Kurucu
July 15, 2026
16 min read
Öğrenme yönetim sistemlerinden (LMS) elde edilen verilerin performans değerlendirmesinde kullanılması kategorik olarak yasak değildir. Asıl mesele, “eğitim tamamlama takibi” ile “öğrenme davranışını performans skoruna çevirmek” arasındaki hukukî farktır: ilkinde dar amaç ve uygun dayanak çoğu zaman savunulabilir; ikincisinde amaç kayması, ölçülülük ihlali, otomatik karar riski ve delil geçersizliği devreye girer.
Planlı uzaktan eğitim, kriz anında eldeki imkânlarla eğitimi sürdürme çabası olan “acil uzaktan eğitim”den farklı olarak yaşam boyu öğrenme çerçevesinde sistematik etkinliklerle yürütülür. Üniversite UZEM’leri ve kurumsal İK birimleri bu süreci Moodle, Canvas, SAP SuccessFactors Learning gibi platformlar üzerinden yönetir. Aynı teknik altyapı hem öğrenci derslerini hem de personelin uyum, iş güvenliği veya etik eğitimlerini taşıyabilir. Sorun, platformun eğitim yönetimi aracı olmaktan çıkıp çalışanın veya personelin davranışsal profilini görünmez biçimde üretmesinde başlar.
“Sessiz gözetim” (stealth monitoring), çalışanın tam olarak fark edemediği arka plan kayıtlarıyla öğrenme akışının izlenmesini ifade eder. “Atanan eğitimi kaç dakikada bitirdi?”, “Hangi modülde duraksadı?”, “Etik senaryoda hangi şıkkı seçti?” gibi veriler; terfi, prim, disiplin veya fesih gibi özlük sonuçlarına köprü kurulduğunda hukukî tartışma kaçınılmaz hâle gelir. İşverenin veya kurumun sistem üzerindeki mülkiyet hakkı, elde edilen kayıtlar üzerinde sınırsız tasarruf yetkisi doğurmaz; zira bu kayıtlar çoğu zaman doğrudan kişisel veri, kimi durumlarda özel nitelikli kişisel veri niteliğindedir.
Bu yazı, kurumsal ve üniversite bağlamında LMS verilerinin performans değerlendirmesinde kullanılmasının KVKK, iş hukuku, TBK ve yüksek mahkeme içtihatları ışığındaki sınırlarını; UZEM yöneticileri, hukuk birimleri ve uyum ekipleri için okunabilir bir derleme olarak sunmaktadır.
LMS’in ürettiği her kayıt aynı hukukî ağırlığa sahip değildir. Tamamlama ve sertifikasyon verisi ile tıklama derinliği, sayfada kalma süresi veya algoritmik etiket arasındaki ayrım, uyum programının omurgasını oluşturur.
Sessiz gözetim, görünür kamera veya kart basma sistemlerinden farklı olarak çalışanın sistemle kurduğu her etkileşimin arka planda, ayrıntılı ve sürekli kayda alınmasıdır. Kurumsal LMS’lerde bu, analitik modüllerin varsayılan açık kalması, davranışsal skorların İK sistemlerine otomatik aktarılması veya çalışana açıkça duyurulmamış “öğrenme profili” üretilmesi biçiminde görünür.
Buna karşılık zorunlu eğitimin tamamlanıp tamamlanmadığının kontrol edilmesi, sınav geçme-kalma bilgisinin tutulması veya denetim için sertifika kaydının saklanması — uygun aydınlatma ve amaç sınırlamasıyla — çoğu durumda farklı bir hukukî kategoriye girer. Mesele “LMS verisi toplanır mı?” sorusu değil; hangi veri, hangi amaçla, hangi dayanakla ve ne kadar görünür biçimde işlenir sorusudur.
Üniversite UZEM’leri açısından ek bir uyarı gerekir: Öğrenci verisi ile personel/çalışan verisi aynı platformda barındırılsa bile iki farklı veri süjesine tabidir. Öğrenci analitiği ile personel performans analitiğinin tek veri havuzunda karıştırılması, hem KVKK hem kurumsal yönetişim bakımından ciddi risk doğurur.
