Dijital Ortamda Çocukların Kişisel Verilerinin Korunması
Protecting the Personal Data of Children in Digital Environment
Merve ESEN BAYGÜNEŞ
Ülkemizde ve dünyada, doğduğu andan itibaren teknolojik hayatın içinde olan çocuklar, tüm dijital kullanıcılar gibi ardında kişisel veri içeren dijital ayak izleri bırakmaktadırlar. Bugün eğitim, alışveriş, oyun, iletişim vb. amaçlarla internet kullanımı artmış ve kullanıcıların azımsanmayacak bir kısmını da gençler ve çocuklar oluşturmaktadır. İnternet ortamında kullanılan hizmet ve ürünlerin çoğunluğu, kişisel veri sunulması ile sağlandığından, sunulan verilerin ne amaçla ve nasıl kaydedildiği kontrolsüz bir mecraya dönüşmüştür. Çocuklar için faydalı olabilecek eğitim vb. faaliyetlerin gerçekleştirildiği bir yönüyle verimli olan dijital platformlar, çocukların kişisel verilerinin ticari ya da hukuka aykırı olarak kullanılması riskini de barındırmaktadır. İnternetin ve dijital cihazların kullanımının insan hayatını kolaylaştırması ve sosyal medya platformları gibi sıradanlaşan alışkanlıkların yaygınlaşmasına bağlı olarak, kişilerin verilerini koruma konusundaki bilinç, istek veya duyarlılıklar farklılık göstermektedir. Çağımızın altını olarak adlandırılan kişisel verilerin ve çalışmamızda hususiyet arz eden çocukların dijital verilerinin önemine binaen birçok bölgesel ve ulusal düzenleme ile bu alan hukuki çerçevede belirli ölçüde korumaktadır. Ayrıca çocukların kendi kişisel verilerinin paylaşımı, kaydedilmesi ve işlenmesi konusunda doğrudan rıza gösterme ehliyetleri olmadığından, ebeveynlerin bu konu rıza verip vermediği veya verilen rızanın hukuka uygunluğu da önem arz etmektedir. Bu kapsamda çalışmamızın ilk kısmında çocukların dijital ortamda kişisel veri ihlallerinin yoğunlukla görüldüğü risk alanları ikinci kısmında çocukların dijital mecrada kişisel verilerini koruyan yasal düzenlemeler incelenecektir.
Kişisel Veri, Çocuk, Dijital Veri, Veri Güvenliği.
In our country and in the world, children who have been involved in technological life since their birth, leave a digital footprint that includes personal data, like all digital users. Today, the internet usage has increased for many purposes such as education, shopping, gaming, communication, and a substantial part of the users are young people and children. Since the majority of services and products used in the internet environment are provided by submitting personal data, it has turned into an uncontrolled medium where, which data is left for what purpose. Digital platforms, which are efficient in a way that activities such as education that may be beneficial for children are carried out, also carry the risk of illegal use of children’s personal data in a commercial or other way. Due to the fact that the use of the Internet and digital devices facilitates human life and the common habits such as social media platforms become widespread, the awareness, desire or sensitivity of individuals to protect their data varies. Due to the importance of personal data, which is called the gold of our age, and the digital data of children that are special in our work, this area is protected to a certain extent in the legal framework with many regional and national regulations. In addition, since children do not have the capacity to directly consent to the sharing, recording and processing of their personal data, it is also important whether the parents give their consent or the legality of the consent given. In this context, in the first part of our study, the risk areas where children’s personal data violations are frequently seen in the digital environment will be examined while in the second part of the legal regulations protecting the personal data of children in the digital environment will be analyzed.
Personal Data, Child, Digital Data, Data Protection.
