Kurucu
November 27, 2025
21 min read
Bu raporun amacı Türkiye'deki eğitim kurumlarının 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca "özel nitelikli kişisel verileri" işlerken uymaları gereken yasal sınırları, karşılaşabilecekleri riskleri ve benimsemeleri gereken en iyi uygulamaları kapsamlı bir şekilde analiz etmektir. Dijitalleşmenin eğitim süreçlerinin ayrılmaz bir parçası haline geldiği günümüzde okullar, öğrenciler, veliler ve personelle ilgili giderek artan miktarda hassas veri toplamakta ve işlemektedir. Sağlık kayıtlarından rehberlik notlarına, biyometrik verilerden sendika üyeliklerine kadar uzanan bu bilgiler kötüye kullanıldığında veya yetkisiz kişilerin eline geçtiğinde ciddi mağduriyetlere ve ayrımcılığa yol açma potansiyeli taşımaktadır. Bu nedenle veri sorumlusu konumundaki eğitim kurumlarının yasal yükümlülüklerini eksiksiz anlaması ve bu yükümlülüklere uygun idari ve teknik tedbirleri alması, hem hukuki yaptırımlardan korunmak hem de paydaşlarıyla kurdukları güven ilişkisini sürdürmek açısından hayati önem taşımaktadır. Rapor yasal mevzuat, Kişisel Verileri Koruma Kurumu (Kurul) kararları ve pratik uygulamalar arasında bir köprü kurarak veri sorumlusu olan eğitim kurumlarına stratejik bir yol haritası sunmayı hedeflemektedir.
6698 sayılı KVKK, kişisel verileri genel ve özel nitelikli olarak iki ana kategoriye ayırmaktadır. Kanun'un 6. maddesi özel nitelikli kişisel verileri, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki hassas bilgiler olarak tanımlar ve bu verileri sınırlı sayıda sayma (numerus clausus) yoluyla belirler. Bu ilke uyarınca kanunda sayılanların dışındaki bir veri, yorum yoluyla özel nitelikli kişisel veri olarak kabul edilemez.
KVKK Madde 6 uyarınca özel nitelikli kişisel veriler şunlardır:
Kişilerin ırkı,
Etnik kökeni,
Siyasi düşüncesi,
Felsefi inancı,
Dini, mezhebi veya diğer inançları,
Kılık ve kıyafeti,
Dernek, vakıf ya da sendika üyeliği,
Sağlığı,
Cinsel hayatı,
Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri,
Biyometrik ve genetik verileri.
Bu listenin kanun tarafından sınırlı tutulması, veri sorumluları için bir "güvenli liman" oluşturmaktan ziyade hukuki riskin nerede yoğunlaştığını gösteren bir "yüksek risk haritası" işlevi görür. Bir eğitim kurumunun veri işleme envanterinde bu kategorilerden herhangi birine giren bir veri bulunuyorsa, bu durum ilgili işleme faaliyetini otomatik olarak "yüksek riskli" olarak etiketlemeli ve çok daha sıkı güvenlik tedbirlerinin alınmasını zorunlu kılmalıdır. Dolayısıyla bu sınıflandırma yalnızca yasal bir tanımdan ibaret olmayıp, aynı zamanda kurumlar için proaktif bir risk yönetimi aracıdır.
Özel nitelikli kişisel veriler de dahil olmak üzere tüm kişisel veri işleme faaliyetleri, KVKK'nın 4. maddesinde düzenlenen temel ilkelere uygun olmak zorundadır. Bu verilerin hassasiyeti bu ilkelere uyumun önemini daha da artırmaktadır.
Veri işleme faaliyetinin şeffaf olması ve geçerli bir hukuki sebebe dayanması esastır.
Özellikle öğrencilerin sağlık durumu gibi zamanla değişebilen verilerin doğruluğunun ve güncelliğinin sağlanması için mekanizmalar kurulmalıdır.
Verinin hangi somut amaçla (örneğin revir hizmeti sunmak, rehberlik desteği sağlamak, yasal bir yükümlülüğü yerine getirmek) toplandığı net bir şekilde belirlenmeli ve bu amaçlar dışında kullanılmamalıdır.
Bu ilke, özel nitelikli veri işleme faaliyetlerinde en sık ihlal edilen ilkelerden biridir. Belirlenen amaca ulaşmak için gerekenden fazla özel nitelikli veri toplanmamalıdır. Örneğin bir öğrenciye rehberlik hizmeti sunmak için tüm tıbbi geçmişinin değil, yalnızca danışmanlık süreciyle ilgili psikolojik veya tıbbi bilginin alınması gerekir.
