Tez Verilerini Google Drive'da Tutmak Suç mu? KVKK, GDPR ve Akademisyenin Bilmediği Veri Sorumlulukları

Akademik Araştırmalarda Veri Güvenliği Neden Önemli?

Tez veya makale hazırlarken toplanan anket, mülakat veya deney verilerinin saklanması, araştırmacıların en az önemsediği ancak en büyük risk taşıyan konulardan biridir. Birçok araştırmacı, kolaylığı nedeniyle verilerini kişisel Google Drive veya Dropbox hesaplarında saklamayı tercih eder. Ancak bu masum görünen alışkanlık, KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR (Avrupa Genel Veri Koruma Tüzüğü) kapsamında ciddi ihlallere yol açabilir.

Google Drive'da Veri Tutmak Suç Mu?

Doğrudan "suç" demek ağır bir tabir olsa da, eğer topladığınız veri kişisel veri (isim, TC kimlik no, e-posta, ses kaydı, IP adresi) veya özel nitelikli kişisel veri (sağlık bilgisi, siyasi görüş, sendika üyeliği) içeriyorsa, bu verileri yurtdışı tabanlı bulut sunucularında (Google Drive vb.) onay almadan saklamak KVKK'nın açık bir ihlalidir.

• KVKK Madde 9'a göre, kişisel veriler ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. (Bulut sunucuları genellikle yurtdışındadır).
• Veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almamak, yüksek idari para cezalarına sebep olabilir.

Araştırmacının "Veri Sorumlusu" Olarak Yükümlülükleri

Tez çalışması yürütürken siz ve üniversiteniz yasal olarak "Veri Sorumlusu" (Data Controller) sayılırsınız. Veri sorumlusunun temel yükümlülükleri şunlardır:

1. Aydınlatma Yükümlülüğü: Katılımcılara verilerin nerede, nasıl ve ne kadar süreyle saklanacağı açıkça bildirilmelidir.
2. Açık Rıza Alınması: Sadece anketin başına "kabul ediyorum" kutucuğu koymak yetmez; verinin buluta yükleneceği biliniyorsa buna özel rıza alınmalıdır.
3. Anonimleştirme: Elde edilen veriler, analiz aşamasına geçilmeden önce kimlik bilgilerinden arındırılmalı (de-identification) veya takma ad kullanılmalıdır (pseudonymisation).

Tez Verileri Nasıl Güvenle Saklanmalı?

Araştırma verilerinizi güvende tutmak için aşağıdaki adımları izleyebilirsiniz:

• Verileri üniversitenizin size sağladığı yerel (on-premise) sunucularda veya harici şifrelenmiş sabit disklerde saklayın.
• Mutlaka bulut kullanacaksanız, verileri diskinizde AES-256 gibi güçlü şifreleme yöntemleriyle (örneğin Veracrypt kullanarak) şifreledikten sonra buluta yükleyin.
• Etik kurul başvurunuzda verilerin nerede depolanacağını (örn: "şifreli harici disk") ve saklama süresi bitince nasıl imha edileceğini net bir şekilde belirtin.

Hangi Veriler "Özel Nitelikli" Sayılır?

KVKK, kişisel verileri iki kategoride ele alır. Genel nitelikli kişisel veri: isim, soyisim, e-posta, telefon, fotoğraf. Özel nitelikli kişisel veri (KVKK Madde 6): ırk, etnik köken, siyasi görüş, dini inanç, sağlık bilgisi, cinsel yönelim, biyometrik veri, ceza mahkûmiyeti. Akademik araştırmalarda sağlık anketleri, psikolojik ölçekler ve demografik bilgi formları çoğunlukla bu kategorilerden birine girer. Özel nitelikli veriyi işlemek için Veri Koruma Kurulu'nun belirlediği şartların sağlanması zorunludur.

Üniversite Sunucuları Gerçekten Güvenli mi?

Üniversite e-posta ve bulut sistemleri (örn. Office 365, Google Workspace for Education) kampüs lisansı kapsamında olsa da sunucular çoğunlukla yurt dışındadır. Bu nedenle "üniversite e-posta adresiyle erişiyorum, güvenliyim" varsayımı KVKK açısından doğru değildir. Kişisel veri içeren araştırma dosyalarının üniversitenin kendi veri merkezindeki sunucularında (on-premise) veya KVKK uyumlu yerel bulut çözümlerinde saklanması hukuken daha sağlam bir zemin oluşturur. Bilgi işlem dairenizdeki teknik ekiple görüşmek en doğru ilk adımdır.

