Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Avrupa Genel Veri Koruma Tüzüğü Çerçevesinde Çocukların Kişisel Verilerinin Korunması ve ‘Sharenting’

Protection of Children’s Personal Data within the Framework of the European General Data Protection Regulation and Sharenting

Gülşah BOSTANCI BOZBAYINDIR

İnternet ve sosyal medya kullanımının giderek daha çok büyümesi ve kapsamının yaygın bir biçimde artması, kişisel verilerin internet üzerinde paylaşımının ve yayılmasının hızlanmasını beraberinde getirmiştir. Bu durum ise bu verilerin mahremiyetinin korunması kavramını da büyük ölçüde etkilemiştir. Özellikle reşit olmayan küçüklerin verilerinin görüntülerinin ve verilerinin ebeveynleri tarafından çevrimiçi olarak yayınlanması, paylaşılması anlamına gelen sharenting konusu olmaları halinde mahremiyetlerinin korunması konusuna ise minimum düzeyde dikkat edilmiştir. 2018 yılında yürürlüğe giren Avrupa Birliği Veri Koruma Tüzüğü, çocukların kişisel verilerinin korunmasına özel önem vermiştir. Bunun hukuki gerekçesi, çocukların kişisel verilerinin işlenmesi hakları üzerindeki riskler ve sonuçlar hakkında daha az bilinçli olmalarıdır. Tüzük özellikle savunmasız olarak kabul edilen çocuklar başta olmak üzere tüm bireylere koruma ve haklar sağlamak üzere tasarlanmıştır. Bununla birlikte GDPR metni, çocukları ve haklarını önemli ölçüde etkileyebilecek veri denetleyicileri, ebeveynler ve çocuklar için yasal belirsizliğe yol açabilecek uygulama ve etkisi bakımından çok az netlik sunmaktadır. Buna ilave olarak hukuki metinlerde çocukların online kimliklerinin savunucusu olan ebeveynlerin çocukları hakkındaki detayları online alanlarda paylaşmaları durumunda ne olacağı hakkında GDPR herhangi bir düzenleme içermemektedir.

GDPR, Çocukların Kişisel Verileri, Sharenting.

The exponential growth of the internet and social media use followed by a widespread increase of the scale, scope and sharing of information has brought along expediting the share and spread of personal data on the internet. This situation impacted the protection of privacy concept of these data to a large extent. Especially protection of privacy of minors subject has been watched out at minimum in cases when the minors become subject matter of sharenting which means publishing, sharing of images and data of minors by their parents. The EU General Data Protection Regulation (GDPR) which entered into force in 2018, devotes particular attention to the protection of personal data of children. Its legal justification is that the children have less awareness on risks and consequences of processing personal data. The regulation is especially designed to provide protection and rights to all individuals particularly to children who have been accepted as defenseless. However, the text of the GDPR offers too little clarity as to the actual implementation and impact of a number of provisions that may significantly affect children and their rights, leading to legal uncertainty for data controllers, parents and children. In addition to this, the GDPR does not comprise any regulation on what will happen in case parents, who are guardians for their children’s online identity in the legal texts, share details about their children online.

GDPR, Children’s Personal Data, Sharenting.

I. Giriş

Günümüzde cep telefonları, tabletler, bilgisayarlar vasıtasıyla internet erişiminin daha kolay olması neticesinde adeta dijital bir devrime dönüşen ve klasik ulusal veya uluslararası hukuku uygulamanın da zorlaştığı bir sanal topluluk oluşmuştur.1 Böylelikle kişisel verilerin saklanması, işlenmesi, analiz edilmesi de daha önceki yıllara nazaran kolaylaşmıştır. Bu gelişmelerin etkisiyle ortaya çıkan ve sadece çocukların bizzat gerçekleştirdikleri faaliyetlerin haricinde ebeveynlerin çocuklarının henüz rıza gösterme yaşı gelmeden, hatta henüz doğmadan önce çekilen ultrason resimlerinin paylaşımından itibaren çocukların yoğun bir biçimde dijital ayak izlerini gerçekleştirme faaliyeti olarak özetlenebilecek ‘sharenting’ global bir sorun haline gelmeye başlamış; bu paylaşımların sıklığı neticesinde ebeveynleri çocuklarının ‘koruyucuları’ olmaktan temel haklarını ihlal eden en yakın ‘zararlı’ bireyler haline getirmiştir.

