Oğuzhan Açıkgöz
* Lisans öğrencisi, Koç Üniversitesi Hukuk Fakültesi, oacikgoz20@ku.edu.tr, ORCID: 0000-0003-4567-8141.
ÖZET
Özellikle pandemi dönemiyle beraber artan dijital teknolojilerde öğrenci kullanımı, eğitimde kullanılan web siteleri, uygulamalar ve diğer çevrimiçi hizmetler tarafından oluşturulan ve toplanan öğrenci verilerine erişim ve bunların kullanımı hakkında artan endişelere yol açmıştır. Ardı ardına gelen bazı sektörlerdeki bir dizi yüksek profilli veri ihlalleri, daha katı ve daha kapsamlı öğrenci gizlilik yasaları için kamuoyunun hükümetlere baskılarını artırmaya katkıda bulunmuştur.
Eğitim teknolojilerindeki temel gerilim, bir yanda öğrenci veri gizliliğini koruma ihtiyacı ile diğer yanda bu servisleri sağlayan şirketlerin yenilik yapma yeteneği ile okulların verimliliği artırma ve eğitimi geliştirme yeteneği arasındadır. Eğitim teknolojileri şirketlerinin eğitim programlarını değerlendirmek ve iyileştirmek için öğrenci verilerine erişmesi gerekir. Bu şirketler, öğrenci performansına ilişkin verileri toplayarak ve depolayarak, öğretmenlerin öğrencilerin öğrenmesini ve farklı öğretim yaklaşımlarının etkililiğini daha iyi anlamalarına yardımcı olur. Ayrıca öğretmenlerin öğrencilerinin bireysel öğrenmelerine hatalarını tespit ederek daha iyi hizmet vermek amacıyla öğretimi özelleştirmelerine yardımcı olabilir.
Kişisel verileri koruma hukuku, büyük ölçüde hala şekillenmekte olan nispeten yeni bir hukuk alanıdır. Bu alandaki gelişmelerin çoğu yirminci yüzyılın sonları ve yirmi birinci yüzyılın başlarında yeni teknolojilerin mahremiyet korumalarını yeniden değerlendirilmeye ve dijital teknoloji alanında kamunun mahremiyet beklentilerinin sınırlarının belirlenmeye çalışmasılmayla oluşmuştur.[1] Buna karşın öğrenci mahremiyeti de hukukun gelişen ve sürekli değişen bir alanı olmaya devam etmektedir. Ancak öğrenci mahremiyeti yeni bir alan değildir. Amerika Birleşik Devletleri’nde uygulanan federal yasalar, kırk yılı aşkın bir süredir öğrenci mahremiyetini çeşitli uygulamalarla düzenlemiştir. Öğrenci gizlilik hakları, birbirleriyle örtüşen bir yasa kombinasyonu ile korunmaktadır ve bu yasalar öğrenci verilerinin gizliliğini ortaklaşa yönetmektedir. 1974 tarihli Aile Eğitim Hakları ve Mahremiyeti Yasası (FERPA), 1978 tarihli Öğrenci Haklarının Korunması Değişikliği (PPRA), 1998 tarihli Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) öğrenci gizliliğinin farklı yönlerini ele alır. Her üç tüzük de çok farklı teknolojik, eğitim ve sosyal ortamlarda yürürlüğe girdiğinden aralarında olası farklar bulunmaktadır.
[1] Örneğin, İngiltere’de 1998 tarihli Avrupa Konseyi Sözleşmesi ve Birleşik Krallık Veri Koruma (DP) Yasası, ABD’de 1974 tarihli Gizlilik Yasası ve 1970 tarihli Adil Kredi Raporlama Yasası (FCRA) ve Hollanda’da 2000 tarihli Wet Bescherming Persoonsgegevens (WBP) gibi çalışmalar bu dönemlerde gerçekleşen önemli gelişmelerdir.
