KVKK Departmanı: Av. Eren Can ERSOY & Av. Merve ÇEBİ
GİRİŞ
Dijitalleşme çağında çocukların internet kullanım oranı ve süresi her geçen gün artmaktadır. Sosyal medya platformları ve çevrim içi oyunlar çocuklar için eğlence, öğrenme ve sosyalleşme alanları haline gelmiş olsa da kişisel verilerin işlenmesi bakımından önemli riskler barındırmaktadır. Çocuklar gelişimsel olarak soyut düşünme, risk değerlendirme ve veri işleme süreçlerini anlama açısından sınırlı kapasiteye sahiptir. Bu da onları dijital ortamlarda daha savunmasız hale getirmektedir.
Sosyal medya uygulamaları üzerinden fotoğraf, video veya kişisel bilgilerin paylaşılması; çevrim içi oyunlar aracılığıyla kullanıcı verilerinin toplanması, konum bilgilerinin işlenmesi gibi birçok uygulama çocuklara ait verilerin açık rıza olmaksızın toplanması, paylaşılması veya üçüncü kişilerce erişilebilir hale gelmesi gibi riskleri doğurmaktadır. Özellikle ebeveynlerin bilgi veya onayı dışında çocuklara ait verilerin paylaşılması (örneğin sharenting), hem çocuğun özel hayatına saygı hem de kişisel veri koruma hakkı açısından ciddi ihlallere neden olabilmektedir.
Bu makalede çocukların kişisel verilerinin korunmasına ilişkin mevzuat, Kişisel Verileri Koruma Kurulu (“Kurul”) kararları, Kurul bülteni ve uluslararası uygulamalar çerçevesinde sosyal medya ve çevrim içi oyunlar üzerinden yürütülen veri işleme faaliyetleri değerlendirilecektir.
A. KVKK KAPSAMINDA ÇOCUK VERİLERİ
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) çocuklara özgü açık bir düzenleme bulunmamaktadır. Ancak çocukların gelişimsel özellikleri ve bilişsel kapasiteleri dikkate alındığında, veri işlemede özel hassasiyet gösterilmesi gerekliliği doğmaktadır. Özellikle açık rıza alınması, aydınlatma yükümlülüğü ve veri minimizasyonu ilkeleri çocuklara yönelik veri işleme faaliyetlerinde daha da önem kazanmaktadır.
KVKK’nın 3. maddesinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanır. Çocuklara ait veriler, “özel nitelikli kişisel veriler” kapsamında olmasa da korunması ayrı bir önem arz eder. Çünkü çocuklar, kişisel verilerin korunması anlamında daha fazla korunma hakkına sahiptir.
KVKK’nın 10. maddesi uyarınca veri sorumluları, kişisel veri işleme faaliyetleri öncesinde ilgili kişiyi aydınlatmakla yükümlüdür. Ancak çocukların bu bilgileri anlayabilecek yaşta ve bilinçte olmaması durumunda, ebeveynin ya da yasal temsilcinin devreye girmesi gerekir. Ancak bu temsilin de çocuğun üstün yararına uygun şekilde kullanılması gerekir.
Kanunun 5. maddesi uyarınca, kişisel verilerin işlenmesi için ilgili kişinin açık rızası gereklidir. Ancak çocukların yaş ve ayırt etme gücüne göre rıza mekanizması farklılık gösterir. Çocukların kendi rızalarını verebilmeleri için yeterli olgunluğa erişmemeleri durumunda, yasal temsilcileri (genellikle velileri) tarafından rıza verilmesi gerekir. Bu konuda noktada ise, velinin rızasının çocuğun üstün yararına uygun olması zorunluluğu bulunmaktadır.
Nitekim Kurul’un Nisan- Temmuz 2024, 5 sayılı “Dijital Çağda Mahremiyet: Çocukların Kişisel Verilerinin Korunması” başlıklı Bülten’inde de Kurul, çocuklara yönelik veri işleme faaliyetlerinde:
- Yaş doğrulama mekanizmalarının etkin hale getirilmesini,
- Açık rıza süreçlerinin çocuklara özgü hale getirilmesini,
- Reklam, kişiselleştirme, konum takibi gibi işlemlerin kısıtlanmasını,
- Veri işleme faaliyetlerinin çocuğun üstün yararına göre yürütülmesini,
önererek, veri sorumlularına özel yükümlülükler yüklemiştir.
Ayrıca, çocukların dijital ortamda anonimleştirilmiş profil oluşturma, konum takibi ve davranışsal reklamcılık gibi uygulamalara karşı korunması gerektiği; veri işleyen platformların bu tür hizmetleri çocuğun onuru, sağlığı ve gelişimi ile uyumlu hale getirmesi gerektiği vurgulanmıştır.
