Google Workspace ve Espoo Şehri Kararı – GDPR Madde 6(1)(c) Nerede Başlar, Nerede Biter?
Bir kamu kurumu, eğitim altyapısını dijitalleştirirken hangi yasal zemine dayanmalı? Espoo Şehri'nin ilkokullarda Google Workspace for Education kullanımına ilişkin tartışmalı kararı, kamu yararı, yasal yükümlülük ve veri minimizasyonu ilkelerinin kesişim noktasında önemli dersler sunuyor.
Olayın Arka Planı
Espoo Şehri, temel eğitimi organize etme yükümlülüğü kapsamında Google Workspace for Education platformunu ilkokullarda uygulamaya koydu. Denetleyici olarak Espoo, bu işlemenin GDPR Madde 6(1)(c) – yasal yükümlülük dayanağına oturduğunu savundu. Ancak Finlandiya Veri Koruma Ajansı (DPA), bu savunmayı yeterli görmeyerek işlemenin yasal temele dayanmadığına karar verdi.
Veri Koruma Ajansı’na göre, Temel Eğitim Yasası bir e-öğrenme platformu kullanımını açıkça zorunlu kılmıyor ve bu nedenle Madde 6(1)(c)’ye dayanak oluşturamazdı. İşlemeye konu verilerin kapsamı genişti, çocukların verileri işleniyor ve platform üzerinde denetleyicinin kontrolü sınırlıydı.
Temel Bulgular
- Yetersiz Yasal Dayanak: Temel Eğitim Yasası, e-öğrenme platformlarının kullanımına açıkça atıf yapmadığı için GDPR 6(1)(c) kapsamında geçerli bir yasal yükümlülük oluşturmaz.
- Orantılılık Sorunu: İşlenen veri miktarı, geleneksel eğitim senaryosuna kıyasla çok daha fazlaydı ve bu durum, işleme faaliyetinin “gereklilik” ve “orantılılık” ilkeleriyle uyuşmadığını gösterdi.
- Kontrol Eksikliği: Denetleyici, Google'ın standart kullanım şartlarını kabul etmişti ve bu nedenle veri işleme faaliyetleri üzerinde yeterli kontrole sahip değildi.
Karar Süreci ve Mahkeme Yorumları
- İlk Aşama (DPA ve İdari Mahkeme): Her iki kurum da işleme faaliyetinin yasal bir yükümlülük kapsamında değerlendirilemeyeceğini belirtti.
- Son Aşama (Yüksek İdare Mahkemesi): Mahkeme bu görüşe katılmadı. Temel Eğitim Yasası'nın, öğrencilere dijital okuryazarlık kazandırma hedefine işaret ettiğini ve bu nedenle BT tabanlı öğrenme araçlarının kullanılmasının eğitim yükümlülüğü kapsamında değerlendirilmesi gerektiğini belirtti.
- Platform İsmi Tartışması: Mahkeme, GDPR’nin spesifik bir yazılım veya hizmet ismi belirtmediğini; bu nedenle “Google Workspace”in özel olarak yasal yükümlülüğe işaret etmesinin gerekmediğini vurguladı.
Sonuç
Yüksek İdare Mahkemesi, işlemenin GDPR 6(1)(c) kapsamında değerlendirilebileceğini ve DPA’nın bu konuda hatalı bir yorum yaptığını belirterek dosyayı yeniden inceleme amacıyla DPA’ya geri gönderdi. Mahkeme ayrıca, denetleyicinin platform üzerindeki sınırlı kontrolü, farklı veri türlerinin farklı amaçlarla kullanılması gibi konuların da GDPR’nin diğer maddeleri uyarınca ayrıca değerlendirilmesi gerektiğini kaydetti.
Değerlendirme
Bu karar, kamu kurumlarının “yasal yükümlülük” dayanağını kullanarak dijital platformları uygulamaya geçirmeleri durumunda ne kadar dikkatli ve kapsamlı bir değerlendirme yapmaları gerektiğini gösteriyor. Aynı zamanda GDPR 6(1)(c)'nin ne kadar sıkı yorumlanması gerektiği, fakat aynı zamanda hizmetlerin adının birebir mevzuatta geçmesinin şart olmadığı gibi önemli prensipleri de yeniden ortaya koyuyor.
kaynak:
1. https://gdprhub.eu?title=KHO_-_KHO:2025:29&mtc=today
2. https://www.linkedin.com/pulse/google-workspace-decision-how-digital-tools-education-beg%C3%BCm-beyza-afqlf/?trackingId=kmB%2B1DOARZ6GV0p%2BK%2FhZYg%3D%3D