Günümüz Türkiye’sinde ve dünyada, gözlerini teknolojik hayatın içinde açan çocuklar, diğer tüm dijital kullanıcılar gibi ardında kişisel veri içeren dijital ayak izleri bırakmaktadırlar. TÜİK tarafından yapılan “Çocuklarda Bilişim Teknolojileri Kullanım Araştırması” verilerine göre Türkiye’de 6-15 yaş aralığındaki çocukların%82,7’sinin düzenli olarak internet kullandığı belirlenmiştir. İnternetle ve teknolojiyle bu denli iç içe yaşayan çocukların kişisel verilerinin işlenmesi de kaçınılmaz olmaktadır.
Birleşmiş Milletler Çocuk Haklarına Dair Sözleşme’nin 1. maddesi uyarınca çocuğa uygulanabilecek olan kanuna göre daha erken yaşta reşit olma durumu hariç, on sekiz yaşına kadar her insan çocuk sayılır. Ülkemizde ise “çocuk”, hem Çocuk Koruma Kanunu‘nda hem de Türk Ceza Kanunu‘nda, “on sekiz yaşını doldurmamış kişi” olarak tanımlanmaktadır.
Veri sorumlularının, çocuk verileri işlenirken özellikle dikkat etmesi gereken nokta Çocuğun Üstün Yararı ilkesidir. Birleşmiş Milletler Çocuk Haklarına Dair Sözleşmesi’nin 3. maddesi uyarınca kamusal ya da özel sosyal yardım kuruluşları, mahkemeler, idari makamlar veya yasama organları tarafından yapılan ve çocukları ilgilendiren bütün faaliyetlerde, çocuğun yararı temel düşüncedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) çocukların kişisel verilerine ilişkin özel bir düzenleme olmadığından, bu durum uygulama da belirsizliğe ve dolayısıyla da problemlere neden olmaktadır. En sık karşılaşılan problemlerden biri ise, veri ilgilisinin çocuk olması halinde aydınlatma yükümlülüğünün yerine getirilmesi ve açık rıza alınması gereken durumlarda açık rızanın kimden ve nasıl alınacağına ilişkindir. Çocukların kişisel verilerinin işlenmesi hususunda Türk Medeni Kanunu’nun (TMK)velayet hükümlerine bakmak gerekir. Velayet ana ve babanın veya bunlardan birinin, bakım ve korunmalarının sağlanması amacıyla, küçük olan veya kısıtlanan çocukların şahısları ve malvarlıkları üzerinde sahip oldukları hakların tamamıdır. TMK’nın 335. Maddesi uyarınca ergin olmayan çocuk anne ve babasının velayeti altındadır. Yani çoğunlukla ve kural olarak velayet yetkisi anne ve babalarda olduğundan, çocukların fiil ehliyeti gerektiren işlemlerine onay veya icazet verme yetkisi ve onlar adına işlem yapabilme yetkisi de anne ve babalarındadır.
Kişisel Sağlık Verileri Hakkında Yönetmelik”in “Çocukların sağlık verilerine erişim” Başlıklı 8. maddesinde ebeveynlerin çocukların sağlık verilerine ilişkin hüküm uyarınca ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duyulmaksızın e-Nabız üzerinden erişebilir. Ayırt etme gücüne sahip çocuklar, sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabilir.
Kişisel Verileri Koruma Kurul’unun bu konuda vermiş olduğu 11.08.2020 tarih 2020/622 Sayılı Kararı bulunmaktadır. Bu karara göre; on sekiz yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik ilgili kişinin babası tarafından yapılan başvuruda, çocuğun üstün yararı gözetilerek kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde bağlı hak kategorisinde ele alınmasının yerinde olacağı kararı verilmiştir. Karara konu olayda henüz 18 yaşını doldurmamış ilgili kişinin veri sorumlusuna yaptığı başvuruya yanıt verilmemiştir. Bunun üzerine yasal temsilcisi babası Kurul’a şikayet başvurusunda bulunmuştur. Kurul kararında, küçüğün ayırt etme gücüne sahip olup olmamasına göre bir ayrıma giderek Medeni Kanun 11 vd. hükümlerine atıf yapılmıştır.
Kişisel Verileri Koruma Kurulu tarafından yayınlanan Ürün ve Hizmet Geliştirenler Tarafından Dikkat Edilmesi Gerekenler” rehberinde, çocukların verileri işlenirken dikkat edilmesi gereken hususlar belirtilmiştir:
- Ürün ve hizmetlerde çocukların kişisel verilerinin işlenmesinde veri minimizasyonu ilkesine uygun olarak veri işleme faaliyeti/miktarı en az seviyede tutulmalıdır.
- Ürün ve hizmetin hitap edeceği kitle çocuklar ise aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanmalı, gerekirse resim ve görsel efektlerle desteklenen daha anlaşılır, sade ve açık bir dil kullanılmalıdır.
- Mevcut teknoloji göz önünde bulundurularak çocuğun yaşını doğrulayacak sistemler kullanılmalıdır. (Örneğin verilen rızayı kontrol etmek ve yaş doğrulaması yapmak için ancak o yaşlardaki bir çocuğun cevaplayabileceği sorular sorulabilir ve gerekli durumlarda velayet/vesayet hakkı sahiplerinin doğrulanmış iletişim bilgilerine bilgilendirme ve açık rıza onay metinleri gönderilebilir).
- Çocukların verilerinin işlendiği durumlarda, teknik ve idari tedbirlerin en üst seviyede alınmasına yönelik bir yaklaşım benimsenmelidir.
- Çocukların haklarını bilmelerini ve kullanabilmelerini sağlayacak uygun politika ve mekanizmalar geliştirilmelidir.
Çocuklara ait kişisel verilerin işlenmesi, Avrupa Genel Koruma Tüzüğü’nün (GDPR) “Çocuğun Bilgi Toplumu Hizmetlerine İlişkin Rızası Açısından Geçerli Koşullar” başlıklı 8. maddesinde doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerinin işlenmesinin hukuka uygun olduğu belirtilmiştir. Çocuğun 16 yaşından küçük olması halinde ise söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Tüzük, Avrupa Birliği’ne üye devletlerin bu yaş sınırını 13 yaştan küçük olmamak kaydıyla kendi kanunlarında düzenleyebileceklerini de belirtmiştir.
GDPR’ın 8. maddesinde belirtilen bilgi toplumu hizmetleri, genellikle ücret karşılığında ya da talep üzerine, elektronik araçlarla sağlanan herhangi bir hizmet anlamında kullanılmaktadır. Bu kapsamda çocukların kullandığı eğitim, oyun ve sosyal medya uygulamalarının tamamı bilgi toplumu hizmetleri kapsamında ele alınabilir. Veli ya da Vasiden onayın ne şekilde alınabileceğine ilişkin ise açık bir hüküm bulunmamaktadır fakat aynı kanunun 3. paragrafında veri sorumlusunun “mevcut teknolojiyi dikkate alarak rızanın çocuğun veli ya da vasisi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf etmesi gerektiği” söylenmiştir.
6698 sayılı KVKK büyük ölçüde 95/46/EC sayılı AB Veri Koruma Direktifinden iktibas edildiğinden ve söz konusu direktifte çocuklara ilişkin özel bir düzenleme bulunmadığından Kanunumuzda da çocukların kişisel verilerinin korunmasına ilişkin ayrı bir hüküm yoktur. Çocukların kişisel verilerinin işlenmesi büyük önem arz etmekte olduğundan, ülkemiz kişisel verilerin korunması mevzuatında da detaylıca incelenmelidir.
