CANAN COŞKUN
canancoskun@diken.com.tr
@canancoskun
Boğaziçi Üniversitesi’nin son iki ayda beş şirkete dağıttığı toplam 11 milyonluk ihalelerin içeriği gün yüzüne çıkmaya başladı.
Adı geçen yıl ortaya çıkan kişisel veri skandalına karışan ve geçtiğimiz yıl Boğaziçi Güney Meydan’da iftar düzenleyen Elif Özbayram’ın KCA isimli şirketine verilen ihale kapsamında personele e-postayla yetenek testi yollandı.
Teste başlamadan önce istenen veri paylaşım izninde “FlowQ Yetenek Yönetim Sistemleri A.Ş.’nin sistemlerinde bulunan özgeçmiş, psikometrik ölçümleme, kariyer bilgisi vb. profesyonel yaşantıma ait kişisel verilerimin KCA Danışmanlık’la paylaşılmasını kabul ediyorum” yazıyordu.
Üniversitede geçtiğimiz yıl patlak veren veri güvenliği skandalıyla ilgili ‘kayyım rektör’ Naci İnci, bir soru önergesine verdiği yanıtta, sistemlerin yönetici şifrelerinin üniversite personeli dışında kimsede bulunmadığını iddia etmişti.
Adrese teslim ihale
Boğaziçi Üniversitesi nisan ve mayısta beş ihale düzenlemiş, ihalelerin sonucunda beş şirketin kasasına 11 milyon TL girmişti. Bunlardan dikkat çekici olanı pazarlık usulü yapılan ‘Eğitim İhtiyaç Analizi Ve Yetenek Yönetimi Hizmet Alımı İşi’ydi. 1 milyon 405 bir liralık ihaleye tek katılımcısı ve kazananı KCA Danışmanlık’tı.
İhalenin düzenlediği yasa maddesine göre idareler yıllık olarak belirlenen eşik değerlere göre pazarlık usulü ihalelere çıkabiliyor. 2023 için belirlenen eşik değer 1 milyon 439 bin lira.
23 Haziran’a kadar doldurulması gerekiyor
KCA Danışmanlık ihale doğrultusunda çalışmaya başlamadan önce Boğaziçi Üniversitesi Personel Daire başkanlığı tarafından idari personele duyuru yollandı.
Duyuruda, personelin ‘kariyer hedeflerinin belirlenmesi, eğitime ihtiyaç duydukları alanların tespiti, pozisyon bazlı eğitim alanlarının belirlenmesi ve eğitim ihtiyaç analizi’ için test çalışması hazırlandığı belirtildi. Duyuruda testin en geç 23 Haziran’a kadar ‘gerçekçi ve tutarlı yanıtlarla’ doldurulması gerektiği belirtildi.
Duyurudan sonra bahsedilen test personele yollandı, ancak bu aşamada FlowQ isimli bir yetenek analiz uygulaması şirketi ortaya çıktı. İhaleyi alan firmanın yetkilendirdiği FlowQ şirketinin yolladığı testin yapılabilmesi için personelin kullanıcı sözleşmesini imzalaması gerekiyordu.
Görsel ve işitsel veri toplayacaklar
Sözleşmede, kişisel verilerin işlenebileceği, saklanabileceği, yurt içinde veya yurt dışında herhangi bir yere aktarılabileceği belirtildi. Bunun dışında verilerin nasıl elde edildiği de anlatıldı.
Buna göre personelin sözleşmeyi onaylanması halinde FlowQ şirketi, ‘bazı testler esnasında testi yapan kişinin kim olduğunu ve yanında başka birinin bulunup bulunmadığını anlamak’ için kamera kullanımına da izin vermiş olacak.
Sözleşmeye göre şirket, bu izinle görsel ve işitsel verileri toplarken bilgisayar, telefon ve diğer cihazların işletim sistemi ve tarayıcı versiyonuyla IP adresine de erişebilecek.
Ödev sitelerinden kopyalanmış
Şirketin internet sitesinde örnek yetenek sorularına da yer verilmiş. Soruları internette araştırdığımızda ödev sitelerinden kopyalandıkları anlaşılıyor. Söz konusu testle personelin hangi yeteneğinin ölçüleceği, ölçme sonucunda personelle ilgili nasıl bir tasarrufta bulunulacağı bilinmiyor.
‘Açık rıza olmadan veri aktarılamaz’
Eğitim Sen Boğaziçi Üniversitesi İşyeri Temsilciliği, Diken’e açıklamasında söz konusu görüntülü ve işitsel testin Kişisel Verilerin Korunması Kanunu’nda belirlenen ölçülülük ilkesine aykırı olduğunu belirtti ve şöyle devam etti:
“Erişim sağlanacak bilgisayarın personelin kişisel bilgisayarı olması halinde erişimin açık olması beraberinde başkaca ihlallere sebebiyet verebileceğinden kurumun bu konuda açıklayıcı ve yol gösterici yöntemler de sunması gerekmektedir. Kurumun idaresinde saklaması gerektiği verilerin FlowQ Yetenek Yönetim Sistemleri A.Ş.’ye aktarılması söz konusu ise öncelikle her bir veri sorumlusundan açık rıza olmaksızın aktarılamaz. Ayrıca kabul edilmemesi halinde teste devam edilmemesi durumu söz konusu ise burada iradenin sayılmadığı göz önünde bulundurulmalıdır.”