Moodle kurs ve aktivite logları; Canvas “page view” ve “participation” analitiği; SAP SuccessFactors Learning tamamlama statüsü ve mastery score kayıtları — hepsi eğitim yönetimi için işlevseldir. Ancak Canvas’ın kendi dokümantasyonunda page view verisinin yalnızca yaklaşık bir faaliyet göstergesi olduğu, mutlak ölçüt sayılmaması gerektiği belirtilir. Bu teknik sınır, hukukî değerlendirmede de geçerlidir: LMS metriği, iş performansının güvenilir vekili sayılamaz.
LMS verileri risk düzeyine göre dört katmanda okunmalıdır:
Uyum (düşük–orta risk): Tamamlama, sertifika, geç/kal, atama tarihi. Tipik amaç yasal veya kurumsal yükümlülüğün yerine getirilmesidir.
Etkileşim (orta risk): Oturum süresi, modül erişimi, giriş-çıkış logu. Tipik amaç eğitim yönetimi ve hatırlatmadır.
Davranışsal (yüksek risk): Sayfada kalma süresi (dwell time), tıklama derinliği, geç saat erişim. Tipik amaç performans skoru veya “aktiflik” ölçümüdür.
Çıkarımsal (çok yüksek risk): “Etik risk”, “odak sorunu”, “liderlik potansiyeli düşük” gibi etiketler. Tipik amaç terfi, disiplin veya fesih kararına girdi üretmektir.
AİHM içtihadında yerleşen trafik / içerik / çıkarım ayrımı bu katmanlaşmaya paralel okunmalıdır. Sisteme giriş yapılıp yapılmadığı trafik verisidir; modül içindeki tereddüt süresi veya hangi şıkkın işaretlendiği içerik ve davranış verisidir; algoritmanın bunlardan ürettiği etiket ise çıkarımsal veridir. Trafik verisi dar amaçla işlenebilir; içerik ve çıkarım verisi performans kararına bağlandığında ölçülülük testi çok daha sıkı uygulanır.
Türk hukukunda ilk eşik, LMS kaydının kişisel veri sayılıp sayılmadığı tartışması değildir; neredeyse daima kişisel veri kabul edilir. “Sistem bizim” savunması, KVKK m.4’teki amaç sınırlaması, ölçülülük ve aydınlatma yükümlülüklerini ortadan kaldırmaz.
6698 sayılı Kişisel Verilerin Koruma Kanunu (KVKK), belirli veya belirlenebilir kişiye ilişkin her türlü bilgiyi kişisel veri sayar. Kullanıcı kimliğiyle eşleştirilen tıklama kayıtları, oturum süreleri, sınav sonuçları, tamamlama bilgileri ve IP/cihaz türü gibi meta-veriler bu tanım içindedir. KVKK m.4; hukuka uygunluk, dürüstlük, belirli-açık-meşru amaç, sınırlılık-ölçülülük ve gerekli süre kadar muhafaza ilkelerini emredici biçimde düzenler.
İş Kanunu m.75, işverenin işçi hakkında edindiği bilgileri dürüstlük kurallarına ve hukuka uygun kullanmasını; gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamasını öngörür. TBK m.417 ise işverenin işçinin kişiliğini koruma borcunu açıkça düzenler. Bu hükümler birlikte okunduğunda LMS verilerinin salt elde edilmiş olması, onları sınırsız değerlendirme verisine dönüştürmez.
