VERİ KORUMA HUKUKU ÜZERİNE DEĞERLENDİRMELER–3: GDPR Kapsamında “Çocuk Verisinin Online Ortamda İşlenmesi”

2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nden (“GDPR”) farklı olarak “çocuğun rızası” kavramı ulusal mevzuatımız olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenmemiştir. Bununla birlikte, bilgi toplumu hizmetlerinin sınırları aşan kullanım olanakları düşünüldüğünde Türkiye’de yerleşik olan ve bilgi toplumu hizmetlerini sunan kişilerin de GDPR’den kaynaklanan bir yükümlülük olarak çocuğun rızasına ilişkin özel düzenlemelere uygun davranması ve GDPR hükümleri dahilinde işlenen kişisel verilerin, çocuklar açısından ayrıca değerlendirilmesi gerekmektedir.

GDPR kapsamında bilgi toplumu hizmetleri vasıtasıyla çocuk verisinin işlenmesi ayrıntılı bir biçimde düzenlenmiş olup ilgili mevzuat hükümleri, İngiliz Veri Koruma Otoritesi’nin (‘’ICO’’) konu üzerinde açıklamaları ve görüşleri ile somutlaştırılmış; buna ilaveten iyi uygulama örnekleri oluşturulmaya çalışılmıştır.

1. Kişisel Verilerin İşlenmesinde Çocuklara Yönelik Düzenlemeler

Çocuklara ait kişisel verilerin işlenmesi GDPR’nin 8. maddesinde düzenlenmektedir. Bu maddeye göre: 

“6.maddenin 1. fıkrasının (a) bendinin uygulandığı durumlarda (işlemenin ilgili kişinin rızasına bağlı olarak gerçekleştiği durumlar) çocuğa doğrudan bilgi toplumu hizmetlerinin sunulmasına ilişkin olarak, çocuğun kişisel verilerinin işlenmesinin hukuka uygun olabilmesi için çocuğun en az 16 yaşında olması gerekmektedir. Çocuğun 16 yaşından küçük olması halinde, bu tür bir işleme ancak rızanın çocuk üzerinde velayet hakkına sahip bir kişi tarafından verildiği ya da onaylandığı ölçüde hukuka uygun olabilecektir. Üye devletler kanunlarıyla, 13 yaşından küçük olmamak kaydıyla, bu amaçlara yönelik olarak, daha küçük bir yaş sınırı belirleyebilir. 

Veri sorumlusu, bu tür durumlarda, mevcut teknolojiyi de dikkate alarak rızanın velayet hakkına sahip kişi tarafından verildiğini doğrulamaya yönelik makul çabayı sarf edecektir.

1.fıkra çocuğa ilişkin bir sözleşmenin geçerliliği, oluşturulması ve etkisi ile ilgili kurallar gibi üye devletlerin genel sözleşme hukukunu etkilemez.”

Konuya ilişkin olarak GDPR’nin 38. resitalinde, “Çocuklar, kişisel verilerinin korunması bakımından meydana gelebilecek riskler, bu risklerin sonuçları ve alınması gereken tedbirler ile konuya ilişkin hakları bakımından daha az farkındalık sahibi oldukları için özel bir korumaya ihtiyaç duymaktadırlar. Bu özel koruma, özellikle de çocukların kişisel verilerinin pazarlama veya kullanıcı profili yaratma amaçlarıyla kullanılması veya doğrudan çocuğa hizmet sunumu yapılması durumunda kişisel veri toplanmasının söz konusu olduğu hallerde uygulanmalıdır. Velayet hakkı sahibi kişinin rızası, çocuklara verilecek koruyucu ve danışmanlık hizmetlerinde aranmamalıdır.” düzenlemesine yer verilmiştir.

2. İngiliz Veri Koruma Otoritesi’nin Görüşleri ile Diğer Çalışmalar

GDPR düzenlemelerinin yanı sıra ICO’nun GDPR hükümlerine yönelik olarak uygulamaya yön verici açıklamaları ve görüşleri de mevcuttur.

GDPR’nin 8. maddesinde yer alan doğrudan çocuğa (directly to a child) bilgi toplumu hizmetlerinin sunulmasının kapsamı ICO tarafından; herhangi bir yaş sınırı getirmeksizin herkesin kullanımına açık olan veya 18 yaşından küçük bireylerin kullanımına veya erişimine açık olduğu ibaresini taşıyan tüm bilgi toplumu hizmetlerinin “doğrudan çocuğa sunulduğu” şeklinde değerlendirilmektedir.

