Makale
Çocukların kişisel verilerinin işlenmesinde açık rıza kavramı, ulusal ve uluslararası mevzuatlarda farklı standartlara tabidir. Bu makalede, KVKK, GDPR ve COPPA düzenlemeleri ışığında çocuk verilerinin işlenmesi, rıza verme yaş sınırları ve ebeveyn onayı gibi temel hukuki farklılıklar karşılaştırmalı bir perspektifle incelenmektedir.
Çocuk Verilerinde Açık Rıza ve Uluslararası Düzenlemeler Kıyası
Gelişen teknolojiler ve dijitalleşme ile birlikte, çocukların kişisel verilerinin işlenmesi hukuk dünyasının en hassas konularından biri haline gelmiştir. Kişisel Verilerin Korunması Kanunu (KVKK) ile uluslararası mevzuatlar arasında, çocuğun rıza kapasitesi ve yaş sınırları bakımından önemli uygulama farklılıkları bulunmaktadır. Özellikle çocukların, veri işlemenin sonuçlarını bir yetişkin gibi kavrayamaması, açık rıza alınması sürecinde çok daha dikkatli olunmasını gerektirir. Uluslararası alanda Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Amerika Birleşik Devletleri'nin Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) gibi metinler, çocuk verilerinin korunmasına yönelik özel standartlar ve yaş sınırları belirlemişken, Türk hukukunda bu yönde spesifik bir kanun maddesi eksikliği dikkat çekmektedir. Bu makale kapsamında, KVKK ile uluslararası düzenlemeler arasındaki temel yaklaşımlar, hukuki kıyaslama yöntemiyle ele alınacak ve uygulamada karşılaşılan yasal farklılıklara odaklanılacaktır.
KVKK Kapsamında Açık Rıza ve Çocukların Durumu
Türk hukukunda, Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri kavramı tanımlanırken yaş temelli bir ayrım gözetilmemiştir. Kanun'un 3. maddesine göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Yetişkinler ile aynı genel kurallara tabi olan çocuklar için KVKK içerisinde belirlenmiş özel bir rıza verme yaşı bulunmamaktadır. Bu durum, pratikte çocukların verileri işlenirken rızanın nasıl alınacağı sorusunu gündeme getirmektedir. Zira çocukların kişisel verilerinin toplanması ve kullanılması, yetişkinlere kıyasla daha yüksek bir hassasiyet gerektirir. KVKK'nın açık rıza metinlerinde çocuklara özel, anlaşılır ve şeffaf bir aydınlatma yükümlülüğü getirmemesi uluslararası alandaki çocuk dostu veri işleme pratiklerinin gerisinde kalmasına neden olmaktadır.
GDPR Düzenlemelerinde Çocuğun Rızası ve Yaş Sınırları
Avrupa Birliği'nin güncel veri koruma rejimi olan Genel Veri Koruma Tüzüğü (GDPR), çocukların kişisel verilerinin korunmasını 8. maddesinde özel olarak düzenlemiştir. Doğrudan çocuklara sunulan bilgi toplumu hizmetlerinde, çocukların verilerinin işlenebilmesi için temel rıza yaşı 16 olarak belirlenmiştir. Ancak üye devletler, iç hukuklarında yapacakları düzenlemelerle bu yaş sınırını en fazla 13 yaşına kadar indirebilme esnekliğine sahiptir. Eğer çocuk belirlenen asgari yaş sınırının altında ise, veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için çocuğun üzerindeki velayet hakkına sahip olan ebeveynden rıza alınması zorunludur. Ayrıca GDPR, veri sorumlularına çocuk dostu bilgilendirme yapma ve ebeveynin verdiği rızayı mevcut teknolojiler ışığında doğrulama yükümlülüğü yükleyerek, çocuk verileri üzerinde yüksek bir koruma standardı tesis etmiştir.
COPPA Standartları ve Ebeveyn Rızasının Doğrulanması
Amerika Birleşik Devletleri menşeli Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA), GDPR'a kıyasla daha keskin yaş sınırları ve rıza alma usulleri öngören bir yasal düzenlemedir. İlgili yasa uyarınca, 13 yaşın altındaki çocukların kişisel verilerinin işlenmesi kesinlikle ebeveyn rızasına bağlanmıştır. Veri sorumlularına, ebeveyn rızasını almakla yetinmeyip bu rızayı saptanmış yöntemlerle doğrulanabilir ebeveyn rızası formatında elde etme zorunluluğu getirilmiştir. Örneğin, ebeveyn tarafından imzalanan bir formun faks veya e-posta ile iletilmesi, kredi kartı ile doğrulama yapılması gibi somut yöntemler COPPA'nın katı uygulamaları arasındadır. Eğer veri sorumlusu doğrudan çocuklara yönelik bir hizmet sunuyor veya hizmetin çocukları hedeflediğini biliyorsa, verilerin üçüncü kişilerle paylaşılmasını engelleme şartıyla yalnızca bu sıkı doğrulama prosedürlerini uygulamak zorundadır.
Hukuki Düzenlemelerin Kıyaslanması
KVKK, GDPR ve COPPA arasındaki yasal farklar, çocuk verilerinin uluslararası dolaşımında ve çok uluslu şirketlerin hukuki uyumluluk süreçlerinde çeşitli sorunlar yaratmaktadır. KVKK, kanun metninde özel bir rıza yaşı sınırı içermemesi yönüyle diğer uluslararası düzenlemelerden keskin bir şekilde ayrışmaktadır. Diğer taraftan GDPR, esnek yaş limiti uygulaması ile üye devletlere kendi sosyolojik yapılarına uygun inisiyatif tanırken; COPPA, sıkı doğrulama sistemleri ve değişmez 13 yaş kuralı ile en katı yasal standardı belirlemektedir. Veri sorumluları, hukuka aykırı veri işlemenin yaratacağı idari para cezalarından kaçınmak için her ülkenin tabi olduğu yasal gereklilikleri ayrı ayrı ele almak zorundadır. İlgili mevzuatların yaş sınırı ve rıza metodolojileri üzerine temel farklılıkları somutlaştırmak amacıyla oluşturulan yasal tablo aşağıda sunulmuştur:
| Düzenleme | Özel Yaş Sınırı | Ebeveyn Rızası Şartı | Doğrulama Yükümlülüğü |
|---|---|---|---|
| KVKK | Yok | Belirli bir yaş öngörülmemiştir | Kanunda açık bir usul yoktur |
| GDPR | 16 yaş (13'e indirilebilir) | Yaş sınırının altındaki çocuklar için | Mevcut teknoloji ile makul çaba |
| COPPA | 13 yaşın altı | 13 yaş altındaki çocuklar için | Kesin ve doğrulanabilir usuller |