İşverenler çoğu zaman LMS girişlerine “Aydınlatma ve Açık Rıza Metni” yerleştirir. Oysa işçi-işveren ilişkisi ekonomik ve fiilî bağımlılık içerir; zorunlu eğitimi tamamlamak için platforma girmek zorunda kalan çalışandan alınan rızanın “özgür iradeyle” açıklanıp açıklanmadığı tartışmalıdır. KVKK Kurulu’nun 2026/921 sayılı ilke kararında da iş ilişkisindeki güç dengesizliğinin açık rıza konusunda ciddi tereddüt doğurduğu ifade edilmiştir. AB’deki WP29/EDPB görüşleri de aynı çizgidedir: istihdam bağlamında rıza çoğu zaman geçerli dayanak sayılmaz.
Bu nedenle LMS verilerinde temel dayanak, KVKK m.5/2 kapsamında sözleşmenin ifası, hukuki yükümlülük ve meşru menfaat olmalıdır. Zorunlu mevzuat eğitimlerinin atanması, tamamlanma bilgisinin tutulması ve denetime hazır saklanması çoğu durumda hukuki yükümlülük veya sözleşmenin ifasıyla ilişkilendirilebilir. Meşru menfaat, eğitim etkinliğinin izlenmesi veya uyum eğitimlerinin eksik kalmasının önlenmesi için gündeme gelebilir; ancak temel haklara zarar vermeme ve ölçülülük testini geçmesi gerekir.
Meşru menfaat, her veri işleme faaliyetini meşrulaştıran açık bir çek değildir. KVKK Kurulu’nun 2023/789 sayılı kararında çalışan ekranlarının sürekli izlenmesinin özel hayatın gizliliğine müdahale oluşturabileceği; 2024/1512 sayılı kararında ise bilgisayara yüklenen “aktiflik izleme” yazılımının meşru menfaat istisnasına dayanamayacağı belirtilmiştir. LMS üzerinde her tıklama, bekleme süresi ve davranış örüntüsünün analiz edilmesi bu kararlar ışığında “aktiflik izleme” niteliğindedir ve performans skorlaması için zayıf bir dayanaktır.
Dar ve amaca yakın veriler — tamamlama, geçme-kalma, zorunlu sertifikasyon — daha savunulabilir; tıklama yoğunluğu, sayfada kalma süresi veya gece geç erişim gibi davranışsal izler performans kararı için riskli dayanaklardır.
Bu çerçevede öne çıkan hükümler şu sonuçları doğurur:
KVKK m.4: Amaç belirli, açık ve meşru olmalı; veri ölçülü işlenmelidir.
KVKK m.5: Rıza dışında kanuni dayanak aranmalıdır.
KVKK m.10–12: Aydınlatma ve güvenlik tedbirleri zorunludur.
KVKK m.11/g: Münhasıran otomatik analize itiraz hakkı tanınır.
İş Kanunu m.75: Özlük dosyası sınırsız kullanım hakkı doğurmaz.
TBK m.417: Kişilik koruma ve dürüst işyeri düzeni borcunu emreder.
KVKK m.6 kapsamında sağlık, biyometrik veri, siyasi düşünce, felsefi inanç gibi veriler özel nitelikli kişisel veridir. 2024 değişikliğiyle m.6 rejimi genişlemiş; ancak bu, sınırsız veri işleme anlamına gelmemektedir.
Kurumsal “İşyeri Etiği”, “Ayrımcılıkla Mücadele” veya “Cinsel Tacizin Önlenmesi” gibi interaktif senaryo eğitimlerinde çalışanın seçtiği şıkkın İK’ya “riskli profil” olarak raporlanması; dolaylı biçimde felsefi inanç, psikolojik durum veya sağlık verisi işlenmesi riski taşır. Örneğin ihbarcılık (whistleblowing) senaryosunda kurum politikasıyla tam uyuşmayan ancak çalışanın vicdani tercihine uygun bir şıkkın işaretlenmesi ve bunun performans dosyasına yansıması, eğitim sürecinin pedagojik güvenliğini zedelerken veri hukuku açısından da ağır risk doğurur. Biyometrik sınav gözetimi (yüz tanıma, proctoring) söz konusuysa eşik daha da yükselir; KVKK Kurulu’nun 2022/797 sayılı kararında da alternatif yöntemlerin değerlendirilmesi öne çıkmıştır. Üniversite UZEM’lerinde personel eğitimleri ile öğrenci sınav güvenliği farklı amaçlarla yürütülse bile, aynı platformda toplanan biyometrik veya davranışsal verilerin çapraz kullanımı özellikle sakıncalıdır.
