Türkiye Barolar Birliği Dergisi 155.Sayı

434 Çevrimiçi Eğitimde Üniversite Öğrencilerinin Kişisel Verilerinin İşlenmesinin Hukuki Sebepleri Denge testinde öğrencilerin çevrimiçi ders ve sınav uygulamala- rı sırasında kişisel verilerinin işlenmesini makul bir şekilde bekleyip beklemedikleri ve işleme faaliyetinin amaç ve sınırları bakımından bil- gilendirilmiş olup olmadıklar ı nazara alınması gereken unsurlardan biridir. Veri sorumlusu olarak üniversiteler, öngörülebilirliği sağla- mak adına, kişisel verilerin işlenmesinde şeffaflık ilkesi gereğince ve aydınlatma yükümlülüğü kapsamında, işleme faaliyetine başlamadan vermeleri gereken diğer bilgiler yanında, öğrencilerin ses ve görün- tü verilerini işleyecekleri durumlar ile bu işlemenin amaç ve sınırları hakkında da bilgi vermiş olmal ı dırlar. 55 Esasen bu yükümlülük, kişisel verilerin işlenmesinde genel kural ve ilkelere uygunluğun sağlanması halinde kendiliğinden yerine getirilmiş olacaktır. Öğrencilerin temel hak ve hürriyetleri ile üniversitelerin meşru menfaatleri karşılaştırılarak denge testi yapılırken, üniversitelerin iş- leme faaliyetini amaçla sınırlı olarak ve olası zararı ve ihlalleri engelle- mek için her türlü idari ve teknik tedbirleri alarak hareket edip etme- dikleri de göz önünde bulundurulmalıdır. İşleme faaliyetinin amaçla sınırlı ve ölçülü olmasına, diğer deyişle veri minimizasyonuna özen gösterilmesi, öğrencilerin temel hak ve özgürlüklerine yönelik etkiyi azaltacak, üniversitelerin denge testinde lehe sonuç alma imkanını artıracaktır. Aynı şekilde, idari ve teknik tedbirlerin yeterli ve etkin şekilde uygulanması da, denge testinde üniversitelerin lehine sonuç doğurabilecektir. Bu kapsamda veri güvenliğiyle ilgili alınacak diğer tedbirler yanında, psödönimleştirme 56 ve gizlilik artırıcı teknolojile- rin 57 kullanılması önerilmektedir. 58 Kaydedilen ses ve görüntü veri- 55 Kamara/De Hert, s.17; Salameh, “ Is Online Exam Surveillance during COVID-19 Lawful, Effective & Desirable?”. 56 Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek ki- şiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri ifade eder. Kişisel Verilerin Korunması Kurulu, Kişi- sel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi, s. 3. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58- bb99-3bba31258508.pdf; Kişisel verilerin ilave bilgi kullanımı ile bir gerçek bir kişiyi belirleyebilir hale gelecek şekilde maskelenmesi, GDPR Recital 26. https:// gdpr-info.eu/recitals/no-26/ 57 Kişisel verilere yönelik ihlalin meydana gelmesinden önceki aşamada veri koru- ma hukukunun prensiplerinin dikkate alınmasına ilişkin Privacy by Design (ta- sarımdan itibaren veri mahremiyeti) ve privacy by default (varsayılan gizlilik) kavramları için bkz. Çekin s.12-13. 58 Article 29 Data Protection Working Party Opinion 06/2014 on the notion of legiti- mate interests of the data controller under Article 7 of Directive 95/46/EC, s.42.