Berrak Su Kodal
Stajyer Avukat
Kişisel Verilerin Korunması Hukuku Ve Çocuklar
I. Giriş
Son yıllarda yaşanan teknolojik gelişmeler günlük hayatımızı derinden etkilemiştir ve her geçen gün de etkilemeye devam etmektedir. Söz konusu etkileşim yaşamın her alanına yayılmakta ve büyük değişimlere sebebiyet vermektedir. Ortaya çıkan değişimler kimi zaman büyük kolaylıklar yaratmakta, kimi zaman ise yanıtlanması gereken yeni sorular ortaya çıkarmaktadır. Uluslararası düzeyde ortaya çıkmış olan en büyük sorulardan biri ise dijitalleşme ile ortaya çıkan büyük veri akışları sırasında gerçek kişilere ait kişisel verilerin güvenliğinin nasıl sağlanacağı olmuştur.
Bu soruya yanıt olarak Avrupa’da 95/46/AT sayılı Avrupa Birliği Direktifi (“Direktif”) ve ardından 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği (“GDPR”) mevzuatları oluşturulmuştur. GDPR ile kişisel veri koruma hukuku halen gelişimini sürdürmektedir. Türk mevzuatında ise 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu[i] (“KVKK”) ile veri koruma hukuku gelişimini sürdürmektedir.
Süregelen dijitalleşmeden etkilenen en hassas gruplardan biri ise çocuklardır. Hemen her hukuk düzeni tarafından müdahil oldukları her sürece ilişkin özel koruma altına alınan çocuklar, günümüzde dijitalleşmeye ve teknolojiye erişimi en kolay olan, bu nedenle de en büyük risk altında olan gruplardandır. Çocuklar, teknolojik araçlara ve dijital ağlara en az yetişkinler kadar sık ve yaygın erişimleri olan, hatta kimi zaman çok daha çeşitli dijital platformlarda çok daha fazla zaman harcayan çocuklar yaşanan gelişmeler ile karşı karşıya kalan en hassas kitle haline gelmiştir.
II. Gelişme
Günümüzde çocukların kullanmakta olduğu bilgisayar, telefon veya oyun konsolu gibi araçlar en büyük oyun arkadaşı, iletişim ve kendini ifade etme aracı, kütüphanesi konumuna gelmiştir. Kullanılan dijital servislerin odak noktalarından biri haline gelmiş olan, kişisel verilerin elde edilmesi ise; bir uygulamanın açılması, bir oyuna giriş yapılması veya bir web sitesine girilmesi anı ile başlamakta, kullanıcı konumundaki çocukların arkadaşları, bulundukları yerler, nasıl hissettikleri, kaç yaşında oldukları gibi hususlar bu kapsamda kolaylıkla işlenebilmektedir. Bu durum göz önüne alındığında, yetişkinlerden daha hassas bir konumda olan ve korunmaya ihtiyaç duyan çocuklar reklamların, siber saldırıların ve gerçekleşebilecek her türlü veri ihlalinin en kolay hedeflerinden biri haline gelmiştir.
Çocukların sahip oldukları mobil cihazlar çoğu sefer kullanım alanı ile sınırlandırılmamakta ve çocukların yetişkinlerden farklı olmayan bir mobil cihaz kullanımı ortaya çıkmaktadır.
Çocukların zamanlarının büyük çoğunluğu geçirmekte olduğu yerlerden birisi ise eğitim ve öğretim kurumları olan okullardır. Okullar, çok sayıda çocuğa hitap etmekte olan kurumlar olmaları sebebiyle eğitim ve öğretim hayatını kolaylaştırmak için dijitalleşme ve teknolojinin kullanım alanının geniş olduğu kurumlardandır.
Sınıflarda öğretmenin kullanımında olan bilgisayarlar yıllar içerisinde yerini öğrencilerin kullanımı için tahsis edilmekte olan akıllı tahtalara, akıllı tabletlere bırakmıştır. Bunun yanı sıra, ebeveynler ile iletişim kolaylığını sağlamak amacıyla kullanılan uygulamalar ile okulların sınav notları, derslere katılım gibi verileri işlediği online sistemlerin de ortaya çıkardığı riskler için çoğu zaman gerekli teknik tedbirler alınmamaktadır.
Türkiye’de kişisel veri koruma hukuku alanında düzenlemeler getiren KVKK, içerdiği hükümler itibariyle ergin kişi[ii] ve çocuklar[iii] için ayrı bir düzenleme öngörmemekte, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı öngörmüştür.[iv] Buradan hareketle, Türk Medeni Kanunu (“TMK”) uyarınca hak süjesi olarak belirtilmiş gerçek kişi tanımından[v] yola çıkıldığında, KVKK’nın getirdiği yasal korumanın ergin kişiler kadar çocuklar için de aynı şekilde hüküm doğuracağı sonucuna varılacaktır.
Bu nedenle, kişisel veri işleme halinde KVKK’da aranan açık rıza ve aydınlatma yükümlülüğünün muhatabının çocuğunun velisi ya da vasisi olacağını söylemek yanlış olmayacaktır. Bu noktada çocuğun rıza beyanının önemsiz olduğu şeklinde bir sonuç çıkarılmamalıdır. Zira aşağıda değinileceği üzere Avrupa ve Amerika’daki regülasyonlara göz atıldığında çocuğun kendi kişisel verileri üzerinde tasarrufta bulunmasına imkân verilmiş olup bu bağlamda ayrıntılı düzenlemeler getirilmiştir.
