Bize Ulaşın

Email
kvkk@andisdanismanlik.com
Telefon
0212 909 55 87

Bizi Takip Edin

Bize Ulaşın
Bize Ulaşın

Özel Okulların Uyum Yükümlülükleri

Anasayfa / Blog / Özel Okulların Uyum Yükümlülükleri
Özel Okulların Uyum Yükümlülükleri

Kişisel Verilerin Korunması Mevzuatı Çerçevesinde Özel Okulların Uyum Yükümlülükleri: Türkiye (KVKK) ve Avrupa Birliği (GDPR) Karşılaştırması

1. Giriş

Kişisel verilerin korunması, dijitalleşmenin hızlanmasıyla birlikte temel bir hak ve hukuki bir zorunluluk haline gelmiştir. Eğitim kurumları, özellikle özel okullar, öğrenci, veli ve çalışanlarına ait özel nitelikli kişisel veriler de dâhil olmak üzere yoğun bir veri işleme faaliyeti yürütmektedir. Bu makale, özel okulların kişisel verilerin korunması mevzuatına uyum süreçlerini, Türkiye Cumhuriyeti'ndeki 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation - GDPR) mevzuatlarındaki dayanakları ve doktrin görüşleri ışığında analiz etmeyi amaçlamaktadır.

2. Aydınlatma Yükümlülüğü ve Hukuki Dayanakları

2.1. Tanım ve Kapsam

Aydınlatma yükümlülüğü, veri sorumlusunun, kişisel verileri elde etmesi sırasında ilgili kişiye (veri sahibine) verilerinin hangi amaçla, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin hakları hakkında bilgi vermesini ifade eder.

2.2. Mevzuattaki Dayanaklar

  • Türkiye (KVKK): KVKK'nın 10. maddesi, veri sorumlusunun aydınlatma yükümlülüğünü açıkça düzenler. İlgili kişinin hakları ise Kanun'un 11. maddesinde sayılmıştır. Aydınlatma yükümlülüğünün yerine getirilmesi, veri işleme faaliyetinin hukuka uygunluğunun ön şartlarından biridir (KVKK Rehberi, 2021).
  • Avrupa Birliği (GDPR): GDPR'ın 12., 13. ve 14. maddeleri aydınlatma yükümlülüğünü (şeffaflık ilkesi) detaylı bir şekilde ele alır. Aydınlatmanın özlü, şeffaf, anlaşılır ve kolay erişilebilir bir şekilde yapılması esastır (GDPR, m. 12).

2.3. Doktrin Görüşleri

Hukuk doktrininde, aydınlatma yükümlülüğünün, ilgili kişinin veri üzerindeki denetim hakkını (self-determination) kullanabilmesi için bir araç olduğu ve rızanın geçerliliği için temel koşul teşkil ettiği genel kabul görmektedir (Selek, 2021). Aydınlatma metninin, toplanan verilerin kategorilerini, işleme amaçlarını ve verilerin kimlerle paylaşıldığını açıkça belirtmesi gerektiği vurgulanmaktadır.

3. Açık Rıza ve Şartları

3.1. Tanım ve Gereklilik

Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır (KVKK, m. 3/1-(a)). Kişisel veri işlemenin Kanun'da sayılan diğer hukuki sebeplerden birine dayanmaması halinde, açık rıza alınması zorunludur.

3.2. Mevzuattaki Dayanaklar

  • Türkiye (KVKK): KVKK'da kural olarak, özel nitelikli kişisel veriler de dahil olmak üzere, Kanun'un 5. ve 6. maddelerinde sayılan istisnalar dışında her türlü kişisel veri işleme faaliyeti için açık rıza aranır.
  • Avrupa Birliği (GDPR): GDPR'da rıza, bir yasal dayanak olarak düzenlenmiştir (GDPR, m. 6/1-(a)). GDPR 4. maddesinin 11. fıkrasına göre rıza; özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir onay olmalıdır. Sessizlik, önceden işaretlenmiş kutular veya eylemsizlik rıza teşkil etmez (GDPR Giriş Metni, Paragraf 32). KVKK'nın aksine, GDPR'da veri işleme için rıza dışında sözleşme, yasal zorunluluk, meşru menfaat gibi birden fazla yasal dayanak bulunmaktadır (GDPR, m. 6).

