Aryan Legal Hukuk Bürosu

Eğitimde Çocukların Kişisel Verilerinin Korunması: Eğitim Teknolojilerinde Görünmeyen Riskler

Eğitimde Çocukların Kişisel Verilerinin Korunması: Eğitim Teknolojilerinde Görünmeyen Riskler

Dijital dönüşüm, eğitim dünyasında eşi benzeri görülmemiş bir hızla ilerliyor. Özellikle pandemi süreciyle birlikte, Google Classroom, ClassDojo ve benzeri eğitim teknolojileri (EdTech) artık okullarda kullanılmaya başladı. Ancak bu dönüşüm, yalnızca pedagojik değil, etik ve hukuki bir meseleyi de beraberinde getirdi: Çocukların kişisel verilerinin korunması.

Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR), çocukların çevrim içi ortamda özel koruma altında olduğunu açıkça belirtiyor. Ancak Birleşik Krallık’ta yürütülen kapsamlı bir araştırma — Digital Futures Commission tarafından yayımlanan ve Prof. Sonia Livingstone önderliğinde hazırlanan “Problems with Data Governance in UK Schools” raporu gösteriyor ki, mevcut sistem bu korumayı sağlamakta yetersiz kalmaktadır.

EdTech’in Görünmeyen Yüzü: Verinin Ekonomik Değeri

Eğitim teknolojileri, çocukların öğrenme süreçlerini desteklemek amacıyla geliştirilse de, bu sistemlerin arka planında yoğun bir veri ekonomisi işlemektedir.
Rapor, hem Google Classroom hem de ClassDojo örnekleri üzerinden, bu platformların öğrencilerden topladığı verilerin sayısının, türünün ve hassasiyetinin boyutlarını ortaya koymaktadır.
Toplanan veriler; konum, davranış, dikkat süresi, akademik performans, duygusal tepkiler gibi detayları içerebilmektedir.

Bu kadar kapsamlı bir veri işleme faaliyeti, yalnızca eğitimsel amaçlarla sınırlı kalmadığında, çocukların gelecekteki yaşamlarını da etkileyebilecek riskler doğumaktadır.
Çünkü bu veriler, zamanla bir “dijital gölge” oluşturur ve ileride bir öğrencinin üniversiteye kabulü, iş başvurusu veya sigorta değerlendirmesi gibi alanlarda dolaylı biçimde etkili olabilir.

Şeffaflık Sorunu: Okullar Sorumlu Ama Güçsüz

Raporun en çarpıcı tespitlerinden biri, okulların hukuken veri sorumlusu kabul edilmesine rağmen, fiilen bu verilerin nasıl işlendiği üzerinde yeterli denetime sahip olmamalarıdır.
EdTech şirketleri — özellikle küresel ölçekte faaliyet gösteren teknoloji devleri — “veri işleyen” olarak görünse de, teknik kontrolün büyük kısmını elinde tutmakta ve “veri denetleyicisi” gibi davranmaktadır. Bu durum, GDPR’nin öngördüğü hesap verebilirlik (accountability) ve şeffaflık (transparency) ilkeleriyle doğrudan çelişmektedir.
Zira birçok okul, ne kadar veri toplandığını, bu verilerin nerede saklandığını veya hangi amaçlarla üçüncü taraflara aktarıldığını bile bilmemektedir.

Türkiye’de de KVKK m.4 ve m.10 uyarınca veri işleme faaliyetlerinin belirli, açık ve meşru amaçlara dayanması; ilgili kişilerin açık şekilde bilgilendirilmesi zorunludur. Bu nedenle, Türkiye’de faaliyet gösteren eğitim kurumlarının da benzer riskler karşısında aydınlatma yükümlülüğünü güçlendirmesi gerekmektedir.

