çocuklarin ki̇şi̇sel veri̇leri̇ni̇n i̇şlenmesi̇nde nelere di̇kkat etmeli̇yi̇z?

ÇOCUKLARIN KİŞİSEL VERİLERİNİN İŞLENMESİNDE NELERE DİKKAT ETMELİYİZ?

ÇOCUKLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ

21 Ekim 2022

 

ÇOCUKLARIN KİŞİSEL VERİLERİNİN İŞLENMESİNDE NELERE DİKKAT ETMELİYİZ?

                                                                                           

       BAŞAK AYGÜN AYKUT

AHMET DEMİRTAŞ

 

 

Giriş

 

İlgili kişilerin kişisel verilerinin işlenmesi için öncelikle ilgililerin aydınlatılması gerekmektedir. Ayrıca; Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) m.5 gereği gerçek kişilerin kişisel verilerinin işlenebilmesi için maddede belirtilen hukuki sebeplerden birinin mevcut olması gerekir. İlgili hukuki sebeplerden herhangi birinin bulunmaması halinde ise ilgili kişinin açık rızasının alınması suretiyle, kişisel verileri işlenebilecektir. Bu noktada; Kanun ve ikincil mevzuat kapsamında ergin kişiler ile çocuklar arasında bir ayrım yapılmamıştır. Bu hususta çocukların kendi kişisel verilerinin geleceğini tek başlarına tayin edip edemeyecekleri sorusuna cevap bulmak gerekecektir.

 

Türk Hukuku ve Uluslararası Hukuk Kapsamında Çocukların Kişisel Verileri

 

Türk Hukuku

Kişisel verilerin işlenmesi, ilgili kişiye sıkı sıkıya bağlı bir hukuki işlemdir. Çocukların kendilerinin mi yoksa yasal temsilcilerinin mı aydınlatılacağı, açık rızanın gerektiği hallerde kişisel verilerinin işlenmesine tek başlarına rıza verip veremeyecekleri, verebileceklerse hangi yaştan büyük çocukların doğrudan kendilerinin aydınlatılacağı ve/veya gerekli hallerde tek başlarına açık rıza verebileceği Kanun’da belirtilmemiştir.

Kişisel Verilerin Korunması Kanunu yorumlanırken Türk Medeni Kanunu’nun (“TMK”) 5. maddesi dikkate alınarak, TMK’nin niteliğine uygun düştüğü ölçüde bütün özel hukuk ilişkilerine uygulanacağı esası gözden kaçırılmamalıdır. Zira karma bir hukuk dalı olan kişisel verilerin korunması hukuku, içerisinde birçok konuda özel hukukla ilişkili düzenlemeler barındırmaktadır. Bu sebeple; KVKK ve genel düzenleme olarak kabul edilebilecek TMK’yi birlikte değerlendirmek gerekecektir. KVKK bağlamında kişisel verilerin korunması kapsamındaki hukuki güvenceler tüm “gerçek kişilere” tanınmaktadır. TMK uyarınca, gerçek kişilerin, hak ve borçlara ehil olması için fiil ehliyetinin bulunması gerekmektedir. TMK’nin 11.  ve 14. maddeleri uyarınca 18 yaşın altındaki küçüklerin fiil ehliyetine sahip olmaması sebebiyle, bu kişiler adına işlemlerin yasal temsilcileri (velisi ya da vasisi) tarafından gerçekleştirilebileceği anlaşılmaktadır.

Kural olarak küçükler kendi işlemleriyle borç altına giremezler. Bu hususun iki istisnası TMK’nin 16. maddesinde sayılmıştır.  Bu istisnalardan biri de küçüğün kişiye sıkı sıkıya bağlı hakkını kullanmasıdır. Önemli olan nokta ise bu istisnanın ayırt etme gücü olan çocuklar bakımından geçerli olmasıdır. Doktrinde bir görüş; ayırt etme gücüne sahip küçüklerin, kişisel verilerinin işlenmesine dair haklarını tek başına kullanabilmelerini savunmaktadır. Bu görüşe göre; somut olaya göre çocuğun ayırt etme gücünün mevcudiyeti değerlendirilmeli ve buna göre eylem alınmalıdır. Ancak; KVKK bu hususta bir hüküm getirmediğinden, bununla ilgili net bir yaş sınırı belirtmek mümkün değildir. Zira ayırt etme gücü nispi bir kavramdır.