GDPR veri koruma hukuku alanında daha detaylı düzenlemeler getirmiş olup 8. Maddesi[vi] çocuklara ait kişisel verilerin işlenmesi hallerini ayrı bir madde ile düzenlemiştir. Buna göre, çocuğa ait kişisel verilerin işlenmesi için çocuğun en az 16 yaşında olması aranmış olup belirlenen bu yaştan küçük çocuklar için yasal olarak tayin edilmiş veli ya da vasisinin iznine işaret edilmiştir. Tüzük, AB üyesi devletlerin kendi iç düzenlemeleri ile bu yaşı 13 yaştan az olmayacak şekilde değiştirebileceklerini de belirtmiştir.
Avrupa’daki regülasyonlara benzer şekilde, Amerikan hukukunda da özel bir kanun ile çevrimiçi sistemler dâhilinde işlenen çocuklara ait kişisel veriler hakkında kısıtlayıcı ve sınırlayıcı hükümler getirilmiştir. İlgili Kanun’a göre; 13 yaşından küçük olmamak şartı ile çocuklar kendilerine ait kişisel veriler hakkında tasarrufta bulunma hakkına haiz olup 13 yaşından küçükler için ise velilerinin rızasının alınması şart koşulmuştur.
Birleşmiş Krallık’ta ise veri koruma otoritesi olan ICO tarafından Ocak 2020 içerisinde Yaşa Uygun Dizayn Yasası (Age Appropriate Design Code) yayımlanmıştır. Yasa, çocukları dijital dünyadan çıkarmayı değil ancak bu dijital dünya içerisindeki varlıklarına müdahale etmeden onları korumayı amaçlamakta, bu amaç doğrultusunda da dijital olarak hizmet veren gerçek veya tüzel kişilerin uyum sağlaması gerekli olan, birbiriyle bağlantılı 15 ilke ortaya koymaktadır.
Konu kapsamında, 2015 yılında Hong-Kong merkezli VTech Şirketi’nin veri ihlali sebebiyle geçirdiği soruşturma konu hakkında önemli bir örnek teşkil etmektedir. Şöyle ki; soruşturmaya sebebiyet veren durum “VTech's Kid Connect App” sebebiyle meydana gelmiştir. Bu uygulama vasıtasıyla çocuklar, diğer çocuklar veya ebeveynler ile iletişime geçmektedir. Amerika Birleşik Devletleri Federal Ticaret Komisyonu (FTC) yaptığı araştırma sonucunda bu uygulama kapsamında VTech şirketinin velilerden gerekli izinleri almadığını ve güvenlik tedbirlerini yerine getirmediğini tespit etmiştir. İhlal sebebiyle 650.000 USD cezaya maruz kalan şirketin, karar metnin de anlaşıldığı üzere çocukların kişisel verileri ile ilgili açık ve anlaşılır bir şekilde bilgi vermediği, velilerden gerekli noktalarda izin almadığı ve veri güvenliğini sağlamak için gerekli tedbirleri yerine getirmediği anlaşılmaktadır.
Yakın zamanda verilmiş olan bir diğer dikkat çekici karar ise, Ekim 2019’da ise Norveç Veri Koruma Otoritesi (Datatilsynet) tarafından verilmiştir. Oslo Belediyesi’ne bağlı olan yerel eğitim kurumuna (Education Agency) okul çalışanları, veliler ve öğrenciler arasındaki iletişimi sağlamak amacıyla kullanılmakta olan uygulama nedeniyle 120.000 Euro ceza kesilmiştir. Açıklanan karara göre, kullanılan uygulamaya ilişkin var olan riskler karşısında gereken teknik ve kurumsal tedbirlerin alınmamıştır ve öğrencilere ait kişisel veriler ile sağlık verileri gibi özel nitelikli kişisel verilerin yeterli koruma altında değildir. Bu nedenle yetkisiz kişilerce 63.000’den fazla öğrencinin kişisel verilerine erişim riskinin mevcut olduğu anlaşılmıştır.
III. Sonuç
Kişisel verileri koruma hukuku günümüzde gelişimini sürdüren, hızla değişen ve yeni odak noktaları oluşturan bir alandır. Son dönemlerde ise, dijital dünyanın en önemli kullanıcılarından olan çocuklar, kişisel verilerini koruma hukukuna ilişkin mevzuat düzenlemeler ve kurul kararlarında hassas nokta olarak vurgulanmaktadır. Bu kapsamda, daha detaylı yasal düzenlemeler ve kurul kararları hem Türkiye’de hem uluslararası hukuk düzenlerinde beklenmektedir.
[i] 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 Tarihli ve sayılı Resmi Gazete’de yayımlanmıştır.
[ii] 4721 Sayılı Türk Medeni Kanunu, Md. 11 – “Erginlik on sekiz yaşın doldurulmasıyla başlar.”
[iii] 5395 Sayılı Çocuk Koruma Kanunu, Md.3 (1) a. “Çocuk: Daha erken yaşta ergin olsa bile, on sekiz yaşını doldurmamış kişiyi ifade eder.”
[iv] 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Md. 2- (1) “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.”
[v] 4721 Sayılı Türk Medeni Kanunu, Md. 28- “Kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer”
[vi] Art. 8 GDPR Conditions applicable to child's consent in relation to information society services