2018 yılında, AB’ye üye tüm ülkelerde yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR), çocukların kişisel verilerinin işlenmesinin hukuka uygun olması için birtakım şartlar getirmişse de bu şartlar aile içi ve profesyonel olmayan çevrimiçi faaliyetlere uygulanmamaktadır. Bu durum çocukların kişisel verilerinin korunmasında potansiyel olarak zayıflığı beraberinde getirmektedir. Zira çocukların bizzat internet kullanımlarında uğrayabilecekleri potansiyel zararlar göz önünde bulundurulduğunda, mevzuatta çocukların önemli kişisel bilgilerini koruyucu ve hak ihlallerini önleyici kimseler olarak en güvenilir kabul edilen ve belli bir yaşa kadar çocukların hukuki haklarını kullananlar olarak ebeveynlerin çocuklarının kişisel ve hassas bilgilerini aşırı paylaşmalarıyla meydana gelebilecek ve ileride iş yaşamından özel yaşamına kadar tesiri olabilecek potansiyel risklerle mücadele hususunda eksiklikler ve soru işaretleri ortaya çıkmaktadır. Bu kapsamda çalışmamızda Genel Veri Koruma Tüzüğü’nün çocuğun kişisel verilerinin işlenmesinde rızaya ilişkin normu, özel hayatın gizliliği ve unutulma hakkı çerçevesinde değerlendirilecek, ebeveynlerin çocuklarının kişisel verilerini aşırı paylaşımı olarak nitelendirilen sharenting olgusu ele alınacaktır.

II. Genel Veri Koruma Tüzüğü Çerçevesinde Çocukların Veri Koruma Hakları

95/46/EC sayılı Kişisel Veri Koruma Direktifi (‘Direktif’) ile, Avrupa Birliğine üye ülke hukuklarında Direktif uyarınca gerçekleştirilen kanunlar arasında daha uyumlaştırılmış bir veri koruma hukuku oluşturmak amacıyla 25 Ocak 2012 tarihinde Avrupa Komisyonu tarafından Genel Veri Koruma Tüzüğü tasarısı hazırlanmıştır. Tasarıda çocukların verilerin işlenmesine yönelik rızalarına hukuki değer bağlayan bir düzenleme kaleme alınmış, m.8/1 ile, rıza gösterme ehliyeti hususunda 13 yaş sınırı belirlenmiş ve böylelikle çocukların kişisel verilerinin işlenmesinde daha az sınırlayıcı bir düzenlemeye gidilmiş; bu düzenlemeyle bilgi toplumunda hizmet sağlayıcıların denetlenebilir bir rıza almaları gerektiği hususuna da yer verilmiştir.2 Avrupa Parlamentosu ise Komisyon tasarısındaki bu durumu mallara ve hizmetlere ilişkin tekliflere de genişletmiştir.3 Zira üye devletler bu süreçte bir yandan küçüklerin korunmasına ilişkin ulusal kurallara ve aynı zamanda daha yüksek bir yaş sınırında ısrarcı olmuşlardır.4 Bu bağlamda Tüzüğün kabul edilen metninde tasarıdan farklı olarak çocuğun kanuni tanımı yapılmamış; ancak 16 yaşını doldurmuş kişileri verilerin işlenmesinde rıza sahibi çocuk olarak nitelendirmiştir.

Avrupa Parlamentosu 2014 yılında, Tüzüğün yaşa ilişkin olarak düzeltilmiş versiyonunu onaylamış, uzun bir değişiklik, tartışma süreci nihayetinde 2016 yılında Parlamento ve Konsey tarafından tasarı kabul edilmiştir. Böylelikle Avrupa Parlamentosu, Konsey ve Komisyon, tüm AB vatandaşlarına faydalı olacağı ümidiyle, verilerin nasıl işleneceği üzerinde kontrolün sağlanabilmesi amacıyla Avrupa sathında veri koruma rejimlerinin uyumlaştırılması amacını taşıyan Veri Koruma Tüzüğü üzerinde uzlaşı sağlamıştır. Tüzüğün iç hukukta uygulanabilmesi için Birliğe üye ülkelere iki yıllık bir süre tanınmış ve 2018’de tüm üye ülkeler için Tüzük uygulanır hale gelmiştir. Tüzük ile verilerin taşınabilirliği, gizliliği, veri koruması ve tüketici dostu hizmetler ve ürünlerde rekabetin ve yeniliğin yaratılması hususunda getirilen önlemler birer yenilik olarak lanse edilmiştir.5

