Eğitim Kurumlarında Kişisel Verilerin Korunması Kanunu (KVKK) Uygulamaları

KVKK’nın Eğitim Kurumları İçin Anlamı Nedir?

Eğitim kurumları, kamu/özel fark etmeksizin veri sorumlusu sıfatıyla hareket eder. Öğrenci, veli ve personel verileri; kimlik, iletişim, akademik, sağlık ve görsel kayıtlar dâhil geniş bir yelpazeyi kapsar.

Temel veri kategorileri:

• Öğrenci & veli kimlik: ad, soyad, T.C. kimlik numarası
• İletişim: adres, telefon, e-posta
• Akademik: not, devamsızlık, başarı durumu
• Sağlık: alerji, özel gereksinim, kronik durum bilgileri
• Görsel: fotoğraf, video, CCTV kayıtları

İlke hatırlatması: Veriler belirli, açık ve meşru amaçlarla işlenmeli; doğru, güncel, sınırlı ve ölçülü şekilde gerekli süre kadar muhafaza edilmelidir.

Eğitim Kurumlarında KVKK Uyum Süreci Nasıl İşler?

KVKK uyumu, eğitim kurumları için tek seferlik bir proje değil, yaşayan bir süreçtir. Aşağıdaki adımlar, okul, kolej ve üniversitelerde uygulanabilir bir uyum çerçevesi sunar:

1) Veri Envanteri & Haritalama

Hangi veriler kimden, hangi amaçla, nerede ve ne kadar süreyle işleniyor?

Çıktı: veri envanteri, dijital/fiziksel saklama noktaları haritası ve VERBİS için temel veri seti.

2) Hukuki Dayanakların Belirlenmesi

Her işlem için uygun hukuki dayanağın seçilmesi ihlal riskini azaltır:

• Açık rıza (örneğin görsel ve belirli sağlık verileri)
• Kanuni yükümlülük (milli eğitim mevzuatı, arşiv süreleri)
• Sözleşmenin ifası (kayıt sözleşmeleri, eğitim hizmeti)
• Meşru menfaat (güvenlik kameraları, erişim logları gibi)

3) Aydınlatma Yükümlülüğü

KVKK m.10’a uygun aydınlatma metinleri; web sitesi, kayıt formları, sözleşmeler ve duyuru panolarında görünür olmalıdır. Amaç, hukuki dayanak, saklama süresi ve haklar net şekilde yazılmalıdır.

4) Veri Güvenliği Tedbirleri

Teknik tedbirler: güçlü parola politikaları, antivirüs/firewall, şifreleme, yedekleme, erişim logları.

İdari tedbirler: gizlilik sözleşmeleri, yetki matrisleri, prosedürler ve düzenli eğitim programları.

5) Veri Saklama & İmha Politikası

Saklama süresi sona eren veriler için silme, yok etme veya anonimleştirme işlemleri yapılmalı ve tüm adımlar “Veri Saklama ve İmha Politikası” kapsamında kayıt altına alınmalıdır.

6) VERBİS Kaydı

Yükümlülük kriterlerini sağlayan eğitim kurumları için VERBİS kaydı zorunludur. Doğru ve güncel kayıt; şeffaflık ve denetlenebilirlik sağlar.

7) Personel Eğitimi & Farkındalık

Tanımlar, veri sınıflandırma, ihlal bildirimi, aydınlatma–rıza farkı ve güncel yaptırımlar üzerine düzenli eğitimler; KVKK kültürünün kuruma yerleşmesini ve insan kaynaklı risklerin azalmasını sağlar.

8) Veri Sahibi Hakları & Başvuru Yönetimi

KVKK m.11 kapsamındaki taleplere 30 gün içinde yanıt verilmelidir: erişim, düzeltme, silme/yok etme, işlemeyi kısıtlama ve tazmin talebi süreçleri için net prosedürler tanımlanmalıdır.

Pratik Uygulama Önerileri

• Veli onayı olmadan öğrenci fotoğrafı veya videosu paylaşmayın.
• Sağlık verilerine yalnızca yetkili ve eğitilmiş personel erişebilmelidir.
• USB/posta ile veri çıkışlarını DLP (Data Loss Prevention) politikalarıyla kısıtlayın.

İpucu: Aydınlatma ve açık rıza metinlerini katmanlı tasarlayın: kısa, anlaşılır bir özet metin + detay sayfası. Başvuru kanallarını (e-posta, başvuru formu, portal vb.) öğrenciler ve veliler için görünür kılın.

Özel Nitelikli Verilerde Ek Hassasiyet

Eğitim kurumlarında işlenen bazı veriler, KVKK’ya göre özel nitelikli kişisel veridir:

• Sağlık bilgileri (alerji, engellilik durumu, kronik hastalık vb.)
• Din ve benzeri hassas nitelikler
• Engellilik veya özel gereksinim kayıtları
• Belirli bağlamlarda, toplu görsel kayıtlar ve yayınlanacak medya içerikleri

Bu veriler için her durumda açık rıza alınması, erişimin rol bazlı sınırlandırılması ve erişim loglarının tutulması gerekir. Yayın, duyuru ve sosyal medya paylaşımlarında veli onayı şarttır.

Risk: Yetkisiz paylaşım, idari para cezası yanında ciddi bir itibar kaybı doğurur. Denetim izi (log) ve onay kayıtlarının saklanması bu nedenle kritik önemdedir.

KVKK İhlallerinde Yaptırımlar

KVKK’ya aykırı uygulamalar, eğitim kurumları için hem idari para cezaları hem de kamuoyu nezdinde güven kaybı anlamına gelebilir.

• Aydınlatma İhlali: Aydınlatma yükümlülüğüne aykırılık durumunda Kurul tarafından idari para cezaları uygulanabilir.
• VERBİS’e Kayıtsızlık: Yükümlü olduğu halde VERBİS’e kayıt yaptırmayan kurumlara yaptırım söz konusudur.
• Veri Güvenliği İhlali: Teknik/idari tedbir eksiklikleri, yüksek cezalara ve kamuoyu nezdinde güven kaybına yol açabilir.

Not: Ceza tutarları mevzuata göre dönemsel olarak güncellenir; güncel aralıklar ve örnek kararlar için resmi duyuruların ve Kurul kararlarının takip edilmesi gerekir.

Sonuç: KVKK Uyumlu Eğitim Kurumu Olmanın Önemi

KVKK uygulamaları, eğitim kurumları için yalnızca hukuki bir gereklilik değil, kurumsal itibarın temel unsurudur. Güvenli veri yönetimi; öğrenci, veli ve personelin kuruma duyduğu güveni doğrudan pekiştirir.

Nesil Teknoloji; eğitim kurumlarına özel veri envanteri, aydınlatma & açık rıza metinleri, politikalar ve siber güvenlik testleri (Pentest) ile mevzuata uyumlu ve sürdürülebilir bir KVKK yapısı kurmanıza yardımcı olur.