Öğrenci Kayıt Süreçlerinde KVKK Uyumu: Hangi Adımlar Zorunlu ve Nasıl Uygulanır?
Kayıt döneminde toplanan kimlik, iletişim, sağlık, fotoğraf ve mali verilerin hukuka uygun, şeffaf ve güvenli işlenmesi için pratik yol haritası.
Öğrenci kayıtlarında KVKK neden kritik bir gerekliliktir?
Okullar kayıt döneminde geniş yelpazede kişisel veri toplar. KVKK, bu verilerin hukuka uygun, amaçla sınırlı ve güvenli işlenmesini zorunlu kılar; şeffaflık ve hesap verebilirlik okulun kurumsal itibarını güçlendirir.
Okul veri sorumlusu olarak hangi sorumluluklara sahiptir?
- Amaç belirleme: Hangi verinin hangi amaçla işlendiğinin netleştirilmesi.
- Toplama minimizasyonu: Sadece gerekli verinin talep edilmesi.
- Erişim güvenliği: Yetkisiz erişimi önleyen teknik/idari tedbirler.
- Şeffaflık: Veli/öğrenciye aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi.
Aydınlatma metinleri ve açık rıza nasıl yönetilir?
Aydınlatma metni hangi unsurları içermelidir?
- Veri sorumlusu unvanı (ör. “ABC Koleji Eğitim A.Ş.”).
- İşlenecek veri türleri (kimlik, iletişim, sağlık, finansal vb.).
- İşleme amaçları ve alıcı grupları (MEB, sigorta, sağlık kuruluşları).
- Saklama süresi ve imha politikası.
- KVKK m.11 kapsamındaki haklar; başvuru/iletişim kanalları.
Hangi hallerde açık rıza alınmalıdır?
- Özel nitelikli veriler: Sağlık raporu, engel durumu, kan grubu.
- Tanıtım amaçlı görseller: Web/sosyal medya/basılı materyallerde öğrenci foto/video.
- Rıza, aydınlatmadan ayrı ve özgür iradeye dayalı alınmalıdır.
Kayıt verileri hangi amaçlarla işlenir?
Eğitim ve iletişim amaçları nelerdir?
- Kayıt işlemleri, sınıf-devamsızlık-not yönetimi, sınav değerlendirme.
- Okul duyuruları, etkinlik/ toplantı planlaması, acil durum iletişimi.
Sağlık, güvenlik ve mali/idari süreçler nasıl yönetilir?
- Acil müdahale ve özel sağlık durumlarına uygun önlem.
- Giriş-çıkış ve CCTV kayıtları (ölçülülük ilkesine uygun).
- Ücret/servis/yemek ödemeleri, faturalama, vergi yükümlülükleri.
Tanıtım amaçlı görseller için açık rıza şarttır.
Kayıt formu nasıl tasarlanmalı; hangi istekler hatalıdır?
Doğru uygulamalar nelerdir?
- Anne-baba iletişim bilgileri zorunlu alan; meslek/gelir yalnız burs amacıyla istenir.
- Kan grubu yalnız acil durum yönetimi için istenir.
- “KVKK Aydınlatma Metnini okudum” onayı eklenir.
Hatalı uygulamalardan nasıl kaçınılır?
- “Tüm aile kimlik fotokopileri” gibi aşırı veri taleplerinden kaçının.
- “Fotoğraf paylaşımına otomatik onay” zorunlu tutulamaz.
- “Veriler sınırsız süre saklanır” ibaresi kullanılamaz.
Dijital kayıt sistemlerinde hangi teknik tedbirler zorunludur?
- İletişim güvenliği: HTTPS/TLS, HSTS ve güvenli forma gönderim.
- Veri şifreleme: Veritabanında AES-256 veya benzeri güçlü algoritmalar.
- Erişim kontrolü: Kullanıcı adı-parola + OTP/MFA, rol bazlı yetki.
