Üniversitelerde Kişisel Verilerin Toplanması

Üniversite birimlerinde kişisel verilerin elde edilmesi ve elde edilen kişisel veriler hakkında veri sahibine gerekli bilgilendirmelerin yapılmasına ilişkin bulgular Tablo 3 üzerinde yer almaktadır. Ayrıca Tablo 3 üzerinde danışma hizmetleri kapsamında yapılan araştırma kayıtlarının hizmet sunulan kişi ile ilişkilendirilmesiyle ilgili bulgulara da yer verilmiştir. Üniversite birimlerinde işlenen kişisel verilere ilişkin güncel bilgiye ulaşabilmek amacıyla, kişisel bilgilerin kaydedildiği veri tabanlarından sorumlu BİDB katılımcılarının bilgisine başvurulmuştur. Bir BİDB katılımcısı bu soruyu yanıtlamak istememiştir. Üniversitelerde en fazla ve doğrudan kişisel verilerin elde edildiği birimlerden biri olması nedeniyle, elde edilen verilere ilişkin veri sahiplerine bilgi verilmesi konusunda PDB katılımcılarının görüşü alınmıştır. İki PDB katılımcısı bu soruyu yanıtlamamıştır. Elde edilen verilerin sunulan hizmetlerle ilişkilendirilerek kullanımı konusunda ise KDB katılımcılarının görüşü alınmıştır.

Tablo 3 Üniversitelerde verilerin elde edilmesine ilişkin politikalar

Evet Hayır Fikrim Yok DD

N % N % N % N %

Üniversite birimlerinde hangi bilgisayarlar üzerinde kişisel verilerin işlendiği

bilinmekte midir? (BİDB)

9 64,3 5 35,7 - - 1 -

Kişilerin kendisine ait toplanan tüm veriler

hakkında bilgisi var mıdır? (PDB) ^{11 84,6 2 15,3 - - 2 -}

Danışma hizmetleri kapsamında yapılan araştırma konusu ve notları hizmet sunulan kişi ile ilişkilendirilerek kayıt altına alınıyor mu? (KDB)

2 13,3 13 86,7 - - - -

BİDB katılımcılarına üniversite birimlerinde bulunan bilgisayarların hangileri üzerinde kişisel verilerin bulunduğunun bilinip bilinmediği sorulmuş ve üniversitelerin %64,3’ünde bu bilgiye sahip oldukları yanıtı alınmıştır. Ancak bu bilgiye sahip olmadıklarını belirten üç BİDB katılımcısı, üniversitelerin sahip olduğu bilgisayar sayısı (30-35 bin) dikkate alındığında, bilgisayar sayısının çok fazla olduğu üniversitelerde kontrol ve denetimlerin BİDB gibi tek bir merkezden yapılmasının mümkün olmadığına dikkat çekmektedir. BİDB ile yapılan görüşmelerde, bu tür üniversitelerin her birimde bulunan bilgi işlem sorumluları ile koordineli olarak tüm sorumlulukların paylaşılmasını sağladıkları bilgisi alınmıştır. Kontrol ve denetimlerin nispeten daha kolay yapılabildiği vakıf üniversitelerinin %80’inde kişisel verilerin işlendiği bilgisayarlar biliniyorken, bilgisayar sayısının çok fazla olduğu devlet üniversitelerinde bu oran %40 seviyesindedir.

PDB katılımcılarından kişisel hak ve özgürlüklerin korunmasıyla ilişkili olarak, elde edilen kişisel veriler hakkında veri sahibinin bilgi sahibi olup olmadığını belirtmeleri istenmiştir. Buna göre katılımcıların %84,6’sı personelin bilgisi dışında elde edilen veri olmadığını düşünmektedir. PDB katılımcıları görüşme esnasında bu konuyla ilgili olarak, üniversitelerde personele ve öğrencilere ilişkin kişisel verilerin personelin ve öğrencilerin kendilerinden ya da kendileri tarafından bilgilerinin girilmiş olduğu sistemler (ÖSYM, YÖKSİS vb.) üzerinden elde edildiğini ifade etmektedirler. Bu nedenle kişilerin kendisi hakkında elde edilen verilere ilişkin bilgisi olduğu düşüncesi, doğrudan kişilerin kendisinden elde edilmeyen veriler için de geçerliliğini korumaktadır.

KDB katılımcılarından kişisel hak ve özgürlüklerin korunmasıyla ilişkili olarak, üniversite bilgi merkezlerinde danışma hizmetleri kapsamında elde edilen verilerin, veri sahibinin bilgisi dışında kişisel verilerle ilişkilendirilip ilişkilendirilmediğini belirtmeleri istenmiştir. Katılımcıların %86,7’si bilgi merkezlerinde danışma hizmetleri kapsamında tutulan bilgilerin kullanıcılarla ilişkilendirilmediğini ortaya koymaktadır. Ancak görüşme esnasında katılımcıların %53,6’sı bu uygulamanın kişisel verilerin korunması amacıyla değil, ihtiyaç duyulmaması nedeniyle yapıldığını ifade etmişlerdir. Bu katılımcılar farklı bir soruya vermiş oldukları yanıtta da, “Kullanıcının danışma hizmetleri kapsamında edindiğibilgilere ilişkin kayıtların” hassas ya da kişisel veri olarak korunması gerektiğini düşünmediklerini belirtmektedirler. Bu nedenle danışma hizmetleri kapsamında tutulan bilgilerin kullanıcılarla ilişkilendirilmediğini gösteren araştırma bulguları, bilgi güvenliğine ilişkin önlemler kapsamında bilinçli olarak yapılan bir uygulamanın sonucu olarak nitelendirilmemektedir.

Araştırma kapsamında PDB ve KDB katılımcılarına, kişisel verilerin elde edilmesinde dikkate alınan kriterler ve elde edilecek kişisel verilere nasıl karar verdikleri de sorulmuştur. PDB ve KDB tarafından toplanan kişisel bilgilerin dayandığı yasal düzenlemeler ve gerekçeler konusunda katılımcılardan çok farklı yanıtlar alınmıştır. Bu konuda KDB ile PDB’nin yaklaşımlarında da farklılıklar bulunmaktadır. KDB katılımcılarının %92,3’ü kişisel veriler elde edilirken “gerekli minimum bilginin” toplandığını belirtmektedirler. Ancak PDB katılımcılarının %69,2’si, bu konuda inisiyatif kullanmalarının mümkün olmadığını, toplanacak bilgilerin mevzuatta yer aldığını ve ihtiyaç duyulmayan bilgilerin de bu zorunluluk nedeniyle toplandığını ve personel dosyasında yer aldığını belirtmektedirler. PDB katılımcılarının kişisel verilerin toplanması konusunda dikkate aldıkları başlıca hukuksal düzenlemeler arasında; 4857 Sayılı İş Kanunu, 657 Sayılı Devlet Memurları Kanunu, 2547 Sayılı Yükseköğretim Kanunu ve 2914 Sayılı Yükseköğretim Personel Kanunu bulunmaktadır. Görüşme esnasında herhangi bir hukuksal düzenlemeyi dikkate almaksızın sadece ihtiyaç duyulan minimum bilgiyi topladıklarını belirten dört PDB katılımcısı, vakıf üniversitesi olmaları nedeniyle bu konuda inisiyatif kullanabildiklerini ifade etmişlerdir. Bir PDB katılımcısı tarafından görüşme esnasında, e-devlet projeleri kapsamında verilen yetkili şifrelerle de gereğinden fazla kişisel bilgiye erişimin mümkün olduğuna dikkat çekilmiştir.