Anayasa Mahkemesi, kurumsal e-posta denetimi kararında (E.Ü., B. No: 2016/13010, 17.09.2020) işveren denetim yetkisinin sınırsız olmadığını vurgulamış; önceden açık bilgilendirme, meşru gerekçe, daha az müdahaleci alternatiflerin bulunup bulunmadığı ve müdahalenin kapsamının değerlendirilmesi gerektiğini belirtmiştir. Bu mantık LMS’ye doğrudan uygulanabilir:
Önceden bildirim: Çalışan hangi verilerin, hangi amaçla toplandığını bilmeli.
Daha az müdahaleci araç: Tamamlama kaydı yeterliyken davranışsal analitik zorunlu değilse ikincisi tercih edilmemeli.
Kapsam: İçerik/davranış verisi trafik verisinden dar tutulmalı.
Sonucun ağırlığı: Terfi veya fesih gibi ağır sonuçlar, müdahalenin ölçülülük testini sıkılaştırır.
Avrupa İnsan Hakları Mahkemesi Bărbulescu v. Romania kararında önceden bildirim ve denge testi; López Ribalda v. Spain kararında ise gizli gözetimin yalnızca hedefli, kısa süreli ve kuvvetli gerekçeyle istisnai kabul edildiği vurgulanmıştır. LMS bağlamındaki ders nettir: gizli ve sürekli davranışsal puanlama kural değil, dar istisnadır.
Veri koruma kuralları ihlal edildiğinde risk idari yaptırımla sınırlı kalmayabilir. LMS metriği performans veya fesih gerekçesi yapılacaksa ölçütün önceden tebliğ edilmesi, düşüklüğün sürekli ve objektif biçimde ispatlanması gerekir; sessizce biriken kayıtlar hem delil hem geçerli fesih nedeni olmayabilir.
İş Kanunu m.75, özlük dosyası tutulmasına imkân tanır; ancak edinilen bilgilerin dürüstlük kurallarına uygun kullanılması zorunludur. TBK m.417, işverene işçinin kişiliğini koruma ve psikolojik tacizi önleme yükümlülüğü yükler.
Öğrenme süreci doğası gereği hata yapmaya, duraksamaya ve gelişime açıktır. Kurumun sunduğu LMS platformunun arka planda performans dosyası tuttuğu algısı, çalışanlarda güven kaybı ve öğrenme kaygısı yaratır. Eğitim alanı, yargılanma korkusu olmadan deneme-yanılma imkânı sunan güvenli bir bölge olmalıdır; sistematik ve görünmez puanlama TBK m.417’deki dürüst işyeri düzeni borcuna aykırıdır.
6331 sayılı İş Sağlığı ve Güvenliği Kanunu çerçevesinde işveren, çalışanın yalnızca bedensel değil psikolojik sağlığını da korumakla yükümlüdür. Sürekli izlenme stresi (surveillance stress), özellikle performans dönemlerinde LMS analitiğinin geriye dönük taranması halinde mesleki risk faktörü olarak değerlendirilebilir. Ayrıca LMS algoritmaları yaş, teknolojik okuryazarlık veya nöro-çeşitlilik gibi faktörleri gözetmeden standart metrikler üretebilir; aynı departmandaki çalışanlara farklı muamele yapılması eşit davranma borcunu (TMK m.2 dürüstlük kuralı ışığında) zedeleyebilir.
İş Kanunu m.18 uyarınca otuz veya daha fazla işçi çalıştıran işyerlerinde, en az altı aylık kıdemi olan işçinin belirsiz süreli sözleşmesi ancak geçerli sebebe dayanılarak feshedilebilir. Performans ve verim düşüklüğü yeterlilikten kaynaklanan geçerli nedenler arasındadır; ancak Yargıtay uygulamasında salt verim düşüklüğü iddiası yeterli değildir.
