Okul Yönetimi ve KVKK: Uyuşmazlıkların Öğrettikleri ve Dijital Çağın Yeni Riskleri

Yazan /
A girl studies among card catalogs in a library, focused on learning and research.

Okul yöneticileri için kapsamlı ve proaktif bir rehber

Giriş: Okullar Artık Birer “Veri Sorumlusu”dur

Bir okul müdürü olarak günlük rutininizi hayal edin: Öğrencilerin kayıt formları, rehberlik servisindeki psikolojik danışma notları, günlük devamsızlık kayıtları, okul koridorlarını izleyen güvenlik kameraları, velilerle kurulan yoğun e-posta trafiği ve kullanılan dijital ölçme-değerlendirme platformları… Tüm bu unsurların ortak bir paydası vardır: Bunların her biri, hukuki tabiriyle kişisel veridir. Bu verileri işleyen, depolayan veya üçüncü taraflarla paylaşan eğitim kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde artık sadece bir “okul” değil, aynı zamanda bir veri sorumlusudur.

Veri sorumlusu sıfatı, kağıt üzerinde kalan soyut bir kavramdan ibaret değildir; aksine doğurduğu sonuçlar son derece somut ve ciddidir. Bir veri sorumlusu, bünyesinde işlenen her bir veri kırıntısından hukuken doğrudan sorumludur. Aydınlatma yükümlülüğünün usulüne uygun yerine getirilmemesi, özel nitelikli hassas verilerin açık rıza olmaksızın işlenmesi veya güvenlik kameralarının hukuki sınırları aşacak şekilde kullanılması gibi durumlar, telafisi güç idari para cezalarına yol açmaktadır. Kişisel Verileri Koruma Kurulu’nun (Kurul) güncel kararları titizlikle incelendiğinde, pek çok eğitim kurumunun bu risklerin büyüklüğünün henüz yeterince farkında olmadığı acı bir gerçek olarak karşımıza çıkmaktadır.

Bu kapsamlı yazıda, Kurul tarafından verilmiş iki kararı analiz edecek; ardından bu emsal kararların okul yöneticilerine sunduğu dersleri derinlemesine ele alacağız. Son bölümde ise konunun çok daha kritik bir boyutu olan veri korumanın “proaktif” doğasına, çocuklara yönelik dijital risklere ve uluslararası standartlara (DSA – Avrupa Birliği Dijital Hizmetler Yasası ve AI Act – Avrupa Birliği Yapay Zeka Yasası) odaklanacağız.

Birinci Karar: “Velinin Bilgisi Var” Demek Hukuken Yeterli Değildir!

Kişisel Verileri Koruma Kurulu Kararı: 2020/255 | Tarih: 2 Nisan 2020

Bir özel okulun rehberlik servisi, öğrencilerin bilişsel süreçlerini analiz etmek amacıyla CAS (Cognitive Assessment System) adlı bir psikolojik değerlendirme testi uygulamıştır. Bu test; yalnızca basit başarı ölçümleri yapmakla kalmamakta, aynı zamanda dikkat eksikliği, hiperaktivite bozukluğu ve kaygı bozukluğu gibi doğrudan öğrencinin ruh sağlığına ilişkin derinlemesine bilgiler üretmektedir. Durumdan rahatsız olan bir veli, önce okula başvurmuş, tatmin edici bir yanıt alamayınca konuyu Kişisel Verileri Koruma Kurumu’na taşımıştır. Şikâyetin temel dayanağı; veliye testin içeriğine dair bir bilgilendirme yapılmaması ve test öncesinde yazılı bir “açık rıza” alınmamış olmasıdır.

Okul yönetimi, savunmasında; “Rehberlik hizmetleri mevzuatına göre bu tür testleri yapma yetkimiz bulunmaktadır. Ayrıca veli zaten süreçten ve yapılan görüşmelerden haberdardı; aramızdaki e-posta yazışmaları ve velinin görüşmelere katılımı bunu açıkça kanıtlamaktadır.” argümanını ileri sürmüştür.

