Madlen
Contact

KVKK ve Öğrenci Verisi: Okul Yöneticileri İçin Yapay Zeka Rehberi

Education & AI

KVKK ve Öğrenci Verisi: Okul Yöneticileri İçin Yapay Zeka Rehberi

Bir okul müdürü yeni bir yapay zeka aracını test etmeye karar verir. Öğretmenler memnun, öğrenciler ilgili, sonuçlar olumlu. Ama bir veli mail atar: “Çocuğumun verilerini hangi şirket nerede saklıyor? Bu yasal mı?”

Bu soru bugün her okul yöneticisinin masasında. Cevabını bilmeden bir yapay zeka aracı satın almak veya yaymak ciddi sorumluluk doğuruyor.

Bu yazı KVKK çerçevesinde öğrenci verisi ve yapay zeka kullanımını üç başlık altında özetliyor: hangi veri kişisel veri sayılır, hangi yükümlülükler vardır ve okul yöneticisinin bir aracı seçerken hangi soruları sorması gerekir.

Öğrenci verisi hangi durumda kişisel veridir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlar. Eğitim ortamında bu tanım oldukça geniş bir alanı kapsar:

  • Ad, soyad, T.C. kimlik numarası

  • Okul numarası, sınıf bilgisi

  • Notlar, sınav sonuçları, performans verileri

  • Ödevler, kompozisyonlar, ses kayıtları, fotoğraflar, video

  • Davranış kayıtları, rehberlik notları

  • Aile durumu, sağlık bilgileri (özel nitelikli)

Bir yapay zeka aracına öğrencinin kompozisyonunu analiz için yüklemek, isim silinmiş olsa bile kişisel veri işleme sayılır. Çünkü metnin içeriği, yazım tarzı veya bağlamı kişiyi belirlenebilir kılabilir.

MEB Eğitimde Yapay Zekâ Uygulamaları Etik Kılavuzu bu noktada nettir: öğrenci verisi yapay zekaya işlendiğinde Etik Beyan Formu zorunludur, hatta veriler anonimleştirilmiş olsa bile.

KVKK kapsamında okul yöneticisinin yükümlülükleri

Bir okul, yapay zeka aracı kullandığında dört temel yükümlülük altına girer:

1. Veri minimizasyonu. Yalnızca eğitim amacı için gerekli olan minimum veri toplanır. “İhtiyaç olur” diye fazla veri biriktirmek KVKK’ye aykırı.

2. Açık rıza ve aydınlatma. Veli ve öğrenciye hangi verinin neden toplandığı, ne kadar saklanacağı ve kimlerle paylaşılacağı açıkça bildirilmelidir. Fotoğraf, ses, video gibi veriler için yazılı açık rıza alınır.

3. Veri saklama yeri ve süresi. Verinin hangi sunucularda, hangi ülkede saklandığı bilinmelidir. Saklama süresi önceden tanımlı olmalıdır.

4. Üçüncü taraf paylaşımı sınırı. Veriler model eğitimi veya pazarlama amacıyla üçüncü taraflarla paylaşılmamalıdır. Zorunlu hâllerde açık güvence ve yasal zemin bulunmalıdır.

Veri AB sınırları içinde mi saklanıyor?

Bu, okul yöneticisinin sorması gereken en kritik soru. Çoğu yaygın yapay zeka aracı (ChatGPT, Gemini, Claude) veriyi ABD sunucularında işler. Türkiye’den AB’ye veri aktarımı GDPR çerçevesinde belirli koşullarla mümkündür, ABD’ye aktarım ise daha kısıtlıdır.

Bir öğrenci kompozisyonunun ABD’deki bir sunucuya gönderilmesi:

  • KVKK’nin sınır ötesi veri aktarımı hükümlerine uygunluk değerlendirmesi ister,

  • Velinin bu aktarıma açık rızasının alınmış olmasını gerektirir,

  • Verinin hangi yasal çerçevede korunduğunu netleştirmeyi gerektirir.

AB sınırları içinde saklanan veriler için durum daha basit: GDPR çerçevesi geçerlidir, Türkiye-AB karşılıklılığı zaten tanımlıdır, açık rıza süreci standart bir akışla yürütülebilir.

Madlen’in veri yönetişimi

Madlen, KVKK ve GDPR uyumlu bir altyapı üzerine inşa edildi. Veri güvenliği için iki temel karar verildi:

Infercom ortaklığı. Madlen, Avrupa Birliği merkezli Infercom altyapısı üzerinde çalışır. Tüm öğretmen ve öğrenci verileri Almanya’daki sunucularda, AB sınırları içinde saklanır. ABD’ye veri aktarımı yapılmaz.

ISO 27001:2022 ve sertifikasyonlar. Infercom altyapısı ISO 27001:2022 bilgi güvenliği standardı kapsamında sertifikalı. Veri şifrelemesi, erişim kontrolü ve düzenli güvenlik denetimleri standart süreç.

Üçüncü taraf paylaşımı yok. Madlen üzerinde işlenen veriler model eğitimi için kullanılmaz, reklam veya pazarlama amacıyla paylaşılmaz. Veri sahibine ait kalır.

Bu yapı, MEB Etik Kılavuzu’nun “Mahremiyet, Gizlilik ve Veri Yönetişimi” ilkesinin gerektirdiği koruma standartlarını karşılamak üzere tasarlandı.

Okul yöneticisinin yapay zeka aracı seçerken sorması gereken sorular

Yeni bir EdTech aracı değerlendirirken bu kontrol listesi işe yarar:

  1. Veriler hangi ülkede saklanıyor?

  2. KVKK ve GDPR uyumluluğu için resmî belgeler var mı?

  3. ISO 27001 veya benzeri bir güvenlik sertifikası var mı?

  4. Veriler model eğitimi için kullanılıyor mu?

  5. Üçüncü taraflarla paylaşılıyor mu? Hangi koşullarda?

  6. Veri silme talebi nasıl işliyor?

  7. Veli aydınlatma metni ve açık rıza formu hazır mı?

  8. Bir veri ihlali yaşandığında bildirim süreci nasıl?

Bu sekiz sorunun tamamına net cevap veremeyen bir aracın okul ortamında kullanılması, hem yasal hem etik açıdan riskli.

Kaynaklar:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (2016).

  • Kişisel Verileri Koruma Kurumu (KVKK) rehber dokümanları.

  • General Data Protection Regulation (GDPR), EU 2016/679.

  • MEB (2026). Eğitimde Yapay Zekâ Uygulamaları Etik Kılavuzu. Talim ve Terbiye Kurulu Başkanlığı, Ankara.

  • ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standardı.

Other Posts

Subscribe to Our Mailing List!

Do not miss the latest updates

I have read and understood the Privacy Notice regarding the protection of personal data.