I. Giriş
Bugün gelişen veri koruma hukukunun temeli, 19. yüzyılda özel hayatın korunması, yalnız bırakılma hakkı gibi üst kavramlarla ele alınıyordu.1 1960’larda elektronik veri işleme alanı gelişmeye başlamış, kişisel verilerin toplanma, işleme teknolojileri ve yeni iş modelleri oluşturulmuştur. Özel hayatın gizliliği hakkı bu gelişmelere bağlı olarak, alt başlıklara ayrılmış, veri koruma hukukunun oluşumuna mevcudiyet vermiştir. Tıpkı dünya çapında tüm yetişkinlerde olduğu gibi, çocukların kişisel verileri de işletmeler, hükümetler, okullar ve diğer kuruluşlar tarafından benzeri görülmemiş oranda toplanmakta ve çocukların yaşamlarının giderek daha fazla “verilere sahip” olmasına yol açmaktadır. Çocukların çevrimiçi davranışları, çerezler ve eklentiler aracılığıyla izlenebilmekte, bir sosyal medya platformuna katılmak veya bir uygulamayı indirmekle genellikle kişisel bilgiler aktarılmaktadır. Reklam oyunları, çocuğun yaşına veya cinsiyetine uygun içerik sunarak çocukların çevrimiçi davranışları tanımlama bilgileri ve eklentiler aracılığıyla izlenmektedir.2
UNICEF raporlarına göre, 2017 yılında, 5 milyon profil ve çocuklara ait hesaplar internet yoluyla çalındı. Javelin Strategy & Research’e göre 2017’de Amerika Birleşik Devletleri’nde kimlik hırsızlığı kurbanı olan bir milyondan fazla çocuk, 2,6 milyar dolarlık zarara neden oldu. Ayrıca çocuklara karşı işlenen suçların sayısındaki artışın, çocukların internete bağlı cihazları yüksek oranda kullanılmasıyla ilgili olduğu düşünülmektedir.3
Son 15 yılda gittikçe popülerleşen sosyal medya ağları da veri toplama mekanizmalarının başında yer almaktadır. Örneğin 2020’de İngiltere, 18 yaşın altındaki 5 milyon kullanıcının kişisel iletişim bilgilerinin ifşa edilmesi gerekçesiyle, Instagram’a karşı soruşturma başlattı.4
Kişisel verilerin korunmasına dair politika üretimi ve yasal oluşumlar, çoğunlukla yetişkinlerin verilerine dayanarak oluşturulsa da çocukların kişisel verileri, fiil ehliyetlerinin kısıtlılığı nedeniyle daha zor kontrol edilebilen bir yapıya sahiptir. Mariya Stoilova, Rishita Nandagiri ve Sonia Livingstone’un 2019 yılında yaptığı bir araştırmaya göre, kişisel veri paylaşımı konusunda 8 yaşından küçük çocukların düşük risk bilincine sahip oldukları ve çevrimiçi bilgi paylaşımının gizlilik riskleri oluşturabileceğini çok az anlamış oldukları gözlenmiştir. 8 ile 11 yaşları arasında, çocukların kaynakların güvenilirliği konusunda karar verme veya ticari içeriği belirleme becerilerinde bazı boşluklar olsa da kişisel bilgileri çevrimiçi paylaşmanın risklerle ilişkili olduğunu anlamaya başladıkları görülmüştür. 12 yaşından itibaren çocukların mahremiyet risklerine dair farkındalıklarının daha fazla olduğu ve çoğu zaman bilgilerin ifşasını dikkatli bir şekilde ele aldıkları, ticari mahremiyetin yönlerini kavramaya başladıkları fark edilmiştir. Daha büyük çocukların, 17 yaşında olanlar dahil, veri akışını ve dijital altyapıyı çok az anladığı, çoğunlukla verileri statik ve parçalanmış olarak gördükleri gözlenmiştir.5
II. Çocukların Kişisel Verileri ve Rıza Mekanizmaları
6698 sayılı Kişisel Verilerin Koruması Kanunu (KVKK)6 kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamıştır. Çocuk Hakları Evrensel Sözleşmesi uyarınca, “Çocuğa uygulanabilecek kanuna göre daha erken yaşta reşit olma durumu hariç, on sekiz yaşına kadar olan her insan çocuk sayılır.” 4721 Sayılı Türk Medeni Kanunu (TMK)7 madde 10 ve 11 birlikte değerlendirildiğinde, kural olarak 18 yaşından küçüklerin fiil ehliyeti bulunmamaktadır.
