EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Eğitim sektörü ile ilgili kararlar

2023/1461

24/08/2023

Konu: Bir eğitim kurumu tarafından kamera vasıtası ile görüntü ve ses kaydı alınması neticesinde Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu, muhatap cevap yazısında, okulun genel kullanımına açık alanlarda Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca görüntü ve ses kaydı alındığını belirtmiştir. Ancak, ilgili mevzuat incelendiğinde, görüntü kaydı alınabilecek yerlerin sınırlı olduğu ve belirli bazı yerlere kamera yerleştirilmesinin yasaklandığı tespit edilmiştir. Bu yasaklamaların sadece görüntü kaydına yönelik olduğu ve ses kaydını meşru kılan özel bir hüküm olmadığı ifade edilmiştir. Metinde, kameralar aracılığıyla alınan görüntü kaydının her durumda meşru bir gereklilik oluşturmadığı vurgulanmıştır. Görüntü kaydının alınmasını gerektiren sebebin, kişilerin temel hak ve özgürlükleri ile çatışması durumunda üstün tutulan bir menfaate işaret etmesi gerektiği belirtilmiştir. Ayrıca, ses kaydının alınmasıyla ilgili olarak da, kişisel verinin işlenmesi açısından meşru bir menfaatin olup olmadığı, çatışan menfaatlerin varlığı ve meşru menfaatin dahi ölçülü olup olmadığının değerlendirilmesi gerektiği ifade edilmiştir. Veri sorumlusunun bir eğitim kurumu olarak faaliyet gösterdiği ve öğrencilerinin okul öncesi, ilk ve orta öğretim öğrencileri olduğu belirtilmiş, güvenlik ve iş sağlığı güvenliği amaçlarının bir arada düşünüldüğünde kamera aracılığıyla görüntü kaydının meşru, ölçülü ve amaçları gerçekleştirmeye elverişli bir işleme faaliyeti olduğu savunulmuştur. Ancak, bu durumda ses kaydının alınmasına gerek olmadığı ve ses kaydının fazladan veri işlemesiyle ilgili olarak özel hayatın gizliliği ve kişisel verilerin korunması haklarına zarar verebileceği ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun 2019/78 sayılı Kararı referans alınarak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali değerlendirilmiştir. Bu bağlamda, kamera ile görüntü kaydı alınmasının güvenlik amacıyla uygun olduğu ancak ses kaydının aynı gerekçeyle uygun olmadığı belirtilmiştir. Ses kaydının, ilgili kişilerin makul beklentilerinin ötesinde olduğu ve genel olarak güvenlik gerekçesiyle kamera kaydının yapıldığı koşullarda aşırı bir müdahale olduğu vurgulanmıştır.

Sonuç olarak, veri sorumlusunun ses kaydı alma uygulamasının Kanun’a uygun olmadığı ve bu nedenle hukuka aykırı olduğu sonucuna varılmıştır. Bu doğrultuda, ses kaydı alınmasında herhangi bir meşru sebep bulunmaması, aydınlatma yükümlülüğünün yerine getirilmemesi ve Kanun’un hükümlerine aykırı davranılması nedeniyle toplamda 230.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ilgili kişilerin veri sorumlusuna başvurularına erişememesi ve sorularının yanıtlanmaması nedeniyle veri sorumlusuna talimatlandırma yapılmıştır. İlgili kişilerin başvurularının etkin, hukuka uygun ve süresi içinde sonuçlandırılması için veri sorumlusuna hatırlatma yapılmıştır.”

Ceza: Kanun’un 12. maddesinin birinci fıkrasına aykırı davranış nedeniyle 200.000 TL idari para cezası ile Kanun’un 10. maddesine aykırılık nedeniyle 30.000 TL idari para cezası uygulanmış ve toplam ceza miktarı 230.000 TL’ye ulaşmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/799

12/08/2021

Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/572

09/06/2021

Konu: İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafın yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü, ilgili kişinin kişisel verilerinin silinmesini veri sorumlusundan talep ettiği, bahse konu fotoğrafın aktif olarak kullanılmadığı, fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusunun veri sorumlusunun ‘‘Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’’ ve KVKK’nın 15’inci maddesinin (5) numaralı fıkrası gereği gerekli dikkat ve özeni göstermesi hususunda talimatlandırılmasına; veri işleme faaliyetlerinin revize edilmesi gerektiği yönünde de bilgilendirilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/227

11/03/2021

Konu: Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmiş, veri sorumlusuna yaptığı başvuruda ise yasal süre içerisinde yanıt alamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle olayda uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği, veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?