B. SOSYAL MEDYADA ÇOCUK VERİLERİ: SHARENTING VE MAHREMİYET İHLALLERİ
Türkçede henüz yerleşik bir karşılığı bulunmamakla birlikte, anne/babaların sosyal medyada çocuklarının özel hayatlarıyla ilgili düzenli ve ayrıntılı paylaşım yapmaları İngilizcede, “to share (paylaşmak)” ve “parenting (ebeveynlik etmek)” kelimelerinden türetilen “Sharenting” (paylaşanebeveynlik) adı verilen özel bir terimle ifade edilmeye başlanmıştır. Kelimenin oluşturulma sebebi, sıklıkla görülen bir fiilin isimlendirilmesi ihtiyacıdır. Bununla birlikte sharenting kavramının yaratılmasından kısa bir süre sonra ebeveynlerin çocuklarına ilişkin ses ve görüntüleri aşırı sıklıkla paylaşmaları halini ifade eden “Over sharenting” kavramı da türetilmiştir.
Sharenting, ebeveynlerin çocuklarına ait görsel, video ve özel bilgileri sosyal medyada paylaşmalarını ifade etmekte olup her ne kadar ebeveynin iyi niyetli paylaşımı söz konusu olsa da bu durum çocuğun mahremiyetinin ihlali sonucunu doğurabilir. Özellikle çocukların gelişim sürecinde bu içeriklerin üçüncü kişiler tarafından kötüye kullanılması veya çocuğun ileride sosyal hayatını etkilemesi gibi durumlarla karşılaşılmaktadır.
KVKK’nın Temmuz 2024 bülteninde de sharenting uygulamalarının yaygınlaşmasının çocukların dijital iz bırakma süreçlerini olumsuz etkilediği, ebeveynlerin bu konuda bilinçlendirilmesi gerektiği vurgulanmıştır.
KVKK’da sharentinge dair doğrudan bir düzenleme olmaması velayet sahibinin herhangi bir sınırlama olmaksızın çocuğuna ait kişisel verileri dilediği gibi paylaşabileceği anlamına gelmemektedir. KVKK’da bu konuda özel düzenlemeye yer verilmemiştir ancak ebeveynlerin çocuğa ait kişisel verileri işlemesinin sınırını, kişisel verilerin işlenmesine ilişkin genel ilkeler ve çocukların korunmasına dair mevzuat belirlemektedir.
Buna istinaden hukuka uygunluk sebebi olsa dahi kişisel veriler, meşru amaçlara yönelik olarak sınırlı, ölçülü ve yeterli olacak şekilde işlenmelidir. Özellikle çocuğa bir yarar sağlamayan, hatta onu küçük düşüren özel yaşam ihlallerine yasal temsilci tarafından rıza gösterilmemesi gerektiğinin altı çizilmelidir.
Sharenting kapsamında velayet hakkına sahip kişilerin gerçekleştirdiği paylaşımlar, özellikle ayırt etme gücüne sahip hale gelen çocuklar ya da erginliğe erişmiş bireyler açısından kişilik haklarının ihlali niteliği taşıyabilir. Bu kişiler, geçmişte kendilerine ilişkin yapılan paylaşımların kendilerini rahatsız ettiğini ifade ederek, söz konusu içeriklerin kaldırılmasını talep etme hakkına sahiptir. Bu durum, literatürde “unutulma hakkı” kapsamında değerlendirilmekte ve bireyin dijital geçmişini kontrol etme özgürlüğünü içermektedir. Bu bağlamda, İtalya’da görülen emsal bir davada, 16 yaşındaki bir çocuğun annesi tarafından sosyal medyada rızası dışında paylaşılan fotoğrafların kaldırılmaması üzerine açtığı dava sonucunda, mahkeme annenin bu paylaşımları kaldırmaması ya da ileride benzer paylaşımlarda bulunması durumunda 10.000 Euro tazminat ödemesine hükmetmiştir. Karar, çocuğun dijital mahremiyetinin korunması açısından önemli bir örnek teşkil etmektedir. (Bknz. https://www.bbc.com/turkce/haberler-dunya-42604622, )
C. ÇEVRİM İÇİ OYUNLAR VE VERİ GÜVENLİĞİ
Dijital oyunlar, çocuklar ve gençler için yalnızca eğlence aracı değil; aynı zamanda sosyal etkileşim, öğrenme ve kimlik inşası alanıdır. Ancak bu oyunlar, kullanıcılardan topladıkları veri çeşitliliği ve bu verilerin işlenme yöntemleri bakımından önemli kişisel veri güvenliği riskleri taşımaktadır. Özellikle çocuklar, gelişimsel olarak veri işleme süreçlerini kavramakta zorlandıkları için bu tür uygulamalar karşısında daha korunmasız bir grubu oluşturur.
Online oyunlar, çocuklardan yaş, konum, arkadaş listesi, ilgi alanı gibi birçok kişisel veriyi talep eden sistemlerle çalışmaktadır. Bu sistemler, yalnızca oyun deneyimini kişiselleştirmekle kalmaz; aynı zamanda reklamcılık ve pazarlama amacıyla da kullanılabilir. Üçüncü taraf SDK’lar (yazılım geliştirme kitleri) yoluyla kullanıcı verileri başka platformlara aktarılabilir.