Birincisi, performans ölçütlerinin objektif, gerçekçi ve makul olması; işçiye önceden bildirilmiş (tebliğ edilmiş) olması gerekir. Çalışanın LMS’te bir dersi kaç dakikada bitirdiği veya sınav notu, sene başında veya eğitimden önce objektif kural olarak ilan edilmediyse fesih gerekçesi yapılamaz. Sessiz gözetimle arka planda biriktirilen veriler bu testi geçemez.
İkincisi, düşüklüğün sürekli olması gerekir. Yoğun bir iş gününün ardından girilen bir eğitim modülünde başarısızlık, tek başına zayıf performans etiketi için yeterli değildir.
Üçüncüsü, işveren yüksek performans beklentisinde eğitim ve iyileştirme olanakları sağladığını kanıtlamalıdır. LMS’in kendisi eğitim sağlama aracıdır; eğitimde zorlanan çalışanı aynı verilerle doğrudan işten çıkarmak hukukî mantıkla çelişir. Fesih ultima ratio (son çare) olmalı; m.19 uyarınca savunma hakkı tanınmalıdır. Algoritmanın ürettiği rapor tek başına fesih belgesi olamaz.
Yargıtay’ın güncel içtihadı, işyeri gözetiminde belirgin biçimde sıkılaşmıştır. Yargıtay 9. Hukuk Dairesi (2024/9802 E., 2025/3341 K.) çalışan ekranlarının sürekli izlenmesini özel hayatın gizliliğinin ihlali saymış; bu yolla elde edilen verilerin disiplin cezalarına dayanak yapılamayacağını hükmetmiştir. Yargıtay 22. Hukuk Dairesi (2024/6534 E., 2025/2145 K.) önceden rıza veya uygun aydınlatma olmaksızın iletişim trafiğinin denetlenmesinde meşru menfaat savunmasını geçersiz bulmuştur. Dairenin önceki kararlarında bilgisayara gizlice kurulan klavye kaydedici (keylogger) ve arka plan takip yazılımları da hukuka aykırı bulunarak elde edilen veriler geçersiz sayılmıştır. LMS analitik modüllerinin çalışana açıkça duyurulmadan etkinleştirilmesi, bu içtihat çizgisinde değerlendirilmeye açıktır.
HMK m.189/2 emredici hükmüne göre hukuka aykırı yollarla elde edilen deliller mahkemelerce dikkate alınamaz. Çalışana LMS davranış verilerinin performans değerlendirmesinde kullanılacağı önceden açık ve anlaşılır biçimde bildirilmeden arka planda toplanan kayıtlar, iş uyuşmazlığında “hukuka aykırı delil” muamelesi görebilir. Bu, feshin haksız sayılması ve işe iade-tazminat sonuçları doğurabilir.
Uluslararası düzenlemeler farklı ayrıntılar taşısa da ortak paydada buluşur: işyeri gözetiminde şeffaflık varsayılan, gizli ve sürekli izleme ise dar istisna kabul edilir.
GDPR m.22, yalnızca otomatik veri işlemeye (profilleme dâhil) dayalı ve kişi hakkında hukukî veya benzer derecede önemli sonuç doğuran kararlara karşı koruma sağlar. LMS algoritmasının eğitim hızı ve etkileşim verilerinden “terfi alamaz” profili üretmesi ve bunun insan müdahalesi olmaksızın İK sistemine aktarılması GDPR m.22 ihlali riski taşır. GDPR m.35 uyarınca yüksek riskli işlemlerde veri koruma etki değerlendirmesi (DPIA) gerekir; sistematik çalışan izleme bu kapsamdadır.
