• btflegal

KVK KURULU'NUN 07.04.2020 TARİHLİ UZAKTAN EĞİTİM PLATFORMLARI HK. DUYURUSU

Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından 07.04.2020 tarihinde yayınlanan duyuru ile özetle;

- Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği,

- Söz konusu kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5’inci maddesinde kişisel verilerin işlenme şartları, 6’ncı maddesinde ise biyometrik verilerin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartlarına uygun olarak işlenmesi gerektiği,

- Bununla birlikte uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğundan bu platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, Kişisel Verilerin Korunması Kanunu’nun 9’uncu maddesinde belirtilen şartlara uygun olmayan aktarımların Kanunun ihlali anlamına gelebileceği,

- Uzaktan eğitim hizmeti amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları Kurul tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" Kararı göz önünde bulundurularak değerlendirilmesi gerektiği kamuoyuna duyurulmuştur.

Ses ve Görüntü Verisinin Biyometrik Veri Olarak Değerlendirilmesi

Öncelikle duyuru metni içeriğinden anlaşılacağı üzere Kurul, "ses ve görüntü" verilerini biyometrik veri kapsamında değerlendirilebilecek özel nitelikli kişisel veriler kapsamına dâhil etmiştir.

Ancak Kurul tarafından belirlenen VERBİS’teki kişisel veri kategorisine bakıldığında ses ve görüntü verileri, “Görsel ve İşitsel Bilgiler” kategorisinde, özel nitelikli olmayan kişisel veri olarak belirtilmektedir. Görülmektedir ki, Kurul’un yayınlamış olduğu bu duyuru ile VERBİS Kişisel Veri Kategorisinde belirlenen kişisel veriler çatışmaktadır. Şöyle ki, Kurul’un düzenlemiş olduğu seminerlerinde sözlü olarak verdiği görüşlerinde ses ve görüntü gibi kişisel verileri özel nitelikli kişisel verilere has amaçlarla işlenmediği sürece, örneklendirmek gerekir ise kişinin fotoğrafında gözlük taktığı görüldüğünde veya bir engeli olduğu anlaşılmakta ancak bu görüntü verisini işleyenin somut durumda bir sağlık verisi işleme amacı olmadığında, bu görüntüler özel nitelikli veri olarak kabul edilmemelidir. Aksi halde bu görüşün uygulamada ciddi sıkıntılara sebebiyet vereceğini açıkça söyleyebiliriz.


Yurtdışı Veri Paylaşımı Durumunda Alınması Gereken Teknik ve İdari Tedbirler Konusu

Duyuru kapsamından anlaşılması gereken diğer bir konu ise uzaktan eğitim amacıyla kullanılan yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğundan yurtdışı paylaşımının ortaya çıkacağı ve gerekli idari ve teknik tedbirlerin alınması gerekliliğinin doğacağıdır.

Kurul tarafından yurtdışı aktarıma ilişkin hazırlanan bilgi notu için bkz: https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim

Uzaktan eğitim sağlayan uygulamalara bakıldığında çoğunlukla hizmetin kim tarafından sağlandığı ve hangi ülkede olduğu bilinmemektedir. Özellikle Covid-19 nedeniyle eğitim ve öğretimine ara vermek zorunda kalan okullar, Milli Eğitim Bakanlığı tarafından verilen uygulamanın yetersiz bulduğu durumlarda uzaktan eğitimi devam ettirebilmek adına görüntülü konuşma imkânı sağlayan farklı uygulamalar kullanmak zorunda kalmaktadır. Günümüzde bu uygulamalardan en sık kullanılanı Zoom uygulamasıdır diyebiliriz. Bu tip uygulamaların gizlilik politikasına bakıldığında (Örneğin: https://zoom.us/privacy/) Kişisel Verilerin Korunması Kanunu kapsamında risk teşkil edebilecek boşlukların bulunduğu ve güvenlik duvarına ilişkin tereddütlerin olduğu gündemi sık sık meşgul etmektedir.

Uzaktan Eğitim Sağlayan Uygulamaları Kullanan Okulların KVKK Nezdinde Sorumluluğunun Değerlendirilmesi

Uygulamaya bakıldığında bu tip uygulamaları kullanan okullarda “uzaktan eğitim faaliyetlerini yerine getirmek” amacı ile öğrenci veya öğretmene ait ad, soyad, görüntü veya ses kaydı gibi herhangi bir kişisel veri işlemediği görülmektedir. Kanun hükümlerinin bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı dikkate alındığında bu uygulamaların öğrenci ve öğretmenleri tarafından kullanılması vasıtasıyla herhangi bir şekilde kişisel verilerine dokunmayan okulların Kanun kapsamında sorumlu tutulamayacağını söylemek mümkündür.

Ancak “uzaktan eğitim faaliyetlerini yerine getirmek” amacı ile kişisel veri işleyen (kendi sistemlerine görüntülü eğitimin kaydını kaydeden, yurtdışı iş ortakları veya grup şirketleri ile paylaşan vb.) okulların Kanun çerçevesinde gerekli tedbirleri alması gerektiğini önemle hatırlatmak isteriz.