Öğrenci mahremiyetini düzenleyen ilk federal tüzük olan 1974 tarihli Aile Eğitim Hakları ve Mahremiyeti Yasası (FERPA)’dır. FERPA, federal fon alan tüm okullar için geçerlidir. Bu yasa okulun, öğrencinin kişisel olarak tanımlanan eğitim bilgilerinin işlenmesini düzenler. Kanun, eğitim kayıtlarının veya herhangi bir kişisel olarak tanımlanabilir bilginin yayınlanmasından önce ebeveyn izni gerektirir. FERPA kapsamında, öğrencinin ebeveynleri, öğrenci reşit olana kadar çocuğunun mahremiyet haklarını kontrol eder. Ancak, eğitim teknolojileri pazarının son birkaç yılda patlaması nedeniyle FERPA'nın etkinliği kamuoyu ve kanun koyucular tarafından sorgulanmaya başlanmıştır. Bazı okulların, şirketlerin eğitim amaçları yerine kar amaçlı olarak öğrenci verilerine erişmesine izin vererek FERPA gibi mevcut öğrenci gizlilik yasalarını ihlal etmiştir fakat FERPA yaptırım gücünden yoksun olduğu için veri sağlayıcılarına herhangi bir yaptırım uygulanmamıştır. Dahası, FERPA düzenlemesi yalnızca okullar için geçerlidir. Bu nedenle Eğitim Bakanlığı, veriler okulun elinden çıktıktan sonra -veriler FERPA kontrolünde olsa bile- üçüncü taraf işletmelere karşı yasayı uygulayamaz ve yaptırımda bulunamaz. Dolayısıyla FERPA, üçüncü şahısların hassas verilerin işlenmesini sağlayamadığından modern veri güvenliğinin ihtiyaçlarını karşılamaktan yoksundur.
1978 tarihli Öğrenci Haklarının Korunması Değişikliği (PPRA), FERPA gibi federal fon alan eğitim kurumları için geçerlidir ve ihlali olduğu durumlarda herhangi bir yaptırım içermez. Spesifik olarak, tüzük, belirli bilgi türlerini ortaya çıkaran anketlere veya değerlendirmelere öğrenci katılımını düzenler. Düzenlemede bahsi geçen konular başlıca öğrencilerin ve ebeveynlerinin dini ve siyasi görüşleri, psikolojik durumu, cinsel tutumları koruma altına alınmıştır. PPRA ve FERPA arasındaki fark, bir okul bir öğrenciden belirli türde kişisel bilgiler topladığı zaman PPRA, eğitim kayıtlarına yönelik (isim, telefon numarası, e-posta adresi vb.) olduğu zaman da FERPA verilerin işlenmesinin ve ifşa olmasını engeller.
Çocukların interneti güvenli bir şekilde kullanmak için gerekli yargıya sahip olmadığı ve bu nedenle ek korumaya ihtiyaç duydukları düşüncesi; şirketlerin ve benzeri diğer kuruluşların çocuklardan kişisel veri toplama endişesi, kongrenin 1998 tarihli Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA)’nı onaylamasını sağlamıştır ve bu yasa en son 2013 yılında düzenlenmiştir. COPPA, on üç yaşın altındaki çocukların kişisel olarak tanımlanabilir bilgilerini korumak için geçerli olduğundan, doğal olarak öğrenci verileri için de geçerlidir. Bu yasaya göre, on üç yaşından küçük bir çocuğun bilgilerini toplamadan önce, web sitesi operatörü veya çevrimiçi hizmet sağlayıcı tarafından ebeveyn izni alınmalıdır. FERPA’ya nazaran COPPA’nın ihlal edilmesinin ortaya çıkardığı bazı yaptırımlar vardır. Bu yasayı ihlal eden kuruluşlar, eyalet başsavcısı tarafından açılan bir davada para cezasına çarptırılır. Ek olarak bir milyon doları aşan para cezalarıyla sonuçlanabilecek bir Federal Ticaret Komisyonu icra davasına da tabi olabilir. COPPA’nın da yetersiz olduğu durumlar vardır. Örneğin, web sitesi operatörlerinin bir çocuğun kapsanan bilgilerini toplamadan önce ebeveyn izni almasını ve web sitesinin veri toplama uygulamalarını ayrıntılandıran bir gizlilik politikası sağlamasını şart koşarken, operatörlerin gizlilik politikalarını tek taraflı olarak değiştirme hakkını saklı tutmaları yaygındır. Bu, herhangi bir değişiklik için gizlilik politikalarını izleme yükünü ebeveyne yükler. Aksi takdirde, çocuklar istemeden de olsa şüpheli veri toplama ve kullanma uygulamalarına maruz kalabilirler.
