2019’un Aralık ayında Çin’in Wuhan kentinde ortaya çıkan ve geçen süreçte dünyaya yayılması sebebiyle pandemi ilan edilen yeni tip koronavirüs (COVID-19), tam anlamıyla küresel tehdit haline geldi. Dünya genelinde 203 binden fazla, Türkiye’de ise 2 bin 706 kişinin ölümüne sebep olan salgın, dünyada 3 milyona yakın kişiye de bulaştı. İnsanların hayatına mal olmasının yanı sıra dünyadaki bütün sistemleri de alt üst eden koronavirüs, sağlıktan ekonomiye, sosyal hayattan siyasete kadar her alanda dengeleri bozdu. Salgının ilk etkilediği dinamiklerden birisi ise eğitim oldu. Birçok ülkede olduğu gibi Türkiye’de de eğitime ara verilirken, geliştirilen sistemlerle öğrencilerin öğrenimine devam etmesi noktasında bilişim sistemleri aracılığıyla uzaktan eğitime başlandı. Virüsün yayılması sonrası eğitim ya da işlerle ilgili toplantılar ve toplu aile görüşmelerinin artmasıyla birlikte ise insanların gündemine bir sorun girdi. O da kişisel verilerin korunması. Konuyla ilgili geçtiğimiz günlerde Kişisel Verileri Koruma Kurumu tarafından veri merkezi yurt dışında bulunan uzaktan eğitim platformlarının kullanılması halinde yurt dışına veri aktarımının söz konusu olabileceğine ilişkin uyarı gelmişti. Peki bilişim sistemlerinin bu açığının hukuki süreci nedir? İşte bu soruyu Kahramanmaraş’ta faaliyet gösteren Nalçacı Hukuk Bürosu’ndan Avukat Emine Nalçacı kaleme aldığı ‘Uzaktan Eğitimde Kişisel Verileri Koruma Kanunundan Doğan Yükümlülükler’ başlıklı makaleyle yanıtladı.

Nalçacı’nın, ‘Uzaktan Eğitimde Kişisel Verileri Koruma Kanunundan Doğan Yükümlülükler’ makalesinin bütün detayları şu şekilde;

BİRÇOK FİRMA SALGIN SEBEBİYLE UZAKTAN ÇALIŞMA SİSTEMİNE GEÇTİ

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kişisel verilerin korunmasını, kanuna uygun veri işlenmesini ve saklanmasını amaçlamaktadır. Kanunda belirtilen yükümlülüklere aykırı eylemlerin, hukuki ve cezai sorumluluğu söz konusudur. Kanuna aykırı davrananlar aleyhine, beş bin Türk Lirası ile bir milyon Türk Lirası arasında idari para cezası verileceği Kanunun 18. maddesinde düzenlenmiştir.

Çin’in Wuhan kentinden yayılan ve tüm dünyayı etkisi altına alan corona virüsün yol açtığı COVID-19 salgını, Dünya Sağlık Örgütü tarafından pandemik hastalık ilan edilmiştir. Salgın hastalık sebebiyle; ülke çapında önlemler alınmış, bazı değişiklikler yapılmıştır. Bu doğrultuda, birçok eğitim kurumu uzaktan eğitime geçiş yapmıştır. Bazı meslek grupları online platformlar üzerinden danışanları ile görüşmekte, mesleki faaliyetlerine bu platformlar üzerinden devam etmektedir. Uzaktan çalışma sistemine geçen firmalar ise toplantı ve görüşmelerini bu platformlar aracılığıyla yapmaktadır.

KİŞİSEL VE BİYOMETRİK VERİLER YURTDIŞINA AKTARILIYOR

Uzaktan eğitimde ve bazı meslek kollarında kullanılan platformlarda kişinin adı ve soyadı gibi kişisel verileri, ses ve görüntü gibi biyometrik verileri işlenmektedir. Kanunun altıncı maddesi gereği biyometrik verilerin, özel nitelikte kişisel veri oldukları unutulmamalıdır. Uzaktan eğitimde ve bazı meslek dallarında kullanılan bu platformlar genellikle bulut hizmet sağlayıcısı aracılığıyla hizmet vermektedir. Veri merkezleri çoğunlukla yurtdışındadır. Hal böyle olunca, ilgililere ait kişisel veriler ve biyometrik veriler yurtdışına aktarılmaktadır.

