A. Giriş
Dijitalleşen dünyada çocuklar, erken yaşlardan itibaren internet ve çeşitli dijital platformlarla tanışmakta, bu süreçte çokça kişisel veri paylaşmaktadır. Dijital çağın hızla gelişmesi, çocukların kişisel verilerinin korunmasını önemli bir hukuki ve sosyal mesele haline getirmiştir. Bu bağlamda, çocukların gelişim çağında dijital ortamlarda korunmaları gerektiği gerçeği, onların kişisel verilerine yönelik özel düzenlemelerin gerekliliğini doğurmuştur. Çocukların mahremiyetlerinin ve güvenliklerinin sağlanması hem Türk hukuku hem de uluslararası düzeyde yasal düzenlemelerle korunmaya çalışılmaktadır.
Bu makalede çocuk kavramı, çocukların kişisel verilerinin korunması gerekliliği, bu gerekliliğin hukuki dayanakları, verilerin korunması açısından temel ilkeler ve hukuki gereklilikler ele alınacak; son olarak, Türk hukukunda çocukların kişisel verilerinin korunması için getirilebilecek düzenleme önerilerine yer verilecektir.
B. Türk Hukuku ve Uluslararası Düzenlemeler Kapsamında “Çocuk” Kavramı
Çocuk kavramının ve tanımının yapılması çocukların haklarının korunması ve ihtiyaçlarına uygun koruyucu tedbirlerin uygulanmasına bir dayanak oluşturduğundan önem arz etmektedir. Zira, Türk hukuku uyarınca her insan doğumuyla birlikte hak ehliyetine sahip olsa da tam fiil ehliyeti için kişinin ergin, ayırt etme gücüne sahip ve kısıtlı olmaması gereklidir. Dolayısıyla, çocuklar, 18 yaşını doldurmadıkları sürece tam fiil ehliyetine sahip olamazlar. Çocukların fiil ehliyetine sahip olmamaları ise onların kendi başlarına kişisel verilerinin işlenmesi konusunda rıza gösterememeleri anlamına gelmektedir.
Türk hukukunda çocuk kavramı, öncelikle 4721 sayılı Türk Medeni Kanunu (“TMK”), 5395 sayılı Çocuk Koruma Kanunu (“ÇKK”) ve 5237 sayılı Türk Ceza Kanunu (“TCK”) gibi temel kanunlarda düzenlenmiştir. İlgili temel mevzuatlar uyarınca “çocuk” “on sekiz yaşını doldurmamış kişi” olarak yaşa dayalı şekilde tanımlanmıştır.
Uluslararası düzenlemelerde özellikle Birleşmiş Milletler Çocuk Haklarına Dair Sözleşme (“BMÇHS”) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) çerçevesinde çocuk kavramı üzerinde durulmaktadır. BMÇHS’ye göre çocuk, “18 yaşına kadar her insan” olarak tanımlanmıştır. Türkiye’nin BMÇHS’yi iç hukuka aktarmasıyla birlikte Türkiye’de de çocuk tanımı 18 yaş olarak kabul edilmektedir. GDPR’da ise çocuk kavramı genel olarak 16 yaş altı bireyleri kapsamaktadır. GDPR, çocukların kişisel verilerinin işlenmesi konusunda ebeveyn onayını zorunlu kılmakta olup AB üyesi ülkeler bu yaş sınırını 13’e kadar indirebilmektedir.
Anılı düzenlemelerden de görüldüğü üzere çocuk kavramı, Türk hukukunda ve uluslararası düzenlemelerde yaş sınırına dayalı olarak tanımlanmış olup kural olarak 18 yaşını doldurmamış bireyler çocuk olarak kabul edilmektedir.
C. Çocukların Kişisel Verilerinin Korunmasının Gerekliliği
Çocukların dijital ortamlarda korunmaları, onların özel hayatının gizliliğinin sağlanması ve psikolojik, sosyal gelişimlerinin desteklenmesi açısından önem taşımaktadır. Çocuklar, çevrimiçi ortamda kendi haklarını ve gizliliklerini koruma bilincine sahip olmadıkları için yetişkinlere göre daha fazla risk altındadır. Çocukların kişisel verilerine yönelik ihlaller, onların özel hayatlarına müdahale edilmesine, dijital tehditlere ve çeşitli istismarlara maruz kalmalarına yol açabilmektedir. Bu nedenle, çocukların kişisel verilerinin korunması hem ulusal hem de uluslararası düzenlemelerle zorunlu kılınmış bir ihtiyaçtır.
D. Çocukların Kişisel Verilerinin Korunmasına İlişkin Düzenlemeler
a. KVKK Kapsamındaki Düzenlemeler
Türk hukukunda, kişisel verilerin işlenmesi ve korunması KVKK’daki düzenlemelere tabidir. KVKK kişisel veri işleme faaliyetlerinin yasal çerçevesini belirlemekte ve veri sorumlularına yükümlülükler getirmektedir. KVKK’da çocuklara yönelik özel bir düzenleme bulunmamakla birlikte, genel ilkelere uyum sağlanarak çocukların verilerinin güvenliği korunmaya çalışılmaktadır.
