İsveç’te Verilen İlk GPDR Cezası
İsveç Veri Koruma Otoritesi (DPA), bu yılın başlarında Skelleftea Belediyesine ait devlet okulu yönetim kuruluna yönelik bir denetim başlattı.
Basında çıkan haberlerde, Yönetim kurulu yüz tanıma teknolojisiyle üç hafta boyunca 22 öğrenciyi izleyerek sınıfa giriş zamanını tespit etmeyi içeren bir deneme yapmışlardı. Kurul, bu teknolojiyi standart bir prosedür olarak uygulamayı düşünmüş. Amaç, işlemleri daha da kolaylaştırmak ve genellikle ders başına 10 dakika sürecek bir görev olan sınıf sicilinin alınmasını otomatikleştirmeye çalışmaktı. Kurul, daha sonrasında sınıf sicilini alarak otomatikleştirmenin okula her yıl 17.280 saat katkısı olacağını iddia etmiştir.
GPDR ve KVKK karşılaştırması ile ilgili detayları için tıklayınız.
Peki Anderstop Lisesinde uygulanan Yüz Tanıma Yazılımı neleri içeriyordu?
İsveç’te Verilen İlk GPDR Cezası Nedir?
Biyometrik veriler, öğrencilerin yüzlerinin fotoğrafları ve tam isimleri şeklinde kameralar tarafından toplanıyor. Bilgi, kilitli bir dolapta saklanan, internet bağlantısı olmayan yerel bir bilgisayarda saklanıyordu. Velilerden açık rıza alan okul yönetimi bu şekilde devam edebileceklerini düşündü. Hatta Anderstorp Lisesi’nin müdürü Jorgen Malm, SVT’ye bu teknolojinin “oldukça güvenli” olduğunu söylemiştir.
Velilerden izin alınması ve teknolojinin yaratacağı katkılara rağmen bu okul neden İsveç’in ilk GDPR (Genel Veri Koruma Yönetmeliği) cezasını almıştır?
Geçen yıl yürürlüğe giren Genel Veri Koruma Yönetmeliği, yüz görüntülerini ve diğer biyometrik bilgileri özel bir veri kategorisi olarak sınıflandırmakta ve kullanımına kısıtlamalar getirmektedir. Bunu biraz daha detaylandırırsak;
GPDR 5. Maddenin İhlali: Amaç Sınırlaması ve Veri Minimizasyonu
GDPR’nın 5. maddesi, kişisel verilerin belirli, açıkça belirtilmiş ve meşru amaçlar için toplanacağını ve daha sonra bu amaçlarla uyumlu olmayan bir biçimde kullanılmayacağını belirtir (amaç sınırlaması).
Bu maddeye istinaden DPA, kullanımın öğrencilerin mahremiyetine izin vermediğini belirtti. Ayrıca, derse devamın kaydedilmesi için daha az müdahaleci çözümler bulunabileceğini vurguladı.
GPDR Madde 9’un ihlali: Hassas veriler
Okul yönetimi velilerden izinlerin mevcut işlem ile birlikte alındığını söylese de İsveç DPA’sı, okul yönetimi ile öğrenciler arasındaki ilişkinin eşitsizliğinin altını çizdi. Bu nedenle, İsveç DPA velilerin rızasıyla verdikleri onayın kabul edilmesinin yasal bir temele oturtulamayacağını belirtti. Bu olay İsveç’teki ilk GDPR yaptırımı olarak tarihe geçmiştir. 200.000 Kron para cezası alan okul sanıyorum ki bu olaydan sonra Genel Veri Koruma Kanunu önemini daha iyi anlamıştır.
Cevapla
Want to join the discussion?Feel free to contribute!