Karşılaştırmalı düzlemde ortak eğilim şeffaflığın varsayılan, gizli gözetimin ise istisna olmasıdır:
AB (GDPR): Amaç sınırlaması, veri minimizasyonu ve DPIA öne çıkar; m.22 otomatik kararlara sınır getirir.
Birleşik Krallık (ICO): Şeffaf gözetim varsayılandır; gizli izleme dar ve gerekçeli tutulmalıdır.
Avustralya (NSW): Gözetimden en az 14 gün önce yazılı bildirim gerekir; gizli izleme ceza hukuku kapsamına girebilir.
ABD (seçili eyaletler): Connecticut, Delaware ve New York’ta elektronik izleme bildirimi aranır; EEOC ve NLRB, algoritmik yönetimde ayrımcılık ve sendikal haklar bakımından uyarıda bulunur.
Kanada (PIPEDA): Anlamlı bildirim (meaningful notice) zorunludur; Ontario’da 25+ çalışanı olan işverenler yazılı elektronik gözetim politikası yayımlamalıdır.
Türkiye’de KVKK revizyon çalışmalarında — henüz kesinleşmiş mevzuat değil, taslak / beklenti düzeyinde — dijital performans izleme için veri etki analizi (VEA), önceden bilgilendirme, çalışan temsilciliği ve sınırlı saklama süreleri gündeme gelmektedir. Kurumların bugünden üç halkalı uyum modeli ve etki değerlendirme süreçlerini kurması, olası yasal değişikliklere hazırlık anlamında isabetli olacaktır.
Kurumsal uyumda en savunulabilir yaklaşım, LMS verilerini amaca göre üç halkaya ayırmaktır. Bu ayrım, KVKK’nın ölçülülük ilkesi ile AYM’nin “en az müdahaleci araç” testini doğrudan operasyonel hâle getirir.
Atama, tamamlama, geçme-kalma, sertifika tarihi. Bu veriler hukuki yükümlülük, sözleşmenin ifası veya denetim ihtiyacıyla daha güçlü zemine sahiptir. Performans kararlarında bile — önceden tebliğ edilmiş objektif ölçütlerle — sınırlı ve belgelemeli kullanım mümkündür.
İçerik kalitesinin iyileştirilmesi, modül zorluk analizi, genel tamamlama oranları. Mümkün olduğu ölçüde anonim veya toplulaştırılmış işlenmeli; kişi bazlı profil çıkarmaya dönüştürülmemelidir.
Tıklama paterni, ekranda kalma süresi, çalışma ritmi, geç saat erişim, cihaz kullanımı. En sorunlu halkadır. Terfi, ücret, disiplin ve fesihte belirleyici girdi yapılmamalı; yapılacaksa açık politika, etki değerlendirmesi, insan incelemesi ve itiraz mekanizması zorunludur.
Modelin işleyişi: LMS verisi oluşur → veri türü sınıflandırılır → amaç ve hukuki dayanak testi uygulanır → aydınlatma ve erişim yetkileri tanımlanır → insan gözetimli değerlendirme yapılır → karar kaydı ve itiraz kanalı açılır → saklama süresi dolunca silme veya anonimleştirme gerçekleştirilir.
KOBİ ve orta ölçekli kurumlar için analitik modüller varsayılan kapalı tutulmalı; yalnızca tamamlama, son tarih, başarı notu ve sertifika üretimi gibi minimal veri setiyle ilerlenmelidir. Büyük kurumlar ve üniversiteler için L&D–HR–Hukuk–Bilgi Güvenliği ortak komitesi, algoritmik skorlama sınırı ve periyodik model denetimi gerekir.
Aşağıdaki özet, tipik risk alanlarını ve önleyici tedbirleri göstermektedir:
Amaç kayması: KVKK ihlali ve delilin tartışmalı hâle gelmesi riski taşır. Önleme: eğitim yönetimi ile performans yönetimini veri seti bazında ayırın.
Aydınlatmasız izleme: İdari yaptırım ve hak ihlali iddiasına yol açabilir. Önleme: işe girişte ve LMS ilk kullanımında katmanlı aydınlatma yapın.
