Uzaktan Eğitim, Sunum ve Toplantı Platformlarının Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi

Mayıs 8, 2020

Korona virüs salgını nedeniyle video konferans şeklinde hizmet veren Zoom, Teams, Skype gibi uzaktan erişim platformları gerek eğitim kurumları tarafından gerekse çalışmalarını evden sürdürenler bakımından son dönemde sıkça kullanılmaya başlandı. Yaygın olarak kullanılan söz konusu video konferans uygulamalarının kişilerin ad, soyad, görüntü, ses gibi kişisel verilerini işlediği görülmektedir.

Bununla birlikte yazılımların bulut tabanlı hizmet vermesi ve çoğunun veri merkezlerinin yurtdışında olması sebebiyle, yurt dışına veri aktarımı da söz konusu olmaktadır.

Kişisel Verileri Koruma Kurumu 7 Nisan 2020 tarihinde konuyla ilgili duyuru yayınlamıştır. Kamuoyu duyurunda özetle;

  • Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerin kanundaki işlenme şatlarına uygun olarak işlenmesi gerektiği,
  • Veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olacağından, Kişisel Verilerin Korunması Kanununun 9 uncu maddesinde belirtilen şartlara uygun olmayan aktarımların Kanunun ihlali anlamına gelebileceği,
  • Kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararının göz önünde bulundurulması gerektiği belirtilmiştir.

Telekonferans veya Uzaktan Eğitim/ Çalışma Programlarında Kişisel Verilerin Korunması Hukukuna Göre Dikkat Edilecek Hususlar Nelerdir ?

Duyuruda da yer aldığı üzere bu tip uygulamaları kullanmak sureti ile faaliyetlerini sürdürecek olan veri sorumluları, mevzuattaki düzenlemelere uygun hareket etmesi gerekir. Bu bağlamda;

  • Katılımcılara Öncesinde Verilerinin Kullanımı ve Aktarımı ile İlgili Aydınlatma Yükümlülüğü Doğrultusunda Bilgi Verilmelidir.

Kanunun 10. Maddesi ile Veri Sorumlusunun, ilgili kişilere verilerin hangi amaçlarla işleneceği, kimlere aktarılabileceği ve veri toplamanın yöntemi ile hukuki sebebinin neler olduğu, ilgili kişinin haklarının neler olduğu ve veri sorumlusunun kimliği konusunda bilgi verme yükümlülüğü düzenlenmiştir.

Veri Sorumlusunun açık rıza almasına gerek olmadığı hallerde dahi aydınlatma yükümlülüğünü yerine getirmesi ve ilgili kişilere bilgi vermesi zorunludur. Bu sebeple toplantı veya eğitime başlamadan önce kısa bir şekilde veya link paylaşımın ile birlikte bu yükümlülüğün yerine getirilmesine yönelik bilgilendirmenin yapılması gerekir.

  • Katılımcılardan Verilerinin İşlenmesi ve Aktarılması Konularında Açık Rızaları Alınmalı

Kişisel verilerin işlenme şartları Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. Maddesinde düzenlenmiş, özel nitelikli kişisel veriler işlenme şartları bakımından ayrıma tabi tutulmuştur.

Eğitim, toplantı, konferans, seminer gibi amaçlarla çevrimiçi hizmet veren tüm uzaktan erişim programları bu hizmeti ses ve görüntü aracılığıyla sağlamaktadır. Kurulun duyurusunda ses ve görüntünün biyometrik veri olduğu vurgulanmıştır.

Kanunun 6. Maddesi kapsamında biyometrik veriler özel nitelikli kişisel veridir ve kanunda öngörülen haller dışında ilgili kişinin açık rızası olmaksızın işlenmesi mümkün değildir.

Her ne kadar Sözleşmenin yerine getirilmesi ve/veya veri sorumlusunun meşru menfaati istisnalarına dayalı olarak bu verilerin işlenmesi mümkün gözükmekte ise de veri merkezi yurtdışında olan platformların kullanılması halinde, yurtdışına veri aktarımı söz konusu olacağından Kanunun 9. Maddesi kapsamında verilerin yurtdışına aktarımı için yine ilgili kişinin açık rızası aranacaktır.

Henüz Kurulun güvenli ülke ilanı da bulunmadığı dikkate alınırsa açık rıza alınmadan veri merkezi yabancı ülkelerde bulunan programların kullanımı Kişisel Verilerin Korunması Hakkındaki kanunun 9. Maddesine aykırı olacaktır.

Ancak Kurulun da ifade ettiği üzere, hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı kabul edilmektedir. Açık rıza olmadan bu hizmetten yararlanmak da mümkün olmadığı için bu yönde verilen açık rızanın iradi olarak verilmediği  ileri sürülebilir. Ancak bu durumda şartlar değerlendirilmeli ve ona göre bir karar verilmelidir.

