CNIL – Online Sınavların İzlenmesi – Hatırlatmalar ve CNIL’in tavsiyeleri – 20.05.2020
Online Sınavların İzlenmesi: Hatırlatmalar ve CNIL’in tavsiyeleri
COVID-19 ile bağlantılı sağlık krizi kapsamında, bazı kamu ve özel yükseköğrenim kuruluşları, özellikle uzaktan sınavları organize edebilmek için dijital uzaktan izleme araçlarını kullanmak istemektedirler. CNIL, geçerli kuralları hatırlatır ve ilgili kurum ve öğrenciler için tavsiyelerini sunar.
GDPR’a tabi kişisel verilerin işlenmesi
Uzaktan organize edilen sınavların izlenmesi için bir sistem uygulanması, kullanılan teknolojiye bakılmaksızın kişisel veri işlemeyi içerir: devam eden video veya rastgele fotoğraflar çekilmesi, gerçek zamanlı ya da geçmişe dönük uzaktan izleme, sahtecilij tespit algoritmalarına başvurma ya da başvurmama, sınav süresince öğrencinin hareketlerini izlemek adına, özellikle e-posta kutularının ve sosyal ağların vb. kontrol edilmesiyle, öğrencinin bilgisayarının uzaktan kontrol edilmesine izin veren bir gözetim araç kullanılması. Kuruluşlar mutlaka GDPR ve Veri Koruma Kanunu’na uymalıdırlar.
Uzaktan gözetleme durumunda, özellikle odada bulunması muhtemel diğer kişilerin imaj haklarına saygı gösterilmesiyle kayda alınan kişilerin mahremiyetinin ihlal edilmemesi de tavsiye edilmektedir. Bu nedenle, mümkün olduğu sürece öğrencinin izole bir odadan bağlanması tavsiye edilmektedir.
Kuruluş tarafında: Takip edilecek ilkeler
Bu çözümlere başvurulduğu sürece, hangi araç seçilirse seçilsin ve hatta kendini “GDPR’a uygun” olarak sunsa dahi, kuruluş, bu işlemenin sorumlusu olarak, veri koruma ilkelerine ve ilgili öğrencilerin haklarına saygı duymalıdır. Bunu yapabilmek için, kendi veri koruma görevlisinin(DPO) tavsiyelerine güvenebilir.
Herhangi bir kişisel veri işlemede olduğu gibi, veri sorumlusu bu cihazı yalnızca hukuki temeline karar verdikten sonra uygulayabilecektir.
Rıza, özellikle özgür iradeye dayalı olmak kaydıyla, yani ne zorlama ne de etkilenme olmaksızın (örn. veri sorumlusunun yetkilisinin konumu), geçerli bir hukuki temel teşkil eder. Özellikle öğrencilere, reddetmeleri halinde olumsuz sonuçlara katlanmak zorunda olmayacakları gerçek bir tercih sunulmuş olmalıdır. Bu koşullar altında, online olarak organize edilen ve izlenen sınavlardaki gözetleme işlemler için rızanın bir hukuki temel olarak korunabilmesi çok zordur.
Diğer taraftan veri sorumlusu, bu işleme şeklini, kamu yararına olan bir görevinin yerine getirilmesi gibi, farklı bir temele dayandırabilir. Bu hukuki temel, bir kamu yararı misyonunu takip ettikleri sürece, hem üniversiteler hem de özel yükseköğrenim kuruluşları tarafından kullanılabilir. Bu bağlamda, her kuruluş tarafından öğretiminin geçerliliğinin kaydileştirilmesi (kayıt altında alınması) seçimine, yıl başlangıcında karar verilmelidir (Eğitim Kanunu’nun D.611-12. maddesi).
Bununla birlikte, sağlık olağanüstü durumu göz önünde bulundurulduğunda, 27 Mart 2020 Tarihli, 2020/351 Sayılı kararname (2. madde), bu usulün, sağlık testleri başlamadan iki hafta öncesine kadar değiştirilmesine izin vermektedir.
“BT (Bilgi teknolojisi) ve özgürlükler” ilkelerine saygı gösterilmesi de ayrıca gereklidir:
- Amaç ilkesi: Öğrencilere ait bilgiler, yalnızca çok belirli, hukuki ve meşru bir amaç için işlenebilir, kaydedilebilir ve kullanılabilir (Örneğin, Sağlık krizleri kapsamında 2020’nin ikinci yarısında yazılı sınavların uzaktan izlenmesi).
- Orantılılık ve uygunluk ilkesi : Bilgi işleme, mutlaka işleme amacı ile ilgili ve mutlaka gerekli olmalıdır (veri işlemenin minimizasyonu ilkesi). Veri, yalnızca veri işleme amacına daha az müdahaleci yollarla makul şekilde ulaşılamadığı sürece işlenmelidir.
Örneğin, şu işlemler orantısız görünmemektedir:
- Sınav sırasında gerçek zamanlı video gözetimi;
- Ad hoc (plansız) ya da rastgele şekilde fotoğraf ya da vide akışı ya da ses kaydı almak.
Diğer yandan, şu amaçlar için orantılı görülmemektedir:
- Öğrencinin kişisel bilgisayarının kontrolünü ele alan izleme araçları (özellikle e-posta ve sosyal ağlarını kontrol etmek için);
- Biyometrik izlemeye dayalı izleme araçları (örneğin: Webcam aracılığıyla yüz tarama).