Veri sahibine, kişisel veriler üzerinde daha fazla kontrol hakkı tanıma ve kişisel verilerin korunması hakkını garanti etme amacıyla ortaya çıkan Tüzük,6 çocukların kişisel verilerinin işlenmesinde, kullanılmasında ve toplanmasında rızanın aranması hususunda, 95/46/EC numaralı’Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi’nden farklı olarak önemli bir yenilik getirmiştir. Bu da çocukların kişisel verilerine ilişkin olarak özel koruma düzenlemeleridir. Zira Genel Veri Koruma Tüzüğü yürürlüğe girmeden önce Avrupa Birliği düzeyinde çocukların kişisel hakları açıkça bir veri koruma yasası ile koruma altına alınmamıştır.7

Özellikle son dönemlerde dijital çağda doğan ve yetişen çocukların sosyalleşme çevreleri yoğunlukla internet düzleminde gerçekleşmekte olduğu gerçeği ile günümüzde yapılan çalışmalar neticesinde dünya genelinde internet kullanıcılarının her üç kişide birinin 18 yaş altı olduğunu, AB sathında ise her beş kullanıcıdan birinin çocuk olduğu kabul edildiğinde,8 çocukların verilerinin yoğun bir biçimde işlendiği yadsınamaz bir gerçektir. Çocukların kişisel verilerinin işlenmesi özel ya da kamusal alanlarda çeşitli sebeplerle olabilmektedir. Zira günümüz çocuklarının, sadece ebeveynleri tarafından değil; örneğin uyku halindeyken gözlemlemeye yarayan güvenlik kameralarından, akıllı oyuncak bebeklere kadar teknolojik süreçlerle giderek daha fazla izlenen, analiz edilen ve nihayetinde, hatta manipüle edilen bir dünyada büyüdükleri gerçeği karşısında özel bir koruma kalkanı oluşturmak amaçlanmaktadır. Bu yüzden, özellikle son dönemlere kadar çocukları da hedef alan veri koruma düzenlemeleri ile yetişkinlere uygulanacak olan düzenlemeler aynı niteliğe bürünmüştür.9 Avrupa Genel Veri Koruma Tüzüğü Direktif’ten farklı olarak çocukların dijital mecradaki haklarını düzenlemeyi amaçlamış ve evrensel veri gizliliğinin sağlanması hedeflenmiştir. Mamafih, örneğin ne Alman hukuku ne de Avrupa Birliği hukuku Tüzük devreye girene kadar çocukların kişilik haklarına ilişkin kişisel veri koruması öngörmemiştir. Almanya’da buna yönelik daha önce ortaya konan çabalar da başarısızlıkla sonuçlanmıştır. Buna mukabil koruma kısmi olsa da Alman Anayasası’ndaki hükümlerden istifade ederek bir şekilde sağlanmaya çalışılmıştır. Benzer şekilde Avrupa Birliği Adalet Divanı da ilgilinin yaşının, kişisel verilerin korunmasında dikkate alınması gereken bir unsur olduğuna karar vermiştir.10