6698 sayılı KVKK’da çocuklar için özel bir düzenleme olmadığından, çocukların kişisel verilerinin işlenmesi hususunda TMK’nın velayet hükümlerine bakmak gerekir. Velayet ana ve babanın veya bunlardan birinin, bakım ve korunmalarının sağlanması amacıyla, küçük olan veya kısıtlanan çocukların şahısları ve malvarlıkları üzerinde sahip oldukları hakların tamamıdır.8 TMK m.335’e göre, ergin olmayan çocuk anne ve babasının velayeti altındadır. Yani çoğunlukla ve kural olarak velayet yetkisi anne ve babalarda olduğundan, çocukların fiil ehliyeti gerektiren işlemlerine onay veya icazet verme yetkisi ve onlar adına işlem yapabilme yetkisi de anne ve babalarındadır.
Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation - GDPR) madde 8’e göre bilgi toplumu hizmetleri kapsamında kişisel verilerinin alınabilmesi için, çocuğun 16 yaşından büyük olması gerekmektedir. 16 yaşından küçük olanlar adına karar verme yetkisi, çocuğun velayet hakkına sahip olana verilmiştir. Burada bilgi toplumu hizmetleri, genellikle ücret karşılığında ya da talep üzerine, elektronik araçlarla sağlanan herhangi bir hizmet anlamında kullanılmaktadır.9 Bu kapsamda çocukların kullandığı eğitim, oyun ve sosyal medya uygulamalarının tamamı bilgi toplumu hizmetleri kapsamında ele alınabilir.
Kişisel verilerin hukuka uygunluğu konusunda en belirleyici hususun “rıza” olması nedeniyle, çocukların rızasının yokluğu ya da belirsizliği, veri koruma politikalarının tam olarak uygulanamaması anlamına gelebilir. GDPR m.8’de çocuğun bilgi toplumu hizmetlerinden yararlanması için 16 yaşından büyük olması koşuluyla ve rızasıyla kişisel verilerinin işlenebileceği belirtilse de 8/3’te korumanın kapsamının genişletilmesini ülkelerin kendi düzenlemelerine bırakmıştır.
Çocukların kişisel verilerinin işlenmesi halinde, velayeti altında bulundukları kişilerin rızasının alınması gerekmektedir. Burada velayet yetkisi sahibi velinin, yetkisini kötüye kullanmayacağı varsayımı söz konusudur. Elbette velayet yetkisinin kötüye kullanılması halinde, ileride çocuklar KVKK’ya göre haklarını kullanabilir. Kişisinin rızası dışında fotoğraf, video vb. verilerinin paylaşımı kişilik haklarına müdahale niteliğinde olduğundan TMK m.23, m.24 ve m.25, Türk Borçlar Kanunu (TBK)10 m.58 hükümlerine başvurma hakları bakidir.11
III. Çocukların Dijital Veri İhlali Riskleri
Çocukların dijital ortamdaki varlıkları, onların hayatlarına, ailelerine, kişisel ilgilerine ve tercihlerine yönelik önemli miktarda bilgi bırakmaktadır. Günümüzün ileri teknolojisi ve depolama kapasitesi bu bilgileri çerezler ya da benzeri uygulamalarla depolayabilmekte ve profil oluşturabilmektedir. Bu profil oluşumları ile, kişilerin gelecek yönelimlerine dair istatistik çıkarılabilmektedir. Bu sayede çocuklara yönelik reklamlar sunabilecek veya belirli profilleri olan çocuklarla ilgili başka kararlar alabilecek üçüncü şahısların (örneğin reklam ağlarının) yanı sıra çevrimiçi hizmet sağlayıcıları için de bu veriler çok değerlidir. Bu sürecin karmaşık ve detaylı oluşu, çocuklar için yetişkinlerden daha zorlayıcı hale gelmektedir.12