Veri işleme amacı ortadan kalktığında (örneğin öğrencinin mezun olması), ilgili özel nitelikli verilerin yasal bir saklama zorunluluğu yoksa imha edilmesi gerekir.
Türkiye'de uzaktan eğitimin kapsamlı hukuki çerçevesine, veri koruma, fikri mülkiyet ve sözleşme anlaşmalarını kapsayan derinlemesine bir bakış atın.
KVKK'nın 6. maddesinin 2. fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Bu yasağı ortadan kaldıran temel hukuki dayanak, ilgili kişinin "açık rızası"nın alınmasıdır. Ancak bir rızanın hukuken geçerli sayılabilmesi için üç temel unsuru bir arada taşıması zorunludur:
"Okulda hakkımda toplanacak tüm özel nitelikli verilerin işlenmesine izin veriyorum" gibi genel ve kapsamı belirsiz rızalar geçersizdir. Rıza "revir hizmetleri kapsamında sağlık verilerimin işlenmesi" veya "psikolojik danışmanlık hizmeti almam halinde görüşme notlarımın tutulması" gibi spesifik bir konuya yönelik olmalıdır.
Veri sorumlusu olan eğitim kurumu rıza talep etmeden önce KVKK Madde 10 uyarınca aydınlatma yükümlülüğünü eksiksiz bir şekilde yerine getirmelidir. Veli, öğrenci veya personel; hangi verisinin, hangi amaçla, kimlere aktarılabileceğini, ne kadar süreyle saklanacağını ve haklarının neler olduğunu tam olarak anladıktan sonra rıza göstermelidir.
Rızanın bir hizmetin sunulması için ön şart olarak dayatılmaması gerekir. Özellikle okul-veli veya okul-personel gibi taraflar arasında bir güç dengesizliğinin bulunduğu ilişkilerde bu unsur kritik önem taşır. Rıza vermemenin öğrenci veya çalışan açısından olumsuz bir sonuç doğuracağı (örneğin belirli bir eğitim hizmetinden mahrum kalacağı) algısı yaratılıyorsa, verilen rızanın özgür iradeye dayandığı kabul edilemez.
Eğitim sektöründe "açık rıza" hukuki bir dayanak olarak göründüğünden çok daha kırılgandır ve genellikle son çare olarak düşünülmelidir. Kurumlar "kanunlarda öngörülme" veya "hukuki yükümlülüğün yerine getirilmesi" gibi diğer işleme şartlarını araştırmak yerine, kolaycı bir yaklaşımla her faaliyet için rıza alma eğilimindedir. Ancak yukarıda belirtilen güç dengesizliği nedeniyle bu rızaların hukuki geçerliliği çoğu zaman şüphelidir. Kurul'un da çeşitli kararlarında vurguladığı gibi, başka bir veri işleme şartı mevcutken açık rızaya başvurulması, ilgili kişiyi yanıltıcı ve hakkın kötüye kullanılması niteliğinde olabileceğinden hukuka aykırılık teşkil edebilir.
KVKK, özel nitelikli verilerin işlenmesi için dar yorumlanması gereken bazı istisnalar öngörmüştür. Kanun, bu istisnaları "sağlık ve cinsel hayat" verileri ile diğerleri arasında bir ayrım yaparak düzenlemiştir:
Bu veriler yalnızca "kanunlarda açıkça öngörülmesi" halinde ilgili kişinin açık rızası aranmaksızın işlenebilir. Örneğin bir öğretmenin sendika üyelik bilgisinin, ilgili iş ve sosyal güvenlik kanunları gereği sendika aidatının maaşından kesilmesi amacıyla işlenmesi bu kapsama girer.
Bu veriler daha da sıkı bir korumaya tabidir. Açık rıza olmaksızın işlenmeleri, ancak şu amaçlarla ve şu kişiler tarafından mümkündür: "kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından". Okul revirinde görevli ve sır saklama yükümlülüğü altında bulunan doktor veya hemşirenin, acil bir durumda öğrencinin sağlık verilerini işlemesi bu istisnanın tipik bir örneğidir.
Yasal sınırların ötesinde, eğitim kurumlarına özel olarak tasarlanmış yönetim, risk yönetimi ve akademik dürüstlük için bütünsel bir çerçeve keşfedin.
Eğitim kurumları, faaliyetlerinin doğası gereği çok çeşitli özel nitelikli kişisel veriyi işlemektedir. Bu faaliyetlerin hukuka uygunluğu, doğru hukuki dayanağın tespit edilmesine ve temel ilkelere, özellikle de ölçülülük ilkesine uyulmasına bağlıdır.
