Boğaziçi Üniversitesi’nden Yeni Kişisel Veri Skandalı

Boğaziçi Üniversite’sinde bir süre “Boğaziçi Üniversitesi Rektörlüğünün bir firmaya Boğaziçi Üniversitesi mensuplarının kişisel verilerine sınırsız erişim hakkı verdiğine dair iddiaları” haber yapmıştık.

Şimdi bizzat Rektörlüğün gerçekleştirdiği yeni bir “Kişisel Veri İhlali” ile karşı karşıyayız. Bu süreçte kapsama Hukuk Fakültesi de eklenen bir Üniversite acaba 6698 sayılı “Kişisel Veriler Korunması Kanunu”ndan bu kadar mı habersiz?

Bu sene YKS ile gelen ve Boğaziçi Üniversitesinde bu yıl eğitim alacak olan 2.256 öğrencinin kişisel bilgileri, geçen hafta içinde “Boğaziçi Üniversitesi” rektörlük mail adresinden ve “WeTransfer” uygulaması üzerinden, “şifre korumasız” olarak, Üniversitenin 400+ öğretim üyesi ile paylaşıldı.

Bu olayın 3 hukuki sorunu var;

• Öğrencilerin Kişisel verilerinin paylaşılması
  • Gerekli olmayan bilgilerin paylaşımı
  • Gerekli bilgilerin de ilgisiz hocalarla bile paylaşılması

• Şifresiz paylaşım nedeniyle, linke sahip herhangi birinin de bu bilgileri indirebilmesi
• Kişisel verilerin WeTransfer gibi sunucuları yurtdışında olan bir servis üzerinden paylaşılması (yani kişisel verilerin yasak olmasına karşın yurtdışına çıkarılması)

Paylaşılan listedeki kolonlar şöyle;

1. Adı
2. Soyadı
3. Cinsiyeti
4. Puan Türü
5. Y.Puanı
6. Y.Sıralaması
7. Kontenjan Türü
8. Yerleşme Türü
9. Tercih Sırası
10. Program Adı
11. Lise Kodu
12. Mezun Olduğu Lise Adı
13. Lise Kolu
14. Lise Türü Kodu
15. Üniversite Adı
16. Fakülte Adı
17. e-Posta Adresi

Bu verilerin 400+ hoca yerine fakülte sekreterlerine gönderilmesi gerekirdi. Onlara da bu detayda değil –mesela kimin hangi liseden olduğu bilgisi gibiler çıkarılarak– genel bilgiler verilir.

Sakıncaya dair bir örnek verelim; en son kolondaki e-posta adresleri kurumsal değil, öğrencilerin kişisel mail adresleri. Kişisel e-posta adresini ise izni olmaksızın hiç paylaşamazsınız! Diğer verilerle ilgili sakıncadan önce bunu yorumlayalım;

“Öğrencilerin çoğu lisedeyken kullandıkları e-posta adreslerini gizliyorlar çünkü ergenlik döneminde o adresle bağlantılı hesaplardan çocukça (kimi zaman oldukça uygunsuz ve başlarını belaya sokabilecek) paylaşımlarda bulunmuş oluyorlar. Ya da kopmaya çalıştıkları kız/erkek arkadaşları var. Saygı duymak zorundasınız.”

Anlaşıldığı kadarıyla bu dosyada bazı verilerin çıkartılması işlemi yapılmış. Öğrencinin anne-baba adı, ev adresi, ev telefonu, öğrencinin kendi cep telefonu gibi bilgileri silmişler. Ama öğrencinin hocası tarafından –hele ilgisiz hocalar tarafından da– bilinmesi gerekmeyen (ayrımcılık vs yaratabilecek) kişisel bilgiler dahil, 17 tanesi o dosyada maalesef yer alıyor.

Bir de bazı verilerin (lise bilgisi gibi) yanlış olduğu tespit edilmiş. Bu da komik ama muhtemelen excel’in sort edilmesi işlemi sırasında olmuş olabilir.

