Milli Eğitim Bakanlığı (MEB), merkez ve taşra teşkilatı ile eğitim kurumlarında yürütülen iş ve işlemler sırasında öğrenci, veli, öğretmen, personel ve diğer ilgililere ait kişisel verilerin işlendiğini belirterek tüm illere 10 maddeden oluşan resmi bir yazı gönderdi. Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuata uyum gerekçesiyle gönderilen talimatta; okul, kurum ve birimlere ait internet siteleri, sosyal medya hesapları ve çevrim içi platformlardaki paylaşımların incelenerek kişisel verilere yer veren içeriklerin kaldırılması istendi.
Yazıda, kişisel verilerin yalnızca görev ve hizmet gerekleri doğrultusunda, belirli ve meşru amaçlarla işlenmesi, işlenen verilerin yapılan işlemle sınırlı olması, gereğinden fazla veri alınmaması, verilerin güncelliğinin korunması ve yetkisiz kişilerin erişimine karşı gerekli tedbirlerin uygulanması gerektiği bildirildi. Bu kapsamda alınacak tedbirler doğrultusunda, okul, kurum ve birimlere ait internet siteleri, sosyal medya hesapları ve çevrim içi platformlarda kişisel verilerin yer aldığı içerikler artık kamuya açık şekilde paylaşılamayacak.
GEÇMİŞE DÖNÜK TÜM FOTOĞRAF VE VİDEOLAR KALDIRILACAK
Yeni talimat doğrultusunda eğitim kurumlarının internet siteleri ve sosyal medya mecralarında köklü bir temizlik yürütülecek. Öğrenci sınıf listeleri, öğrenci numaraları, T.C. kimlik numaraları, sınav listeleri, devamsızlık ve başarı bilgileri, sağlık bilgileri, disiplin bilgileri, veli bilgileri, personel iletişim bilgileri ile öğrenci ve personele ait fotoğraf, video ve benzeri içerikler; okul ve kurum internet sitelerinde, sosyal medya hesaplarında veya çevrim içi platformlarda yayımlanamayacak.
Söz konusu platformlarda daha önce yayımlanmış olan ve kişisel veri içeren liste, belge, fotoğraf, video, duyuru ile dosyalar, okul veya kurum müdürlüklerince tek tek gözden geçirilecek. İnceleme sonucunda kişisel verilerin yer aldığı tespit edilen tüm içerikler kamuya açık erişimden tamamen kaldırılacak.
PAYLAŞIM ÖNCESİ SIKI DENETİM VE ÖZEL İZİN ŞARTI
Eğitim öğretim faaliyetleri kapsamında, fotoğraf ve video çekimi veya paylaşımı yapılması gereken zorunlu durumlarda ise sıkı denetim mekanizmaları işletilecek. Bu tür durumlarda çekim ve paylaşım amacı, paylaşım yapılacak ortam, saklama süresi ve kimlerin erişebileceği önceden net bir şekilde belirlenecek.
Öğrencilere ait görüntülerin paylaşımında üst düzey hassasiyet gösterilmesi istenirken, kurumlar tarafından yapılacak duyuru ve paylaşımlarda kişisel veri içermeyen yöntemlerin kullanılması zorunlu olacak. Kişisel veri işlenmesini gerekli kılan özel durumlar ise KVKK ve ilgili mevzuat çerçevesinde ayrıca değerlendirmeye alınacak.
ÖĞRETMENLERE ZORUNLU KURS VE EŞSİZ ŞİFRE TALİMATI
Bakanlık, veri güvenliği önlemleri kapsamında okul yöneticileri, öğretmenler ve ilgili personelin kişisel verilerin korunması ve bilgi güvenliği farkındalığının artırılmasını hedefliyor. Bu amaçla tüm personel, Öğretmen Bilişim Ağı (ÖBA) platformundaki "Eğitim Kurumlarında Kişisel Verilerin Korunması Eğitimi Kursu" ile "Bilgi Güvenliği Farkındalık Eğitimi Kursu"na katılmaya teşvik edilecek.
Ayrıca, Bakanlık sistemlerine erişimin sağlandığı kullanıcı adı, parola, doğrulama kodu ve benzeri erişim bilgilerinin üçüncü taraflarla kesinlikle paylaşılmaması gerektiği hatırlatıldı. Yetkisiz üçüncü parti yazılım, bot, makro, otomasyon aracı, tarayıcı eklentisi, yetkisiz entegrasyon, veri çekme veya veri aktarma aracı ve benzeri uygulamaların kullanılması yasaklandı. Söz konusu yazılımlara kullanıcı adı, parola ve doğrulama bilgilerinin girilmemesi ve Bakanlık sistemleri üzerinden yetkisiz şekilde toplu veri alma, veri aktarma veya işlem yapma girişiminde bulunulmaması gerektiği önemle vurgulandı.
İHLAL EDENLERE İDARİ VE HUKUKİ SORUŞTURMA
Bakanlık bilgi sistemlerinde yetkisiz erişim, yetkisiz veri işleme, veri aktarımı, parola paylaşımı veya yetkisiz üçüncü parti yazılım kullanımının tespit edilmesi halinde sorumlular hakkında doğrudan idari ve hukuki süreçler yürütülecek.
Alınan yeni kararlar uyarınca; kişisel veri ihlali, yetkisiz erişim, yanlış kişiye veri gönderimi, şüpheli yazılım kullanımı, parola paylaşımı veya web sitesinde kişisel veri yayımlanması durumlarının yaşanması halinde, durumun vakit kaybetmeksizin okul veya kurum yöneticisine ve bağlı bulunulan birime bildirilmesi gerekecek.