Okul revirlerinde tutulan öğrenci sağlık dosyaları (kronik hastalıklar, alerjiler, kullanılan ilaçlar), aşı kayıtları, acil durumlarda kullanılmak üzere alınan kan grubu bilgileri, spor faaliyetlerine katılım için istenen sağlık raporları. Amaç; öğrencinin sağlığını korumak, acil tıbbi müdahaleleri gerçekleştirmek ve koruyucu hekimlik hizmetleri sunmaktır.
Öğrencilerle yapılan bireysel veya grup görüşmelerine ilişkin notlar, uygulanan psikolojik testlerin (örneğin zeka, yetenek veya kişilik testleri) sonuçları, öğrencinin ailevi, sosyal veya duygusal durumuna ilişkin bilgiler. Amaç; öğrencinin bütünsel gelişimini desteklemek, akademik ve kariyer planlamasına yardımcı olmaktır.
Zorunlu Din Kültürü ve Ahlak Bilgisi dersinden muafiyet talebinde bulunan öğrenciler veya velileri tarafından sunulan ve dolaylı olarak dini inancı ortaya koyan dilekçeler. Amaç anayasal bir hakkın kullanılmasını sağlamaktır.
Öğretmen ve diğer personelin sendika üyelik bilgileri. Amaç üyelik aidatlarının maaştan kesilmesi gibi yasal ve sözleşmesel yükümlülükleri yerine getirmektir.
Okul giriş-çıkışlarında, yemekhane veya kütüphane hizmetlerinde kullanılan parmak izi veya yüz tanıma sistemleri aracılığıyla toplanan veriler. Amaç güvenliği sağlamak veya hizmet takibini kolaylaştırmaktır.
Eğitim kurumlarında özel nitelikli veri işleme faaliyetleri, genellikle güvenlik veya öğrenci gelişimi gibi iyi niyetli amaçlarla başlasa da "ölçülülük" ve "amaçla sınırlılık" ilkelerinin göz ardı edilmesi nedeniyle kolayca hukuka aykırı hale gelebilmektedir.
Örneğin bir okulun güvenliği artırmak amacıyla parmak izi tanıma sistemi kurması meşru bir amaca dayanıyor gibi görünebilir. Ancak KVKK Madde 4, veri işlemenin "ölçülü" olmasını zorunlu kılar. Güvenliği sağlamak için her öğrenci ve personelin geri döndürülemez ve yüksek riskli bir biyometrik verisi olan parmak izini toplamak gerçekten gerekli midir? Yoksa öğrenci kimlik kartı, şifreli geçiş veya personel gözetimi gibi daha az müdahaleci yöntemler aynı amaca hizmet edebilir mi? Kurul'un, bir işveren hakkında verdiği 2020/404 sayılı kararında, alternatif yöntemler varken parmak izi alınmasının ölçülülük ilkesine aykırı olduğuna hükmetmesi, bu yaklaşımın eğitim kurumları için de geçerli olduğunu göstermektedir. Dolayısıyla okulun meşru amacı, seçtiği orantısız yöntem nedeniyle hukuka aykırı bir veri işleme faaliyetine dönüşmektedir. Bu hata modeli, PDR hizmetlerinden sağlık verilerinin toplanmasına kadar birçok alanda tekrarlanabilir.
Eğitim kurumlarında işlenen özel nitelikli kişisel veriler, Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca sıkı yasal sınırlamalara tabidir. Bu verilerin hukuka uygun bir şekilde işlenmesi, belirlenen amaçla sınırlılık ve ölçülülük ilkelerine riayet edilmesini zorunlu kılmaktadır.
Öğrenci ve personel sağlığına ilişkin Sağlık Verileri, iki temel amaçla işlenir. Birincisi, revirde acil müdahale ve tedavi hizmetleri sunmaktır ve bu faaliyet, Madde 6/3 uyarınca sır saklama yükümlülüğü altındaki sağlık personeli tarafından açık rıza aranmaksızın gerçekleştirilebilir. Ancak bu veriler sadece yetkili sağlık personelinin erişimine açık olmalı ve üçüncü taraflarla paylaşımı kural olarak açık rıza gerektirir. İkincisi, spor takımlarına katılım için istenen sağlık raporları ise Madde 6/2 uyarınca açık rıza alınarak işlenir. Burada dikkat edilmesi gereken en önemli husus, ölçülülük ilkesi gereği, raporun sadece ilgili spor faaliyeti için gerekli bilgileri içermesi ve gereksiz sağlık verilerinin talep edilmemesidir.
Rehberlik ve Psikolojik Danışmanlık (PDR) Verileri (psikolojik danışmanlık ve test uygulamaları) de öğrencilerden Madde 6/2 çerçevesinde açık rıza ile toplanır. Bu rızanın geçerliliği için, testin niteliği, sonuçlarının kullanım amacı ve kimlerle paylaşılabileceği konusunda detaylı ve şeffaf bir aydınlatma yapılması hayati önem taşır (Bkz. Kurul Kararı 2020/255).