Ancak Kurul, bu savunmayı hukuki bulmayarak reddetmiştir. Kararın gerekçeleri ise şu şekildedir:

  • Özel Nitelikli Veri Vurgusu: Söz konusu CAS testi, sıradan bir akademik değerlendirme değildir. Test sonuçları, öğrencinin ruh sağlığına ilişkin veriler barındırdığı için KVKK’nın 6. maddesi kapsamında “özel nitelikli kişisel veri” statüsündedir.
  • Açık Rıza Şartı: Kanun uyarınca, bu tür hassas verilerin işlenebilmesi için ilgili kişinin (çocuk söz konusu olduğunda velisinin) açık rızası mutlak şarttır. Velinin e-postalardan haberdar olması, görüşme tutanaklarına imza atması veya sonuçları kendi psikiyatristine götürmesi, hukuk sistemimizde “açık rıza” yerine geçmez.
  • Rızanın Niteliği: Hukuken geçerli bir açık rıza; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve kişinin özgür iradesiyle açıklanmalıdır. Ayrıca bu rızanın, genel sözleşmelerin içinde boğulmadan, ayrı bir belgeyle alınması elzemdir.
  • Aydınlatma Yükümlülüğü İhlali: Okul; hangi verilerin işleneceği, işlemenin amacı, verilerin kimlere aktarılacağı ve saklama süreleri gibi konularda veliyi şeffaf bir şekilde aydınlatmamıştır.

Kurul’un Kararı: Okula 50.000 TL tutarında idari para cezası uygulanmıştır. Ayrıca rehberlik süreçlerinin KVKK ile uyumlu hale getirilmesi ve hukuka aykırı şekilde elde edilen verilerin derhal imha edilmesi emredilmiştir.

Okul Yöneticilerine Not: “Veli biliyordu” veya “Görüşmeye geldi, imza attı” gibi yaklaşımlar size hukuki koruma sağlamaz. Özellikle özel nitelikli veri işleniyorsa, açık rıza prosedürü bağımsız, eksiksiz ve ispatlanabilir olmak zorundadır.

İkinci Karar: Güvenlik Kamerasından Ses Kaydı Almak Hukuka Aykırıdır

Kurul Kararı: 2023/1461 | Tarih: 24 Ağustos 2023

Bir eğitim kurumu, kampüs güvenliğini sağlamak gerekçesiyle çeşitli alanlara kamera sistemleri kurmuştur. Ancak bu kameraların yalnızca görüntü değil, aynı zamanda ortamdaki sesleri de kaydettiği tespit edilmiştir. İlgili kişilerin şikâyeti üzerine Kurul, kapsamlı bir inceleme başlatmıştır.

Kurul, meseleyi iki temel boyutta değerlendirmiştir:

  1. Görüntü Kaydı: Eğitim kurumlarının güvenlik ve iş sağlığı-güvenliği gibi meşru amaçlarla kamera sistemi kurması, KVKK m. 5/2 kapsamında “veri sorumlusunun meşru menfaati” olarak kabul edilebilir. Yani okulun güvenliğini sağlamak için görüntü kaydı yapılması tek başına hukuka aykırı değildir.
  2. Ses Kaydı: İşte kırılma noktası burasıdır. Kurul, görüntüye ek olarak ses kaydı alınmasını “ölçülülük ilkesine” aykırı bulmuştur. Güvenlik amacı görüntü kaydıyla zaten makul ölçüde sağlanabilmektedir; buna bir de sesin eklenmesi, “veri minimizasyonu” ilkesini çiğnemekte ve kişilerin özel hayatının gizliliğine orantısız bir müdahale teşkil etmektedir.

Ayrıca kurumun, kameraların varlığı ve işleyişi hakkında hiçbir “Aydınlatma Metni” sunmadığı tespit edilmiştir. Aydınlatma yükümlülüğünün yerine getirildiğini ispat etme yükü, tamamen veri sorumlusu olan kuruma aittir.

Kurul’un Kararı: Hukuka aykırı ses kaydı için 200.000 TL, aydınlatma yükümlülüğünün ihmali için ise 30.000 TL olmak üzere toplamda 230.000 TL idari para cezası kesilmiştir.

Okul Yöneticilerine Not: Güvenlik amacıyla kamera kurmak bir haktır, ancak bu hakkın sınırı görüntü ile çizilmiştir. Ses kaydı almak kırmızı çizgidir. Ayrıca kameranın bulunduğu her alanda ilgili kişilerin kolayca görebileceği aydınlatma tabelaları ve metinleri bulundurulmalıdır.

