İtalya Veri Koruma Otoritesi, Immobiliare Ricostruzione Meloria S.R.L.'ye, CCTV kameralarının kullanımı hakkında yeterli bilgilendirmenin yapılmaması  sebebiyle 2.000 Euro para cezası vermiştir.

Milano yerel polisi, Immobiliare Ricostruzione Meloria S.R.L.'ye (veri sorumlusu) ait bir binaya kurulan video gözetim sistemi hakkında bir şikayet almıştır. Polis konuyu araştırmış ve bir rapor hazırlamıştır. Bu rapora dayanarak İtalya Veri Koruma Otoritesi, veri sorumlusu hakkında bir soruşturma başlatmıştır.


Veri sorumlusu tarafından binadaki bazı kiracıların talebi üzerine video gözetim sistemi kurulduğu iddia edilmiştir. İşbu video gözetim sisteminin ise dört kameradan oluştuğu belirtilmiştir: biri girişi, biri asansörün önündeki alanı ve diğer ikisi de arka bahçeyi, kilerleri ve bir apartman dairesini çekmektedir. Kameralar tarafından çekilen görüntülerin bir monitör üzerinden gösterildiği ve bir kayıt cihazında saklandığı ifade edilmiş olup ayrıca her iki cihazın da kapıcı kulübesinde bulunduğu tespit edilmiştir.


Yapılan soruşturmaya göre, yoldan geçenlerin video gözetim sistemiyle ilgili olarak edindikleri tek bilginin, binanın giriş kapısının sol tarafına yerleştirilen ve üzerinde bir kamera figürü bulunan tabeladan ibaret olduğu anlaşılmıştır. Veri işleme faaliyeti veya veri sorumlusu hakkında, kapıcı kulübesinde bile başka hiçbir bilgiye yer verilmediği tespit edilmiştir.


Veri Koruma Otoritesi;

karar vermiştir. 


Sonuç olarak, video gözetim sistemi kullanılarak gerçekleştirilen veri işleme faaliyetinin GDPR Madde 5(1)(a) ve Madde 13'ü ihlal ettiği sonucuna varılmıştır.İtalya Veri Koruma Otoritesi, veri sorumlusu tarafından uygun bilgilendirme işaretlerinin yerleştirmesine ve 2.000€ para cezasına hükmetmiştir. 


İlgili karara buradan ulaşabilirsiniz.


İtalya Veri Koruma Otoritesi tarafından bir veri sorumlusu market işletmecisine, GDPR'ın 5. ve 13. maddeleri ile yerel mevzuat hükümleri ihlal edilerek çalışanların izlenmesi sebebiyle 6.000 euro para cezası verilmiştir.


İtalya Veri Koruma Otoritesi (“Garante”) tarafından, polisten 15 Temmuz 2020 tarihinde bir rapor alınması akabinde, Modena'da market işletmeciliği ile uğraşan bir şirket olan Naija Market International'a veri sorumlusu olması sebebiyle işletmelerde video gözetim sistemi kurulmasına ilişkin sorular içeren bilgi talepleri gönderilmiştir. Veri sorumlusu tarafından taleplerin yerine getirilmemesinin ardından Garante, veri sorumlusuna ait iki işletmede bir inceleme gerçekleştirmiş ve bu inceleme sonucunda; işletmelerin iç mekanlarını kayıt altına alan ve veri sorumlusu çalışanlarının iş faaliyetlerini potansiyel olarak izlemeye uygun nitelikteki video gözetim kameralarının varlığını ortaya çıkarmıştır. GDPR’ın 5(1)(a) maddesinde düzenlenen hukuka uygunluk, adalet ve şeffaflık ilkesinin ve GDPR’in 13. maddesinde düzenlenen şeffaflık yükümlülüklerinin ihlali iddiası ile kameraların uygun aydınlatma işaretlerinin yokluğunda çalıştığı tespit edilmiştir. Bununla birlikte video gözetim sisteminin, İtalyan Kanunlarını ihlal edecek şekilde, bölgesel olarak yetkili Çalışma Dairesi’nden izin alınmadan kurulduğu tespit edilmiştir.