Öğrenci veya velinin Din Bilgisini dolaylı olarak ortaya koyan din dersinden muafiyet talepleri ise, Madde 5/2-ç hükmüyle veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi kapsamında işlenebilir. Bu süreçte de ölçülülük esastır; talep için gerekenden fazla bilgi (örneğin ibadet alışkanlıkları) istenmemeli, yalnızca muafiyet talebini işleme almak için gerekli minimum veri toplanmalıdır.
Personel ile ilgili olarak, Sendika Üyeliği bilgisi, Madde 6/3 uyarınca kanunlarda açıkça öngörülmesi (İş Kanunu ve ilgili mevzuat) dayanağıyla, aidat kesintisi amacıyla işlenir. Bu hassas bilginin sadece bordro ve muhasebe departmanındaki yetkili kişilerle paylaşılması, performans değerlendirmesi gibi amaçlarla kullanılmaması gerekir.
Özellikle yüksek risk taşıyan bir alan olan Biyometrik Verilerin (parmak izi ile giriş-çıkış kontrolü) işlenmesi, hukuken Madde 6/2 uyarınca açık rıza ile mümkün olsa da yüksek risklidir. Kişisel Verileri Koruma Kurulu'nun yerleşik içtihatları, kartlı sistemler gibi daha az müdahaleci yöntemler varken biyometrik veri işlenmesini ölçülülük ilkesine aykırı bulabilmekte ve açık rıza alınmış olsa bile hukuka aykırı kabul edilebilmektedir. Bu, eğitim kurumlarının güvenlik amacını daha az riskli alternatiflerle gerçekleştirmesi gerektiğini net bir şekilde ortaya koymaktadır.
KVKK'nın 12. maddesi, veri sorumlularına, sorumlulukları altındaki kişisel verilerin güvenliğini sağlamak amacıyla "gerekli her türlü teknik ve idari tedbiri" alma yükümlülüğü getirir. Ancak konu özel nitelikli kişisel veriler olduğunda, Kurul bu genel yükümlülüğün ötesinde, 31/01/2018 tarihli ve 2018/10 sayılı kararıyla alınması gereken "yeterli önlemleri" ayrıca ve detaylı olarak belirlemiştir. Eğitim kurumları bu kararda belirtilen idari ve teknik tedbirleri eksiksiz bir şekilde uygulamakla yükümlüdür.
Politika ve Prosedürlerin Oluşturulması: Özel nitelikli kişisel verilerin işlenmesi, güvenliği ve imhası süreçlerini düzenleyen ayrı ve yazılı bir politika oluşturulmalıdır.
Eğitim ve Farkındalık: Bu hassas verileri işleyen personele (revir personeli, PDR uzmanları, insan kaynakları, bilişim teknolojileri personeli) yönelik yasal düzenlemeler, kurum politikaları ve veri güvenliği konularında düzenli eğitimler verilmeli ve farkındalık çalışmaları yapılmalıdır. Bu personelle gizlilik sözleşmeleri imzalanması da önemli bir tedbirdir. Kurul'un bir hastane hakkında verdiği kararda, personele yeterli KVKK eğitimi verilmemesini doğrudan bir veri güvenliği ihlali olarak kabul etmesi, bu tedbirin ne kadar kritik olduğunu göstermektedir.
Yetki Matrisi ve Erişim Kontrolü: Özel nitelikli kişisel verilere erişim yetkileri "bilmesi gereken" prensibine göre net bir şekilde tanımlanmalı ve sınırlandırılmalıdır. Bir sınıf öğretmeninin, sorumlu olduğu öğrencinin PDR notlarına veya detaylı sağlık kayıtlarına erişim yetkisi olmamalıdır. Erişim yetkileri düzenli olarak gözden geçirilmelidir.
Fiziksel Güvenlik: Özel nitelikli veri içeren basılı dokümanların (sağlık dosyaları, PDR formları vb.) bulunduğu ortamların (revir, PDR odası, arşiv) fiziksel güvenliği sağlanmalı, bu alanlar kilit altında tutulmalı ve yetkisiz giriş-çıkışlar engellenmelidir.
Şifreleme (Kriptografi): Özel nitelikli kişisel verilerin saklandığı elektronik ortamlar (sunucular, veritabanları, dizüstü bilgisayarlar) mutlaka güçlü kriptografik yöntemler kullanılarak şifrelenmelidir.
