Eğitim Kurumlarında KVKK: Öğretmen ve Personel Verilerinin Korunması
Kurumsal itibarın ve çalışan güveninin temeli: 6698 sayılı KVKK’ya uyumlu, şeffaf ve ölçeklenebilir bir veri koruma programı ile öğretmen ve personel verilerinizi güvenle yönetin.
1) Giriş: Neden KVKK, Eğitim Kurumları İçin Hayati?
Öğretmen ve idari personel; kimlik, mali, iletişim ve kimi zaman sağlık verileriyle kurumun en değerli varlıkları arasındadır. Bu verilerin hukuka uygun, güvenli ve şeffaf işlenmesi; yalnızca yasal yaptırımlardan kaçınmak için değil, çalışan güvenini ve kurumsal itibarı korumak için de kritiktir.
Kurumsal çıkar: KVKK’ya uyumsuzluk idari para cezaları, denetimlerde olumsuz kayıtlar ve itibar riskleri doğurur. Uyum ise riskleri azaltır, süreç olgunluğunu ve şeffaflığı artırır.
2) KVKK Temel İlkeleri ve Eğitim Kurumlarına Yansımaları
- Hukuka ve dürüstlük kuralına uygunluk: Şeffaf, meşru ve çalışan beklentisiyle uyumlu amaçlarla veri işleme.
- Doğruluk ve güncellik: Personel bilgilerinin (adres, iletişim, banka hesabı, unvan) düzenli güncellenmesi.
- Belirli, açık ve meşru amaç: Örneğin “maaş ödemesi” için IBAN işlenmesi; bu verinin pazarlama amacıyla kullanılmaması.
- Sınırlılık ve ölçülülük: Amaçla bağlantısız veya gereğinden fazla veri toplamamak.
- Süreyle sınırlı muhafaza: Saklama süresi dolan verilerin silinmesi, yok edilmesi veya anonimleştirilmesi.
3) Öğretmen & Personel Veri Kategorileri
Kimlik • İletişim • Özlük
- Ad-soyad, T.C. kimlik numarası, doğum tarihi, medeni hâl
- Adres, telefon, kurumsal/e-posta adresi
- Eğitim durumu, unvan, deneyim, performans kayıtları
Mali • Sağlık • Diğer
- IBAN, maaş bilgisi, vergi ve kesinti kalemleri
- Sağlık verileri (özel nitelikli): raporlar, engellilik durumu
- Ceza mahkûmiyeti bilgileri (özel nitelikli, gerekiyorsa)
- Kamera kayıtları, fotoğraf/video, kartlı geçiş logları
Not: Sağlık ve ceza mahkûmiyetine ilişkin veriler KVKK kapsamında özel nitelikli kişisel veri sayılır; işlenmesi ve korunması için ek hukuki ve teknik tedbirler zorunludur.
4) KVKK Uyum Sürecinde Atılacak Adımlar
Envanter & Veri Haritası
- Hangi veriyi, kimden, nerede, hangi amaçla, kime ve ne kadar süreyle işliyoruz?
- Fiziksel ve dijital saklama noktalarını ve aktarım kanallarını haritalayın.
Amaç & Hukuki Sebep
- Her faaliyet için işleme şartını belirleyin: açık rıza, kanunda öngörülme, sözleşmenin ifası vb.
- Amaç dışı ve zorunlu olmayan işleme faaliyetlerini azaltın.
Aydınlatma Yükümlülüğü
- Kim, neyi, hangi amaçla işliyor; aktarım, saklama süresi, haklar ve başvuru kanalları açık olmalıdır.
- Aydınlatma; iş sözleşmesi, politikalar, intranet veya e-posta ile erişilebilir kılınmalıdır.
Açık Rıza Yönetimi
- Belirli konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeye dayanan rızalar alın.
- Rıza kayıtlarını saklayın; geri çekme imkânını pratik şekilde sağlayın.
Teknik & İdari Tedbirler
- İdari: Politika/prosedür, eğitim, yetki matrisi, gizlilik taahhütleri.
- Teknik: Şifreleme, erişim kontrolü, loglama, yedekleme, sızma testleri, fiziksel güvenlik.
