Makale
Çocukların kişisel verilerinin işlenmesi, ehliyet durumlarına, uluslararası yaş standartlarına ve ebeveynlerin sosyal medya kullanımlarına göre farklı hukuki rejimlere tabidir. Bu makalede, GDPR ve COPPA standartları, sharenting kavramı ve ev içi kullanım istisnaları hukuki bir perspektifle incelenmektedir.
Çocukların Kişisel Verilerinin İşlenmesinde Hukuka Uygunluk
Dijital çağın getirdiği teknolojik gelişmeler, çocukların kişisel verilerinin çevrimiçi platformlarda her zamankinden daha fazla işlenmesine neden olmaktadır. Çocukların kişisel verilerinin korunması, onların henüz fiziksel ve ruhsal gelişimlerini tamamlamamış olmaları sebebiyle hukuk sistemlerinde özel bir hassasiyetle ele alınmaktadır. İşleme pratiği bağlamında, çocukların verilerinin hukuka uygun olarak işlenebilmesi için açık rıza mekanizmasının doğru işletilmesi şarttır. Türk hukuku başta olmak üzere, küresel veri koruma standartları, rıza beyanında bulunacak kişinin yaşını ve ayırt etme gücünü merkeze almaktadır. Bu noktada, veri sorumlularının mevzuata uygun hareket edebilmesi için çocukların ehliyet kademelerini iyi analiz etmeleri ve sınırları uluslararası alanda çizilmiş yaş standartlarını uygulamaları gerekmektedir. Günümüzde ayrıca, ebeveynlerin çocuklarına ait verileri kontrolsüzce paylaşması anlamına gelen sharenting olgusu, hukuka uygunluk sınırlarının yeniden tartışılmasına yol açmıştır.
Çocuğun Ehliyet Kademelerine Göre Açık Rıza Mekanizmaları
Türk Medeni Kanunu (TMK) uyarınca çocukların hukuki işlem ehliyeti, ayırt etme gücünün varlığına göre iki temel kategoriye ayrılır. Ayırt etme gücünden yoksun olan çocuklar, tam ehliyetsiz statüsündedir ve tek başlarına hukuki işlem tesis edemezler. Kişisel verilerin işlenmesine rıza gösterme hakkı, kişiye sıkı sıkıya bağlı haklar kapsamında değerlendirildiğinden, tam ehliyetsiz çocukların bu hakkı bizzat kullanması mümkün değildir. Bu sebeple, söz konusu çocukların verilerinin işlenebilmesi için yasal temsilcilerinin rızası aranmaktadır. Ancak yasal temsilci, çocuğun verilerinin işlenmesine izin verirken mutlak surette çocuğun üstün yararını gözetmek zorundadır. Örneğin, bir eğitim kurumuna kayıt veya sağlık hizmetlerinden yararlanma gibi çocuğun menfaatinin ağır bastığı durumlarda yasal temsilci rıza verebilirken, salt ticari amaçlı işlemlerde bu rızanın hukuki geçerliliği tartışmalı hale gelir.
Buna karşılık, ayırt etme gücüne sahip küçükler ise hukuk sistemimizde sınırlı ehliyetsiz olarak nitelendirilmektedir. TMK m. 16 hükmü gereğince, sınırlı ehliyetsizler kişiye sıkı sıkıya bağlı haklarını, yasal temsilcilerinin izni veya onayı olmaksızın bizzat kullanma ehliyetine sahiptir. Bu kuralın veri koruma hukukuna yansıması neticesinde, ayırt etme gücünü haiz bir çocuk, kendi kişisel verilerinin işlenmesine tek başına açık rıza verebilir. Elbette her somut olayın niteliğine göre çocuğun o işlemi kavrama yetisi ayrıca değerlendirilmelidir. Bazı durumlarda risklerin büyüklüğü göz önüne alınarak çocuğun rızasının yanı sıra yasal temsilcinin onayı sürecinin de dahil edilmesi, çocuğun üstün menfaatinin korunması adına uygulamada destekleyici bir pratik olarak tavsiye edilmektedir.
Uluslararası Hukukta Yaş Standartları: GDPR ve COPPA
Küresel düzeyde çocuk verilerinin işlenmesine ilişkin yaş standartları, Avrupa Birliği ve Amerika Birleşik Devletleri mevzuatlarında belirgin sınırlar ile çizilmiştir. Bu standartlar veri sorumlularına şu yükümlülükleri getirmektedir:
- Genel Veri Koruma Tüzüğü (GDPR): Doğrudan bilgi toplumu hizmetleri sunulan durumlarda, çocuğun tek başına geçerli bir rıza verebilmesi için en az 16 yaşında olması şartı koşulmuştur. Üye devletler bu sınırı kendi iç hukuklarında 13 yaşına kadar düşürebilir. Çocuk belirlenen yaş sınırının altındaysa, işleme faaliyetinin hukuka uygunluğu için veli onayının alınması ve veri sorumlusunun bunu doğrulamak adına makul çaba sarf etmesi gereklidir.