Güvenli ve Değiştirilemez Loglama: Bu veriler üzerinde gerçekleştirilen tüm hareketlerin (erişim, görüntüleme, değiştirme, silme) işlem kayıtları (loglar), yetkisiz müdahaleleri önleyecek şekilde güvenli olarak tutulmalıdır.
Ağ Güvenliği ve Yetkisiz Erişimin Engellenmesi: Verilerin bulunduğu sistemler, güncel güvenlik duvarları (firewall) ve saldırı tespit/önleme sistemleri ile dış tehditlere karşı korunmalıdır.
Güvenli Veri Aktarımı: Özel nitelikli veriler, e-posta gibi güvensiz kanallar üzerinden aktarılmamalıdır. Aktarım gerekiyorsa, veriler şifrelenmeli veya VPN, sFTP gibi güvenli iletişim protokolleri kullanılmalıdır.
İki Kademeli Kimlik Doğrulama: Bu verilere uzaktan erişim imkanı varsa, güvenliği artırmak için iki faktörlü kimlik doğrulama sisteminin kullanılması zorunludur.
Sızma Testleri ve Düzenli Denetimler: Verilerin tutulduğu bilişim sistemlerinin güvenliği, düzenli olarak sızma (penetrasyon) testleri ile kontrol edilmeli ve tespit edilen zafiyetler giderilmelidir.
Güvenli İmha: Saklama süresi dolan veya işleme amacı ortadan kalkan özel nitelikli veriler, dijital ortamda ise geri getirilemeyecek şekilde (yazılımdan güvenli silme, degaussing vb.), fiziksel ortamda ise kağıt imha makineleri ile okunamaz hale getirilerek imha edilmelidir.
KVKK, verisi işlenen gerçek kişilere (öğrenciler, veliler, personel) veri sorumlusuna karşı kullanabilecekleri geniş haklar tanımıştır. Bu haklar veri işleme süreçlerinde şeffaflığı ve bireylerin kendi verileri üzerindeki kontrolünü sağlamayı amaçlar. İlgili kişiler veri sorumlusu olan okula başvurarak:
Kişisel verilerinin işlenip işlenmediğini öğrenme,
İşlenmişse buna ilişkin bilgi talep etme,
İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
Verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
Verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVKK Madde 7'de öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
Yapılan düzeltme, silme veya yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendi aleyhlerine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramaları hâlinde zararın giderilmesini talep etme haklarına sahiptir.
İlgili kişilerin bu haklarını kullanma süreci iki aşamalı bir yapıya sahiptir :
İlgili kişi, talebini öncelikle veri sorumlusu olan okula yazılı olarak veya Kurul'un belirlediği diğer yöntemlerle (kayıtlı elektronik posta, güvenli elektronik imza vb.) iletmek zorundadır. Bu süreç şikayet yoluna gitmeden önce tüketilmesi gereken zorunlu bir yoldur. Okul bu başvuruyu talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Okul, talebi kabul edebilir veya gerekçesini açıklayarak reddedebilir ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
İlgili kişi; okulun başvurusunu reddetmesi, verdiği cevabı yetersiz bulması veya okula 30 gün içinde cevap vermemesi hâllerinde Kişisel Verileri Koruma Kurulu'na şikayette bulunabilir. Şikayet hakkı, okulun cevabını öğrendiği tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün içinde kullanılmalıdır. Bu süreler hak düşürücü nitelikte olup, aşıldığı takdirde Kurul şikayeti incelemeyecektir.
Eğitim kurumları için ilgili kişi başvurularını yönetmek yalnızca yasal bir yükümlülük değil, aynı zamanda potansiyel bir krizi önleyici bir erken uyarı sistemidir. Usulüne uygun ve zamanında yönetilmeyen basit bir bilgi talebi, velinin veya personelin Kurul'a şikayette bulunmasına yol açabilir. Kurul'a intikal eden bir şikayet ise yalnızca o spesifik taleple sınırlı kalmayıp, kurumun genel KVKK uyum düzeyinin, aydınlatma metinlerinin, rıza formlarının ve veri güvenliği önlemlerinin de denetlenmesine neden olabilir. Bu durum başlangıçta kolayca çözülebilecek bir konunun ciddi idari para cezalarıyla sonuçlanabilecek kapsamlı bir denetim sürecine evrilmesi riskini taşır.
Üniversite arşivlerini yönetirken veri koruma (KVKK) ve akademik miras arasındaki karmaşık dengeyi ve silme hakkını keşfedin.
Kurul'un eğitim sektörüne yönelik verdiği kararlar, kanunun teorik hükümlerinin pratikte nasıl yorumlandığını göstermesi açısından kritik öneme sahiptir. Bu kararlar okulların kaçınması gereken hata modellerini ve uyum süreçlerinde nelere odaklanmaları gerektiğini net bir şekilde ortaya koymaktadır.
Bir özel eğitim kurumu, velilerden usulüne uygun aydınlatma yapmadan ve geçerli bir açık rıza almadan öğrencilere bilişsel yeteneklerini ölçen CAS (Cognitive Assessment System) testini uygulamıştır.
Değerlendirme: Kurul bu test sonucunda elde edilen verilerin, öğrencinin zeka düzeyi ve kişilik özelliklerine ilişkin değerlendirmeler içerdiği için özel nitelikli kişisel veri niteliğinde olduğunu tespit etmiştir. Okulun bu faaliyeti Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği çerçevesinde yürüttüğü yönündeki savunması yeterli bulunmamıştır. Kurul genel bir yönetmeliğe atıf yapmanın, KVKK'nın gerektirdiği spesifik ve açık aydınlatma yükümlülüğünü ortadan kaldırmadığına dikkat çekmiştir. Sonuç olarak okulun KVKK Madde 10 kapsamındaki aydınlatma yükümlülüğünü ve Madde 12 kapsamındaki veri güvenliğine ilişkin yükümlülüklerini ihlal ettiğine karar verilmiştir.
Çıkarılacak Ders: Eğitim kurumları "imzayı aldık, sorun yok" anlayışından vazgeçmelidir. Kurul kararları uyum süreçlerinde şekilcilikten (bir rıza metninin varlığı) ziyade, esasa (aydınlatmanın kalitesi, işlemenin gerekliliği, ölçülülük) odaklanıldığını göstermektedir. Bir veri işleme faaliyeti için veliden veya personelden rıza alınsa dahi, bu rızanın ne anlama geldiği, verilerin nasıl kullanılacağı ve ilgili kişinin hakları konusunda şeffaf ve anlaşılır bir bilgilendirme yapılmamışsa, işlem hukuka aykırı kabul edilecektir.
Bir okul mezun olan bir öğrencinin fotoğrafını, öğrencilik döneminde velisinden aldığı izne dayanarak okulun tanıtım broşürlerinde ve web sitesinde kullanmaya devam etmiştir.
Değerlendirme: Kurul okulun kayıt esnasında veliden "sosyal medya paylaşımı" için ıslak imzalı bir açık rıza aldığını ve bu nedenle fotoğrafın ilk kullanımının hukuka uygun olduğunu kabul etmiştir. Ancak Kurul öğrencinin mezun olmasıyla birlikte okul ile arasındaki hukuki ilişkinin ve dolayısıyla veri işleme amacının ortadan kalktığını vurgulamıştır. Bu nedenle artık işlenmesi için meşru bir amacı kalmayan bu verinin imha edilmesi veya en azından öğrencinin tanınmayacağı şekilde anonim hale getirilmesi (örneğin, buzlanması) gerektiğine hükmetmiştir. Ayrıca Kurul, okulun kullandığı aydınlatma ve rıza metinlerinin, her bir paylaşım kanalı (broşür, web sitesi, sosyal medya vb.) için ayrı ayrı seçenekler sunacak şekilde "granüler" (ayrıntılı) olarak yeniden düzenlenmesi yönünde talimat vermiştir.
Çıkarılacak Ders: Alınan açık rızalar süresiz bir geçerliliğe sahip değildir. Veri işleme amacı ortadan kalktığında, rıza da fiilen geçerliliğini yitirir ve verilerin saklama ve imha politikaları çerçevesinde yok edilmesi gerekir. Ayrıca "tüm paylaşımlara izin veriyorum" şeklindeki genel rızalar yerine, ilgili kişiye hangi mecrada ne tür bir paylaşım yapılacağı konusunda seçim hakkı tanıyan ayrıntılı rıza mekanizmaları kurulmalıdır.
KVKK'ya aykırılıklar yalnızca idari para cezaları ile sınırlı değildir. Eylemin niteliğine göre, 5237 sayılı Türk Ceza Kanunu'nda (TCK) düzenlenen suçlar da gündeme gelebilir. Özellikle kişisel verilerin hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesi fiilleri TCK Madde 136 kapsamında 2 yıldan 4 yıla kadar hapis cezasını gerektiren bir suçtur. Bu suçun, bir kamu görevlisi (devlet okulu öğretmeni veya idarecisi) tarafından görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın (özel okul personeli) sağladığı kolaylıktan yararlanılarak işlenmesi, TCK Madde 137 uyarınca cezayı artıran nitelikli bir hal olarak düzenlenmiştir.
