POLONYA VERİ KORUMA KURULU, ÖĞRENCİLERİN KİŞİSEL VERİLERİNİN İŞLENMESİYLE İLGİLİ KINAMA CEZASI UYGULADI

08.09.2020

Polonya Kişisel Verileri Koruma Kurulu (“UODO”) Başkanı, 2019/2020 öğretim yılında bir okul tarafından yapılan anketle bağlantılı olarak öğrencilerin kişisel verilerinin yasal dayanak olmaksızın işlenmesi sebebiyle bir okula kınama cezası verdi. Cezaya konu olan “Öğrencinin ev ve okul durumunun teşhisi" başlıklı ankette öğrencilerin kişisel durumları incelenmişti.

Anketle bağlantılı olarak; okul öğrencilerinin isimleri, soyadları, velileri, derse katılımları, aile durumları, velilerinin ölümüne ilişkin bilgileri, velilerin (ebeveynlerin) ayrılması, eğitimleri ve mesleki durumları, evdeki kişi sayısı, mali durum, sağlık durumu ve velilerin (ebeveynlerin) bağımlılıkları, barınma durumu ve sosyal yardımlar hakkındaki bilgileri işlenmiştir. Öğrencilerin kişisel verilerinin işlenmesi, bu verilerin toplanması, depolanması ve imha edilmesi hakkındaki süreçleri içermektedir.

UODO'nun denetimi sırasında, söz konusu anketin ilkokul 7., 8. ve lise sınıflarında psikolojik desteğe ihtiyaç duyan öğrencileri belirlemek için yapıldığı tespit edilmiştir. Anket okul müdürünün talimatı üzerine sınıf öğretmenleri tarafından kâğıt formlar doldurularak gerçekleştirilmiştir.

İnceleme bulgularına göre, anketlerde yer alan kişisel veriler elektronik ve telekomünikasyon sistemlerine kaydedilmemiş veya işlenmemiştir. Öğretmenler topladıkları anketlerin herhangi bir taramasını veya kâğıt kopyasını almamışlar ve anketlerle ilgili kişisel verileri içeren başka ek belgeler doldurmamışlardır. Anketin iade edilen tüm kopyaları resmi bir komisyon tarafından imha edilmiştir. Bununla birlikte, inceleme tarihi itibariyle öğrencilerin kişisel verileri artık hiçbir şekilde işlenmemekte ve bu verilerin yetkisiz ifşa edilme olasılığı tamamen ortadan kaldırılmaktadır.

Okul, kişisel verilerin veri sahibinin kişisel verilerinin yasal, adil ve şeffaf bir şekilde işlenmesi kuralını çiğneyerek veri işlemenin hukuka uygunluğu ilkesini ihlal etmiştir. Söz konusu ilke, GDPR'ın 6 (1) (c) maddesinde düzenlenmiştir. Buna göre; işlemenin yasallığı ancak ne ölçüde bir işlemenin yapılacağı ve veri sorumlusunun tabi olduğu yasal yükümlülüklerin açık şekilde belirlenmesi ile mümkün olacaktır.

Ebetteki bir kamu kurumu olarak okul, kişisel verileri kanunun kendisine verdiği görevler kapsamında işleyebilmektedir. Ancak, Eğitim Kanunu'na göre, okullar kişisel verileri bu düzenlemelerden kaynaklanan görev ve yükümlülüklerin yerine getirilmesi için gerekli olduğu ölçüde işlemekle yükümlüdür. Eğitim kurumlarının işleyişini düzenleyen yasal düzenlemeler, bahsedilen aykırılıklarla birlikte veri işlenmesini haklı kılmamaktadır.

UODO Başkanı, somut olayın yerleşik koşullarında, kınama cezasının yeterli olduğunu düşünerek ihlalin kasıtsız niteliğini hafifletici neden olarak kabul etmiştir. Ayrıca okul müdürü tarafından bir dizi düzeltici önlem alınmasını da göz önünde bulundurmuştur. Örneğin; anket formlarının imha edilmesi, personelin kişisel verilerin korunmasına ilişkin konularda farkındalıklarını artırmak için eğitimlerin düzenlenmesi ve olayın analizini yapabilmek için kişilerin hak ve özgürlüklerine yönelik risklerin göz önünde bulundurularak öğrenciler arasında anket yapılması bunlardan bazıları olarak sayılmıştır. Ek olarak anket kağıtları derhal imha edildiğinden, mevcut olayın koşullarına göre, veri sahiplerinin olay nedeniyle zarara uğradıklarını düşünmek için bir neden de bulunmadığı ifade edilmiştir.

 

İlgili haberin İngilizce metnine buradan ulaşabilirsiniz. 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr