Tez Verilerini Google Drive'da Tutmak Suç mu? KVKK, GDPR ve Akademisyenin Bilmediği Veri Sorumlulukları

Akademik Araştırmalarda Veri Güvenliği Neden Önemli?

Tez veya makale hazırlarken toplanan anket, mülakat veya deney verilerinin saklanması, araştırmacıların en az önemsediği ancak en büyük risk taşıyan konulardan biridir. Birçok araştırmacı, kolaylığı nedeniyle verilerini kişisel Google Drive veya Dropbox hesaplarında saklamayı tercih eder. Ancak bu masum görünen alışkanlık, KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR (Avrupa Genel Veri Koruma Tüzüğü) kapsamında ciddi ihlallere yol açabilir.

Google Drive'da Veri Tutmak Suç Mu?

Doğrudan "suç" demek ağır bir tabir olsa da, eğer topladığınız veri kişisel veri (isim, TC kimlik no, e-posta, ses kaydı, IP adresi) veya özel nitelikli kişisel veri (sağlık bilgisi, siyasi görüş, sendika üyeliği) içeriyorsa, bu verileri yurtdışı tabanlı bulut sunucularında (Google Drive vb.) onay almadan saklamak KVKK'nın açık bir ihlalidir.

• KVKK Madde 9'a göre, kişisel veriler ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. (Bulut sunucuları genellikle yurtdışındadır).
• Veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almamak, yüksek idari para cezalarına sebep olabilir.

Araştırmacının "Veri Sorumlusu" Olarak Yükümlülükleri

Tez çalışması yürütürken siz ve üniversiteniz yasal olarak "Veri Sorumlusu" (Data Controller) sayılırsınız. Veri sorumlusunun temel yükümlülükleri şunlardır:

1. Aydınlatma Yükümlülüğü: Katılımcılara verilerin nerede, nasıl ve ne kadar süreyle saklanacağı açıkça bildirilmelidir.
2. Açık Rıza Alınması: Sadece anketin başına "kabul ediyorum" kutucuğu koymak yetmez; verinin buluta yükleneceği biliniyorsa buna özel rıza alınmalıdır.
3. Anonimleştirme: Elde edilen veriler, analiz aşamasına geçilmeden önce kimlik bilgilerinden arındırılmalı (de-identification) veya takma ad kullanılmalıdır (pseudonymisation).

Tez Verileri Nasıl Güvenle Saklanmalı?

Araştırma verilerinizi güvende tutmak için aşağıdaki adımları izleyebilirsiniz:

• Verileri üniversitenizin size sağladığı yerel (on-premise) sunucularda veya harici şifrelenmiş sabit disklerde saklayın.
• Mutlaka bulut kullanacaksanız, verileri diskinizde AES-256 gibi güçlü şifreleme yöntemleriyle (örneğin Veracrypt kullanarak) şifreledikten sonra buluta yükleyin.
• Etik kurul başvurunuzda verilerin nerede depolanacağını (örn: "şifreli harici disk") ve saklama süresi bitince nasıl imha edileceğini net bir şekilde belirtin.

Kaynakça:

Kişisel Verileri Koruma Kurumu (KVKK). (2016). 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Avrupa Birliği Veri Koruma Tüzüğü (GDPR). (2018). General Data Protection Regulation.

Borgman, C. L. (2015). Big data, little data, no data: Scholarship in the networked world. MIT press.