Uzaktan Eğitimde Eğitim Materyallerinin Fikri Mülkiyet HaklarıYayınlarNovember 27, 2025👤Sercan Koç
Türkiye'nin kişisel veri koruma mevzuatı olan KVKK büyük ölçüde Avrupa Birliği'nin eski 95/46/EC sayılı Direktifi’ne dayanmaktadır. Ancak güncel olarak yürürlükte olan Genel Veri Koruma Tüzüğü (GDPR) ile arasında önemli farklılıklar bulunmaktadır.
KVKK’daki “özel nitelikli kişisel veri” tanımı GDPR’ın 9. maddesindeki “special categories of personal data” (özel kategorideki kişisel veriler) tanımı ile büyük ölçüde örtüşmektedir. Her iki düzenleme de ırk, etnik köken, siyasi görüş, sağlık ve cinsel yaşam gibi verileri bu kapsama dahil eder. Bununla birlikte, KVKK’nın “kılık ve kıyafet” bilgisini de özel nitelikli veri olarak sayması, Türk hukukuna özgü bir farklılıktır.
Kapsam açısından GDPR, 99 madde ve 53.000 kelimeden oluşan çok daha detaylı ve kapsamlı bir düzenleme iken, KVKK 32 madde ve yaklaşık 5.500 kelimeden oluşmaktadır. Bu nedenle GDPR terminoloji ve uygulama alanında daha geniş bir yelpaze sunmaktadır.
Her iki düzenlemede de ortak nokta özel nitelikli kişisel verilerin kural olarak açık rıza olmaksızın işlenememesidir. KVKK Madde 6 ve GDPR Madde 9’da bu ilke açıkça ortaya konulmuştur. Ancak her iki düzenleme de belirli istisnalar öngörmektedir (örneğin kamu sağlığının korunması, yargı mercileri tarafından yürütülen işlemler gibi). Dolayısıyla “yasaklama ve istisnalar” yaklaşımı her iki sistemde de temel işleme kuralını oluşturmaktadır.
GDPR ile KVKK arasındaki en temel felsefi farklardan biri “hesap verebilirlik” (accountability) ilkesi ve bunun bir yansıması olan Veri Koruma Etki Değerlendirmesi (DPIA) zorunluluğudur. GDPR veri sorumlularının yalnızca kurallara uymasını değil, aynı zamanda uyumlu olduklarını aktif olarak kanıtlamalarını da bekler.
GDPR Madde 35 özellikle özel nitelikli verilerin geniş ölçekte işlenmesi gibi yüksek riskli veri işleme faaliyetleri başlamadan önce, veri sorumlusunun zorunlu olarak bir DPIA yapmasını öngörür. DPIA, planlanan işleme faaliyetinin kişilerin hak ve özgürlükleri üzerindeki potansiyel risklerini sistematik olarak analiz eden, bu riskleri azaltmak için alınacak önlemleri belirleyen ve belgeleyen proaktif bir süreçtir.
KVKK’da ise GDPR’daki gibi açık ve zorunlu bir DPIA mekanizması bulunmamaktadır. Ancak KVKK Madde 12’de yer alan “gerekli her türlü teknik ve idari tedbiri alma” yükümlülüğü ve Kurul’un risk temelli yaklaşımı, fiiliyatta benzer bir risk analizi yapılmasını zorunlu kılmaktadır. Özellikle özel nitelikli veriler söz konusu olduğunda, veri sorumlusunun olası riskleri önceden değerlendirip değerlendirmediği ve bu risklere orantılı tedbirler alıp almadığı denetlenmektedir.
GDPR’ın hesap verebilirliği açık ve temel bir ilke haline getirmesi, KVKK’ya göre çok daha ağır ve belgelenmiş bir uyum yükümlülüğü doğurmaktadır. KVKK’da ise bu ilke zımni niteliktedir.
Bir diğer önemli farklılık yaptırımlar boyutunda ortaya çıkmaktadır. KVKK kapsamında idari para cezaları (2024 yılı itibarıyla yaklaşık 10 milyon TL’ye kadar) öngörülmüş, ayrıca Türk Ceza Kanunu kapsamında hapis cezaları da söz konusu olabilmektedir.
GDPR ise küresel ciro üzerinden %4’e kadar veya 20 milyon Euro’ya kadar (hangisi yüksekse) idari para cezaları öngörmektedir. Bu yüksek tutarlar özellikle uluslararası ve büyük ölçekli şirketler açısından GDPR’ı çok daha caydırıcı bir düzenleme haline getirmektedir.
Bu rapor boyunca yapılan analizler, eğitim kurumlarının özel nitelikli kişisel veri işlerken uyması gereken yasal sınırları ve karşılaşabilecekleri temel riskleri netleştirmektedir.
Özel nitelikli veriler yalnızca kanunda dar bir şekilde tanımlanmış istisnai hallerde veya unsurları tam olarak oluşmuş, geçerli bir "açık rıza" ile işlenebilir. Her işleme faaliyeti "amaçla sınırlılık", "veri minimizasyonu" ve "ölçülülük" gibi temel ilkelere sıkı sıkıya bağlı kalmalıdır. Veri güvenliği, Kurul'un belirlediği "yeterli önlemler" çerçevesinde en üst düzeyde sağlanmalıdır.
Geçersiz Rıza: Yetersiz aydınlatma veya taraflar arasındaki güç dengesizliği nedeniyle alınan rızaların hukuken geçersiz sayılması.
İstisnaların Geniş Yorumlanması: "Kanunlarda öngörülme" veya "kamu sağlığı" gibi istisnaların somut bir yasal dayanağı olmadan keyfi olarak kullanılması.
Yetersiz Güvenlik Önlemleri: Kurul'un zorunlu kıldığı idari ve teknik tedbirlerin (özellikle şifreleme, yetki kontrolü, düzenli eğitim) eksik veya hiç uygulanmaması.
Saklama Sürelerinin Aşılması: Mezun olan öğrenciler veya işten ayrılan personel gibi, işleme amacı ortadan kalkan kişilere ait verilerin imha edilmemesi.
İlgili Kişi Başvurularının Yönetilememesi: Yasal sürelere uyulmaması ve başvurulara usulüne uygun, gerekçeli cevaplar verilmemesi, bu durumun Kurul nezdinde bir şikayete ve denetime dönüşmesi.
Eğitim kurumlarının KVKK'ya tam uyum sağlaması ve risklerini etkin bir şekilde yönetmesi için aşağıdaki adımları içeren sistematik bir yaklaşım benimsemesi tavsiye edilir:
Üst yönetimin konuyu sahiplenmesi, gerekli kaynakları ayırması ve kurum içinde KVKK süreçlerini yönetecek bir Kişisel Veri Koruma Komitesi veya Sorumlusu ataması.
Kurum içinde işlenen tüm özel nitelikli kişisel verilerin (nerede, neden, nasıl, ne kadar süreyle işlendiği) tespit edildiği detaylı bir veri işleme envanteri oluşturulması.
Envanterdeki her bir işleme faaliyeti için hukuki dayanağın (rıza mı, istisna mı) netleştirilmesi ve GDPR'daki DPIA benzeri bir yaklaşımla potansiyel risklerin analiz edilmesi.
Aydınlatma metinleri, açık rıza formları, politikalar ve prosedürlerin KVKK'ya ve Kurul kararlarına uygun olarak hazırlanması veya revize edilmesi. Rıza formlarının her bir amaç ve paylaşım kanalı için ayrı seçenekler sunacak şekilde "granüler" olarak tasarlanması.
Bölüm 4'te detaylandırılan ve Kurul tarafından zorunlu kılınan tüm idari ve teknik tedbirlerin eksiksiz bir şekilde hayata geçirilmesi.
Tüm personelin, özellikle hassas veri işleyen birimlerin, düzenli aralıklarla KVKK ve veri güvenliği konusunda eğitilmesi.
İlgili kişi başvurularını ve olası veri ihlallerini yönetecek, sorumluları ve süreç adımları net olan yazılı prosedürler oluşturulması.
Kurulan sistemin etkinliğinin düzenli olarak iç veya dış denetimlerle kontrol edilmesi ve tespit edilen eksikliklerin giderilerek sürekli bir iyileştirme yaklaşımının benimsenmesi.
Telif hakkı, vergilendirme, platform sözleşmeleri ve veri gizliliği (KVKK) konularını kapsayan uzaktan eğitimdeki dijital içerik yaratıcılarının hukuki statüsünü anlayın.
Eğitim kurumları için özel nitelikli kişisel verilerin işlenmesi, yasal bir zorunluluk olmanın ötesinde, öğrencilere, velilere ve personele karşı duyulan etik bir sorumluluktur. KVKK'ya uyum, yalnızca idari para cezalarından ve hukuki yaptırımlardan kaçınmak anlamına gelmez; aynı zamanda kurumun itibarını korumak, paydaşlarıyla şeffaf ve güvene dayalı bir ilişki kurmak için de temel bir gerekliliktir. Bu karmaşık ve dinamik alanda başarılı olmak, reaktif bir yaklaşımla sorunlar ortaya çıktıkça çözüm aramaktan değil, proaktif ve risk odaklı bir veri yönetimi kültürü benimsemekten geçmektedir. Bu rapor bu kültürün oluşturulması yolunda eğitim kurumlarına kapsamlı bir rehberlik sunmak üzere tasarlanmıştır.
