Eğitim Uygulaması Kullanımında DPIA Yürütülmediği İçin Ceza

Okul Eğitim Uygulaması

Share This Post

Datatilsynet, Ålesund Belediyesi’ne okulların eğitim uygulaması için bir DPIA yürütememesi nedeniyle 50.000 NOK para cezası verdiğini duyurdu.

DPIA yürütülmediği için ceza verildi. Norveç Veri Koruma Otoritesi (‘Datatilsynet’) 24 Mart 2021’de Ålesund Belediyesi’nin daha önce gerekli Mahremiyet Etki Analizi (DPIA) yapmadan iki okul tarafından eğitimi günlüğe kaydeden ve kullanıcıların verilerini kendi veya başkalarının eğitim günlükleriyle analiz etmesine ve karşılaştırmasına olanak tanıyan bir eğitim uygulamasının (Strava) kullanımı için 50.000 NOK (yaklaşık 5.000 €) para cezası verdiğini duyurdu. (‘DPIA’) Datatilsynet özellikle, okulların öğrencilerin telefonundan indirilmesi zorunlu olan, öğretmenlerin öğrencilerin gerekli ödevleri tamamlamalarını izlemelerini sağlamak için kullandığını belirtti. Buna ek olarak, Datatilsynet, bu tür bir uygulamanın kullanımının konum takibi yaptığı, özel nitelikli kişisel veri kategorilerinin işlenme olasılığının bulunduğu ve sistematik izlemeyi gerektirdiğini ve bu nedenle kullanımdan önce bir DPIA’nın gerekli olduğunu vurguladı. Ayrıca Datatilsynet, Belediyenin bir DPIA yürütememesinin yanı sıra, belirli uygulamaların indirilmesi ve kullanılmasıyla ilgili risk değerlendirmesi için belirli prosedürler oluşturmadığını tespit etti.

Bu karar, özel nitelikli kişisel verilerin işlenmesi, konum takibi ve sistematik izleme yapılması durumunda DPIA gerekliliğinin dikkate alınması gerektiğini göstermektedir.

Datatilsynet’in veri ihlaline dair ceza uygulayıp uygulamaması gerektiğine ilişkin değerlendirmesinde aşağıdaki faktörlere özellikle vurgu yapılmıştır:

  1. İlgili eylemin niteliği, kapsamı veya amacı ile etkilenen veri sahiplerinin sayısı ve uğradıkları zararın boyutu dikkate alınarak ihlalin niteliği, ciddiyeti ve süresi,
  2. İhlalin kasıtlı olarak mı yoksa ihmal yoluyla mı işlendiği,
  3. Veri sahiplerinin uğradığı zararı sınırlamak için veri denetleyicisi veya veri işleyicisi tarafından alınan her türlü önlem,
  4. Madde 25 ve 32 uyarınca uyguladıkları teknik ve organizasyonel önlemleri dikkate alarak veri sorumlusu veya veri işleyenin sorumluluk derecesi,
  5. Veri sorumlusu veya veri işleyen tarafından daha önce işlenmiş olan konuyla ilgili ihlaller,
  6. İhlali gidermek ve ihlalin olası olumsuz etkilerini azaltmak için denetim makamı ile işbirliği derecesi,
  7. İhlalden etkilenen kişisel veri kategorileri,
  8. Denetim makamının ihlalin farkına varma şekli, özellikle veri sorumlusu veya veri işleyenin ihlali bildirip bildirmediği ve eğer öyleyse ne ölçüde bildirdiği,
  9. Madde 58 (2)’de atıfta bulunulan tedbirler, aynı konu ile ilgili olarak ilgili veri sorumlusuna karşı veya veri sorumlusunu ilgilendirecek şekilde daha önce alınmışsa, bu tedbirlere uyulması,
  10. 40. madde uyarınca onaylanmış davranış standartlarına veya 42. madde uyarınca onaylanmış sertifikasyon mekanizmalarına uygunluk,
  11. Durumda başka herhangi bir ağırlaştırıcı veya hafifletici faktör, örn. İhlalin bir sonucu olarak doğrudan veya dolaylı olarak elde edilen mali menfaatler veya önlenen kayıplar.

Duyuruyu buradan ve kararı buradan okuyabilirsiniz. Her ikisi de sadece Norveççe olarak mevcuttur.

Kaynak: https://www.dataguidance.com/news/norway-datatilsynet-fines-%C3%A5lesund-municipality%C2%A0nok

Sizin için ilgilini çekebilecek birkaç içerik; Clubhouse Uygulaması Hakkında İnceleme Başlatıldı

More To Explore