Ticari Amaçlarla Veri İşleme: Öğrenmenin Bedeli

Araştırma, çocukların eğitim sırasında kullandıkları dijital platformlarda ticari veri işleme faaliyetlerinin yaygınlaştığını ortaya koymaktadır.
Örneğin, Google Classroom’un “ek hizmetleri” (YouTube, Maps, Search gibi) üzerinden yönlendirilen bir öğrenci, farkında olmadan reklam profillemesine maruz kalabilmektedir.
Benzer şekilde ClassDojo, davranışsal verileri analiz ederek “pozitif davranış puanlaması” sistemiyle adeta bir sosyal puanlama (social scoring) altyapısı yaratmaktadır.Bu tür uygulamalar, AI Act m.5/1-c’de yasaklanan sosyal puanlama sistemleriyle de benzerlik taşımaktadır. Çocuğun sınıf içi davranışlarının algoritmik olarak değerlendirilmesi, hem ayrımcılık riskini hem de etik sorunları beraberinde getirir.

Hukuki Uyumsuzluk: GDPR, AADC ve Sorumluluk Zinciri

Raporun üçüncü bulgusu, EdTech firmalarının veri koruma düzenlemeleriyle uyumsuzluklarını sistematik biçimde gözler önüne seriyor. Pek çok şirketin gizlilik politikası karmaşık, erişilmesi zor ve kullanıcı dostu olmaktan uzaktır.
Ayrıca, veri işleme için rıza (consent) alınsa bile, okul ortamındaki güç dengesizliği nedeniyle bu rızanın “özgür iradeye dayalı” olduğu tartışmalıdır — bu da GDPR madde 6’ya aykırılık teşkil eder. Birleşik Krallık’ta yürürlükte olan Age Appropriate Design Code (AADC) çocukların çevrim içi haklarını korumayı amaçlasa da, EdTech firmalarının birçoğu bu düzenlemeyi okul aracılığıyla sağlanan hizmetler için uygulamaktan kaçınmaktadır.

Bu tablo, Türkiye’de de benzer bir farkındalığın gelişmesi gerektiğini göstermektedir. KVKK’nın çocuklara özgü açık bir düzenleme içermemesi, bu alanda ikincil mevzuat veya rehber dokümanlar hazırlanmasını zorunlu kılmaktadır.

Çözüm Önerileri: Çocuk Odaklı Veri Yönetişimi

Eğitimde çocukların kişisel verilerinin korunması, yalnızca teknik bir güvenlik meselesi değil, aynı zamanda çocuk haklarının özüdür.
Bu nedenle, hem kamu otoriteleri hem de özel sektör şu ilkeleri benimsemelidir:

Şeffaflık ve Hesap Verebilirlik: EdTech sağlayıcıları, topladıkları veri türlerini ve kullanım amaçlarını sade, çocuklara ve velilere uygun dilde açıklamalıdır.

Veri Minimizasyonu: Yalnızca eğitim için gerekli olan veriler işlenmeli; davranışsal veya biyometrik verilerden kaçınılmalıdır.

Güvenli Sözleşmeler: Okul-EdTech sözleşmeleri, açık veri kontrol sınırları içermeli ve çocukların çıkarlarını öncelemelidir.

Denetim Mekanizmaları: Eğitim otoriteleri, tıpkı sağlık verilerinde olduğu gibi, EdTech alanında da düzenli veri koruma denetimleri yapmalıdır.

Farkındalık Eğitimi: Öğrencilere ve öğretmenlere, dijital ortamda kişisel verilerin anlamı ve riskleri konusunda bilinç kazandırılmalıdır.

Çocukların Verisi, Çocukların Hakkıdır

Eğitimde dijitalleşme, pedagojik fırsatlar kadar veri etiği sorumluluklarını da beraberinde getirmektedir. Çocukların öğrenme süreçleri boyunca ürettikleri her veri, onların geleceğini şekillendiren bir kimlik parçasıdır.
Bu nedenle, hem AB’de hem Türkiye’de uygulanacak tüm yasal reformların merkezine şu ilke yerleştirilmelidir:
“Çocuğun üstün yararı, ticari çıkarların önündedir.”

Kaynakça

  • Hooper, L., Livingstone, S., & Pothong, K. (2022). Problems with Data Governance in UK Schools: The Cases of Google Classroom and ClassDojo. Digital Futures Commission, 5Rights Foundation.
  • Information Commissioner’s Office (ICO). (2020). Age Appropriate Design Code.
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), 2016/679.
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK).