gibi, velilerin makul beklentileri, diğer velilerle değil, okulla olan ilişkilerindedir. Bu nedenle, ABAD’ın üç kümülatif şartı olan veri işleyen tarafından izlenen meşru menfaat, veri işlemenin gerekliliği ve ilgili kişinin temel hak ve özgürlüklerinden meşru menfaat harici diğer gereksinimler yerine getirilmemiştir. Veri sorumlusu hakkında, kişisel verilerin toplanma amacı dışında bir amaca yönelik olarak yapılması yönünden işleme, işleme faaliyetinin hukuka uygunluğu kapsamında ihlal tespit edilmiştir. Ayrıca, veri sorumlusu hakkında herhangi bir para cezası uygulanmadı ve veri sorumlusu işlemeye devam ettiği için, kınama ve 3 ay içinde uyum için gerekli tedbirlerin uygulanması için açık talimat verildi.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-03499

16/06/2020

Konu: Veri sorumlusunun veri minimizasyonu ve şeffaflık ilkelerine aykırı olarak bir öğrenci grubuna ebeveynlerinin rızası olmadan anket sunarak verileri işlemesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir okul yönetim kurulu Smartschool sistemi aracılığıyla birinci sınıf öğrencilerine bir “”sağlık”” anketi göndermiştir. Veri sahibi, anket hakkında bilgi eksikliği olduğu, ebeveyn izninin gerekli olduğu, işleme için veri minimizasyonu uygulanmadığı (öğrencilere zorbalık, öğrenciler ve durumları, kimlik bilgilerinin anonimleştirilmediği iddiası) ve veri sorumlusunun bir veri koruma etki değerlendirmesi yapması gerektiği, ancak yapmadığı iddia etmiştir. Okul kurulu cevaben, yeterli bilgi verildiğini, reşit olmayan veri öznelerinin ve ebeveynlerinin rızasının, başka bir yasal dayanağın (gerekli bir yasal dayanak için işleme) geçerli olması nedeniyle işleme için gerekli olmadığını, özel bir kişisel veri kategorisi işlenmediğini, gelecekteki anketler veri minimizasyonu ilkesine saygı göstereceğini iletmiştir. Veri sorumlusu, ayrıca okulun gelecekte velileri ve öğrencileri anketin amacı hakkında daha iyi bilgilendirmesini sağlamak için bir mektup göndermeyi teklif etmiştir. Veri işlenmesinde ilgili kişinin işlemeye yönelik spresifik rıza vermesi gerekliliği kapsamında, anketin olayların meydana geldiği tarihte 13 yaşından küçük bir öğrenciye sunulması nedeniyle, işlemenin yalnızca spesifik rıza uyarınca yasal olacağını değerlendirmiştir. Ancak veri sorumlusu, işleme faaliyetine yasal yükümlülüğe uygunluk sağlanması amacı ile dayandığından işleme faaliyeti hukuka aykırıdır.
Bu nedenle Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından koşullar da geçerlidir: Veri Koruma Otoritesi, ebeveyn sorumluluğu sahibinin iznini gerektiren kriterler karşılandığından, yani öğrenci 13 yaşın altında olduğundan (Belçika’da işleme için rıza yaşı) bu maddenin uygulanmasına karar vermiştir. Smartschool aracı bir bilgi toplumu hizmetidir ve veri sorumlusu bu ebeveyn iznini alamadığından, ayrıca bu maddenin ihlal edildiğine karar verilmiştir. Veri Koruma Otoritesi, olayların gerçekleştiği sırada anketin anonim bir biçimde sunulmasının bir yolu olmasına rağmen veri sorumlusunca verilerin anonimleştirilmemesi sebebiyle veri minimizasyonu ilkesi gereğince ihlal tespit etmiştir. Veri Koruma Otoritesi, veri sorumlusu başarısız olduğu için öğrencilerin ilgili kişinin bilgilendirilme hakkı gerekliliği doğrultusunda yeterince bilgilendirildiğini göstermediğinden veri sorumlusunu hukuka uygunluk, adalet ve şeffaflık kapsamındaki sorumluluklarını yerine getirmediğine karar vermiştir.

Ceza: 2000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020010382

05/03/2020

Konu: Veri sorumlusunun verileri güvenli şekilde işlenmesi için yeterli teknik bilgiye sahip olmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma otoritesi tarafından alınan başvuruda, bir okulda, önceki öğrenciler hakkında hassas bilgiler ve yapılan görüşmeler hakkında bilgi içeren belge, bir öğretmen tarafından yanlışlıkla yeni öğrencilere gönderilmiştir.Veri Koruma Otoritesi, kişisel verilerin GDPR ‘da bulunan ilkelere uygun olarak işlenmesi gerektiğini vurguladı. Buna ek olarak, GDPR’nin 32. Maddesinin, kişisel verilerin güvenli bir şekilde işlenmesini sağlamak için yeterli teknik ve organizasyonel önlemleri uygulama gerekliliğini bildirdi.

Ceza: 9000 EURO para ceza verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?