MEB, öğrencilere Ait Kişisel Verilerin İşlenmesi ve Paylaşılması hakkında uyarılarda bulundu

Milli Eğitim Bakanlığı Hukuk Hizmetleri Genel Müdürlüğü 30.10.2023 tarih ve 88411696 sayılı yazılarında;

"Kişisel Verileri Koruma Kurumu Başkanlığından Bakanlığımıza gönderilen İlgi yazıda kişisel verilerin işlenmesi hususunda uyulması gereken ilkeler belirtilmiş, yaşanan sorunlar ifade edilmiş ve özetle şu hususların üzerinde durulmuştur:

Anayasanın 20'nci maddesi kapsamında bir temel hak ve özgürlük olarak Anayasal güvenceye kavuşan "kişisel verilerin korumasını isteme hakkı"; bireylere kişisel verilerinin geleceğini bizzat kendilerinin tayin etme hakkını vermektedir.

Bilindiği üzere, dayanağı Anayasanın 20'nci maddesinin 3 numaralı fıkrası olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiş olup Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunda kamu kurumları ile özel kuruluşlar arasında bir ayrım yapılmamış olup Bakanlığımıza bağlı olarak faaliyet gösteren eğitim ve öğretim kurum ve kuruluşları, kamu hukuku ya da özel hukuk tüzel kişileri olmaları fark etmeksizin Kanunun belirlediği usul ve esaslara kural olarak uymakla yükümlü bulunmaktadır.

6698 sayılı Kanunun "Tanımlar" başlıklı 3'üncü maddesinin 1 numaralı fıkrasının (ç) bendinde ise ilgili kişi; "Kişisel verisi işlenen gerçek kişi" olarak tanımlanmış olup herhangi bir ayrım yapılmaksızın çocuklar da dahil olmak üzere tüm bireyler için kişisel verilerin korunması hakkı eşit şekilde güvence altına alınmıştır.

Anılan Kanunun "Genel ilkeler" başlıklı 4'üncü maddesinde; kişisel verilerin ancak Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, kişisel verilerin işlenmesinde "hukuka ve dürüstlük kurallarına uygun olma", "doğru ve gerektiğinde güncel olma", "belirli, açık ve meşru amaçlar için işlenme", "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ve "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkelerine uyulmasının zorunlu olduğu hükme bağlanmıştır.

Kanunun "Kişisel verilerin işlenme şartları" başlıklı 5'inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise ancak a) kanunlarda açıkça öngörülmesi, b) fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, c) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, d) ilgili kişinin kendisi tarafından alenileştirilmiş olması, e) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarından biri olan "açık rıza", Kanunun "Tanımlar" başlıklı 3'üncü maddesinin (1) numaralı fıkrasının (a) bendinde, "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanmaktadır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar hukuken geçersiz sayılmaktadır. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülemeyecektir.

Öte yandan, Kanunun 10'uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanunun 11'inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanundaki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Teknolojik ilerlemeler ile günlük hayatta internet ve sosyal medya kullanımının oldukça yaygın hale geldiği son yıllarda kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması en temel problem olarak karşımıza çıkmakta olup 6698 sayılı Kanun ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi sağlanmaktadır.

Çocuklar; ismi, fotoğrafı, sesi, videosu, hangi okula gittiği, hangi şehirde yaşadığı, TC kimlik numarası, sınıfı, şubesi, sosyal çevresi gibi örnekleri artırılabilecek kişisel verilerinin sosyal ağlarda veya genel anlamda internette paylaşılması gibi durumlarda mahremiyetlerinin ihlal edilmesi tehlikesi ile karşı karşıyadır ve bu durum çocuklara yönelik mevcut ya da ileride gerçekleşebilecek birçok tehdidi de beraberinde getirmektedir.

Anılan mevzuat hükümleri gereği; Bakanlığımıza bağlı resmi ve özel eğitim ve öğretim kurumlan ile bu kurumlarda görev yapan personel ve öğretmenler tarafından öğrencilere ait kişisel verilerin işlenmesi faaliyetlerinde;

1) Velilerin; reklam, tanıtım ve pazarlama amaçlarıyla öğrencilere ait görüntülerin ve kayıtların sosyal medya hesaplarında paylaşılması için rıza göstermeye zorlanmaması,

2) Bazı hizmetlerin sunulmasının öğrencilere ait görüntülerin ve kayıtların sosyal medya hesaplarında paylaşılmasına açık rıza verme koşuluna bağlanmaması,

3) Rıza göstermeyen velilerin ve öğrencilerin ayrımcılığa maruz bırakılmaması,

4) Açık rızaya dayanarak işlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde paylaşılması,

5) Öğrencilere ait özellikle fotoğraf ve videolar ile genel anlamda tüm kişisel verilerin internet sitelerinde ve sosyal medya hesaplarında paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinde; hukuka uygun bir aydınlatmanın mutlak surette yapılması,

6) Başkaca bir veri işleme şartı yoksa çocukları yasal olarak temsile yetkili veli ya da vasinin açık rızasının hukuka uygun bir şekilde temin edilmesi, " açıklamalarında bulunmuştur.

İşte o yazı;

Ahmet KANDEMİR