SALGIN HASTALIK İSTİSNALAR ARASINA YER ALMIYOR

KVKK 9. Madde şöyle demektedir: “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” Maddenin devamında, açık rıza olmaksızın kişisel verilerin yabancı ülkelere aktarılabileceği istisnalar düzenlenmiştir, salgın hastalık bu istisnalar arasında yer almamaktadır. Kurum konu ile ilgili duyurusunda açık rıza alınması gerektiğine vurgu yapmış, Kanun ihlali olacağı Kişisel Verileri Koruma Kurumu’nun 07.04.2020 tarihli duyurusunda belirtmiştir. Salgın hastalık sebebiyle içerisinde bulunduğumuz olağanüstü dönem KVKK’dan kaynaklı yükümlülükleri ortadan kaldırmamaktadır. Aksine Covid-19 virüsü ile mücadelede yaygınlaşan ve hemen hemen her öğrencinin dâhil olduğu uzaktan eğitim platformlarının KVKK kapsamındaki idari ve teknik tedbirler büyük önem taşımaktadır. Bu kapsamda alınması gereken teknik ve idari tedbirler evvelce Kurum tarafından31.01.2018 tarihli ve 2018/10 sayılı ‘Özel nitelikte Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler’ ile ilan edilmiştir.

VERİ AKTARIMI İÇİN AÇIK RIZA ŞARTTIR

Veri merkezi yurtdışı olan platformlarla kişisel veriler yurtdışına aktarılmaktadır. Bu aktarım için ilgililerin açık rızası şarttır. Açık rıza elektronik ortamda alınabileceği gibi, çağrı merkezi aracılığıyla da alınabilir, yazılı olması şart değildir. Açık rızanın alındığına dair ispat yükü veri sorumlusuna aittir. KVKK 3. Madde de vurgulandığı üzere; açık rıza, belirli bir konuya ilişkin olmalı, rıza bilgilendirmeye dayanmalı ve özgür iradeyle açıklanmalıdır. Bir kez alınan açık rıza, o işlemle ilgili tüm süreçleri kapsamaz; şöyle ki, veri sorumlusunun veri kullanımı neticesinde ikincil işlemler doğacaksa (Örneğin yurtdışı aktarım) bu durumda da ikincil işlem için de açık rıza alınmalıdır. Belirli bir konuya ilişkin olmayan, genel nitelikteki rızaları Kurum kabul etmemekte, “Battaniye Rıza” olarak ifade etmektedir. Bu kapsamda, “Her türlü işlem, tüm faaliyetler için…vb.” şeklinde alınan açık rızalar geçerli değildir. İlgilinin anlamayacağı terimler, çok küçük puntolar kullanılmamalıdır. Açık rıza; bir ürün ve hizmetten yararlanmanın ön şartı olarak sunulmamalıdır. Aksi halde bu husus, açık rızanın kişinin özgür iradesine dayanması gerektiği ölçütü ile ters düşecektir. Açık rıza her zaman geri alınabilir. Bu geri alma işlemi, ileriye etkili sonuç doğurur; geçerli açık rıza verildiği andan, geri alınana kadar yapılan işlemlerin geçersizliği sonucunu doğurmaz.

KVKK’DAN KAYNAKLI YÜKÜMLÜLÜKLERİ ORTADAN KALDIRDIĞI HATASINA DÜŞÜLMEMELİDİR”

Ülkemizde ve dünyada salgın hastalıkla mücadele ettiğimiz bu süreçte, KVKK’dan kaynaklanan yükümlülükler devam etmektedir. Kurum tarafından pandemi sebebiyle sadece veri sorumlularının uymakla yükümlü olduğu süreler açısından, virüs salgını sebebiyle yaşanılan bu sürecin göz önüne alınacağı Kişisel Verileri Koruma Kurumu’nun 23.03.2020 tarihli duyurusunda belirtilmiştir. Bu bilgiler ışığında; yaygınlaşan uzaktan eğitimde ve bazı meslek kollarında kullanılan online platformların veri merkezinin yurtdışı olduğu hususu göz ardı edilmemeli, salgın hastalık sebebiyle yaşanılan bu olağanüstü sürecin KVKK’dan kaynaklı yükümlülükleri ortadan kaldırdığı hatasına düşülmemelidir.”

(Haber: Ahmet Güneçıkan)

Editör: Mahmut Beyaz