A. GİRİŞ
Tüm dünyada hayatın her alanında etkisini gösteren COVID-19 Pandemisi’nin eğitim alanında yarattığı en önemli değişiklik, yüz yüze eğitimden uzaktan eğitim modeline geçilmesi olmuştur. Uzaktan yapılan eğitimin parçası olarak, işlenen derslerin görüntü ve sesleri kaydedilmektedir. Ayrıca sınav güvenliğinin sağlanması amacıyla, sınav boyunca öğrencilerin kameralarının açtırılması uygulamalarıyla da karşılaşılmaktadır.
Kişisel Verilerin Korunması Kurulu (“Kurul”), 07.04.2020 tarihinde uzaktan eğitim platformları hakkında bir duyuru (“Duyuru”) yayınlayarak uzaktan eğitimin gerçekleştirilmesi süreçlerinde işlenen kişisel verilerin, Kanuna uygun şekilde işlenmesi ve gerekli tedbirlerin alınması konusunda veri sorumlularını uyarmıştır[1].
Kurul kararları ışığında, uzaktan eğitim modeli ve beraberinde getirdiği çeşitli uygulamalar, Kişisel Verilerin Korunması Hukuku bağlamında incelenecek ve uygulamada var olan kimi sorunlu uygulamalar ortaya konulmaya çalışılacaktır.
B. UZAKTAN EĞİTİM SÜRECİNDE GÖRÜLEN UYGULAMALARIN KURUL KARARLARI IŞIĞINDA DEĞERLENDİRİLMESİ
- Kurulun 07.04.2020 Tarihli Kamuoyu Duyurusu Kapsamında Ses ve Görüntü Kayıtlarının Biyometrik Veri Oldukları Gerekçesiyle Özel Nitelikli Veri Sayılması
Birtakım verilerin başkaları tarafından öğrenilmesi durumunda, ilgili kişi maddi-manevi zararlara uğrayabilecek veya ayrımcılıkla karşı karşıya kalabilecektir. Bu tür kişisel veriler 6698 sayılı Kşisel Verilerin Korunması Kanunu (“KVKK”) tarafından “hassas veriler” olarak kabul edilmiştir ve “özel nitelikli kişisel veriler” olarak adlandırılmışlardır.
Özel nitelikli kişisel veriler, KVKK’nın 6. maddesinde düzenlenmiştir. Bu veri kategorileri sınırlı sayıda sayılmıştır bu sebeple yorum yoluyla genişletilemezler. KVKK’ya göre özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşünceleri, felsefi inançları, dini, mezhebi veya diğer inançları, kılık-kıyafeti, dernek, vakıf ya da sendika üyeliği sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerden ibarettir.
Söz konusu veriler, ilgili kişiler hakkında mağduriyete sebep olabilecek, hassas nitelikteki veriler olup diğer kişisel verilere göre daha sıkı bir şekilde korunması gerekmektedir. Nitekim KVKK’nın 6. maddesinin dördüncü fıkrasında da özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartından bahsedilmektedir.
Kurul, 07.04.2020 tarihinde yayınlanan Duyuru’sunda “Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiğinin” görüldüğünden bahsetmektedir.
Kurul’un daha önce sözlü olarak ifade ettiği birçok görüşünde olduğu gibi kamera kayıtlarının biyometrik veri olup olmadığı değerlendirilirken veri işleme amacının göz önüne alınması gerekmektedir böylece veri işleme faaliyetinin KVKK’nın 5. maddesine mi yoksa 6. maddesine mi dayandırılacağı sorusu da cevaplandırılabilecektir.
Örneğin; bir binanın girişine yerleştirilmiş kameranın, bina güvenliğinin sağlanması için yerleştirilmiş olduğu düşünüldüğünde, görüntü kaydı yapılarak elde edilen kişisel verilerin işlenme amacının biyometrik veri elde etmek olmadığı açıktır. Dolayısıyla bu durumda kişisel veri işlenmesinin KVKK’nın 5. maddesine uygunluğundan söz edilecek ve 6. maddesine uygunluğu tartışılmayacaktır. Ancak söz konusu binaya retina taraması yapan bir kameranın yerleştirilmiş olduğu varsayımında kamera biyometrik veriyi elde ederek kimlik doğrulaması yapacağı için işleme amacı özel nitelikli kişisel veri elde etmek olduğundan bahsedilecek ve Kanunun 6.maddesine uygunluk şartları tartışılacaktır.
