Bir mobilya mağazası, bir hastane, bir banka ve bir okul. Hepsi KVKK’ya tabi. Hepsi kişisel veri işliyor. Ama aralarında çok temel bir fark var — ve bu fark, eğitim kurumlarını özel bir dikkat gerektiren bir alana taşıyor.
20 Yıllık Bir Veri Birikimi
Mobilya mağazası adınızı ve adresinizi biliyor. Hastane sağlık verinizi işliyor. Banka finansal hareketlerinizi takip ediyor. Okul ise bunların hepsini biliyor. Üstelik veri sahibi çoğunlukla bir çocuk. Türkiye’de zorunlu eğitim 69. ayda başlıyor, 12 yıl devam ediyor. Üzerine üniversite eğitimini ekleyin. Bir bireyin hayatının neredeyse 20 yılı bir eğitim kurumunun kayıtlarında geçiyor.
Eskiden bu kayıtlar ders notları ve öğrenci dosyalarından ibaretti. Bugün tablo çok farklı: dijital kartlarla giriş-çıkış saatleri, yemekhanede ne yenildiği, sınıf içi kamera kayıtları, tablet ve bilgisayarlardaki işlem logları. Covid döneminde uzaktan eğitime geçildiğinde bu tabloya bir de görüntü kayıtları eklendi.
E-Okul sisteminde bir öğrenci kaydında sorulan sorulardan bazıları:
- Kiminle oturuyor? Evi kira mı, kendi odası var mı?
- Evi ne ile ısınıyor? Bir işte çalışıyor mu?
- Geçirdiği ameliyat, sürekli hastalığı, kullandığı ilaç veya protez var mı?
- Aile gelir durumu nedir?
Bu bilgilerin bir kısmı — özellikle sağlık verileri — KVKK’nın en sıkı koruduğu özel nitelikli veri kategorisine giriyor.
Neden bu kadar önemli? Amerika’dan çarpıcı bir örnek: Araştırmalar, veri komisyoncularının “aile içi şiddete maruz kalmış öğrenciler” veya “aile içi sorunlar yaşayan 14-15 yaşındaki kız çocukları” gibi listeler oluşturup pazarladığını ortaya koydu. Bu listeler okul verilerinden beslenmişti. İşte bu yüzden eğitimde veri koruma meselesi diğer sektörlerden çok farklı bir yerde duruyor.
Özel Okul Olmak Sizi Farklı Bir Konuma Taşımaz
“Biz özel okuluz. Veli ile sözleşme yaptık, rızasını aldık, istediğimiz veriyi alırız.” Bu yanılgı uygulamada sıkça karşılaşılan bir yanılgıdır.
Vakıf üniversiteleri, 2547 sayılı Yükseköğretim Kanunu çerçevesinde devlet üniversiteleri gibi kamu tüzel kişisi sayılmaktadır — Anayasa Mahkemesi bunu açıkça ortaya koymuştur. Özel okullar için de tablo aynı: 5580 sayılı Özel Öğretim Kurumları Kanunu’na göre bu kurumlar MEB’den izin almak ve resmi kurumlardaki usullere göre hareket etmek zorundadır.
Veli ile yapılan özel hukuk sözleşmesi yalnızca öğrenim ücretini düzenler. Eğitim sürecinde işlenen kişisel veriler bakımından özel okul ile devlet okulu arasında hukuki fark yoktur. Devlet okulunda hukuka aykırı olan şey, özel okulda da hukuka aykırıdır.
Gözden kaçırılmaması gereken mesele: KVKK Madde 4 İlkeleri
Uygulamada tartışmalar çoğunlukla KVKK’nın 5. ve 6. maddelerinde — yani rıza ve veri işleme şartlarında — düğümleniyor. Oysa eğitim kurumları açısından 4. maddedeki genel ilkeler gözden kaçırılıyor.
Dürüstlük kuralı: KVK Kurulu, hizmetin ifası için gerekli olmayan veriler için açık rıza talep edilmesini ve rıza verilmediğinde hizmetin sunulmamasını dürüstlük kuralıyla bağdaşmaz buluyor. “Rıza alalım, işimizi sağlama almış oluruz” düşüncesi bu nedenle yanlıştır.
Amaçla sınırlılık ve ölçülülük: İşlenen verinin belirlenen amaçla bağlantılı, o amaçla sınırlı ve ölçülü olması gerekiyor. Kurul’un 2021/1127 sayılı kararında bir üniversite, akademik personeli uyarmak amacıyla yayımladığı listede soruşturma geçiren bir akademisyenin adresine, kimlik numarasına ve özel soruşturma detaylarına yer vermişti. Kurul’un yanıtı netti: personeli uyarmak hakkınız, ama bu uyarıyı yapmak için akademisyenin adresini yayımlamak zorunda değilsiniz.
Somut örnek: Veli telefon numarası
Bir öğrencinin velisine ait telefon numarası okulun sisteminde kayıtlı. Meşru kullanım örnekleri: acil durum iletişimi, okul servisi bildirimleri, veli toplantısı hatırlatması.
Aynı numaranın bir yaz kampı organizatörüne veya yayın evine iletilmesi ya da doğrudan reklam mesajı gönderilmesi için kullanılması meşru amaç ilkesini çiğniyor. O numara reklam göndermek için toplanmamıştı.
Belirli, açık ve meşru amaçlar: “Eğitim hizmetleri kapsamında kullanılabilir” gibi belirsiz ifadeler yeterli değil. Veli veya öğrenci, hangi amaçla hangi verinin toplandığını yeterli açıklık ve kesinlikte anlayabilmeli. Veri ile amaç arasında gerçek, somut bir ilişki kurulabilmeli.
SONUÇ
Eğitim kurumları üç temel noktada diğer sektörlerden ayrışıyor: işledikleri verinin türü ve miktarı, veri sahibinin (çocukların) korumasızlığı ve kurumsal yapı ne olursa olsun geçerli olan eşit hukuki sorumluluk.
Ve asıl hukuki çerçeve rızadan önce geliyor: genel ilkeler. Bu ilkelere uyum sağlandığında kişisel veri mevzuatına uyumun önemli bir kısmı çözülmüş olur.