Bu sebeple veri sorumlularının veri merkezleri Türkiye içinde olan platformları kullanması gerekmekte ise de bu platformların verimli çalışıp çalışmadığı konusunda tereddütlerimiz bulunmaktadır. Bu nedenle uzaktan eğitim, sunum veya çalışma yapan çok sayıda kişinin kuralları ihlal ettiği dikkate alındığında Meclisten bu konuda bir düzenleme yapmasını bekliyoruz.

  • Kullanılan Platformun Teknik Olarak Güvenli Olması Gerekir.

Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı kararında belirtilen yeterli önlemlerin alınması şarttır. (Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili karar metni için: https://www.kvkk.gov.tr/Icerik/4110/2018-10 )

Duyurunun 5.maddesi ile belirtildiği üzere Özel nitelikli kişisel veriler aktarılacaksa

  • Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

 

  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

 

  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

Gerekir.

Bu sebeple platformun seçimi sırasında bu kriterlere bakılması ve en azından verileri birbirine şifreli olarak ileten platformların seçiminde fayda olacaktır.

Covid salgını ile çok popüler hale gelen ve tüm dünyada 300 milyondan daha fazla kullanıcıya sahip olan Zoom programının iletişimi uçtan uca şifreli olarak gerçekleştirmediği bilinmekte ve haberlere yansıdığı kadarı ile çok sayıda veri güvenliği sorunları yaşadığı öğrenilmektedir. Her ne kadar uygulamanın gizlilik politikasını güncellediği ve verilerin bu çerçevede işleneceği duyurulmuşsa da Zoom veya benzer programlar kullanılırken güvenlik seviyesine de dikkat edilmesi gerekecektir.

  • Sunum veya Eğitim ile Ses ve Görüntü Kaydı Alınmamalı, Alınması Gerekli İse de Önlemlere Çok Üst Düzeyde Dikkat Edilmeli

Uygulamada en çok karşılaşılan konulardan birisi de eğitim ve sunum sırasında görüntü kaydı alınmasıdır. Konuşmacının sadece kendisinin ses ve görüntüsünün olduğu, üçüncü kişilerin verilerinin paylaşılmadığı bir kaydın alınmasında kural olarak bir sorun görünmese de üçüncü kişilerin ve hatta özellikle çocukların ses ve görüntülerinin olduğu bir sürecin ses ve görüntü kaydının zorunlu olmadıkça yapılmaması gerekir.

Türk Ceza Kanunu’na göre; hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. 138. Maddeye göre de kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

Bu sebeplerle ses ve görüntü kaydı yapılacaksa mutlaka rızanın alınması, bu kayıtların güvenli ortamlarda saklanması, üçüncü kişilere aktarılmaması ve silinmesi gerektiği zaman da silinmesi gerekir.

SONUÇ

Uzaktan eğitim, toplantı veya sunum yapılabilecek online platformlara kişileri kurum, şirket veya şahıslar yönlendiriyorsa; anılan kanun maddelerindeki şartların sağlanmasına dikkat etmeli,  kurulun yayınladığı gerekli ve yeterli önlemler, idari ve teknik tedbirler alınmalı ve kullanılan platformların güvenirliği araştırılmalıdır.

Özellikle çalışanlarına, belli kısım görüşmelerin sağlanması veya benzeri sebeplerle veri merkezi yurtdışında olan uzaktan erişim programını kullandırtan şirketlerin, Kanunun öngördüğü tedbirlere ve koşullara uygun hareket etmeleri ve çalışanlarına ilişkin yükümlülüklerini (aydınlatma yükümlülüğü, açık rıza) yerine getirmeleri oldukça önem arz etmektedir. Aksi takdirde duyuruda da belirtildiği üzere; veri sorumlusunun Kişisel Verilerin Korunması Kanunu kapsamında sorumluluğu doğacaktır.

Kişiserl Verileri Koruma Kurulu’nun konuyla ilgili duyurusu dikkate alınarak; işleme ve aktarma faaliyeti Kanunda gösterilen şartlara uygun olmalı bu kapsamda yeterli tedbirler alınmalıdır. Bu kapsamda hizmet veren veri sorumluları veri işleme politikalarını gözden geçirmeli, yine çalışanlarını ilgili platformlara yönlendiren şirket ve kurumlar da ihlale sebebiyet vermemek adına gerekli tedbirleri almalı ve yükümlülüklerini yerine getirmelidir.

Ayrıca zorunlu olmadıkça ses ve görüntü kaydı alınmamalı, alınıyor ise de açık rıza alınmalı ve verilerin güvenliğine üst düzey önem verilmelidir.

Av. Eren Evren                                                                                                                                Stj. Av. Su Evrim Şanal