3.3. Bilimsel Kaynak Atıfları

Çalışma Grubu 29'un (Working Party 29 - WP29, şimdiki adıyla Avrupa Veri Koruma Kurulu - EDPB) görüşlerinde, rızanın geri alınabilir olması ve rızanın bir hizmetin şartı olarak ileri sürülememesi (koşullu olmaması) gerekliliği temel ilke olarak kabul edilmiştir.

4. Veri Güvenliği ve Erişim Kontrolleri

4.1. Güvenlik Tedbirleri

Veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

4.2. Mevzuattaki Dayanaklar

  • Türkiye (KVKK): KVKK'nın 12. maddesi, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenler. Bu tedbirler, Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan rehberler ve kararlarla somutlaştırılmaktadır (KVKK Rehberi, 2020).
  • Avrupa Birliği (GDPR): GDPR 32. maddesi, işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları ile gerçek kişilerin hak ve özgürlüklerine yönelik riskin değişen olasılık ve ciddiyeti göz önünde bulundurularak, risk düzeyine uygun bir güvenlik düzeyi sağlamak üzere teknik ve organizasyonel tedbirlerin alınmasını zorunlu kılar. Şifreleme (Encryption) ve takma ad verme (Pseudonymisation) gibi yöntemler öne çıkarılmıştır.

4.3. Uluslararası Kabul Görmüş Standartlar

Uluslararası alanda ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ve bu standardın kişisel verilerin gizliliğini sağlayan uzantısı olan ISO/IEC 27701 Kişisel Veri Gizliliği Yönetim Sistemi (KVYS), veri sorumlularının teknik ve idari tedbirlerini oluşturmasında rehberlik eden önemli bilimsel standartlar olarak kabul görmektedir.

5. Kamera Kayıtları ve Ses Kaydı

5.1. Özel Okullarda Kamera Kullanımı

Özel okullarda güvenlik amacıyla kapalı devre kamera sistemleri (CCTV) yaygın olarak kullanılmaktadır. Görüntü kaydı, hukuka uygun bir veri işleme şartına (örneğin, veri sorumlusunun meşru menfaati veya yasal zorunluluk) dayanarak yapılabilir. Ancak bu durumda dahi, ilgili kişilerin aydınlatılması gereklidir.

5.2. Ses Kaydı Yasağı

Hem Türkiye hem de Avrupa mevzuatında, güvenlik kamera sistemleri aracılığıyla ses kaydı yapılması kural olarak hukuka aykırıdır. Zira ses kaydı, orantılılık ilkesini ihlal edebilecek nitelikte olup, meşru menfaatin ötesine geçerek özel hayatın gizliliğine yönelik daha ağır bir müdahale teşkil eder (KVKK Kurul Kararları; GDPR, m. 5/1-c - Veri Minimalliği İlkesi).

6. Sorumlu Kişi (DPO) Atanması ve Uyum Politikaları

6.1. Veri Koruma Görevlisi (Data Protection Officer - DPO)

Veri Koruma Görevlisi (DPO), mevzuata uyumu kolaylaştırmak amacıyla atanan kişidir.

6.2. Mevzuattaki Dayanaklar ve Doktrin

  • Türkiye (KVKK): KVKK'da, GDPR'daki gibi zorunlu bir DPO atama yükümlülüğü bulunmamaktadır. Ancak, büyük veri işleyen kurumların veya özel nitelikli kişisel veri işleyen kurumların gönüllü olarak Veri Sorumlusu Temsilcisi veya DPO ataması, uyum süreçlerinde etkin bir rol oynamaktadır.
  • Avrupa Birliği (GDPR): GDPR 37. maddede, kamu otoritesi veya büyük ölçekli, düzenli ve sistematik gözetim faaliyeti yürüten veri sorumlularına zorunlu DPO atama yükümlülüğü getirmiştir. Özel okullar, işleme faaliyetlerinin kapsamı ve özel nitelikli kişisel verileri (sağlık bilgisi, biyometrik veri vb.) işlemeleri nedeniyle bu kapsama girebilirler. DPO, mesleki nitelikler, veri koruma uygulamalarına ilişkin uzmanlık bilgisi ve görevleri yerine getirme kabiliyeti esas alınarak belirlenir (GDPR, m. 37/5).
  • Doktrin Görüşleri: Doktrin, DPO'nun bağımsız çalışmasının ve kendisine başka görevler verilerek asıl görevlerinin çatışmasının önlenmesinin (GDPR, m. 38/6) önemini vurgular. DPO'nun temel amacı, organizasyonun veri koruma ve gizliliği standartlarını yüksek seviyede tutmasını sağlamaktır.