İddialara yanıt veren veri sorumlusu, Çalışma Dairesi’ni bilgilendirme yükümlülüğünden haberdar olmadığını ve yabancı uyruklu bir şirket olduğundan özellikle teknik veri koruma yönetmeliğini anlayamadığını iddia etmiştir. Ayrıca, veri sorumlusu tarafından, davranışın yalnızca 3 çalışanı kapsadığı ve bu sebeple küçük bir ihlal olduğunu savunulmuştur.


Garante, veri sorumlusunun beyanlarını kabul etmemiş ve video gözetim sisteminin kullanımının; GDPR’ın 5. maddesinde düzenlenen genel ilkelere, özellikle de şeffaflık ilkesine uygun olarak gerçekleştirilmesi gereken bir kişisel veri işleme faaliyetini teşkil ettiğine karar vermiştir. Söz konusu olayda ise, işleme faaliyetine herhangi bir şekilde işaret edilmemiş olup veri sorumlusu tarafından çalışanlarına herhangi bir aydınlatma bildirimi yapılmamıştır. Garante’ye göre, veri sorumlusu tarafından anılan nedenlerle GDPR’ın 5(1)(a) ve 13 maddeleri ihlal edilmiştir.


Bunlara ek olarak, Garante tarafından veri işleme faaliyetinin 196/2003 sayılı Kanun Hükmünde Kararnamenin (“Gizlilik Yasası”) 114. maddesini de ihlal ettiğine karar verilmiştir. İlgili madde, GDPR’ın 88. maddesi hükümleri doğrultusunda çalışanların kişisel verilerinin işlenmesine ilişkin özel bir rejim getirmektedir; bu da AB üye devletlerinin ilgili kişi hak ve özgürlüklerinin korunmasını sağlamak için daha spesifik kurallar sağlamasına olanak tanımaktadır. Gizlilik Yasası’nın 114. maddesi, işçilerin uzaktan izlenmesiyle sonuçlanabilecek işleme durumunda 300/1970 sayılı Yasa'nın (İşçi Tüzüğü) 4. maddesine uyulması gerektiğini öngörmektedir. İşçi Tüzüğü bu gibi durumlarda, sendika temsilciliği ile toplu sözleşme yapıldıktan sonra veya bunun mümkün olmadığı durumlarda, yetkili çalışma konseyinden önceden izin alındıktan sonra video gözetim ekipmanının kullanılabileceğini öngörmektedir. Video gözetim sisteminin kurulumuna iş konseyi tarafından önceden izin verilmediği göz önüne alındığında, yürütülen veri işleme faaliyeti Gizlilik Yasası’nın 114. maddesini ihlal etmektedir.


Son olarak, Garante’nin taleplerine öngörülen süre içerisinde cevap vermeyen veri sorumlusu tarafından, Gizlilik Yasası’nın 157. maddesi ile düzenlenen, veri koruma otoritesi tarafından talep edilen bilgileri sağlama yükümlülüğü de ihlal edilmiştir.


Anılan nedenlerle, Garante, veri sorumlusu tarafından Gizlilik Yasası’nın 114 ve 157. maddelerine ek olarak GDPR'ın 5(1)(a) ve 13. maddelerinin ihlal edildiği yönünde karar vermiştir. Garante tarafından veri sorumlusuna, GDPR’in 58(2)(i) ve 83. maddeleri uyarınca 6.000 euro idari para cezası verilmiştir. Ayrıca veri sorumlusu gerekli aydınlatma ibarelerinin konumlandırılması, Çalışma Dairesi’nden gerekli iznin alınması ve ilgili konuda atılan adımların kararın tebliğ tarihinden itibaren 90 gün içinde bildirilmesi yönünde talimatlandırılmıştır.


İlgili karara buradan ulaşabilirsiniz.