Orantısız veri toplama: Ölçülülük ihlali doğurur. Önleme: clickstream yerine toplulaştırılmış analiz kullanın; kişi bazlı analitiği istisnai tutun.
Otomatik karar: İtiraz ve adil işlem riski yaratır. Önleme: insan incelemesini zorunlu kılın; skora açıklama ve itiraz kanalı tanımlayın.
Gereğinden uzun saklama: KVKK ve TCK m.138 riski taşır. Önleme: ham loglar ile zorunlu eğitim kayıtlarını ayırın; silme takvimi uygulayın.
Instructure (Canvas), Moodle ve SAP gibi sağlayıcıların tipik sözleşme mimarisi kurumu veri sorumlusu, sağlayıcıyı veri işleyen konumlandırır. Data Processing Agreement (DPA), alt işleyenler ve yurt dışı aktarım güvenceleri sözleşmenin parçasıdır. Ancak SaaS sözleşmesi kurumu sorumluluktan kurtarmaz: hukuki dayanağı kurmak, aydınlatmayı yapmak, saklama süresini belirlemek ve ilgili kişi haklarını yönetmek veri sorumlusuna düşer.
Pratikte güvenli yol; minimal veri toplama, açık politika, üç halka ayrımı, kısa saklama süresi, insan denetimi ve itiraz mekanizmasından geçer. Aşağıdaki sorular bu çerçeveyi kurum içi denetimde kullanılabilir hâle getirir.
YÖKAK uzaktan eğitim kalite güvencesi çerçevesinde etik, bilgi güvenliği ve izleme/iyileştirme mekanizmaları kurumsal sorumluluk olarak vurgulanmaktadır. UZEM yöneticileri bu çerçeveyi, “eğitim analitiği” ile “personel performans gözetimi” arasındaki sınırı kurumsal politika düzeyinde netleştirerek okumalıdır. Öğrenci başarı analitiği pedagojik amaçla sınırlı tutulurken, personel LMS verisinin İK metriklerine sessizce aktarılması hem kalite güvencesi hem veri koruma açısından uyumsuzluk doğurur.
Aşağıdaki liste, UZEM ve kurumsal LMS yapılandırmasında “geç / kaldır / değiştir” soruları olarak kullanılabilir:
Davranışsal analitik modüller varsayılan olarak kapalı mı?
Öğrenci ve personel veri setleri teknik ve sözleşmesel olarak ayrılmış mı?
Aydınlatmada LMS verilerinin performans/disiplin kararlarında tek başına kullanılmayacağı açıkça yazılı mı?
Otomatik skor veya etiket, insan incelemesi olmaksızın İK kararına bağlanmıyor mu?
Performans ölçütü olarak kullanılacak LMS metrikleri çalışana önceden tebliğ edildi mi?
Ham log kayıtları ile hukuken gerekli eğitim tamamlama kayıtları için ayrı saklama süreleri tanımlı mı?
Yurt dışı sunuculu SaaS için aktarım güvenceleri ve DPA tamamlanmış mı?
Biyometrik proctoring için alternatif yöntemler değerlendirilip belgelendirildi mi?
Etik/uyum senaryo eğitimlerinden elde edilen yanıtlar performans profiline aktarılmıyor mu?
Veri envanteri, silme takvimi ve erişim yetki matrisi güncel mi?
Yüksek riskli işlemler için etki değerlendirmesi (VEA/DPIA benzeri) yapıldı mı?
Çalışan veya öğrenci temsilcileri gözetim/analitik politikası hakkında bilgilendirildi mi?