Olayı Avukat Mehmet Ali Köksal’a sorduk;

6698 sayılı kanun çok açık. Alışkanlıklarımızı değiştirmemiz gerekiyor. Yani, eskiden arkadaşımın satılık / kiralık dairesi veya aracı var diye 50 milyon kişiyi aynı anda “to”ya koyup mail gönderirdik, artık öyle şeyler yok, bitti. Niye? Çünkü o listede bir sürü kişinin mail adresi var ve insanlar kendi adreslerinin paylaşmasını çok da hoş bulmayabiliyorlar.

Çünkü örneğin, bir şirketin yöneticisinin mail adresini o vesileyle öğrenilebiliyor ve o adrese bu defa istenmeyen bir sürü ileti gidebiliyor. Haklı insanlar. Düşünsenize, gün içerisinde 1000 tane mail gelen bir insansa ve doğal olarak iş için veya kendi çevren için bir adres kullanmak istiyorsan, örneğin çocuğunla ilgili, bu konular önemli oluyor. Birisine verdiğin mail adresi pat diye başka birisi alıyor, herkesin mail gönderebildiği adrese dönüşüyor.

Bunu neden anlatıyorum? Ne var bunda zaten üniversite hocaları o çocukların adını, soyadını, T.C. kimlik numarasına erişebilir. Yok öyle değil. O hoca kendi sınıfındakilere erişebiliyor. Kendisine teslim edilen listeye erişebiliyor. Anlatılan olayda ise, okuldaki herkesin bilgilerine erişiyor. Belki olmayacak bir şey ama çok düzgün yaklaşmayan kişiler çıkabilir “Vay bu kız güzelmiş, şu oğlan yakışıklıymış” diyen çıkabilir. Onun mail adresini, bilgilerini bulacak. Onun hangi lisede okuduğunu bulacak.

Akademi hayatında benzer suçlamalarla karşı karşıya kalan bir sürü insan var. Doğru, yanlış, yargılaması bitmiş, bitmemiş. Şimdi siz buraya bir liste atıyorsunuz. Orada son derece güzel, son derece yakışıklı, nezih, pırıl pırıl, üniversiteye yeni gelmiş, 17 yaşında çocuklar, gençler var.

Bu çocukların verilerini herkese gönderiyorsunuz. Hangi lisede okumuş gibi. Göndermene gerek var mı? E-posta adresini girmesi gerekiyor mu? Gerekmiyor. T.C. Kimlik numarasını bilmesi gerekiyor mu? Gerekmiyor. Lisesini bilmesi gerekiyor mu? Gerekmiyor. Aldığı puanı bilmesi gerekiyor mu? Hayır, kât’a gerekmiyor. Ayrımcılık yapar. Yüksek puanla girenle alçak puanla giren arasında sınıf içerisinde ayrımcılık yapmasın diye tam tersi bilmemesi gerekiyor.

Niye yapıyorsun ki? O da girmiş, o da girmiş, olay bitmiş. O hak ve yetki ÖSYM’de. ÖSYM seçmiş, göndermiş. Bundan sonra kimse bu bilgileri bilmesi gerekmiyor. Hangisi okul birincisi kontenjanından gelmiş, hangisi bilmem yurt dışı olarak gelmiş, hiç kimseyi ilgilendirmiyor.

Ama şimdi sorsanız bizimkilere, “e ne var bunda paylaşmakta bir sakınca yok” der. Var, çok sakınca var. Biz hukuk tarafında bir sürü dava, bir sürü ayrımcılık görüyoruz. Böyle bir listeyi neden paylaşıyorsun? Sebebi yok ki. Sebepsiz, eski alışkanlık.