İki Kararın Ortak Dersleri: Yöneticiler İçin Altın Kurallar

Bu iki farklı olay, okul idaresinin her zaman masasında tutması gereken şu evrensel ilkeleri bize hatırlatmaktadır:

  • Birinci Ders: “Zaten biliniyordu” argümanı hukuk karşısında geçersizdir. Aydınlatma ve açık rıza süreçleri, kanunun emrettiği usullere uygun olarak kayıt altına alınmalıdır. İspat yükü her zaman okulun omuzlarındadır.
  • İkinci Ders: Sağlık, ruh sağlığı ve biyometrik veriler “ateşten gömlek” gibidir. Rehberlik notları ve psikolojik testler sıradan veri değildir. Bu verileri işlemeden önce hatasız bir açık rıza süreci işletilmelidir.
  • Üçüncü Ders: Ölçülülük ilkesi rehberiniz olmalıdır. Bir amaca ulaşmak için en az veriyi işlemelisiniz. Güvenlik için görüntü yetiyorsa, ses kaydı yapmak sizi hukuki bir uçuruma sürükler.
  • Dördüncü Ders: Belgeleriniz tam olmalıdır. Kurul kapınızı çaldığında, sözlü beyanlar değil, sistemli bir şekilde arşivlenmiş aydınlatma metinleri ve rıza formları sizi korur.

Tepkisel Değil Proaktif: Veri Korumanın Gerçek Felsefesi

Şu ana kadar paylaşılan hukuki uyarılar çok değerlidir ancak resmin tamamını görmeye yetmez. Veri koruma hukuku, sadece ceza almamak için yapılan bir “savunma sporu” değildir; esasen proaktif olmayı gerektiren bir yönetim kültürüdür.

Şunu bir an için düşünelim: Bir öğrencinin son derece mahrem olan psikolojik danışma notları bir kez internete sızdığında veya yanlış kişiyle paylaşıldığında ne olur? Dijital dünyada “geri al” tuşu yoktur. Paylaşılan bir veri; ışık hızıyla kopyalanabilir, arşivlenebilir ve başka veri setleriyle birleştirilerek o çocuğun karşısına yıllar sonra üniversite başvurusunda ya da iş mülakatında bir engel olarak çıkabilir. Fiziksel bir evrak imha edilebilir, ancak dijital bir hatanın “dijital ayak izi” sonsuza dek sürebilir.

Bu sebeple modern veri hukukunda “Gizlilik Tasarımı Yoluyla Veri Koruması” (Privacy by Design) ilkesi esastır. Bu ilke, veri korumanın bir kriz anında hatırlanacak bir kurtarıcı değil, en baştan tüm sistemlerin mimarisine işlenmiş bir değer olması gerektiğini söyler.

Bir okul yöneticisi, yeni bir dijital platform seçerken veya bir sözleşme imzalarken henüz süreç başlamadan şu soruyu sormalıdır: “Bu sistemde hangi veriler akacak, bu veriler çocukların yararına mı kullanılacak ve bir veri sızıntısı olursa acil eylem planımız nedir?”

Çocuk ve Veri: “Çocuğun Yüksek Yararı” Dijital Alanda Ne Anlama Gelir?

Okulları diğer tüm veri sorumlularından ayıran en temel fark, veri sahiplerinin “çocuklar” olmasıdır. Çocuklar, uluslararası hukukta özel olarak korunan bir gruptur çünkü dijital riskleri bir yetişkin gibi muhakeme edemezler.

BM Çocuk Hakları Sözleşmesi’nin 3. maddesinde yer alan “Çocuğun Yüksek Yararı” ilkesi, dijital dünyada şu anlama gelir: Bir veri işleme kararı alınırken, okulun veya teknoloji şirketinin kârı/kolaylığı değil, o işlemin çocuğun gelişimine gerçekten hizmet edip etmediği esas alınmalıdır.

Bu bağlamda Avrupa Birliği’nin iki devasa düzenlemesi, her ne kadar Türkiye bakımından bağlayıcı olmasa da bizlere geleceğin standartlarını göstermektedir:

1. AB Dijital Hizmetler Yasası (DSA) ve Çocukların Korunması

Şubat 2024’te tam kapsamıyla yürürlüğe giren DSA, çocukların eriştiği platformlara ağır yükümlülükler getirmektedir. Bu yasaya göre, platformlar çocukların çevrimiçi davranışlarını takip ederek onlara “profilleme” yapamaz ve bu verilere dayanarak hedefli reklam sunamaz. Okullar, kullandıkları yabancı menşeli eğitim yazılımlarını seçerken bu standartlara uyulup uyulmadığını sorgulamakla mükelleftir.

2. AB Yapay Zekâ Tüzüğü (AI Act) ve Eğitimdeki Kesin Yasaklar

Ağustos 2024’te yürürlüğe giren bu tüzük, eğitim ortamlarında yapay zekâ kullanımına dair çok sert sınırlar çizmiştir:

  • Duygu Tanıma Yasaktır: Bir öğrencinin yüz ifadesinden veya sesinden onun stres, öfke veya dikkat seviyesini ölçmeye çalışan sistemlerin eğitim kurumlarında kullanılması (belirli tıbbi istisnalar hariç) yasaklanmıştır.
  • Manipülatif Sistemler Yasaktır: Çocukların bilişsel zaaflarından yararlanan veya onları bağımlılık yaratan davranışlara sürükleyen uygulamalar “yüksek riskli” ve yasaklı kategorisindedir.
  • Biyometrik Kategorizasyon ve Sosyal Puanlama: Öğrencileri biyometrik özelliklerine göre sınıflandırmak veya sosyal davranışlarına puan vererek onları derecelendirmek kesinlikle yasaktır.