Kurum, LMS verilerini üç kategoriye ayırır: zorunlu uyum verileri; anonim/toplulaştırılmış öğrenme tasarımı verileri; istisnai davranışsal analitik veriler. Davranışsal analitik, açık politika ve hukuk birimi onayı olmaksızın kişi bazlı işlenmez. “Tıklama sayısı”, “sayfada kalma süresi” veya “gece geç giriş” gibi dolaylı göstergeler tek başına olumsuz istihdam sonucuna dayanak yapılamaz. Hiçbir çalışan hakkında münhasıran otomatik sistem çıktısına dayanılarak terfi, ücret, disiplin veya fesih kararı verilmez. Ham loglar kısa süre tutulur; zorunlu eğitim kayıtları yalnızca gerekli yasal ve operasyonel süre kadar saklanır.
Kurumsal ve üniversite LMS’lerinden elde edilen verilerin performans değerlendirmesinde kullanılması hukuken otomatik olarak yasaklanmış değildir; ancak bu kullanımın meşruiyeti, verinin türüne, amacına, dayanağına ve şeffaflığına sıkı biçimde bağlıdır. Yazının ana hatları şöyle toparlanabilir:
Tamamlama takibi ile davranışsal skorlama ayrı hukukî rejimlerdir. Birincisi dar amaç ve uygun dayanakla savunulabilir; ikincisi amaç kayması ve ölçülülük ihlali riski taşır.
İş ilişkisinde rıza ana dayanak olamaz. Meşru menfaat dengeleme testinden geçmeli; aktiflik izleme niteliğindeki LMS analitiği bu testi çoğu zaman geçemez.
Performans, disiplin ve fesihte önceden bildirim şarttır. Sessizce biriken LMS verisi geçerli fesih nedeni ve delil olmayabilir (HMK m.189/2).
Otomatik profilleme insan denetimi ve itiraz kanalı olmadan kullanılamaz (KVKK m.11/g; GDPR m.22).
UZEM ve kurumlar için güvenli formül: minimal veri + açık politika + üç halka ayrımı + kısa saklama + insan denetimi + itiraz mekanizması.
LMS, öncelikle eğitimi yönetmek içindir; performansı gizlice ölçmek için değil. Alternatif ve daha az müdahaleci yöntemler varken ham olay verisini personel değerlendirme sistemine akıtmak, Türk hukukunda yüksek risk taşır. Eğitim verisinin İK verisine dönüşümü “sessiz” ve “gizli” karakterinden sıyrılıp şeffaflık, ölçülülük ve amaca bağlılık ilkeleriyle yeniden kurgulanmadıkça, elde edilen büyük veri telafisi güç tazminatlar ve idari yaptırımlara dönüşebilir.
6698 sayılı Kişisel Verilerin Koruma Kanunu (KVKK)
4857 sayılı İş Kanunu (m.75, m.18, m.19)
6098 sayılı Türk Borçlar Kanunu (m.417)
6100 sayılı Hukuk Muhakemeleri Kanunu (m.189/2)
5237 sayılı Türk Ceza Kanunu (m.134-138)
KVKK Kurulu, 2020/404 sayılı karar
KVKK Kurulu, 2022/797 sayılı karar
KVKK Kurulu, 2023/789 sayılı karar
KVKK Kurulu, 2024/1512 sayılı karar
KVKK Kurulu, 2026/921 sayılı ilke kararı
Anayasa Mahkemesi, E.Ü. başvurusu, B. No: 2016/13010, 17.09.2020
AİHM, Bărbulescu v. Romania, B. No: 61496/08, 5 Eylül 2017
AİHM, López Ribalda v. Spain
GDPR (Regulation (EU) 2016/679), m.5, m.6, m.13, m.22, m.35
WP29 Opinion 2/2017 (İşyerinde veri işleme)
Yargıtay 9. Hukuk Dairesi, 2024/9802 E., 2025/3341 K.
Yargıtay 22. Hukuk Dairesi, 2024/6534 E., 2025/2145 K.
KVKK, Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi
KVKK, Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber
Moodle Logs/Logging; Canvas Analytics dokümantasyonu (Instructure)
Bilişim hukuku, UZEM uyumu ve KVKK konularında hukuki danışmanlık için Genesis Hukuk ile iletişime geçebilirsiniz.