Son olarak, 2016 tarihli Kaliforniya Öğrencilerin Dijital Kişisel Verilerinin Korunması Kanunu (SOPIPA), hem öğrenci veri gizliliği yasasını güncelleme girişimidir hem de mevcut federal yasaları (FERPA, COPPA, PPRA) tamamlar. SOPIPA, açıkça eğitim teknolojileri şirketlerini hedef aldığı için önemli bir değere sahiptir. SOPIPA, özellikle internet web sitelerini, çevrimiçi hizmet ve uygulamaları veya mobil uygulama operatörlerini hedefler. Öğrenci verilerinin belirli ticari amaçlarla kullanımına ilişkin bu yasakla uyumlu olarak SOPIPA, öğrenci verilerinin satışını da yasaklar. Bu yasa esasında bir California yasası olmasına rağmen, California K–12 öğrencilerine ulaşan California dışında yerleşik şirketler için geçerlidir. SOPIPA, öğrenciyi tanımlayan bilgilerin ifşasına yalnızca yasal ve düzenleyici uyumu sağlamak ve belirli güvenlik amaçlar için yargı sürecine yanıt vermek veya bu sürece katılmak durumlarında izin verir. SOPIPA'nın kendisi herhangi bir açık yaptırım hükmü içermemektedir fakat Kaliforniya'nın Haksız Rekabet Yasası (UCL) aracılığıyla dava açmasına izin verir.
Bu makale çalışmasında, Amerika Birleşik Devletleri tarafından öğrencilerin kişisel verilerini korumaya yönelik attığı adımlar incelenmiştir. Devlet ve Kongre; FERPA, COPPA, PPRA ve SOPIPA gibi düzenlemeler getirerek öğrencileri korumaya çalışmıştır. Bununla beraber öğrenciler sadece kanun koyucuların kendilerine verdikleri haklarla yetinmemiş, çeşitli STK’ler aracılığıyla hak eksikliklerini tespit edip doğrudan servis sağlayıcılardan hak talep etme arayışına girmiştir. Örneğin, Future of The Privacy Forum’un öncülük ettiği Öğrenci Gizliliği Taahhüdü sayesinde SOPIPA’nın yerel düzenlemelerini eyalet sınırından alıp tüm ABD’ye yaymayı hedeflemiştir. Bu aksiyon sonucunda Apple ve Microsoft başta olmak üzere birçok dünya devi şirket Taahhüdü imzalayıp öğrencilerin anaokulundan üniversiteye geçene kadar bilgilerini satmamayı alenen kabul etmiştir. Dolayısıyla, bir kanunun en etkili şekilde işleyebilmesi ve nihai başarıyı elde edebilmesi için kanun koyucuların, ilgili şirketlerin ve kamuoyunun birlikte hareket etmesi gerekmektedir.
KAYNAKÇA
Escoffery, Erin. "FERPA and the Press: A Right to Access Information." Journal of College and University Law, vol. 40, no. 3, 2014, s. 543-566. Garber, D."COPPA: Protectiong Children's Personal Information on the Internet." Journal of Law and Policy, vol. 10, no. 1, 2001, s. 129-188. Garrison, B. "Children Are Not Second Class Citizens: Can Parents Stop Public Schools from Treating Their Children Like Guinea Pigs." Valparaiso University Law Review, vol. 39, no. 1, Fall 2004, s. 147-218. Huang, R.H., Liu, D.J., ve ark., “Personal Data and Privacy Protection in Online Learning: Guidance for Students, Teachers and Parents”. Beijing: Smart Learning Institute of Beijing Normal University, 2020. Jamtgaard, L. "Big Bird Meets Big Brother: A Look at the Children's Online Privacy Protection Act." Santa Clara Computer and High-Technology Law Journal , vol. 16, no. 2, 2000, s. 385-400. Johnson, A. "13 Going on 30: An Exploration of Expanding COPPA's Privacy Protections to Everyone." Seton Hall Legislative Journal, vol. 44, no. 3, 2020, s. 419-456. Kędzior, M. “The right to data protection and the COVID-19 pandemic: the European approach”. ERA Forum 2021, s. 533–543. <https://doi.org/10.1007/s12027-020-00644-4>. McGrath, K. "Developing a First Amendment Framework for the Regulation of Online Educational Data: Examining California's Student Online Personal Information Protection Act." U.C. Davis Law Review, vol. 49, no. 3, February 2016, s. 1149-1182. Steinberg, S., “Sharenting: Children's Privacy in the Age of Social Media”. Emory Law Journal vol. 66, 2017, s. 839-883. Paterson, D., “Edtech and Student Privacy California Law as a Model”. Berkeley Technology Law Journal vol. 31, 2016, s. 961-996. Penrose, M. "In the Name of Watergate: Returning FERPA to Its Original Design." New York University Journal of Legislation and Public Policy, vol. 14, no. 1, 2011, s. 75-114. Pfeffer-Gillett, A. "Peeling Back the Student Privacy Pledge." Duke Law & Technology Review, 16, 2017-2018, s. 100-140.
Young, E. "Educational Privacy in the Online Classroom: FERPA, MOOCs, and the Big Data Conundrum." Harvard Journal of Law & Technology, vol. 28, no. 2, Spring 2015, s. 549-592.