İzlanda Veri Koruma Otoritesi, Sosyal Hizmetlerin şikayetçi ve çocukları hakkındaki kişisel bilgilerinin en büyük çocuğunun babasıyla paylaşılması konusunda şikayette bulunulduğu bir davada karar verdi. Bu davada sosyal hizmetlerin şikayetçinin en büyük çocuğunun babasına, kendisi ve diğer üç çocuğu hakkında, şikayetçi hakkındaki hassas kişisel bilgiler (sağlık bilgileri) ile diğer çocuklarının tam adları ve kimlik numaraları da dahil olmak üzere kişisel bilgileri içeren bir mektup gönderdiğine dair şikayeti söz konusuydu.

Veri Koruma Otoritesi, şikayetçi hakkında hassas kişisel bilgilerin yayılmasının, bildirimin içeriği ve sosyal hizmetlerin incelenmesi ile ilgili olarak Veri Koruma ve Kişisel Verilerin İşlenmesi Hakkında Kanun’a uygun olduğu sonucuna varmıştır. Şikayetçinin diğer çocuklarının isim ve kimliklerinin, velayetinin sahibi olmayan en büyük çocuğunun babasına iletilmesi hususunda Veri Koruma Kurumu, işlemenin Veri Koruma ve Kişisel Verilerin İşlenmesi Kanunu’na uygun olmadığı kanaatine varmıştır.

Habere ilişkin detaylara buradan ulaşabilirsiniz. 

Detaylı Haber

Olayda ilgili kişi olan annenin kendisine ve dört çocuğuna ait kişisel veriler, İzlanda’daki bir belediyenin Sosyal Hizmetler’i (veri sorumlusu) tarafından annenin intihar girişimi, bağımlılık sorunu ve ayrıca tüm çocuklarının tam adları ile sosyal güvenlik numaraları hakkında bilgileri içeren bir mektup ile en büyük çocuğun babası ile paylaşılmıştır. İlgili kişi, Sosyal Hizmetler’in bu kişisel verileri paylaşmaya yetkili olmadığını düşünerek itirazda bulunmuştur.

Sosyal Hizmetler tarafından İzlanda Yasaları uyarınca ilgili bilgilerin paylaşılması gerektiğine ilişkin verilen cevapta;  80/2002 Sayılı Kanunun 21. Maddesinde, çocuk koruma servislerinin, bir çocuğun fiziksel veya zihinsel sağlığının veya gelişiminin, ebeveynlerin veya başkalarının davranışları nedeniyle risk altında olabileceği bilgisini aldıklarında, konuyu araştırmaları ve gecikmeden bir karar vermeleri gerektiğinin ifade edildiği, aynı zamanda çocuk koruma servislerinin diğer ebeveynlere durumu bildirmekle yükümlü kıldığı, bu nedenlerle, annenin intihar girişimi ve uyuşturucu tüketim alışkanlıkları hakkında babanın bilgilendirilmesinin yasa gereği olduğu belirtilmiştir. Ayrıca Sosyal Hizmetler diğer çocukların bilgilerinin paylaşılmasının veri koruma yasalarına uygun olmadığını kabul etmiştir. Bununla birlikte veri sorumlusu tarafından en büyük çocuğun babasının bu bilgileri başka yollardan da elde etmiş olabileceği iddia edilmiş ve örnek olarak çocuğuna sorabileceği veya ulusal kayıt yoluyla bu bilgilere ulaşabileceği savunulmuştur.

İzlanda Veri Koruma Otoritesi, ilgili kişinin intihar girişimi ve bağımlılık sorunlarının sağlık verisi olduğu ve GDPR sağlık verilerini özel nitelikli kişisel veri olarak sınıflandırdığından, işlemenin GDPR Madde 6’nın yanı sıra Madde 9’a da uygun olması gerektiğini belirtmekle birlikte, Sosyal Hizmetler’in 80/2002 sayılı Kanun kapsamındaki yasal yükümlülüklerini göz önünde bulundurarak Sosyal Hizmetler’in anne hakkındaki bilgileri baba ile paylaşmakta haklı olduğuna karar vermiştir. Bununla birlikte, Sosyal Hizmetler’in ilgili kişinin diğer çocuklarının isimlerinin ve sosyal güvenlik numaralarının, diğer çocukların velayetine sahip olmayan, en büyük çocuğun babasıyla paylaşılmasının GDPR’ı ihlal ettiğine karar verilmiştir.