Yüz tanıma işlemleri, özellikle ilgili kişilerin mahremiyet ve bireysel özgürlüklerini önemli ölçüde ihlal etme riski taşıyan, biyometrik nitelikli araçlar özellikle müdahalecidir. Biyometrik veri, genel olarak, eşsizdir ve fiziksel ya da biyolojik özellikler temelinde bir bireyin tanımlayabilmesine izin verir. Bu nedenle, Avrupa ve ulusal metinlerde güçlendirilmiş korumaya konu edilmiştirler.
Sınavların izlenmesi amacıyla yüz tanımlama veya diğer biyometrik cihazların kullanımı, ulaşılmak istenen amacın bireysel hak ve özgürlükler üzerindeki etkisi dikkate alındığında, orantılılık ilkesine uygun görünmemektedir.
Her halükarda, biyometrik verinin işlenmesi ilke olarak GDPR tarafından yasaklanmıştır, bu cihazlar özel bir hukuki düzenlemeye ihtiyaç duyacaktır.
- Sınırlı bir saklama süresi: Kaydedilen bilginin türü ve işleme amacına göre kesin bir saklama süresi belirlenmelidir, örneğin sınavın yapılması ile ilgili itiraz etme sürelerinin sona ermesine kadar – bu durumda, veriye erişim yalnızca fonksiyonlarından dolayı bunu bilmekte bir faydası olan kişilerle sınırlı olmalıdır (örneğin, hukuk departmanı);
- Güvenlik yükümlülüğü: Veri sorumlusu, işlenmeleri sırasında verinin kullanılabilirliği, bütünlüğü ve gizliliğini garanti etmelidir (toplama, aktarma, depolama). Bunun için, aşağıda belirtilen ya da aynı seviyede garanti sunan eşdeğer tedbirlerin uygulamaya konulması gerekir:
-
- Veri iletimi, güvenli ve şifrelenmiş bir kanalla yapılmalıdır. Veriyi alan serverın (sunucu) doğrulanmalıdır.
- Depolama, kötü niyetli fiillere karşı koruma çözümleri uygulanmış bir serverda(sunucu) gerçekleştirilmelidir (Saldırı tespit mekanizmaları yanı sıra özellikle güncel bir güvenlik duvarı ve antivirüs).
- Veri erişim doğrulama politikası, kayıtlı hesaplar kullanarak yalnızca doğrulanmış kişilerin erişimine hak sağlayacak şekilde uygulanmalıdır. Veriye tüm erişimler loglanmalı (günlüğe kaydedilmeli), yani verinin okuma/yazma işlemlerini referans alan bir dosya sistemine yazılmalıdır.
- Veri silme politikası, tanımlı veri saklama sürelerini uygulayacak şekilde uygulanmalıdır.
- Kullanılan cihaz, öğrencinin kullandığı terminalin güvenlik seviyesini zayıflatmamalıdır.
Bunlardan başka, uzaktan izleme cihazının ilgili kişilerin hak ve özgürlükleri için yüksek bir risk meydana getirecek gibi olması halinde, işlemden sorumlu kişi tarafından mutlaka bir veri koruma etki değerlendirmesi (AIPDE) gerçekleştirilmelidir. Özellikle, yenilikçi teknolojilerin kullanılması halinde (örnekler: Göz takibi/izleme, algoritmalar ve yapay zeka kullanımı) bu tür bir analizin konusu olmalıdır.
İşletme dışından bir teknik çözüme başvurulması, veri sorumlusu için altsözleşmeciler kullanılmasıyla ilgili yükümlülüklere uyulması ve özellikle altsözleşmecilerle sözleşme yapılması da anlamına gelir.
Ek olarak, Avrupa Birliği (AB) dışına veri aktarımı kesinlikle yasak değilse, veri sorumlusunun uymakla yükümlü olduğu düzenlemelere tabidirler. CNIL, bir “bulut” hizmeti sağlayıcısında barındırmanın, bir aktarım teşkil etmesinin muhtemel olduğunu hatırlatır.
Öğrenci tarafında: Saygı duyulması gereken haklar
Seçilen hukuki temele göre bazı haklar değişir. Örneğin, şayet üniversitenin kamu yararı misyonu hukuki temelinde işleme gerçekleştirilirse, öğrenci her zaman, sergilemek zorunda kaldığı özel durumla ilgili nedenlerle bağlantılı olarak işlemeye itiraz edebilir. Bu durumda, veri sorumlusu, işleme için öğrencinin çıkarları ve hak ve özgürlüklerine üstün gelen , ya da işletme için yasal iddiaların uygulanması ya da savunulması adına, meşru ve zorlayıcı gerekçeler olduğunu ortaya koymadıkça bu veriyi daha fazla işleyemez,
Öğrencilerin bilgisayar hak ve özgürlükleri, sahtecilik tespit algoritmaları kullanan çözümler için otomatize karara konu edilmemeyi içerir.
Orijinal metin için bkz.
Bunlara da bakmak isteyebilirsin
Fransız Veri Koruma Kurumu : Çerezler – FIGARO Şirketi aleyhine 50.000 Euro’luk Ceza
Avrupa Veri Koruma Kurulu’ndan Google Analytics aracılığıyla ABD’ye veri aktarımlarına dair karar
