6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kişisel verilerin korunmasını, kanuna uygun veri işlenmesini ve saklanmasını amaçlamaktadır. Kanunda belirtilen yükümlülüklere aykırı eylemlerin, hukuki ve cezai sorumluluğu söz konusudur. Kanuna aykırı davrananlar aleyhine, beş bin Türk Lirası ile bir milyon Türk Lirası arasında idari para cezası verileceği Kanunun 18. maddesinde düzenlenmiştir.

Çin’in Wuhan kentinden yayılan ve tüm dünyayı etkisi altına alan corona virüsün yol açtığı COVID-19 salgını, Dünya Sağlık Örgütü tarafından pandemik hastalık ilan edilmiştir. Salgın hastalık sebebiyle; ülke çapında önlemler alınmış, bazı değişiklikler yapılmıştır. Bu doğrultuda, birçok eğitim kurumu uzaktan eğitime geçiş yapmıştır. Bazı meslek grupları online platformlar üzerinden danışanları ile görüşmekte, mesleki faaliyetlerine bu platformlar üzerinden devam etmektedir. Uzaktan çalışma sistemine geçen firmalar ise toplantı ve görüşmelerini bu platformlar aracılığıyla yapmaktadır.

Uzaktan eğitimde ve bazı meslek kollarında kullanılan platformlarda kişinin adı ve soyadı gibi kişisel verileri, ses ve görüntü gibi biyometrik verileri işlenmektedir. (Kanunun altıncı maddesi gereği biyometrik verilerin, özel nitelikte kişisel veri oldukları unutulmamalıdır.) Uzaktan eğitimde ve bazı meslek dallarında kullanılan bu platformlar genellikle bulut hizmet sağlayıcısı aracılığıyla hizmet vermektedir. Veri merkezleri çoğunlukla yurtdışındadır. Hal böyle olunca, ilgililere ait kişisel veriler ve biyometrik veriler yurtdışına aktarılmaktadır.

KVKK 9. Madde şöyle demektedir: Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” Maddenin devamında, açık rıza olmaksızın kişisel verilerin yabancı ülkelere aktarılabileceği istisnalar düzenlenmiştir, salgın hastalık bu istisnalar arasında yer almamaktadır. Kurum konu ile ilgili duyurusunda açık rıza alınması gerektiğine vurgu yapmış, Kanun ihlali olacağını belirtmiştir[1]. Salgın hastalık sebebiyle içerisinde bulunduğumuz olağanüstü dönem KVKK’dan kaynaklı yükümlülükleri ortadan kaldırmamaktadır. Aksine Covid-19 virüsü ile mücadelede yaygınlaşan ve hemen hemen her öğrencinin dâhil olduğu uzaktan eğitim platformlarının KVKK kapsamındaki idari ve teknik tedbirler büyük önem taşımaktadır. Bu kapsamda alınması gereken teknik ve idari tedbirler evvelce Kurum tarafından ilan edilmiştir[2].

Veri merkezi yurtdışı olan platformlarla kişisel veriler yurtdışına aktarılmaktadır. Bu aktarım için ilgililerin açık rızası şarttır. Açık rıza elektronik ortamda alınabileceği gibi, çağrı merkezi aracılığıyla da alınabilir, yazılı olması şart değildir. Açık rızanın alındığına dair ispat yükü veri sorumlusuna aittir. KVKK 3. Madde de vurgulandığı üzere; açık rıza, belirli bir konuya ilişkin olmalı, rıza bilgilendirmeye dayanmalı ve özgür iradeyle açıklanmalıdır. Bir kez alınan açık rıza, o işlemle ilgili tüm süreçleri kapsamaz; şöyle ki, veri sorumlusunun veri kullanımı neticesinde ikincil işlemler doğacaksa (Örneğin yurtdışı aktarım) bu durumda da ikincil işlem için de açık rıza alınmalıdır. Belirli bir konuya ilişkin olmayan, genel nitelikteki rızaları Kurum kabul etmemekte, “Battaniye Rıza” olarak ifade etmektedir. Bu kapsamda, “Her türlü işlem, tüm faaliyetler için…vb.” şeklinde alınan açık rızalar geçerli değildir. İlgilinin anlamayacağı terimler, çok küçük puntolar kullanılmamalıdır. Açık rıza; bir ürün ve hizmetten yararlanmanın ön şartı olarak sunulmamalıdır. Aksi halde bu husus, açık rızanın kişinin özgür iradesine dayanması gerektiği ölçütü ile ters düşecektir. Açık rıza her zaman geri alınabilir. Bu geri alma işlemi, ileriye etkili sonuç doğurur; geçerli açık rıza verildiği andan, geri alınana kadar yapılan işlemlerin geçersizliği sonucunu doğurmaz.

Ülkemizde ve dünyada salgın hastalıkla mücadele ettiğimiz bu süreçte, KVKK’dan kaynaklanan yükümlülükler devam etmektedir. Kurum tarafından pandemi sebebiyle sadece veri sorumlularının uymakla yükümlü olduğu süreler açısından, virüs salgını sebebiyle yaşanılan bu sürecin göz önüne alınacağını belirtilmiştir[3].

Bu bilgiler ışığında; yaygınlaşan uzaktan eğitimde ve bazı meslek kollarında kullanılan online platformların veri merkezinin yurtdışı olduğu hususu göz ardı edilmemeli, salgın hastalık sebebiyle yaşanılan bu olağanüstü sürecin KVKK’dan kaynaklı yükümlülükleri ortadan kaldırdığı hatasına düşülmemelidir.

----------------------------------------------

[1] Kişisel Verileri Koruma Kurumu’nun 07.04.2020 tarihli duyurusu.

[2] Kişisel Veri Güvenliği Rehberi ile Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı “Özel nitelikte Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler

[3] Kişisel Verileri Koruma Kurumu’nun 23.03.2020 tarihli duyurusu.