KVKK’nın 4. maddesi, veri işlemenin dürüstlük kuralına uygun, doğru, güncel, belirli, açık ve meşru amaçlar doğrultusunda olması gerektiğini belirtmektedir. Anılı ilkeler, çocuk verilerinin işlenmesinde de geçerlidir ve çocukların yüksek yararının gözetilmesini zorunlu kılmaktadır. Yüksek yarar ilkesine ise ayrı bir başlık altında ayrıca değinilecek olmakla birlikte Türk hukukunda çocukların kişisel verilerinin korunmasına ilişkin özel düzenlemelere yer verilmediğinden çocukların korunması için daha fazla düzenleme ve denetim ihtiyacı bulunduğu aşikardır.
Örneğin; KVKK uyarınca kişisel verilerinin toplanması ve işlenmesinde kural olarak açık rıza alınması gerekmektedir. Hal böyleyken, çocukların kişisel verilerinin toplanması ve işlenmesinde de açık rıza gerekliliği bulunmaktadır. Ancak, KVKK’da çocukların verilerinin işlenmesine yönelik özel bir yaş sınırı getirilmemiş olması nedeni ile süreç genel fiil ehliyeti esaslarına göre yürütülmektedir. Bu nedenle, çocukların verilerinin işlenmesi söz konusu olduğunda, veri sorumlularının çocukların yerine ebeveyn veya vasilerden onay alması gerekmektedir. Bir diğer anlatımla, ebeveyn veya vasiler çocuklarının kişisel verilerinin nasıl kullanılacağına dair kararlar almakta olup çocuklarının mahremiyetlerini korumakla yükümlüdürler. Böyle bir yükümlülük yüklenen ebeveyn veya vasilerin ise bu konuda bilinçlenmesi ve denetlenmesi gerektiği değerlendirilmektedir.
b. Uluslararası Düzenlemeler ve GDPR
BMÇHS, çocukların haklarının korunması için evrensel bir çerçeve sunmaktadır. BMÇHS’nin 16. maddesi, çocuğun özel hayatına, ailesine ve iletişimine yapılan müdahalelere karşı korunması gerektiğini belirtmektedir. Bu hüküm, çocukların kişisel verilerinin dijital ortamlarda gizliliklerinin sağlanması gerekliliğini de kapsamaktadır. Türkiye’nin de taraf olduğu BMÇHS, çocukların veri güvenliğini sağlama yükümlülüğünü taraf ülkelere yüklemekte ve çocukların dijital dünyada haklarının korunması için bir temel oluşturmaktadır.
GDPR ise çocukların kişisel verilerinin korunması için en kapsamlı düzenlemelerden biridir. GDPR, 16 yaş altı çocukların dijital hizmetlere erişiminde ebeveyn iznini zorunlu kılarken, çocukların veri işleme süreçlerinde bilgilendirilmelerini şart koşmaktadır. GDPR’da “tasarım gereği gizlilik” (privacy by design) ve “varsayılan gizlilik” (privacy by default) ilkeleri, çocukların dijital platformlardaki verilerinin korunması için yüksek güvenlik standartlarının sağlanmasını zorunlu hale getirmektedir. GDPR ayrıca, çocukların gelecekte dijital izlerinden etkilenmemeleri için unutulma hakkı tanımakta olup bu hak, çocukların talepleri üzerine dijital platformlardan verilerinin silinmesini sağlamaktadır.
Bunun dışında, Avrupa Konseyi ve Ekonomik İşbirliği ve Kalkınma Örgütü (“OECD”) gibi çeşitli uluslararası kuruluşlar da çocukların verilerinin korunmasına yönelik ilkeler benimsemişlerdir.
c. Çocuğun Yüksek Yararı İlkesi
Çocuğun yüksek yararı ilkesi, veri işleme süreçlerinde çocuğun ihtiyaçlarını ve güvenliğini önceliklendiren bir prensiptir. Çocuğun yüksek yararı, onların fiziksel, zihinsel, sosyal ve duygusal gelişimlerini koruma amacı taşımaktadır. BMÇHS’nın 3. maddesinde yer alan bu ilke, Türkiye’nin de taraf olduğu uluslararası bir düzenlemedir ve çocuğun korunmasını öncelikli bir hak olarak değerlendirmektedir. Aynı zamanda bu ilke çocuğun veri güvenliğini sağlamayı ve veri işlemede çocuklara özgü tedbirlerin alınmasını zorunlu kılmaktadır.
Çocuğun yüksek yararı ilkesinin, her düzeydeki karar alıcılar, aileler, eğitimciler ve toplumun genelinde dikkate alınması gerekmekte olup bu ilke her zaman ön planda tutulması gereken bir normdur. Nitekim, kamu yararı ve çocuğun üstün yararı kavramları arasındaki dengenin nasıl olması gerektiği Kişisel Verileri Koruma Kurulu’nun 30.09.2021 tarihli ve 2021/989 K. sayılı kararında ortaya konmuş olup kişisel veri kaynağı çocuk olduğunda kamu yararının dar yorumlanması gerektiği belirtilmiştir.