Kurul yayınlamış olduğu Duyuru’da, ses ve görüntü kayıtlarının biyometrik veri çerçevesinde değerlendirileceğinden bahsederek, geçmişte düzenlediği çeşitli seminer ve eğitimlerinde yazılı olmayan yollarla ifade ettiği kabulünü değiştirmiş gözükmektedir.
- Kamera Görüntüsünün Sınav Süresi Boyunca Kaydedilerek Uzaktan Eğitim Modelinde Sınav Disiplininin Sağlanması Uygulamaları
KVKK’nın 5.ve 6. maddelerinde belirtildiği üzere, kişisel verileri koruma hukukumuzda kişisel veri işleme şartı olarak açık rıza esastır. İstisnaları olarak açık rızanın aranmadığı hallere de KVKK’da yer verilmiştir.
Açık rıza, herhangi bir şekil şartına tabi değildir. Sözlü, yazılı vb. şekillerde şüpheye yer vermeyecek şekilde olması yeterli ve gereklidir. Rızanın, açık rıza sayılabilmesi için açık ve anlaşılabilir bir irade beyanı bulunmalıdır. Ses çıkarmamış ya da itiraz etmemiş olmak açık rıza verildiği anlamına gelmez.
Açık rıza kişiye sıkı sıkıya bağlı olmakla birlikte, açık rızanın alındığının ispatı da veri sorumlusuna aittir.
Ayrıca açık rızanın belirli bir konuya ilişkin olması gerekmektedir. Geniş kapsamlı ve sınırları belirsiz (battaniye rıza) şekilde verilen rızalar, açık rıza olarak değerlendirilmez. Bu şekilde verilmiş rızalar, Kurul’un 20/05/2020 tarihli ve 2020/404 sayılı kararında da belirttiği gibi “söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın battaniye rıza olduğu” şeklinde nitelendirilir. Kaldı ki uygulamada öğrencilerin; imzaladıkları kağıtları, direktif doğrultusunda elle yazıp öğrenci sistemlerine yükledikleri görülmekte olup herhangi bir aydınlatmanın yapıldığından da söz edilememektedir[2].
Belirtmek gerekir ki verilecek açık rızaların aynı zamanda özgür iradeyle açıklanması gerekmektedir. Ayrıca ilgili kişinin açık rızasının alınması, ürün veya hizmetten yararlanmasının ön şartı olarak ileri sürülmemelidir. Rızanın, ürün veya hizmetten yararlanılmasının zorunluluğu olarak ileri sürüldüğü durumlarda, rızanın özgürce verildiğinden söz edilemeyecektir[3].
Uzaktan eğitim süreci boyunca,
-Canlı derslerde görüntü paylaşılmadığı takdirde düşük not verileceği
-Görüntü paylaşılmadığı sürece uzaktan yapılan sınava katılma imkanı olmayacağı
şeklinde uygulamalar görülmüştür ve bu uygulamalar devam etmektedir.
Kimi durumlarda açık rıza beyan metni yazıp imzalayarak, sınav kağıtlarıyla birlikte uzaktan eğitim sistemine yüklenmesi istenmekte kimi durumlardaysa açık rıza alınması yoluna hiç başvurmayarak kameranın açık olmaması durumunda “sınavın geçersiz sayılacağı” konusunda önceden uyarı yapılarak üzerinden geçilen kamera kayıtlı sınav uygulamasında açık rızanın sakatlandığı açıktır.
Bu noktada kullandırılması ön koşula bağlanmış olan hizmet, uzaktan eğitim platformu aracılığıyla yapılan sınavdır. Sınav disiplinini sağlayacağı gerekçesiyle, sınavın ancak görüntü paylaşılması halinde geçerli sayılacağı belirtilerek ön koşul öne sürülmektedir ve öne sürülen bu ön koşul verilen açık rızayı sakatlayacaktır.
