Romanya’da KVKK İhlali

Teknolojinin son hızla gelişmesi ve bunun bir sonucu olarak da insanların bilgilerini dijital ortamda paylaşması nedeniyle ulusal anlamda bilgi güvenliğini düzenleme ihtiyacı kaçınılmazdır. Bu ihtiyaca karşılık Genel Veri Koruma Tüzüğü (GDPR) düzenlenmiştir. GDPR, AB üyelerinin kişisel veri güvenliğini sağlamak amacıyla organizasyonların etkili bir gizlilik güvenlik yaklaşımıyla yeniden şekillenmesini sağlayan yasal düzenlemedir.

Daha önceki yazılarımızda British Airways ‘in Kişisel Verileri Koruma Kanunu ihlaline değinmiştik. Dünyanın her yerinde yaşanan ihlallerle ilgili yönümüzü bu sefer Romanya’ya çevirdik.

Entirely Shipping & Trading SRL işletmesi, çalışanların ofislerine, soyunma odalarına ve yemek odasına ses ve video gözetim kameralarını koyduğunu iddia eden bir şikâyet üzerine Ulusal Denetim Otoritesi tarafından bir soruşturma geçirmiştir. Şikâyet aynı zamanda yetkisiz girilmeyecek alanlara parmak izi sistemiyle giriş yapılabildiğini de içermektedir.

Soruşturma sonrasında;

İşverenin firmada kurulmuş olan video izleme sistemi ile ilgili haklı bir meşru menfaati kanıtlanamamıştır. İşverenin çalışanları için daha az müdahaleci çözümler sunması gereklidir. İşveren Güvenlik seviyesini sağlamak için kurduğu teknik ve organizasyonel önlemlerin veri koruma politikalarının varlığını riske attığı görülmüştür. Biyometrik verilerin erişim kontrol sistemi yoluyla işlenmesi uygun amaçlar için toplanmadığı gözlemlenmiştir.

Peki bu gemi ve nakliye firması hangi ihlallerden dolayı cezalandırılmıştır?

Genel veri işleme ilkelerine uymadığı ve GDPR madde 6-GDPR madde 7 ve Veri Koruma Yönetmeliğinin 13 Maddesini ihlal ettiğinden ilgili para cezasına çarptırılmıştır.

Operatör Entirely Shipping & Trading SRL şu şekilde cezalandırılmıştır:

• Çalışanlarının kişisel verilerini (imajını) faaliyet gösterdikleri ofislerde ve çalışanların yedek kıyafetlerini sakladıkları dolapların bulunduğu yerlerde (soyunma odaları) kurulan kamera sistemi için 5000 Euro.
•  Çalışanların biyometrik verilerini (parmak izlerini) işlediği içinde yine 5000 Euro para cezası almıştır.
•  Firma eski bir çalışanın kişisel verilerini elektronik posta yoluyla paylaşarak, onunla yapılan sözleşme ilişkisinin sona ermesinden sonra, şirketin faaliyetlerini yürütmek için yasadışı olarak işlemiş ve GDPR’nin 6. Maddesini ihlal etmiştir.

KVKK ile GPDR arasında ki farkları incelemek için tıklayabilirsiniz.

Ulusal Denetim Otoritesi bu ihlallerin bir daha yaşanamaması adına verilen ceza haricinde, firma için aşağıdaki düzeltici önlemleri uygulamıştır.

• “Verinin en aza indirilmesi” ilkesine saygı göstererek, video izleme faaliyetinde kişisel verilerin işlenmesi işlemlerinin uygunluğunu sağlamak için düzeltici önlem.
• “Verinin en aza indirilmesi” ilkesine uygun olarak, kişisel verilerin işlenmesi işlemlerinin erişim kontrolü faaliyetindeki uygunluğunun sağlanması için düzeltici önlem.
• Firma için bir güvenlik politikası geliştirerek ve risklere uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygulayarak kişisel veri işleme operasyonlarının GDPR hükümlerine uygunluğunu sağlamak için düzeltici önlem.

Romanya’da Kişisel Verileri Koruma ihlaline ilişkin 21 kayıt mevcuttur. Bu örnek olay incelendiğinde firmaların kamera sistemi uygulamasına geçerken, bunun sadece güvenlik amaçlı olarak kurulması gerektiğini hatırlamalıdırlar.

Kaynak – 1

Ek Bilgilendirme: Yazı içerisinde kullanılan görsellerin yazı içerisinde geçen bilgiler ile ilgisi yoktur.