E. Çocuk Verilerinin Korunmasına Yönelik Saldırılar ve Hukuki Başvuru Yolları
Çocukların dijital dünyada verilerinin ihlal edilmesi durumunda, ebeveyn veya vasiler, veri sorumlusuna başvurarak ihlalin giderilmesini talep edebilmektedir. Türkiye’de veri ihlalleri durumunda Kişisel Verileri Koruma Kurumu’na şikâyette bulunulabilmektedir. KVKK’nın 12. maddesi veri güvenliği yükümlülüğünü ihlal eden veri sorumlularına idari para cezası öngörürken, ihlale uğrayan çocukların maddi ve manevi zararlarını tazmin etme haklarının da bulunduğunu belirtmek gerekmektedir.
Örneğin, sosyal medya platformlarında çocukların rızaları olmadan fotoğraflarının veya bilgileri paylaşıldığında, bu bir veri ihlali olarak değerlendirilebilir. Bu durumda, çocuğun özel hayatı ihlal edilmekte ve kimlik hırsızlığı veya dijital zorbalık gibi tehditlere karşı savunmasız kalmaktadır. Veri sorumluları, çocukların kişisel verilerinin ihlal edilmemesi için ek güvenlik önlemleri almakla yükümlüdür.
F. Türkiye Hukukunda Çocukların Kişisel Verilerinin Korunmasına Yönelik Öneriler
Türk hukukunda çocuklara yönelik özel veri koruma düzenlemelerinin olmaması, yasal boşluklara ve uygulamada zorluklara yol açabilmektedir. Uluslararası düzeyde GDPR gibi örnekler dikkate alındığında, Türk hukukunda da çocuklara özel bir veri koruma yasası oluşturması gerekliliği önem arz etmektedir. Bu nedenle GDPR’dan esinlenilerek Türk hukukunda çocukların kişisel verilerinin korunmasına yönelik düzenleme önerileri aşağıdaki gibi sıralanabilir:
- Yaş Sınırı Düzenlemeleri: Çocukların kişisel verilerinin işlenmesi konusunda yaş sınırı belirlenmesi ve belirli yaş altındaki çocuklar için ebeveyn onayı şartı getirilmesi
- Aydınlatma ve Rıza Süreçlerinin Sadeleştirilmesi: Çocuklara yönelik dijital platformlarda veri işleme süreçlerinde şeffaflık sağlanması ve bilgilendirme metinlerinin çocukların anlayabileceği sadelikte hazırlanması
- Eğitim ve Bilinçlendirme Çalışmaları: Çocukların dijital farkındalık kazanması için eğitim programları düzenlenmesi, ebeveynler ile çocukların veri güvenliği konusunda bilinçlendirilmesi
- Yüksek Güvenlik Standartlarının Sağlanması: Çocuklara yönelik dijital platformların, GDPR’daki “tasarım gereği gizlilik” ve “varsayılan gizlilik” ilkelerini dikkate alarak yüksek güvenlik standartlarını sağlaması
G. Sonuç
Çocukların kişisel verilerinin korunması, dijital dünyada karşı karşıya kaldıkları risklere karşı etkin bir koruma sağlanması için büyük önem taşımaktadır. KVKK, çocukların verilerinin korunması için genel bir çerçeve sunmakla birlikte, çocuklara özgü düzenlemelerin eksikliği, uygulamada yasal boşluklara yol açmaktadır. Çocukların kişisel verilerinin işlenmesi süreçlerinde, ebeveyn ve vasilerin çocukları adına rıza gösterme yetkisi bulunduğundan, bu süreçte velilerin veri güvenliği konusunda bilinçlendirilmesi büyük önem taşır. Özellikle çocukların dijital ortamlarda güvenle var olabilmesi için, ebeveynlerin ve vasilerin veri güvenliği farkındalığı artırılmalı, bilinçli onay mekanizmalarının oluşması sağlanmalıdır. Gerektiğinde, veri ihlalleri veya güvenlik açığı durumlarında Kişisel Verileri Koruma Kurumu’na şikâyette bulunulması, çocukların dijital haklarının korunması adına etkili bir adım olacaktır.
Uluslararası düzeyde GDPR gibi düzenlemeler, çocuk verilerinin korunmasına ilişkin yüksek güvenlik standartları belirlemekte ve çocukların dijital ortamlarda güvenle var olmalarını sağlamaktadır. Türk hukukunda da çocukların üstün yararını gözeten düzenlemeler yapılması, çocukların dijital dünyada maruz kalabileceği risklere karşı daha etkin bir koruma sağlayacak ve onların sağlıklı bir şekilde gelişimlerini sürdürebilmelerine önemli ölçüde katkıda bulunacaktır.