VERBİS Kaydı ve Sözleşmeler
- Kriterlere tabi kurumlar için VERBİS kaydı zorunludur.
- Veri işleyenlerle veri işleme sözleşmesi; diğer tedarik sözleşmelerinde KVKK hükümlerini netleştirin.
Başvuru Mekanizması
- Veri sahibi (çalışan) talepleri için süreç, formlar ve iletişim kanallarını tanımlayın.
- KVKK uyarınca başvurulara 30 gün içinde yanıt verildiğinden emin olun.
5) Özel Nitelikli Kişisel Veriler ve Tedbirler
Sağlık, sendika üyeliği ve ceza mahkûmiyeti gibi veriler özel nitelikli kişisel veridir ve işlenmesi için ek güvenlik tedbirleri gerektirir.
- İşleme şartı: Açık rıza veya kanuni istisna; her durumda amaç, minimizasyon ve sınırlılık ilkelerine uyum.
- Erişim: “Need-to-know” prensibi; ayrık sistem/klasörler, kısıtlı kullanıcı grupları ve ayrı loglama.
- Güvenlik: Şifreleme (disk/aktarım), rol bazlı yetki matrisi, ikincil doğrulama, veri sızıntısı önleme (DLP) ve düzenli erişim gözden geçirme.
6) Sık Yapılan Hatalar ve Kaçınma Önerileri
- Aydınlatmayı ihmal etmek: “Zaten sözleşmede yazar” yaklaşımı.
- Geçersiz açık rıza: Bilgilendirme yapılmadan veya baskı altında alınan rızalar.
- Gereğinden fazla veri toplamak: İşe alım veya performans süreçlerinde aşırı detay.
- Yetkisiz erişime açık saklama: Paylaşımlı klasörler, kilitsiz dolaplar, açık ekranlar.
- Süre dolunca silmemek/anonimleştirmemek: “Belki lazım olur” mantığıyla yıllarca tutma.
- İhlal bildirimini geciktirmek: Olayı gizlemeye çalışmak veya geç raporlamak.
7) KVKK Uyumlu Kurum Kültürü
KVKK, yalnızca bir “doküman seti” değil; süreklilik isteyen bir kurumsal davranış biçimidir. Düzenli eğitim, güncel politika, iç denetim ve iyileştirme döngüsü (PDCA) ile yaşayan bir yönetim sistemi kurulmalıdır.
Öneri: Yıllık farkındalık eğitimleri, rol bazlı erişim gözden geçirmeleri, periyodik sızma testleri ve imha/retention takvimleri oluşturun. Üst yönetimin sahiplenmesi, kültürün kalıcı olmasını sağlar.
8) SSS — Kısa Yanıtlar
1) Aydınlatma metni ile açık rıza aynı şey mi?
Hayır. Aydınlatma metni, verinin kim tarafından, hangi amaçla, hangi hukuki sebeple ve ne kadar süreyle işleneceğini çalışanlara anlatır. Açık rıza ise belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilen “kabul” beyanıdır. Bazı işlemler yalnız aydınlatma ile yapılabilir; bazıları için ayrıca açık rıza gerekir.
2) Sağlık verilerine kim erişebilir?
Sağlık verilerine yalnızca işin gereği olan sınırlı sayıda yetkili kişi erişmelidir (örneğin işyeri hekimi, ilgili insan kaynakları görevlisi). Erişimler rol bazlı tanımlanmalı, loglanmalı ve ayrı güvenlik önlemleriyle korunmalıdır. Genel personel veya yöneticilerin bu verilere keyfi erişimi engellenmelidir.
3) VERBİS’e kimler kayıt olmalı?
KVKK Kurulu’nun belirlediği kriterleri (çalışan sayısı, mali bilanço, faaliyet niteliği vb.) sağlayan veri sorumluları için VERBİS kaydı zorunludur. Eğitim kurumları da bu kriterlere uyuyorsa sicile kaydolmakla yükümlüdür. Güncel eşikler ve istisnalar için Kurul’un resmi duyuruları takip edilmelidir.
