Önemli bir örnek olayı anlatmak istiyoruz. Ocak 2026 başında, İzmir Ekonomi Üniversitesi’nin 2001 yılından bu yana kayıtlı kadın öğrencilerinin izinsiz kullanılan fotoğraf ve bilgileriyle bir internet sitesi açıldığı ve fotoğrafları yayınlanan kadın öğrenciler için ‘hangisi daha seksi’ başlığı altında oylama yapıldığı ve ‘en iyi 50’ ile ‘en kötü 50’ gibi listeler oluşturulduğu ortaya çıktı.
Yaşanan olay, sosyal medyada büyük tepki topladı. Öğrenciler ve kamuoyundan gelen yoğun tepkilerin ardından, söz konusu internet sitesi erişime kapatıldı. Olayı “öğrenci işi” olarak tanımlayan İzmir Ekonomi Üniversitesi’nin savcılığa suç duyurusunda bulunduğu bildirildi.
Sitenin kapatılmasının hemen öncesinde, site kurucusu olduğu iddia edilen kişi ‘veda’ mesajı yayınladı. Mesajda, “Kırdıysam, bilmeden incittiysem veya üzerinizde bir hakkım kalmışsa; niyetim her zaman iyilikten yanaydı” ifadeleri kullanarak özür diledi ve ‘helallik’ istedi.
Üniversite Savcılığa Başvurmuştu
Üniversiteden yapılan açıklamada veri sızıntısının 2024 sonunda devre dışı bırakılan eski öğrenci bilgi sistemi ile ilişkili olduğu ve konuya ilişkin idari, hukuki ve teknik inceleme süreçlerinin ivedilikle başlatıldığı belirtilmişti :
“Veri sızıntısının 2024 yılı sonunda devre dışı bıraktığımız eski öğrenci bilgi sistemi ile ilişkili olduğu, hukuka aykırı şekilde yayımlanan bilgilerin, düşük çözünürlüklü vesikalık fotoğraflar ve öğrenci numaralarıyla sınırlı kaldığı değerlendirilmektedir. Halihazırda aktif olarak kullanılan öğrenci bilgi sisteminde herhangi bir veri sızıntısı, güvenlik açığı veya yetkisiz erişim kesinlikle bulunmamaktadır. Savcılığa suç duyurusunda bulunulmuş, İzmir 5. Sulh Ceza Hakimliğine yapılan başvuruyla ilgili web sitesine erişimin engellenmesi talep edilmiştir.”
Olayın arkasından İzmir Cumhuriyet Başsavcılığı olaya ilişkin soruşturma başlattı ve daha sonra üç kişinin gözaltına alındığını bildirdi. Sakarya ve Antalya’da düzenlenen operasyonla gözaltına alınan 3 şüphelinin emniyetteki işlemleri tamamlandı. Adliyeye sevk edilen şüphelilerden Y.E.İ, tutuklanırken, diğer 2 şüpheli serbest bırakıldı
Veri Toplama ve Güç İlişkisi
İzmir Ekonomi Üniversitesi örneğinde yaşanan olay, Türkiye’de bazı kurumların sık yaptığı hataları gösteriyor. Bir uygulama, sadece bir yazılım değildir. Çünkü içinde veri vardır yani bir uygulama aslında veri toplama ve güç ilişkisi anlamına geliyor. Bunu çeşitli platformlardan ve kazandıkları paralardan görüyoruz zaten.
“Kadınları seksiliğine göre oylama” gibi bir fikir, açıkça ayrımcı, açıkça kişilik hakkı ihlali ve açıkça yüksek riskli veri işleme olmasına rağmen, “öğrenci işi” diye hafife alınıyor. 2001’den bu yana tüm öğrencilerin verilerinin risk altında olması ise çok daha kötü. “Artık kullanılmıyor” denilen veriler hâlâ erişilebilir durumda kalmış. Neden? Son olarak, KVKK metni var ama gerçek bir risk değerlendirmesi yok. Veri güvenliği bir IT işi değil, kurumsal kültür meselesidir.
Bu Verilerle Ne Yapılabilir?