Etik Kurul Başvurusunda Veri Güvenliği

Etik kurul başvuru formları genellikle şu soruları içerir: "Veriler nerede saklanacak?", "Saklama süresi ne kadardır?", "Veri imha prosedürü nedir?" Bu soruları "kişisel bilgisayarımda" veya "Google Drive'da" olarak yanıtlamak, etik kurul tarafından eksik veya riskli bulunabilir. Önerilen yanıt formatı: "Toplanan veriler araştırmacının yerel bilgisayarında AES-256 şifreleme ile korunmuş bir klasörde saklanacak; proje tamamlandıktan sonra kişisel bilgiler anonimleştirilerek ham veri güvenli şekilde silinecektir."

KVKK İhlali Cezaları

2016 tarihli KVKK kapsamında veri güvenliği ihlallerinde idari para cezaları 2024 yılında yeniden düzenlenmiş olup ihlal türüne göre değişmektedir. Kişisel Verileri Koruma Kurumu (KVKK), ihlal tespiti durumunda hem kuruma (üniversiteye) hem de veri işleyen sıfatıyla araştırmacıya ceza uygulayabilir. Hukuki yaptırımın ötesinde veri ihlali, araştırma katılımcılarının güvenini zedeler ve akademik kurumun itibarını olumsuz etkiler.

Araştırma Verisi Paylaşımı: Açık Veri ile Gizlilik Dengesi

Açık bilim (open science) hareketi araştırma verilerinin paylaşılmasını teşvik ederken KVKK ve GDPR gizliliği zorunlu kılar. Bu gerilimi çözmenin yolu: kişisel tanımlayıcıları tamamen çıkarmış anonimleştirilmiş veri setini paylaşmak, ham veriyi ise üniversitenin güvenli deposunda tutmaktır. OSF (Open Science Framework), Harvard Dataverse ve Zenodo gibi platformlar bu yaklaşımı destekleyen altyapı sunar. Tezinizde "Araştırma verilerinin anonimleştirilmiş sürümü [platform adı]'nda erişime açılmıştır" ifadesi hem şeffaflığı hem de gizliliği karşılar.

Araştırmacı için Veri Güvenliği Kontrol Listesi

Tez sürecinde kişisel veri toplayan her araştırmacı aşağıdaki soruların yanıtını belgede tutmalıdır:

• ☐ Topladığım veri genel mi, yoksa özel nitelikli kişisel veri mı?
• ☐ Katılımcılardan KVKK kapsamında aydınlatma ve rıza aldım mı?
• ☐ Veriler şifreli depolama alanında mı tutuluyor?
• ☐ Bulut kullanıyorsam sunucuların konumunu biliyor muyum?
• ☐ Etik kurul başvurusunda veri saklama ve imha planı var mı?
• ☐ Analiz sırasında kimlik bilgileri veriden ayrıştırıldı mı?

Bu soruların tamamına "Evet" yanıtı verilebiliyorsa KVKK uyum riski minimumdur. Belirsizlik hissedilen maddelerde üniversitenizin Veri Koruma Sorumlusu'na (DPO) veya hukuk birimlerine danışmak en güvenli yaklaşımdır.

Sonuç: Bilinçli Bir Araştırmacı Olmak

Kişisel veri güvenliği, artık yalnızca hukuk ve BT departmanlarının değil, her araştırmacının gündeminde yer alması gereken bir sorumluluk alanıdır. Tez sürecinde bu sorumluluğu ciddiye almak yalnızca yasal uyumu değil, araştırma katılımcılarına karşı etik bir yükümlülüğü de yerine getirmek anlamına gelir. Veriyi güvenli saklamak, gerektiğinde anonimleştirmek ve şeffaf bir rıza süreci yürütmek; araştırma kalitesini hem metodolojik hem de etik açıdan güçlendiren temel uygulamalardır.

Kaynakça:

Kişisel Verileri Koruma Kurumu (KVKK). (2016). 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Avrupa Birliği Veri Koruma Tüzüğü (GDPR). (2018). General Data Protection Regulation.

Borgman, C. L. (2015). Big data, little data, no data: Scholarship in the networked world. MIT press.