Sonuç: Okul Yöneticisi İçin 7 Adımlık Pratik Yol Haritası

Modern bir okul yöneticisi, dijital dönüşümü şu yedi ilke çerçevesinde yönetmelidir:

  1. Veri Envanteri Oluşturun: Okulunuzda hangi veri nerede duruyor, kimin erişimi var? Bunu bilmeden yönetemezsiniz.
  2. Aydınlatma ve Rızayı Karıştırmayın: Bilgilendirme yapmak ayrı bir görevdir, onay almak ayrı bir hukuki işlemdir.
  3. Rehberlik Verilerini İzole Edin: Bu veriler en yüksek güvenlikli “dijital kasalarda” tutulmalıdır; sıradan bir memur bunlara erişememelidir.
  4. Kamera Politikanızı Güncelleyin: Ses kaydını kapatın ve aydınlatma tabelalarınızı standartlara uygun hale getirin.
  5. Teknoloji Seçerken Hukuki Filtre Kullanın: “Yapay zekalı” her ürün güvenli değildir. Veriyi yurt dışına aktarıp aktarmadığını ve öğrenciyi profilleyip profillemediğini sorgulayın.
  6. İmha Takvimi Belirleyin: Mezun olan veya nakil giden öğrencinin verilerini, kanuni saklama süreleri biter bitmez sistemli bir şekilde silin.
  7. Sorumluluğu Sahiplenin: “Bilmiyordum” savunması, idari para cezalarını durdurmaz. Teknik ve idari tedbirleri almak, yöneticilik görevinin ayrılmaz bir parçasıdır.

Veri koruma, sadece bir bürokratik külfet değil; bizlere emanet edilen çocukların dijital geleceğini koruma altına alma sorumluluğudur. Bu sorumluluğu yerine getirmek, hem hukuki bir zorunluluk hem de etik bir borçtur.

Sorumluluk Reddi: Bu rehber, genel bilgilendirme amacıyla hazırlanmış olup doğrudan hukuki tavsiye niteliği taşımamaktadır. Her eğitim kurumunun yapısı farklıdır; bu nedenle KVKK uyum süreçleriniz için mutlaka alanında uzman bir hukukçudan destek almanız tavsiye edilir. Kurul kararlarının asıllarına KVKK 2020/255 ve KVKK 2023/1461 bağlantılarından ulaşabilirsiniz.

Kaynakça

Kişisel Verileri Koruma Kurulu, 02/04/2020 tarihli ve 2020/255 sayılı Karar Özeti — Veri sorumlusu eğitim kurumu tarafından özel nitelikli kişisel verilerin hukuka aykırı işlenmesi, https://www.kvkk.gov.tr/Icerik/6894/2020-255

Kişisel Verileri Koruma Kurulu, 24/08/2023 tarihli ve 2023/1461 sayılı Karar Özeti — Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması, https://www.kvkk.gov.tr/Icerik/7783/2023-1461

6698 sayılı Kişisel Verilerin Korunması Kanunu, RG. 07/04/2016, S. 29677, https://www.mevzuat.gov.tr/Metin1.Aspx?MevzuatKod=1.5.6698

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, RG. 28/10/2017, S. 30224

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ, RG. 10/03/2018, S. 30356

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, RG. 10/07/2024, S. 32590

Millî Eğitim Bakanlığı Rehberlik ve Psikolojik Danışma Hizmetleri Yönetmeliği, RG. 14/08/2020, S. 31213

Avrupa Parlamentosu ve Konsey Tüzüğü 2022/2065, Dijital Hizmetler Yasası (Digital Services Act — DSA), OJ L 277, 27/10/2022

Avrupa Parlamentosu ve Konsey Tüzüğü 2024/1689, Yapay Zekâ Tüzüğü (Artificial Intelligence Act — AI Act), OJ L 2024/1689, 12/07/2024

BM Çocuk Hakları Sözleşmesi (1989), Madde 3 — Çocuğun Yüksek Yararı İlkesi; Türkiye tarafından 4058 sayılı Kanunla onaylanmış olup 27/01/1995 tarihli ve 22184 sayılı RG’de yayımlanmıştır.

Related Posts

Scroll to Top