7. Veri Envanteri ve Saklama Süreleri

7.1. Veri Envanteri

Veri envanteri, veri sorumlularının işleme faaliyetlerini, işleme amaçlarını, veri kategorilerini, alıcı gruplarını, azami saklama sürelerini ve kişisel veri güvenliğine ilişkin alınan tedbirleri detaylı olarak gösteren bir dökümantasyondur.

7.2. Mevzuattaki Dayanaklar

  • Türkiye (KVKK): KVKK, veri sorumlularına Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kaydolma yükümlülüğü getirir ve bu kayıt için veri envanterinin temel bir araç olarak hazırlanmasını şart koşar. Ayrıca, KVKK'nın 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, veri sorumlularının Kişisel Veri Saklama ve İmha Politikası oluşturmasını ve periyodik imha yapılmasını zorunlu kılar.
  • Avrupa Birliği (GDPR): GDPR'ın 30. maddesi, veri sorumlularının ve veri işleyenlerin, kendi sorumlulukları altındaki tüm işleme faaliyetlerinin kayıtlarını (veri envanteri) tutmasını zorunlu kılar. Saklama süresi, verinin işlenme amacının gerektirdiği azami süre ile sınırlıdır (Saklama Sınırlaması İlkesi - GDPR, m. 5/1-e).

7.3. Bilimsel Kaynak Atıfları

Kişisel verilerin saklama sürelerinin belirlenmesinde, ilgili verinin işlendiği amacın gerektirdiği süre kadar muhafaza edilmesi ve bu sürenin sona ermesiyle verinin silinmesi/anonimleştirilmesi, uluslararası kabul görmüş temel ilkedir (Selek, 2021; Gündüz, 2019). Saklama sürelerinin, Vergi Usul Kanunu, Türk Ticaret Kanunu, Türk Borçlar Kanunu gibi diğer kanunlardaki zamanaşımı ve saklama yükümlülükleri ile uyumlu olarak belirlenmesi gerektiği kabul edilir.

8. Sonuç

Özel okulların KVKK ve GDPR'a uyum süreci, yalnızca bir yasal zorunluluk değil, aynı zamanda ilgili kişilerin temel hak ve özgürlüklerine saygının ve kurumsal güvenilirliğin bir göstergesidir. Türkiye ve AB mevzuatları arasında benzerlikler bulunmakla birlikte (temel ilkeler, aydınlatma), özellikle DPO ataması ve açık rıza konularında farklılıklar mevcuttur. Kurumların, veri envanteri hazırlama, şeffaflık, risk temelli teknik ve idari tedbirler uygulama ve disiplinli bir şekilde periyodik imha süreçlerini yönetme konularında uluslararası standartlara (örneğin ISO/IEC 27701) uygun hareket etmesi, tam uyumun sağlanması için kritik öneme sahiptir.

KAYNAKÇA

Mevzuat

Türkiye:

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK). T.C. Resmî Gazete, 29677, 7 Nisan 2016.
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. T.C. Resmî Gazete, 30224, 28 Ekim 2017.
  • Kişisel Verileri Koruma Kurumu (KVKK). (Çeşitli Rehberler ve Kurul Kararları, 2020-2021.

Avrupa Birliği:

  • Avrupa Parlamentosu ve Konseyi'nin Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına İlişkin Olarak Gerçek Kişilerin Korunmasına Dair 2016/679 Sayılı Tüzüğü (Genel Veri Koruma Tüzüğü - GDPR). OJ L 119, 4.5.2016, p. 1–88.

Doktrin ve Bilimsel Çalışmalar

  • Gündüz, K. (2019). Kişisel Verilerin Korunması Hukuku: Temel Kavramlar ve İlkeler. Ankara: Yetkin Yayınları.
  • Selek, S. (2021). KVKK ve GDPR Işığında Aydınlatma Yükümlülüğü ve Açık Rıza Kavramı. İstanbul: On İki Levha Yayıncılık.
  • Working Party 29 (WP29) / European Data Protection Board (EDPB). (Guidance on Consent, DPO requirements and other key concepts).

Standartlar

  • ISO/IEC 27001. Information security management systems.
  • ISO/IEC 27701. Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management.



Bizi Takip Edin: