Uzaktan Eğitimde KVKK Uyum Rehberi: Dijitalleşmenin Getirdiği Veri Güvenliği Riskleri
Uzaktan eğitim platformlarında kişisel verilerin korunması, açık rıza, yurtdışı aktarım ve sınav güvenliği (proktoring) yazılımlarında biyometrik veri işleme risklerine kurumsal çözüm yaklaşımı.
I. Uzaktan Eğitimin Getirdiği Yeni KVKK Zorlukları
Uzaktan eğitim ortamlarında veriler; ses, görüntü, cihaz logları, konum ve bağlantı bilgileri gibi çoklu vektörlerde eş zamanlı işlenir. Bu yapı, klasik eğitim süreçlerine göre çok daha karmaşık bir veri akışı oluşturur ve veri envanterinin güncellenmesini ve DPIA (Veri Koruma Etki Değerlendirmesi) yapılmasını zorunlu kılar.
Odak alanları:
- Hassas ve özel nitelikli verilerin toplanması (ses, görüntü, biyometrik veri)
- Yurtdışı veri aktarımı ve bulut hizmet sağlayıcıları
- Veri işleyen konumundaki platform sağlayıcılarının ve alt-işleyenlerin yönetimi
II. Uzaktan Eğitim Platformlarının Temel KVKK Risk Alanları
2.1. Canlı Ders Kayıtları ve Özel Nitelikli Veri
Canlı ders kayıtları; öğrencilerin ses, görüntü ve bazen de isim, sınıf, katılım gibi ek verilerini içerir. Kayıtların içeriğine göre bu veriler özel nitelikli kişisel veri kapsamına girebilir. İstisna yoksa, ders kayıtlarının saklanması ve tekrar kullanımı için açık rıza alınması gerekir.
2.2. Biyometrik Veri Riski: Sınav Güvenliği Yazılımları
Sınav güvenliği (proktoring) yazılımları; yüz tanıma, göz takibi, ekran kaydı, tarayıcı kilitleme gibi mekanizmalarla öğrenciyi sürekli izleyebilir. Bu durum biyometrik veri işlenmesi anlamına gelir ve KVKK’ya göre açık rıza ve alternatif sınav yöntemi sunumu esastır.
2.3. Ev Ortamının Görüntülenmesi ve Mahremiyet
Uzaktan eğitimde öğrencilerin ev ortamı, aile bireyleri, duvarlardaki yazı ve semboller gibi özel yaşamlarına dair unsurlar kayıt altına alınabilir. Sanal arka plan kullanımı, kamera açısının sınırlandırılması, mikrofon/kamera politikaları ve kayıt sürelerinin kısaltılması mahremiyet riskini azaltır.
III. Altyapı ve Veri İşleme Riskleri: Bulut ve Üçüncü Taraflar
Uzaktan eğitim çözümleri çoğu zaman bulut tabanlı çalışır ve farklı ülkelerdeki veri merkezlerini kullanabilir. Bu nedenle yurtdışı veri aktarımı ve üçüncü taraf yönetimi kritik hale gelir.
- Yurtdışı aktarım (KVKK m.9): Yeterli koruma sağlanan ülkeler, Kurul onaylı taahhütnameler veya ilgili kişinin açık rızası gibi hukuki dayanaklardan biri sağlanmalıdır.
- Veri işleyen sözleşmeleri (DPA): Güvenlik tedbirleri, saklama süreleri, silme/anonimleştirme yükümlülükleri ve alt-işleyen kullanımı sözleşmede net olmalıdır.
- Log ve erişim kayıtları: Hangi veri işleyen veya personelin ne zaman, hangi verilere eriştiği kayıt altına alınmalıdır.
IV. Aydınlatma Yükümlülüğü ve Dijital İzlerin Yönetimi
Uzaktan eğitimde aydınlatma, salt bir metin olmaktan çıkıp, öğrencinin kullandığı tüm dijital kanallarla entegre bir bilgilendirme süreci haline gelmelidir.
Dijital Aydınlatma
- Platform adları, ülke/konum bilgisi ve kullanılan bulut sağlayıcıları
- Veri işleme amaçları, hukuki sebepler ve yurtdışı aktarım detayları
- Saklama süresi, imha politikası ve ilgili kişi hakları
Hak Yönetimi
- Erişim, düzeltme, silme/anonimleştirme talepleri için net süreç tanımı
- 30 gün içinde yanıt için SLA ve kayıt altına alınan süreç akışları
- Başvuru kanallarının (e-posta/portal) görünür ve anlaşılır şekilde paylaşılması
V. KVKK Uyumunu Sağlamanın 5 Kritik Adımı
- Veri envanterini güncelleyin: Uzaktan eğitim süreçlerindeki ses, görüntü, log ve konum akışlarını envantere ekleyin.
- DPIA ve risk değerlendirmesi yapın: Biyometrik veri, sınav gözetimi ve yurtdışı aktarım süreçleri için etki analizi çıkarın; şifreleme ve erişim kontrolü uygulayın.
- Personel eğitimlerini periyodik planlayın: Öğretmen, idari birimler ve BT ekipleri için hedefli KVKK ve bilgi güvenliği eğitimleri hazırlayın.
- Saklama & imha politikasını netleştirin: Belirlenen süreler sonunda otomatik silme veya anonimleştirme tetikleyin.
- Çocuk verilerinde ek hassasiyet gösterin: Sade dil kullanın, veli rızası doğrulama mekanizmalarını (çift kanal, imzalı form vb.) hayata geçirin.
Saklama & İmha Matrisi (Örnek)
Aşağıdaki matris, uzaktan eğitim süreçlerinde sık karşılaşılan veri setleri için örnek amaç, hukuki sebep, saklama süresi ve imha yöntemlerini gösterir. Kurumunuzun ihtiyaçlarına ve mevzuata göre özelleştirilmelidir.
| Veri Seti | Amaç | Hukuki Sebep | Saklama Süresi | İmha Yöntemi |
|---|---|---|---|---|
| Ders Kayıtları (Ses / Görüntü) | Ders tekrarı ve iş sürekliliği | Açık rıza / meşru menfaat (duruma göre) | 30–90 gün (ihtiyaca göre) | Kriptografik silme / kalıcı imha |
| Sınav Gözetim Verileri | Sınav güvenliği ve kimlik doğrulama | Açık rıza (özel nitelikli veri) | 7–30 gün | Güvenli silme ve logların ayrı arşivlenmesi |
| Katılım Logları | Devam takibi ve raporlama | Kanuni yükümlülük / meşru menfaat | 1 yıl | Maskelenmiş arşiv / imha |
Hızlı Kontrol Listeleri
Hukuki Kontroller
- DPA (veri işleme sözleşmeleri) ve DPIA (etki değerlendirmesi) mevcut ve güncel mi?
- Açık rıza ve aydınlatma kayıt altına alınıyor mu?
- Yurtdışı aktarım şartları KVKK m.9’a uygun şekilde sağlanıyor mu?
Teknik Kontroller
- Uçtan uca veya güçlü şifreleme mekanizmaları tercih ediliyor mu?
- Erişim logları tutuluyor ve MFA (çok faktörlü doğrulama) aktif mi?
- Otomatik silme / anonimleştirme süreçleri tanımlı ve test edilmiş mi?
İdari Kontroller
- Rol bazlı yetki matrisi dokümante edildi mi?
- İhlal müdahale planı (IRP) hazırlanmış ve sorumlular atanmış mı?
- Periyodik denetim ve eğitim programları uygulanıyor mu?
Sık Sorulan Sorular: Uzaktan Eğitimde KVKK
Canlı ders kayıtları için her zaman açık rıza almak gerekir mi?
Ders kayıtlarının içeriğine ve kullanım amacına göre durum değişir. Kayıtlar, öğrencinin ses ve görüntüsünü kalıcı olarak işliyor ve tekrar kullanılıyorsa, istisna yoksa açık rıza alınması gerekir. Yalnızca anlık iletim ve zorunlu işleyiş için, meşru menfaat veya sözleşmenin ifası değerlendirilebilir; ancak bu durumda dahi şeffaf aydınlatma yapılması şarttır.
Proktoring yazılımlarındaki yüz tanıma KVKK’ya göre biyometrik veri midir?
Evet. Yüz tanıma, göz takibi veya benzeri yöntemlerle kişinin fiziksel özelliklerine dayalı benzersiz teşhisine imkân veren her veri biyometrik veri olarak kabul edilir. Bu verilerin işlenmesi için açık rıza, ek güvenlik tedbirleri ve mümkünse alternatif sınav yöntemi sunulması beklenir.
Öğrencilerin ev ortamının kayda girmesi KVKK açısından sorun oluşturur mu?
Ev ortamı, öğrencinin özel yaşamına ilişkin birçok ipucu barındırabilir. Bu görüntülerin gereksiz ve kontrolsüz şekilde kaydı, mahremiyet ihlali riskini artırır. Sanal arka plan, kamera açısının sınırlandırılması ve kayıt sürelerinin asgari düzeyde tutulması önerilir.
Uzaktan eğitim platformu yurtdışında barınıyorsa ne yapılmalı?
Platform sağlayıcısının veri merkezleri yurtdışında ise KVKK m.9 kapsamındaki aktarım şartları değerlendirilmelidir. Yeterli koruma sağlayan ülkeler, taahhütnameler veya açık rıza gibi hukuki dayanaklardan en uygun olanı seçilmeli; veri işleme sözleşmeleri ve güvenlik maddeleri buna göre düzenlenmelidir.
Uzaktan eğitimde çocuk verileri için ek bir yükümlülük var mı?
Çocukların kişisel verileri, yetişkinlere göre daha hassas kabul edilir. Bu nedenle veli rızasının açık, anlaşılır ve doğrulanabilir şekilde alınması; aydınlatma metinlerinde sade dil kullanılması ve gereksiz verilerin toplanmaması kritik önem taşır.
Uzaktan eğitim veren kurum KVKK uyumuna nereden başlamalı?
İlk adım; canlı ders, sınav, kayıt ve raporlama süreçlerini kapsayan bir veri envanteri ve akış haritası oluşturmaktır. Sonrasında aydınlatma ve rıza metinleri, DPA/DPIA dokümanları, saklama– imha politikaları, teknik–idari tedbirler ve personel eğitimleri bu envanter üzerine inşa edilmelidir.