Genel Veri Koruma Tüzüğü’nün esas amacı çocuklar da dahil olmak üzere vatandaşların güvenebileceği veri koruma standartlarının özel hayatın gizliliği sağlanmasıdır. Kamusal ya da özel sosyal yardım kuruluşları, mahkemeler, idari makamlar veya yasama organları tarafından yapılan ve çocukları ilgilendiren bütün faaliyetlerde gözetilen çocuğun yararının11 olduğu temel düşünce Tüzüğün çocukların kişisel verilerine ilişkin düzenlemelerinin de temelini oluşturmuştur. Bu bağlamda her ne kadar çocuklar yetişkinlerle aynı haklara sahip olmaktaysa da haklarının korunmasının güçlendirilmesi hususunda birtakım düzenlemelere de ihtiyaç duyulmuştur.12 Bu çerçevede belli bir yaşın altındaki çocukların kişisel verilerinin işlenmesinde gerekli olan rızayı düzenleyerek, Gerekçe 38’de de belirtildiği üzere, çocukların özel bir korumayı hak ettiği belirtilmiş; kendilerine yönelik risklerin, bunların sonuçlarının ve haklarının daha az farkında olabileceklerine işaret edilmiştir. Böylelikle AB kanunkoyucusu, çocukların kişisel verilerinin ve kişilik haklarının korunması noktasında bir kural ihdas etmiştir. Bu bağlamda Tüzük m.8 ile, 7’nci maddede düzenlenen rızaya ilişkin koşullara tamamlayıcı bir nitelik taşımak suretiyle çocukların kişisel verilerinin işlenmesinde birtakım kurallar getirilmiştir.13

Çocukların kişisel verileri, çevrimiçi ve çevrimdışı hizmetlerin sağlanması, eğitim, bakım, sağlık ve kişisel refah dahil olmak üzere özel ve kamu sektör kuruluşları tarafından birçok amaç için işlenmektedir.14 Mayıs 2018’den itibaren yürürlüğe giren ve 95/46/EC sayılı Kişisel Nitelikli Verilerin İşlenmesi ve Bu Tür Verilerin Sınırlar Arası Dolaşımında Bireylerin Korunması Hakkında Direktif’in yerini alan AB Genel Veri Koruma Tüzüğü ile çocukların verilerinin korunmasına ilişkin bir düzenlemenin devreye girdiğini daha önce ifade etmiştik. GDPR, Avrupa Birliği’nin çocukları özel veri koruma önlemleri gerektiren bir grup olarak tanıyan ilk düzenlemesidir ve bu tür bir özel koruma sağlama hususunda geçmiş veri koruma yasalarına nazaran çok sayıda değişiklik getirmiştir.15

Tüzükle yaşı nedeniyle veya başka nedenlerle rıza ehliyetini haiz olmayan kimsenin verilerinin işlenmesi bakımından iradenin serbest olmadığı kabul edilmiştir ve dolayısıyla Tüzüğün m.6/1-a ile m.9/2-a uyarınca bir rızadan söz edilememektedir. Zira rızaya ehliyet olgu ve olaylara ilişkin bilişsel bir kavrayış yetisini ifade etmektedir. Bireyin rızası aldığı kararlar ile buna bağlı sonuçları kendi iradesiyle oluşturma imkânını haiz olması demektir. Bu bağlamda 8’inci madde, yalnızca rızaya ilişkin olarak ölçü ve derece meselesinin bir cüzünü düzenlemektedir.16 Normun doğrudan uygulanma sahası, bu nedenle, küçük yaşta olanların bilgi toplumundaki hizmetleri kullanmaları ile bu bağlamda ebeveynlerinin onların kanuni temsilcileri olmasını düzenlemektedir. Tüzük 4. maddede kanuni bir tanıma kavuşan bilgi toplumundaki hizmetler kavramı ile bilhassa internet aracılığıyla bireysel olarak sunulan ve temin edilen hizmetler kastedilmektedir ve bunun sonucu olarak 8’inci madde mevzuatta kişisel verileri özel olarak koruyan çok az sayıdaki hükümlerden biri haline gelmiştir.

Tüzük m.8 düzenlemesine bakılacak olursa, 6’ncı maddeye nazaran daha dar bir uygulama kapsamı oluğu görülecektir. Zira madde, rızaya ilişkin özel şartları ihtiva etmektedir. Bu madde çocukların ve gençlerin bilgi toplumunda sunulan hizmetlerin muhatabı olduğu gerçeğini dikkate almakta ve çocukların internet ortamında sıklıkla maruz kaldığı imkânlar ve teklifler karşılığında kişisel verilerini paylaşma durumunda kalmaları gerçeğini hesaba katmaktadır.17

Tüzük, 8’inci maddede çocuğun bilişim hizmetlerinde rızasını belli koşullar altında geçerli saymıştır. Maddeye göre;