11/08/2020 tarihli ve 2020/622 sayılı kararında Kişisel Verileri Koruma Kurulu; 18 yaşını doldurmamış çocuğun babasının, çocuğa ilişkin sağlık raporunun silinmesi ile ilgili talebinde, babanın çocuk adına böyle bir talepte bulunabileceğini kabul etmiştir. Buna ek olarak, çocuğun da tek başına bu talepte bulunacağı da kabul edilmiştir. Zira Kurum burada çocuğun kişisel verilerinin korunması hakkını kullanmasını nispi kişiye sıkı sıkıya bağlı hak olarak kabul etmiştir.

Yukarıdaki şekilde ayırt etme gücüne sahip küçüklerin, kişisel verilerinin işlenmesine dair haklarını tek başına kullanabileceklerini savunan bir görüş olsa dahi mevcut düzenlemeler ışığında, çocukların kişisel verilerinin işlenmesi noktasında, aydınlatma ile gerekmesi halinde açık rıza yükümlülüklerinin çocuğun yasal temsilcisine karşı yerine getirilmesi gerekecektir. Başka bir ifadeyle; bir çocuğun kişisel verisini işlemeden önce veri sorumlularının ilk önce çocuğun yasal temsilcisini aydınlatması ardından da gerekmesi halinde veri işleme süreci için yasal temsilcisinin açık rızasını alması gerekecektir.

Bu noktada; doğrudan çocukları ilgilendiren kişisel veri işleme faaliyetlerinde, kişisel verilerin korunmasına dair haklar nispi kişiye sıkı sıkıya bağlı hak olarak kabul edildiğinden, yaşlarına bağlı olarak çocukların da anlayabilecekleri şekilde ayrıca aydınlatılmaları/bilgilendirilmeleri uygun olacaktır.

Nitekim; Kurum tarafından yayımlanan çocukların kişisel verilerinin korunmasına ilişkin bir Rehber[1]’de de “Ürün ve hizmetin hitap edeceği kitle çocuklar ise aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanmalı, gerekirse resim ve görsel efektlerle desteklenen daha anlaşılır, sade ve açık bir dil kullanılmalıdır.” denmektedir.

 

Uluslararası Düzenlemeler

Avrupa Birliği ülkeleri için doğrudan bağlayıcı olan ve 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği’nin (“GDPR”) 8. maddesi bilgi toplumu hizmetlerinin sunulması bağlamında çocuklara ait kişisel verilerin işlenmesiyle ilgili düzenlemeler içermektedir. İşbu madde uyarınca çocuğa ait kişisel verilerin işlenmesi için çocuğun en az 16 yaşında olması aranmış olup, belirlenen bu yaştan küçük çocukların kişisel verilerinin işlenebilmesi için yasal temsilcilerinin izni gerekmektedir. Üye devletler bu yaşı 13’e kadar indirebilmektedir. Buna ek olarak veri sorumlusuna bu gibi durumlarda, mevcut teknoloji göz önünde bulundurularak ebeveyn tarafından onay verilip verilmediğini doğrulamak için makul çabayı gösterme yükümlülüğü verilmiştir.

Amerikan hukukunda da özel bir kanun (Children’s Online Privacy Protection Act) ile çevrimiçi sistemler dâhilinde işlenen çocuklara ait kişisel veriler hakkında düzenlemeler getirilmiştir. İlgili kanuna göre; 13 yaşından küçük olmamak şartı ile çocuklar kendilerine ait kişisel veriler hakkında tasarrufta bulunma hakkına haiz olup 13 yaşından küçükler için ise velilerinin rızasının alınması şart koşulmuştur.

Sonuç

KVKK’de çocukların kişisel verilerinin işlenme süreciyle ilgili özel bir düzenlenme yer almamaktadır. GDPR madde 8’e benzer bir hüküm 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda bulunmamaktadır. Dolayısıyla; mevcut düzenlemeler çerçevesinde, çocukların kişisel verileri işlenirken aydınlatma ile gerekmesi halinde açık rıza yükümlülüklerinin çocuğun yasal temsilcisine karşı yerine getirilmesi gerekecektir.

Doğrudan çocukları ilgilendiren kişisel veri işleme faaliyetlerinde ise, yaşlarına bağlı olarak çocukların da anlayabilecekleri şekilde ayrıca aydınlatılmaları/bilgilendirilmeleri uygun olacaktır.