Amerika’da yürürlüğe giren COPPA (Children’s Online Privacy Protection Act) benzeri düzenlemeler Türkiye’de de çocuklara yönelik uygulamalarda veri işleme faaliyetlerinin denetlenmesini zorunlu kılmaktadır. Ayrıca oyunlarda yer alan “sohbet” veya “arkadaş ekleme” gibi özellikler çocukların kişisel verilerinin bilinçsiz şekilde ifşa edilmesine neden olabilir. Bu nedenle platformların çocuklar için özel “gizli profil”, “sınırlı erişim” ve “yaşa göre içerik filtreleme” gibi araçları aktif hale getirmesi beklenmektedir.
2025 Nisan ayında Kişisel Verileri Koruma Kurumu’nun ev sahipliğinde düzenlenen “Dijital Oyunlar ve Kişisel Verilerin Korunması Sempozyumu”nda yapılan sunumlar, çevrim içi oyun platformlarında çocuklara ait kişisel verilerin nasıl işlendiğine dair önemli veriler sunmuştur. Dijital oyunlar çocukların konum verisi, IP adresi, cihaz bilgileri, oyun içi davranışları, tercihleri ve hatta görüntü-ses kayıtları gibi çok sayıda kişisel veriyi işlemektedir. Özellikle oyunlarda yer alan sohbet, arkadaş ekleme, oyun içi satın alma gibi unsurlar bu veri işleme süreçlerini daha da karmaşık ve müdahaleye açık hale getirmektedir.
Dijital oyun platformları KVKK’nın temel ilkeleri olan şeffaflık, amaçla sınırlı veri işleme, açık rıza alma, veri güvenliği sağlama ve ölçülülük gibi yükümlülüklere uygun hareket etmek zorundadır. Açık rıza alınması sürecinde çocuğun yaşı ve ayırt etme gücü dikkate alınarak, aydınlatma metinlerinin sadeleştirilmesi ve çocuklara uygun hale getirilmesi gerekliliği ön plana çıkmaktadır. GDPR ile uyumlu biçimde, dijital rıza yaşının belirlenmesi ve bu yaşın altındaki kullanıcılar için ebeveyn rızasının aranması, Türkiye’de de Kurul tarafından önerilen yaklaşımlar arasında yer almaktadır.
İlaveten, gerek ebeveynler gerek dijital platform geliştiricileri tarafından hem fikir olunan husus ise dijital yaş doğrulama mekanizmalarını daha etkin kılmaları gerektiğidir. Bu bağlamda, kullanıcıların oyunlara kaydolurken doğrudan doğruya yaş beyanı yapmaları yerine, daha güvenilir teknolojilerle kimlik teyidinin sağlanması önerilmektedir.
Bununla birlikte önem ve gelecek arz eden bir diğer husus ise “Tasarımdan İtibaren Mahremiyet” (Privacy by Design) ilkesidir. Bu yaklaşım, dijital oyunların yazılım geliştirme sürecinden itibaren veri güvenliği ve çocuk haklarını temel alan teknik ve idari önlemlerin entegre edilmesini ifade etmektedir. Yani yalnızca yasal uyumluluk değil, aynı zamanda etik sorumluluk da sistemin merkezine yerleştirilmelidir. Aynı zamanda çevrim içi oyun sağlayıcıları çocuk kullanıcıların verilerini işlerken açık rızayı şeffaf, anlaşılır ve çocuğa özgü biçimde almakla yükümlüdür.
D. SONUÇ VE DEĞERLENDİRME
Çocukların kişisel verilerinin korunması, yalnızca hukuki bir yükümlülük değil; aynı zamanda etik ve toplumsal bir sorumluluktur. Çocuklar, gelişim düzeyleri gereği veri işleme süreçlerinde etkin karar verici olamadıkları için özel koruma önlemlerine muhtaçtır. Özellikle sosyal medya ve çevrim içi oyunlar üzerinden yapılan veri işlemleri çocukları hem fiziksel hem de psikolojik açıdan olumsuz etkileyebilmektedir.
KVKK, bu konuda henüz çocuğa özgü detaylı bir düzenleme getirmemiş olmakla birlikte, Kurul kararları ve yayımlanan rehber belgelerle bu boşluğu doldurmaya çalışmaktadır. Kurul bülteni ve sempozyumlar çocukların dijital ortamda daha güçlü korunması gerektiğini açıkça ortaya koymuş ve bu konuda veri sorumlularına yol göstermiştir.
Yasal düzenlemelerin yanı sıra ebeveynlerin ve eğitimcilerin bilinçlendirilmesi, platformların çocuklara özel gizlilik politikaları geliştirmesi ve Kurul’un rehberlik faaliyetlerini artırması bu konuda atılacak öncelikli adımlar arasında yer almaktadır.