- COPPA (Children’s Online Privacy Protection Act): ABD hukukunda yer alan bu düzenleme, 13 yaşından küçük çocukları hedef almaktadır. Çevrimiçi hizmet veya ticari web sitesi operatörlerinin, 13 yaş altı çocuklardan veri toplamadan önce mutlaka doğrulanabilir ebeveyn onayı alması zorunlu kılınmıştır.
Her iki düzenleme de çocukların dijital platformlarda maruz kalabilecekleri tehlikeleri minimize etmeyi amaçlamaktadır. GDPR sistemi, çocukların riskleri ve hakları daha az farkında oldukları gerçeğinden yola çıkarak, profil oluşturma faaliyetlerinde çok daha sıkı koruma tedbirleri öngörür. Türk hukukunda henüz doğrudan teknoloji hizmetleri için net bir yaş sınırı kanunla çizilmemiş olmakla birlikte, doktrinde çocukların 15 yaşını doldurmaları halinde hukuki işlemlerde gösterdikleri yeterlilikten yola çıkılarak, veri işleme onayı için de benzer bir ayırt etme gücü kriterinin baz alınması gerektiği savunulmaktadır. Uygulamadaki bu yaş tespiti gerekliliği, veri işleyen şirketleri gelişmiş yaş doğrulama sistemlerini entegre etmeye zorlamaktadır.
Dijital Ebeveynlik ve Sharenting Olgusu
İnternet kullanımının yaygınlaşmasıyla birlikte ebeveynlerin, çocuklarının fotoğraflarını, sağlık durumlarını ve günlük yaşam aktivitelerini sosyal mecralarda sürekli paylaşması, sharenting olgusu olarak adlandırılmaktadır. Özellikle sosyal medya anneleri olarak bilinen profiller, kimi zaman çocukların masumiyetini ticari bir metaya dönüştürerek reklam gelirleri elde etme amacı güdebilmektedir. Bu tür yoğun paylaşımlar, literatürdeki tabiriyle over sharenting, çocuğun dijital ayak izinin kendi kontrolü dışında oluşmasına zemin hazırlamaktadır. Dahası, internet ortamına aktarılan verilerin kopyalanabilirliği nedeniyle tamamen yok edilememesi, çocukları kötü niyetli kişilerin hedefi haline getirmekte ve dijital çocuk kaçırma (digital kidnapping) gibi telafisi güç güvenlik risklerine davetiye çıkarmaktadır.
Bu paylaşımları yapan ebeveynler genellikle ifade özgürlüğü kapsamında hareket ettiklerini iddia etseler de, Anayasa'nın 26. maddesi gereğince ifade özgürlüğü, başkalarının haklarının korunması amacıyla sınırlandırılabilir. Burada bahsedilen "başkaları", bizzat çocukların kendisidir ve çocuğun özel hayatının gizliliği ebeveynin ifade özgürlüğünden üstün tutulmalıdır. Ebeveynlerin çocuklarına ait verileri bilinçsizce ve kontrolsüzce ifşa etmesi, hukuken velayet hakkının sınırlarının aşıldığı ve çocuğun üstün yararı ilkesinin ihlal edildiği anlamına gelmektedir. Veri koruma pratiği bağlamında, ebeveynlerin çocukları adına hareket ederken kendi sosyal tatminlerinden ziyade, çocuğun uzun vadeli psikolojik gelişimini temel almaları zorunludur.
Aile İçi Paylaşımlar ve KVKK m. 28/1-a İstisnası
KVKK m. 28/1-a bendi, veri işleme pratiğinde kanunun uygulama alanını daraltan önemli bir istisna hükmüdür. Bu bende göre; kişisel verilerin, üçüncü kişilere verilmemesi ve veri güvenliğine ilişkin yükümlülüklere uyulması şartıyla, gerçek kişiler tarafından aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi durumunda KVKK hükümleri uygulanmaz. Bu ev içi kullanım istisnası, bireylerin özel yaşamlarını hukuki prosedürlerle çekilmez hale getirmemek amacı taşır. Örneğin, bir çocuğun doğum günü kutlaması sırasında anne babası tarafından fotoğraflarının çekilmesi ve bu fotoğrafların sadece aynı konutta yaşayan aile üyeleri arasında kişisel cihazlarda muhafaza edilmesi, ilgili istisna kapsamında değerlendirilir ve herhangi bir açık rıza süreci gerektirmez.
Ancak söz konusu tam istisna halinin sınırları oldukça dardır ve mutlak surette üçüncü kişilerle paylaşmama koşuluna bağlanmıştır. Ebeveynlerin, aynı konutu paylaşmayan akrabalara, iletişim gruplarına veya herkese açık sosyal medya hesaplarına çocuğun fotoğrafını ya da özel nitelikli verisini yüklemesi durumunda ev içi kullanım istisnası derhal ortadan kalkar. İnternet ortamında yapılan bu tür paylaşımlar, verinin üçüncü kişilere doğrudan aktarımı anlamına geldiğinden, eylem KVKK’nın genel uygulama alanına girer. Dolayısıyla, aile fertleri arasında kalan masum bir anı kaydı ile bu verinin dijital platformlar aracılığıyla alenileştirilmesi hukuken tamamen farklı rejimlere tabidir ve kamuya açık platformlardaki ifşalar hukuka aykırı veri işleme boyutu kazanmaktadır.