KVKK’ya göre veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Bu tanıma rağmen Kurul, 22.07.2020 tarihli ve 2020/560 sayılı kararında[4] yapmış olduğu değerlendirmeye göre, veri sorumlusunu belirlerken başvurulabilecek ek kriterler getirmiştir. Karara göre veri sorumlusu belirlenirken; her somut olayın özelliklerine göre istisnai değerlendirme yapılmalı ve değerlendirmede, kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesi gerekmektedir. Uygulamalar göstermektedir ki kimi zaman, görüntü paylaşılması zorunluluğu kararı alacak birimin inisiyatifi bulunmaktadır. Bu durumda bu birimlerin de veri sorumlusu sıfatına sahip olup olmadığı tartışılabilecektir.
- Sınav Disiplininin Sağlanması İçin Görüntü Kaydının Ölçülülük İlkesi Çerçevesinde Değerlendirilmesi
Ölçülülük ilkesi, kişisel verilerin korunmasında en önemli ilkelerden biridir. Kişisel verileri işleme faaliyeti, işleme amacı doğrultusunda ve bu amacı gerçekleştirecek ölçüde olmalıdır. Başka bir deyişle ulaşılmak istenen amaçla veri işleme faaliyeti arasında makul bir dengenin bulunması gerektiği anlamına gelir. Amacı gerçekleştirecek ölçüde, veri işleme yapılması gerekir.
Sınav disiplini ve düzenine aykırı davranışların gösterilmesi durumunda üniversite öğrencilerinin kınama ve uzaklaştırma gibi disiplin cezalarıyla karşı karşıya kalacağı Yükseköğretim Kurumları Öğrenci Disiplin Yönetmeliği’nde belirtilmiştir.
Sınav disiplinini sağlamak ve sıhhatli bir şekilde düzenlenmesini sağlamak, dersi veren üniversitelerin sorumluluğundadır. Ölçülülük değerlendirilmesi yapılırken, hedeflenen amaca, minimum düzeyde veri işleme faaliyeti ile ulaşılıp ulaşılamayacağı değerlendirilir ve bu şekilde veri işleme faaliyetinin ölçülü olup olmadığı sonucuna varılır.
Öğrencilerin görüntü ve seslerinin paylaşılması yerine örneğin; yazılı cevapların kopya derecesinde benzer olup olmadıkların bilgi işlem yöntemleri ile incelenmesi , açık uçlu sorular sorulması ve test sorularına sahip sınavlara daha sıkı süre sınırlamaları getirilmesinin yanı sıra ayrıca modemlerin setup sayfalarından bağlı cihazlara ulaşmak suretiyle sistem üzerinden paylaşılması ve geçici süre saklanacak konum bilgisi paylaşılması gibi yöntemler tercih edilebilir. Bu sayede öğrencilerin görüntü kayıtları yerine belirli sürelerle sınırlı olmak kaydıyla konum ve bağlı cihazlar gibi bilgileri kullanılabilir.
- Bulut Yazılımların Uzaktan Eğitim Programları Olarak Kullanılması ve Sonuçları
Bulut yazılımları “kullanıcı taleplerine göre artırılabilen ya da azaltılabilen oranda, bir ağ üzerinde – tipik olarak internet üzerinden – bilişim kaynaklarının sağlanması hizmeti” olarak tanımlanmaktadır[5].
Bulut yazılımların kullanım amaçları çeşitlilik göstermektedir. Depolama, yedekleme ve yazılım programları gibi farklı çeşitlerde yararlanılabilmektedir.
Bulut yazılım hizmetlerinde veri sorumlusu, bulut yazılım sistemlerinin kullanıcısıdır. Bulut yazılım hizmeti sağlayıcısı ise veri işleyen statüsündedir[6].
Kurul 07/04/2020 tarihli Duyuru’sunda “uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğundan” bahsetmekte ve veri merkezleri yurt dışında bulunan platformların kullanılması halinde yurt dışına veri aktarımının söz konusu olacağını belirtmektedir. Nitekim Kurul 31/05/2019 tarihli 2019/157 sayılı kararında[7] “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı KVKK’nın ‘Kişisel verilerin yurt dışına aktarılması’ başlıklı 9.maddesi hükümlerine uygun olarak gerçekleştirilmesine” şeklinde görüşünü belirtmiştir.