Bunların hepsinden uzak durmamız gerekiyor. Belirli bir aşamaya gelmiştik, şimdi bu geldiğimiz aşamada Boğaziçi Üniversitesi gibi son derece bu konularda daha önce biraz daha hassas olan, bu kanun bile çıkmadan önce belirli bir düzeyi koruyan bir üniversite yönetimi değişerek saçma sapan bir şey yapıyor. Hukukçu olarak bu ifadeyi kullanıyorum. Bunun adı “saçma sapan”.

Bunu da bilerek kullanıyorum, isteyen kişi hukuki haklarını kullanabilir çünkü Avrupa İnsan Hakları Mahkemesi’nde saçmalayan politikacıya dangalak demek hakaret midir, değil midir diye karar var. Gelsinler, Türk yargısı da yapsın yapacağını. Eğer bir karar verecekse, AİHM’e kadar gidelim. Çok basit. Bu bir saçmalıktır.

Boğaziçi Üniversitesi yönetimi adeta suçluların telaşı içinde iyi bir şeyler yapmak adına sürekli hata yapmaktadır. Yapmaması gereken bir şey. Bu liste kesinlikle bu haliyle paylaşılmaması gerekir. Bu listenin her sınıfın hocasına parçalanmış halini gönderebilirsin. Amacına göre tamamını, isimleri maskeleyip diğer bilgileri kapatarak gönderebilirsin. Bir sürü yöntemi var bunun. İstatistiki verileri paylaşabilirsin, diyebilirsin ki; “bu sene üniversitemize şu kadar kişi kayıt yaptırdı, bunların şu kadarı kadın, şu kadarı erkek, şu kadarı meslek lisesinden geldi, şu kadarı imam hatipten geldi, şu kadarı Anadolu lisesinden geldi.” Ne istiyorsanız. İstatistiki veri paylaşın. Bir bütün olarak paylaşmanın lüzumu yok.

Bir de içinde hatalı bilgi varsa, o başlı başına başka. Tüm listeyi böyle paylaşmak kişisel verilerin korunması kanunun 4. Maddesine aykırı. Kanunun 4. Maddesi der ki; veriler şöyle paylaşılır. 4. Maddedeki sayılan neredeyse tüm ilkelere aykırı. 5. Madde, kişisel verilerin paylaşılması için hukuki bir sebep; Şuan ben bunun sebebini bilmiyorum. O paylaşım grubunda değilim ama lüzumsuz paylaşılmış gibi duruyor, biraz 4. Maddeyle de bağlayınca 5. Maddedeki hukuki sebep de yok gibi görünüyor.

Parçalasın. Niye? Kadrosu mu yok? 2500 kişi sınıflara ayıramıyor mu? Ayrı ayrı liste gönderemiyor mu? Kamu yararına paylaşacak insanlar var bunu, böleriz, ben bir tane stajyerime veririm görevi, böler. 1 kişi görür, 400-500 kişinin görmesine gerek yok. 1 kişi görür, listeyi böler. Yazılımları yoksa basına yansıdığı kadar dışarı attıkları Boğaziçi Üniversitesi Bilgisayar Mühendisliği kadrolarına söyleselerdi, 2 tane scriptle yapardı bunu. Ben bile bir hukukçu olarak aşağı yukarı kod yazarım bununla ilgili.

Özetle, Boğaziçi Üniversitesi rektörlüğü

1. 6698 sayılı kanunu hiçe sayan ve Kişisel Veri İhlali Skandalına yol açan bir hareket yapmış
2. Üstelik bunu yaparken de “verileri birbirine karıştırma” gibi bazı hatalar yapmış olabilir

Anlayacağınız Boğaziçi Üniversitesini değiştirmeye çabalayan yeni yönetim bir hukuk fakültesi kurma iddiasında ancak böyle bir basit KVKK (kişisel verilerin korunması) olayının bile altından kalkamıyorlar. Ancak acemilerin yapabileceği türden hatalar yapılıyor. Umarım bir an önce hatadan dönülür.