- İzlenebilirlik: Kim-ne zaman-hangi işlemi yaptı logları.
- Sızma testleri: Periyodik Pentest ve düzeltici aksiyon planı.
- Yedekleme: Şifreli, düzenli, geri dönüş testleri yapılmış yedekler.
Saklama süreleri ve imha politikası nasıl kurgulanır?
Veriler yalnızca amaca uygun süre kadar tutulmalıdır. Örnek yaklaşımlar:
- Mali kayıtlar: Vergi Usul Kanunu gereği 10 yıl.
- Öğrenci dosyaları: İlgili MEB mevzuatındaki süreler.
- Sağlık verileri: Gereklilik ortadan kalkınca imha/anonimleştirme.
Okul, yazılı bir Kişisel Veri Saklama ve İmha Politikasına sahip olmalı ve periyodik imha kayıtlarını (log) tutmalıdır.
Üçüncü taraf paylaşımları nasıl sözleşmeye bağlanır?
- MEB raporlamaları, sigorta/servis firmaları, çevrim içi eğitim platformları.
- Her paylaşım için veri işleme sözleşmesi (DPA) yapılmalı; amaç, saklama, güvenlik, silme koşulları düzenlenmelidir.
Veli ve öğrencilerin başvuru hakları nasıl karşılanır?
KVKK m.11 hakları: öğrenme, düzeltme, silme/anonimleştirme, aktarılan tarafları öğrenme, zararın giderimi talebi.
Okul; KVKK Başvuru Formu ve iletişim kanalı sunmalı, başvurulara 30 gün içinde yanıt vermelidir.
Çalışan eğitimi ve farkındalık nasıl sağlanır?
Kayıt süreçlerinde görev alan sekreterya, danışma, muhasebe, rehberlik ve BT ekipleri düzenli eğitim almalıdır.
- Kişisel veri tanımı ve sınıflandırma, aydınlatma-rıza farkı.
- Dijital sistem güvenliği, saklama süreleri.
- İhlal prosedürleri ve olay bildirim akışı.
Veri ihlalinde hangi adımlar ve süreler geçerlidir?
- Olay kaydı: Anında iç kayıt ve ilk etki analizi.
- Bildirim: Uygun hallerde 72 saat içinde KVKK Kurumuna bildirim.
- İlgili kişiler: Veli/öğrencilere yazılı bilgilendirme ve önleyici aksiyonlar.
Resmî bilgi ve duyurular için: KVKK Başkanlığı
Sonuç ve kurumsal çağrı: Kayıt süreçlerinde sürdürülebilir KVKK uyumu nasıl sağlanır?
Şeffaf aydınlatma, doğru form tasarımı, güçlü teknik/idari tedbirler ve düzenli denetimlerle uyum kalıcı hâle gelir. Bu yaklaşım veli memnuniyetini artırır ve kurumsal itibarı güçlendirir.
SSS – Öğrenci kayıt süreçlerinde KVKK hakkında en sık sorulanlar nelerdir?
- Öğrenci fotoğraf ve videolarının paylaşımı için açık rıza zorunlu mu?
- Evet. Tanıtım amaçlı görseller için ayrı ve özgür iradeye dayalı açık rıza alınmalı; kapsam (web, sosyal medya, basılı) belirtilmelidir.
- Sağlık verileri nasıl korunmalıdır?
- Ayrı erişim ve şifreleme, rol bazlı yetki, erişim logları ve gereklilik bitince imha/anonimleştirme uygulanmalıdır.
- Kayıt formlarında hangi veriler istenmemelidir?
- Amaca hizmet etmeyen gereksiz alanlar (ör. tüm aile kimlik fotokopileri, otomatik görsel onayı, sınırsız saklama ibaresi) yer almamalıdır.
- Veli/öğrenci başvuruları kaç gün içinde yanıtlanır?
- KVKK m.11 kapsamındaki talepler en geç 30 gün içinde yanıtlanmalıdır.