Bulut hizmetinin kullanılması halinde dikkat edilmesi gereken hususlar Kurulun yayınladığı, Kişisel Veri Güvenliği Rehberi’nde belirtilmiştir.
C. SONUÇ
Yukarıda da örneklerle açıklandığı gibi ülkemizde uzaktan eğitime geçilirken yaşanan altyapı sorunlarının bir örneği de kişisel verilerin işlenmesinde hukuka uygun süreçlerin işletilmesinde yaşanan sorunlardır. Veri sorumluları uzaktan eğitime geçerken, kişisel veriler anlamında hukuki zemini hazırlamamışlardır.
Pandemi süreci başında tüm eğitim-öğretim faaliyetlerinin durdurulmasından bir süre sonra uzaktan eğitime geçilmiştir. Hiçbir alternatif yöntem düşünülmeden, sağduyulu yaklaşılmadan ve ilgili saklama süreleri dahi belirlenmeden yapılan çeşitli uygulamalarla karşılaşılmıştır ve bu uygulamaların birçoğu hala devam etmektedir.
Bu kapsamda Kurul’un yapmış olduğu kamuoyuna duyuru büyük önem arz etmekle beraber, Pandemi sürecini bir yıldan fazla süredir yaşıyor olmamıza rağmen kişisel verilerin hukuka uygun işlenmesi için sunulan çaba artmış değildir.
Üniversitelerin, uyguladıkları uzaktan eğitim modeli çerçevesinde; öğrencilerin görüntülerini ne kadar süreyle saklayacaklarını, yurtdışına veri aktarımı söz konusu olabileceği göz önünde bulundurularak hangi dijital ortamları depolama amacıyla kullandıklarını, imha süreçlerini, güvenlik tedbirlerini ve aldıkları diğer idari ve teknik tedbirleri de içerecek şekilde ilgili kişi statüsündeki öğrencilerin aydınlatılması gerekmektedir. Aksi takdirde üniversitelerin; çeşitli örneklerle yukarıda bahsedilen uygulamalarının, Kurul’a şikayet yoluyla ulaştırılması ve idari para cezalarına varabilecek yaptırımlarla karşılaşılması mümkündür.
Dipnotlar
[1] Kişisel Verileri Koruma Kurulunun ilgili duyurusuna erişim için bkz.: https://www.kvkk.gov.tr/Icerik/6723/Uzaktan-Egitim-Platformlari-Hakkinda-Kamuoyu-Duyurusu
[2] Kişisel Verileri Koruma Kurulunun ilgili kararına erişim için bkz.: https://www.kvkk.gov.tr/Icerik/6913/2020-404
[3] Kişisel Verileri Koruma Kurulunun ilgili kararına erişim için bkz.: https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
[4] Kişisel Verileri Koruma Kurulunun ilgili kararına erişim için bkz.: https://www.kvkk.gov.tr/Icerik/6798/2020-560
[5] ARMAĞAN EBRU BOZKURT YÜKSEL, Bulut Bilişiminde Kişisel Verilerin Korunması, Ankara, 2016, s.23
[6] RIZA SAKA, Kişisel Verilerin İmhası, Ankara, 2020, s.187
[7] Kişisel Verileri Koruma Kurulunun ilgili kararına erişim için bkz.: https://www.kvkk.gov.tr/Icerik/5493/2019-157
Kaynakça
[1] Armağan Ebru Bozkurt Yüksel, Bulut Bilişiminde Kişisel Verilerin Korunması, 1. Baskı, Yetkin Yayınları, Ankara, 2016.
[2] Bahri Öztürk/Elif Altınok Çalışkan/Serkan Seyhan, Kişisel Verilerin Korunması Hukuku, 1. Baskı, Seçkin Yayınları, Ankara, 2021.
[2] Kişisel Verileri Koruma Kurulu, Kişisel Veri Güvenliği Rehberi
[4] Kişisel Verileri Koruma Kurulu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi
[5] Rıza Saka/Ramazan Çağlayan/Mahmut Koca, Avrupa Birliği Hukuku, İdare Hukuku ve Ceza Hukuku Açısından ‘’Kişisel Verilerin İmhası’’, 1. Baskı, Seçkin Yayınları, Ankara, 2020.