Bilindiği üzere COVID-19 corona virüs salgını sebebiyle bir çok ülkede olduğu gibi Türkiye'de de uzaktan eğitime geçildi. Öğrenciler, uzaktan eğitimi Milli Eğitim Bakanlığı tarafından yayına verilen EBA ve TRT EBA-TV üzerinden almaktalar. Bazı özel eğitim kurumları da kendi sanal altyapılarını kurarak uzaktan eğitim sistemine dahil oldu. Oluşturulan sanal altyapı ya da yazılım uygulamaları ile öğrencilerin takibi yapılmakta; tıpkı örgün öğretim sürecinde olduğu gibi eğitime dair hizmetler online sistem üzerinden verilmektedir. Geliştirilen uzaktan eğitim yazılımlarına erişim için de öğrencilerin ve velilerin bir takım kişisel verileri işlenmektedir. Şöyle ki sisteme giriş sağlanması için öğrencinin ya da velinin tanımlanması gerektiğinden isim-soy isim, TC kimlik numarası, e-mail adresi gibi kişisel verilerin ya da ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerin işlenmesi söz konusu olmuştur.

Eğitim hizmetinin sunumu için işlenen kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun meşru menfaati gibi amaçlarla işlenmektedir. Fakat bahsettiğimiz konuyu mevzuata dayandıracak olursak, özel öğretim kurumlarının da devlet okullarının da kişisel verileri işlerken KVKK'nın 5 inci maddesinde geçen kişisel veri işleme şartlarından birisini sağlaması gerekmektedir.

Öğrencilere ait ses ve görüntü gibi kişisel verilerin ise Kanunun 6 ıncı maddesinde geçen şartlar sağlanarak işlenmesine önem verilmelidir.

Veri Merkezleri Yurtdışında Olan Yazılımlar İçin Ne Yapılmalı?

Yukarıda bahsettiğimiz eğitim öğretim faaliyetlerinin devam etmesi için kullanılan yazılımların bir kısmı bulut hizmet sağlayıcılar ile hizmet sağlamaktadır. Ayrıca yazılımlara ait veri merkezlerinin de genellikle yurt dışında olduğu bilinmektedir. Veri merkezi yurt dışında bulunan yazılımlara bilgi girişi yapılması, bu tarz platformların kullanılması esnasında yurt dışına veri aktarımı söz konusu olmaktadır. KVKK'nın 9 uncu maddesinde kişisel verilerin yurt dışına aktarılması başlığı altında;
 

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum

veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.


Kurumlar yukarıda yer alan aktarım şartlarını göz önünde bulundurarak işlem yapmalıdır. Dolayısıyla, veri merkezinin bulunduğu yabancı ülkede yeterli korumanın bulunması gerekir. Veri merkezi yeterli koruma bulunmayan bir ülkede ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir.

Unutulmamalıdır ki,; veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak ile mükelleftir. Uzaktan eğitim hizmeti sunulan platformlarda idari ve teknik tüm veri güvenliği tedbirleri alınmalıdır.

Konu ile alakalı detaylı bilgi için ise “Kişisel Veri Güvenliği Rehberi" incelenebilir.

Editör: TE Bilişim