Kişisel Verileri Koruma Kurulunun ("Kurul") uzaktan eğitim platformlarına ilişkin kamuoyu duyurusu ("Duyuru") 7 Nisan 2020 tarihinde Kurul'un internet sitesinde yayınlandı.

Duyuruda özetle:

  • Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri dışında görüntü ve seslerinin de işlendiği ve bu verilerin biyometrik veri kapsamında değerlendirilebilecek özel nitelikli kişisel veriler olarak kabul edileceği,
  • Söz konusu platformlarda öğrencilere ait kişisel ve özel nitelikli kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 5. maddesindeki kişisel verilerin işlenme şartlarına ve 6. maddesindeki biyometrik verilerin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartlarına uygun olarak işlenmesi gerektiği,
  • Uzaktan eğitim amacıyla kullanılan programların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet vermesi ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olması sebebiyle veri merkezleri yurtdışında olan bu platformların kullanılması durumunda Kanun'un 9. maddesinde belirtilen şartlara uygun olmayan aktarımların kanuna aykırılık teşkil edebileceği,
  • Yukarıda açıklanan sebeplerden, söz konusu platformların gerekli veri güvenlik tedbirlerinin alınması gerektiği belirtildi.

Duyuru ile ilgili bazı önemli hususları aşağıda bilginize sunuyoruz:

1. Öğrencilere ait görüntü ve seslerin biyometrik veri olarak kabul edilmesinin sonuçları nelerdir?

Öğrencilere ait görüntü ve ses kayıtlarının biyometrik veri olmasının sonucu:

  • Bu verilerin ancak "açık rıza"ya dayanarak işlenebilmesi ve
  • bu verilerin işlenmesinde Kurul tarafından veri işleme faaliyetleri için belirlenen teknik ve idari önlemlerin yanı sıra Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler Kararında belirtilen ek güvenlik önlemlerinin alınması gerekecektir. Bu karara şu linkten ulaşılabilir: https://www.kvkk.gov.tr/Icerik/4110/2018-10

2. Duyurunun diğer alanlara etkileri ne olabilir?

Kurul'un bu Duyurusundan hiçbir "işleme amacı" ayrımı yapmadan görüntü ve ses kayıtlarının işlenmesinin biyometrik veri işleme olarak kabul edilebileceği şekilde bir anlam çıkmaktadır.

Elbette Duyuruda açıklandığı şekilde ses ve görüntü verilerinin özel nitelikli veri sayılmasının, piyasada video yöntemi ile konferans, seminer, toplantı vb. amaçlarla online görüntü hizmeti veren tüm programlar için geçerli olacağı açıktır.

Bununla birlikte bu Duyuru, örneğin çağrı merkezleri ile yapılan görüşmelerin ya da CCTV kameraları ile görüntülerin kaydedilmesinin de biyometrik veri işleme faaliyeti olarak kabul edilmesi yorumu yapılmasına neden olabilir.

Bu yorumun sonucu ise bu işleme faaliyetlerinin de "açık rızaya" dayanarak işlenmesi ayrıca belirtilen güvenlik önlemlerinin alınması olacaktır.

3. Duyuruya ilişkin görüşümüz

Yayınlanan Duyurunun uygulamada çok ciddi belirsizliğe yol açacağı görüşündeyiz.

Zira ortada herhangi bir kişiyi tanıma/belirleme faaliyeti olup olmadığı belli dahi değilken, sadece işlenen verinin kişinin görüntü ya da ses verisi olmasından hareketle, "bir ihtimale dayanarak" söz konusu faaliyetin biyometrik veri işleme olabileceği yorumu yapmanın Kanuna uygun olmadığı görüşündeyiz.

Ayrıca Kurul'un "Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili kararı"nda atıf yaptığı Avrupa Genel Veri Koruma Tüzüğü ("GDPR")'ın 51. Ön Hükmü (Recital) açıkça şunu belirtmektedir:

Fotoğrafların işlenmesi sistematik bir şekilde özel nitelikli veri işlemesi olarak kabul edilmemelidir, çünkü fotoğraflar ancak benzersiz şekilde kimlik saptanması ya da kişinin kimlik doğrulamasının yapılmasına imkan veren özel teknik araçlarla işlendiğinde biyometrik veri tanımına girer.1

Buradan çıkarılacak sonuç kişiyi belirleyebilme yeterliliğine sahip olan kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin veriler eğer bu amaçla kaydedilip kullanılmıyorsa bu faaliyet "biyometrik veri işleme" faaliyeti olarak kabul edilmemelidir.

Bu bakımdan elbette ses ve görüntü, kaydedilerek, belirli teknik cihazlar kullanılarak kişiyi belirlemek, kimliğini teyit etmek için kullanılabilir. Bu durumda bu faaliyetin biyometrik veri işleme faaliyeti olacağı açıktır. Fakat eğer ses ve görüntü verisi sadece video konferans yapmak amacıyla kullanılıyorsa bu faaliyet biyometrik veri işleme faaliyeti olarak kabul edilmemelidir.

Kaldı ki, VERBİS'te, görüntü ve ses verileri "Görsel ve İşitsel Kayıtlar" kategorisinde yer almakta, bu veriler özel nitelikli kişisel veriler kategorisinde yer almamaktadır.

Dolayısıyla, Duyuru ile birlikte görüntü ve ses verisi işleme faaliyetlerinin VERBİS'e hangi nasıl kaydedileceği konusunda bir belirsizlik oluşmuştur.

Belirtilen sebeplerle Duyurunun, ancak ilgili ses ve görüntüden bir kişi belirlenmesi/tespiti yapılıyorsa bu işlemenin özel nitelikli kişisel veri işlenmesi kabul edilebileceği, eğer böyle bir işlem yapılmıyorsa ilgili ses ve görüntü işlenmesinin özel nitelikli kişisel veri işlemesi kabul edilmeyeceği şekilde yorumlanması uygun olacaktır.

Her halükarda Kurulun ek bir duyuru ile yaratılan belirsizliği gidermesinin faydalı olacağı görüşündeyiz.

Son olarak uzun bir süredir gündemi meşgul eden ve yakın zamana çözülmesi konusunda da pek umut olmayan verilerin yurtdışına aktarılması meselesinde ise veri sorumlularının bu platformları kullandırdığı kişilerden açık rıza almaları ya da ilgili platformlar ile taahhüt imzalayarak kuruldan izin almalarından başka yol görünmemektedir. Bu konuya ilişkin problemleri ve pratik çözümleri daha önce birçok kez değerlendirdiğimiz için kendimizi tekrar etmemek adına bu konuda ek bir yorum yapmıyoruz.

Duyuru metnine aşağıdaki linkten ulaşabilirsiniz:

https://kvkk.gov.tr/Icerik/6723/Uzaktan-Egitim-Platformlari-Hakkinda-Kamuoyu-Duyurusu

Footnote

1. Metnin İngilizcesini de burada belirtmenin faydalı olacağı görüşündeyiz: "The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person."

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.