“Öğrenci işi” diye hafife alınan şey en tehlikeli veri ihlali türlerinden birine giriyor. Bu tür veriler “zararsız” değil; yanlış ellerde son derece işlevsel ve yıkıcıdır. En basit ama en yaygın kullanımı, “Dijital Teşhir ve İtibar Zedeleme” olur. Yani kişinin rızası olmadan cinsel içerikle ilişkilendirilmesi, mezuniyet sonrası bile kişinin peşini bırakmayan dijital damgalamaya yol açar. Bu, klasik “ifşa” değil, algoritmik teşhirdir ve kalıcıdır.
Bu verilerle, kişinin yüzü kullanılarak AI pornografisi üretilebilir, gerçekçi deepfake videolar yapılabilir.
Buradaki kritik nokta şu, veri bir kez “seksüel bağlama” sokuldu mu, geri dönüşü neredeyse imkânsızdır.
Bu veriler, iş başvurularında, politik hedef almada, medya linçlerinde karşısına çıkabilir. Yani mesele “o günkü öğrenci” değil, bir ömür boyu süren dijital izdir. Site kapatıldı ama bu, veri ihlalinin sonuçlarını ortadan kaldırmaz. Çünkü veri bir kez sızdıysa, kopyalanmıştır, indirilmiştir, paylaşılmıştır ve de arşivlenmiş bile olabilir. İnternet sitesini kapatmak, yangın sonrası kapıyı kilitlemeye benzer. Hukuki sorumluluğu ortadan kaldırmaz ve psikolojik ve toplumsal zararı telafi etmez
Kurum “öğrenci işi” diyerek, bu olaydan sıyrılamaz. Çünkü hukuken ve fiilen, veriyi toplayan öğrenci olabilir. Ama verinin saklandığı altyapı kuruma aittir ve sessiz kalmak demek zımni onaydır. Yani kurum, veri ihlalinin dolaylı ortağı hâline gelir.
Bu noktada yapılması gereken, kurumsal sorumluluğun açıkça kabul edilmesi gerekir. Etkilenen herkesi bilgilendirmek, derhal bağımsız adli ve teknik inceleme başlatmak ve uzun vadeli zarar azaltma planı yapmak gereklidir.
Konuyu Hukukçu Mehmet Ali Köksal’a sorduk, şöyle bir hukuki değerlendirme yaptı;
İZMİR EKONOMİ ÜNİVERSİTESİ VERİ İHLALİ VAKASI HUKUKİ DEĞERLENDİRME
I. Olayın Hukuki Niteliği: Veri İhlali ve Ötesi
Veri Niteliği: Bu olayda toplanan isim, fotoğraf ve cinsiyet temelli sınıflandırmalar 6688 sayılı KVKK kapsamında açıkça kişisel veridir. Ancak, bu verilerin “seksilik” gibi bir ölçütle işlenmesi, veriyi kişinin mahremiyet alanı ve cinsel hayatına dair bir çıkarıma dönüştürdüğü için özel nitelikli kişisel veri tartışmasını da beraberinde getirir.
İhlal Türleri: Kadın öğrencilerin fotoğraflarının bu şekilde yayınlanması ve sınıflandırılması; verilerin işlenme amacıyla bağdaşmaması, hukuka ve dürüstlük kurallarına aykırı işleme ve veri güvenliğini sağlayamama ihlallerini doğurur.
Rıza Geçersizliği: Bir öğrencinin fotoğrafını eğitim amaçlı okula vermesi veya sosyal medyada paylaşmış olması, bu verilerin onur kırıcı bir oylamada kullanılmasına rıza gösterdiği anlamına gelmez.
İhlalin Boyutu: Uygulamanın varlığı başlı başına bir hukuka aykırılıktır; bu verilerin daha sonra çalınmış olması ise veri sorumlusunun “ağır ihmalini” gösteren ve ihlali ağırlaştıran bir durumdur.
II. Üniversitenin Sorumluluğu ve “Öğrenci İşi” Savunması
Veri Sorumlusu Sıfatı: Üniversite, kendi altyapısında bulunan verilerin güvenliğinden sorumlu olduğu için bu olayda doğrudan veri sorumlusudur.
Savunmanın Geçersizliği: “Uygulamayı öğrenciler yaptı” şeklindeki bir savunma, üniversiteyi KVKK kapsamındaki idari ve hukuki sorumluluktan kurtarmaz. Üniversite, bu verilerin bu tarz amaçlarla kullanılmasını engelleyecek teknik ve idari tedbirleri almakla yükümlüdür.