3. Bir bilgi toplumu hizmeti doğrudan çocuğa sunulmaktaysa GDPR kapsamında hangi önlemler alınmalıdır?

• Teknolojik olanaklar göz önünde bulundurularak, rızayı veren kişinin 16 yaşından küçük olup olmadığı (yaş sınırları ülkelere göre değişiklik gösterebilmektedir) teyit edilmelidir. Rızayı veren kişinin öngörülen yaş sınırından küçük olduğunun anlaşılması halinde ise, rızanın kişinin velisi ya da vasisi olan bir kişiden alınması ve bu kişinin veli ya da vasi olduğunun da ayrıca teyidi gerekmektedir.

• Veri sorumlusu yukarıda verilen teyitleri yaparken “makul çaba” sarf etmelidir. Makul çabanın sınırları ve çerçevesi GDPR veya ICO tarafından çizilmemekle birlikte, olay bazında veri sorumlusunun belirlemesi gerektiği kabul edilmektedir.

• Veri sorumlusu, veri işleme konusunda çocukların verisini işleyeceği varsayımıyla hareket etmeli, önlemlerini bu varsayımla yaratmalıdır. ICO bu varsayım çerçevesinde riskleri azaltmak amacıyla çocuklara ait kişisel verilerin pazarlama amaçları, profilleme veya diğer otomatikleştirilmiş karar alma süreçleri veya çocuklara doğrudan çevrimiçi hizmetlerin sunulması için işlenmesi halinde “Veri Koruma Etki Analizi” (Data Protection Impact Assessment) yapılmasını önermektedir.

• Veri sorumlusu, çocuklara yönelik hazırlayacağı aydınlatma metnini çocuklar tarafından anlaşılabilir bir dil ile yazması gerekmektedir.

Herhangi yaş sınırlamasının getirilmediği hallerde verilen hizmetlerin doğrudan çocuğa sunulduğunun kabul edilmesi gerektiğine göre, bir veri sorumlusunun:

• Uygulamayı kullanacak hedef kitlenin belirlenmesi,

• Bir yaş sınırlaması varsa kullanıcıların bu yaş sınırlamasına uygun olup olmadığını doğrulamaya yönelik veri minimizasyonu prensiplerine uygun şekilde bilgi alınması,

• Yaş sınırlaması konusunda, uygulamaların sunulduğu ülkenin mevzuatı kapsamında belirlenen yaş sınırına dikkat etmesi,

• Çocukların bu hedef kitleye dahil olmaması halinde, bu uygulamayı sadece belirlediğiniz hedef kitle tarafından erişilebilir kılmak için önlem alması,

• Çocukların da bu hedef kitleye dahil olması halinde, belirlenen yaş sınırının altındaki kullanıcılardan, yani çocuklardan öncelikle sadece velilerinin veya vasilerinin iletişim bilgilerinin (telefon numarası veya e-posta adresi) toplaması ve

• Veli/Vasi rızasının alınmasını takiben, çocuklara yapılacak aydınlatma yükümlülüğünün küçüklerin de anlayabileceği sade bir dilde yerine getirmesi

gerekecektir.

Bununla birlikte, GDPR kapsamında çocukların kişisel verilerinin işlenmesine yönelik olarak, kullanıcı tarafından beyan edilen yaşın doğrulanması amacıyla gerekli görülen uygulama henüz şekillenmediğinden, şu an için veri sorumluları tarafından söz konusu doğrulamanın gerçekleştirilmesine yönelik alınacak gerekli ve yeterli önlemlerin makul çaba olarak addedilmesi yeterli olacaktır.

Keza, sağlanan hizmet için belirlenen bir yaş sınırının olması ve bir ihlal bildiriminin yapılması halinde, uygulamada, veri sorumlusu tarafından, kullanıcının beyan ettiği yaşın doğrulanmasına yönelik somut bir önlem alınıp alınmadığı, makul çabanın olup olmadığı araştırılacaktır. Bu doğrultuda, veri sorumlusu tarafından ispat yükümlülüğünün yerine getirilebilmesi için söz konusu bilgilendirmenin ve alınan rızanın e-posta veya SMS gibi yazılı vasıtalarla gerçekleştirilmesinin faydalı olacağı düşünülmektedir.