EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

İnşaat sektörü ile ilgili kararlar

PS/00052/2021

12/10/2022

Konu: Veri sorumlusu tarafından ”Veri Koruma Etki Değerlendirmesi” yapmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, Eski bir işçi, bir altyapı inşaat şirketini şikayette bulunarak, çalışanların çalışma saatlerini izlemek için biyometrik parmak izi tanıma sisteminin uygulanmasının uyumlu olup olmadığını kontrolünü talep etti.Şirket, bu sistemin kademeli olarak uygulanacağı konusunda işçilere daha önce bilgi verdiğini ve kişisel verilerin işlenmesi için çalışanlarının açık rızasını aldıklarını belirtti. Ayrıca şirket, parmak izinin tanınması ve dahili numarasının geri döndürülemez olması nedeniyle bu sistemin kişisel verilerin işlenmesini teşkil etmediğini ve parmak izi görüntüsünün kaydedilmediğini iddia etti. Şikayet üzerine şirket, biyometrik parmak izi kayıt sistemi yerine çalışanların kimlik kartlarını kullanan başka bir sistemle değiştirmeye karar verdi. Bu durumda, parmak izinin görüntüsünün saklanmamasına rağmen, parmak izine dayalı karma ve sayısal değerlerin, fiziksel özellikleri kaydeden ve bir veri öznesini bireysel olarak tanımlamak için kullanılabilecek şablonlara dahil edilmesinin, özel bir kişisel veri kategorisi olarak kabul edilmesi gerektiğin; biyometrik kayıt sisteminin kullanılmasının, hizmet ettiği amaca göre yeterli, gerekli ve orantılı olup olmadığını değerlendirmeye devam edildi. Veri Koruma Otoritesi tarafından p+C3armak izi tabanlı bir kimlik tanıma sistemini uygulamadan önce, şirketin aynı amaca ulaşmak için daha az müdahaleci bir önlem olup olmadığını değerlendirmesi gerektiğine karar verdi. Son olarak, şirketin biyometrik kayıt sistemini kimlik kartları kullanan daha az müdahaleci bir sistemle değiştirdiğini belirtti. Ancak Veri Koruma Otoritesi , düzeltici önlemler alınmış olmasına rağmen, şikayetin ihlal olmamış gibi arşivlenmemesi gerektiğini belirterek, şirkete GDPR ‘nin 35. maddesini ihlal ettiği gerekçesiyle ihtarname çekti.

Ceza: Ceza verilmemesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9445180

02/07/2020

Konu: Veri sorumlusunun eski çalışanı ilgili kişinin kurumsal postasına erişebilmesi ve güvenlik önlemlerini sağlamaması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu olan şirket eski bir çalışanının kurumsal mail adresini silmemiştir. İlgili kişi mail hesabındaki mesajlara erişmek ve hesabın kapatılmasını veri sorumlusundan talep etmiştir. Veri sorumlusu ilgili kişinin taleplerini karşılıksız bırakınca kişi İtalya Veri Koruma Otoritesi’ne şikayette bulunmuştur. Otoriteye göre, şirket, çalışanlarına, işten çıkarılmanın ardından e-posta hesabının yönetimi hakkında bilgi veren yeterli bir kurumsal güvenlik politikası sağlamadı. Daha spesifik olarak, çalışanın ayrılmasından sonra hesabı aktif tutmak ve e-postaları yöneticinin hesabına yönlendirmek hakkında hiçbir aydınlatma yapmadı. Ayrıca, Otorite, veri sorumlusunun, veri sahiplerinin erişim ve silme talebine zamanında yanıt verme yükümlülüğünü yerine getirmediğini tespit etti. Sonuç olarak Otorite veri sorumlusuna 15000 Euro para cezası vermiştir.

Ceza: 15.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?