Önleyici Tedbirler: Üniversite, bu tür bir veri işleme faaliyeti başlamadan önce Etik Kurul onayı almalı ve kapsamlı bir Veri Koruma Etki Değerlendirmesi (DPIA) yapmalıydı.
Sistematik İhmal: 2001 yılından itibaren öğrencilerin verilerinin risk altında olması, münferit bir hatadan ziyade süreklilik arz eden bir ihmal olarak değerlendirilmelidir.
III. Uygulamayı Yapan Öğrencilerin Cezai Durumu
Hukuki Statü: Uygulamayı geliştiren öğrenciler, verileri hukuka aykırı olarak ele geçiren ve işleyen kişiler olarak hem hukuki hem de cezai sorumluluk altındadırlar.
Yaptırım Riskleri: Bu kişiler hakkında Türk Ceza Kanunu kapsamında hapis cezası, idari para cezası ve mağdurlara ödenmek üzere tazminat sorumluluğu söz konusu olabilir.
Savunmaların Etkisi: “Eğitim amaçlıydı” veya “niyetimiz kötü değildi” gibi savunmalar, suçun oluşumunu engellemez; ancak ceza yargılamasında takdiri indirim nedeni olarak tartışılabilir. Uygulamanın cinselleştirici ve ayrımcı tasarımı ise kastın yoğunluğunu göstererek cezayı ağırlaştırabilir.
IV. Mağdur Hakları ve Siber Zorbalık
Mağdur Hakları: Fotoğrafları kullanılan öğrenciler; verilerin silinmesini talep etme, maddi-manevi tazminat davası açma ve suç duyurusunda bulunma haklarına sahiptir.
Tazminat: Öğrenciler, verilerini koruyamayan üniversiteye karşı manevi tazminat davası açabilirler.
İspat Sorunu: Bu tür vakalarda dijital izler delil niteliğindedir. Mağdurdan beklenen, verisinin rızası dışında ve onur kırıcı bir şekilde kullanıldığını ortaya koyan emareleri sunmasıdır; veri güvenliğinin sağlandığını ispat yükü ise üniversitededir.V. Kişisel Verileri Koruma Kurulu (KVKK) ve Şeffaflık
Çifte Standart Eleştirisi: Kurulun özel şirket ihlallerini duyurup kamu kurumları veya vakıf üniversiteleri söz konusu olduğunda sessiz kalması, hukuki şeffaflık ve eşitlik ilkeleri açısından ciddi bir soru işaretidir.
Bildirim Yükümlülüğü: Kurul, bir ihlali öğrendiğinde bunu kamuoyuna açıklama konusunda şeffaf davranmak zorundadır; sessiz kalınması siyasi veya idari bir refleks olarak yorumlanabilir.
VI. Sonuç ve Değerlendirme
Farkındalık Eksikliği: Bu vaka, Türkiye’deki üniversitelerin kişisel verileri koruma konusundaki farkındalığının ne kadar düşük olduğunu göstermektedir.
Yöneticilere Tavsiye: “Veri güvenliği, sadece bir bilişim sorunu değil; bir kurumun haysiyet ve güven sorunudur.”
Dijital dünyadaki tüm verilerimizi silmek mümkün mü?
Hayır. Tam anlamıyla mümkün değil. Çünkü yukarıda da belirttik, veriler açık ortamda yayınlandığı anda başka birileri tarafından yedeklenir, kopyalanır, üçüncü taraflara aktarılır. Bu nedenle, alınacak önlemler şunlar olabilir, mümkünse veri üretimini sınırlamak, platformlara “unutulma hakkı” talepleri yapmak ve yayınlayan hesapları kapattırmak. Yanısıra silme taleplerinin ve kurumları gelecekte sorumlu tutacak belgelerin kayıt altına alınması önemlidir. Ek olarak “Silinme hakkı”nı teknik değil, hukuki zorunluluk hâline getirmek önemlidir. Dijital dünyada mesele “veriyi tamamen silmek” değil, veri üzerinde kontrol kazanmaktır.
Kaynak : 