Edutime Logo Blog'a Dön
Güvenlik

KVKK ve Öğrenci Verileri: Eğitim Kurumlarının Sorumlulukları

Edutime Ekibi 19 Mart 2026 6 dk okuma
BLOG-06

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), öğrenci ve veli bilgilerini işleyen her eğitim kurumunu doğrudan bağlar. Ad, soyad, doğum tarihi, iletişim bilgileri, sağlık verileri ve akademik kayıtlar; hepsi kişisel veri kapsamındadır ve yasanın öngördüğü güvencelerle korunması zorunludur.

Pek çok kurum KVKK yükümlülüklerini yalnızca bir aydınlatma metni asmak olarak algılar. Oysa uyum, teknik ve idari tedbirlerin bütününden oluşur. Kurumunuzun yasal yükümlülüklerini ve almanız gereken somut önlemleri inceleyelim.

01. Eğitim kurumu KVKK'da nasıl konumlanır?

KVKK'da iki temel rol vardır: veri sorumlusu ve veri işleyen. Eğitim kurumu, öğrenci ve veli verilerini kendi amaçları doğrultusunda işlediği için veri sorumlusudur. Kullandığınız yazılım şirketi ise verilerinizi sizin talimatlarınızla işlediği için veri işleyendir.

Veri sorumlusu olarak kurumunuz şu yükümlülükleri taşır:

  • Veri işleme faaliyetlerini Verbis (VERBİS) siciline kaydetmek
  • İlgili kişileri (öğrenci, veli) aydınlatma yükümlülüğünü yerine getirmek
  • Veri işleme için hukuki dayanak oluşturmak (açık rıza veya kanuni yükümlülük)
  • Veri güvenliği ihlali halinde 72 saat içinde Kurul'a bildirmek
"KVKK uyumu bir seferlik proje değildir. Veri envanterinizin, sözleşmelerinizin ve teknik altyapınızın düzenli aralıklarla gözden geçirilmesini gerektiren süregelen bir yükümlülüktür."

02. Aydınlatma ve açık rıza doğru kurgulanmalı

Kayıt sırasında velilere imzalatılan sözleşme, KVKK aydınlatma metnini içermek zorundadır. Bu metin; hangi verilerin toplandığını, hangi amaçla işlendiğini, kiminle paylaşılabileceğini ve ilgili kişinin haklarını açıkça belirtmelidir. Genel ifadeler içeren "veri toplayacağız" cümleleri Kurul kararlarında yetersiz bulunmaktadır.

Pazarlama amacıyla veri işlemek ya da üçüncü taraflara (sigorta, servis firması vb.) veri aktarmak için ayrıca açık rıza alınması gerekir. Bu rızaların belgelenebilir ve geri alınabilir biçimde saklanması zorunludur. Dijital kayıt formları, bu sürecin en güvenli ve izlenebilir yolunu sunar.

03. Teknik güvenlik önlemleri

İdari tedbirlerin yanı sıra teknik önlemler de KVKK'nın aradığı unsurlar arasındadır. Eğitim kurumlarının alması gereken temel teknik önlemler şunlardır:

  • Öğrenci verilerine erişimi rol bazlı kısıtlayın; her çalışan yalnızca görevi için gerekli verilere erişebilmeli
  • Yazılım veritabanlarınızın şifreli (encrypted) depolandığından emin olun
  • Düzenli yedek alın ve yedeklerin de güvenli ortamda saklandığını doğrulayın
  • Kritik işlemler için denetim kaydı (audit log) tutun; kim, ne zaman, hangi veriye erişti?
  • Personel ayrılığında hesap erişimlerini derhal kapatın

ISO/IEC 27001 sertifikalı yazılım sağlayıcılarıyla çalışmak, teknik uyumu bağımsız olarak doğrulanmış bir altyapı üzerine inşa etmenizi sağlar.

Edutime'ı kurumunuzda görün

Bu yazıda anlatılan süreçlerin tamamı Edutime'da hazır. Size özel bir demo planlayalım.

Demo Talep Et
© 2026 Edutime — İcesoft Yazılım Teknolojileri Ltd. Şti.
Blog Modüller Mobil Uygulamalar Demo Talep Et