ARTICLE
30 November 2023

Çocukların Kişisel Verilerinin Korunması: Türkiye'de Güncel Durum

DL
DKB Legal Consultancy & Compliance
Contributor
DKB Legal Consultancy & Compliance
DKB Legal was founded by Didem Kalaycıoğlu Birol and based in Istanbul, Turkey. DKB Legal provides consultancy and compliance management services to local and foreign clients, particularly in the areas of Personal Data Protection, Telecommunications Law, Competition Law, E-Commerce & Consumer Law.
Explore
Günümüzde çocuklar eğitim, eğlence, sosyal becerilerin gelişimi gibi birçok temel gereksinimleri için internette oldukça sık zaman geçirmektedirler.
Turkey Privacy
Photo of İrem Naz Yıldız
Photo of Didem Kalaycıoğlu Birol
Authors
To print this article, all you need is to be registered or login on Mondaq.com.

GİRİŞ

Günümüzde çocuklar eğitim, eğlence, sosyal becerilerin gelişimi gibi birçok temel gereksinimleri için internette oldukça sık zaman geçirmektedirler. Hatta çoğu zaman bu durum bir tercihten çok zorunluluk haline gelmektedir; örneğin okullarda eğitim amaçlı kullanılan bazı uygulamalar için çocukların mobil cihazlara ve internete erişimlerinin olması beklenmektedir. Teknolojinin hayatımızın neredeyse her alanına etki etmesinin ve bu durumun bir uzantısı olarak internet kullanımının yaygınlaşmasının bireyler için birçok faydası bulunduğu gibi zararları da bulunmaktadır. Taciz, siber zorbalık, dolandırıcılık, uygunsuz materyallere erişim ve doğrudan pazarlamanın muhtemel olumsuz etkileri bu zararların başında gelmektedir.

Çocukların kişisel verilerin kontrolsüzce paylaşımının risklerini öngörememesi, yasal haklarını ve bu hakların nasıl kullanılacağını bilmemesi gibi hususlar çocukları söz konusu zararlara karşı daha da savunmasız kılmaktadır. Bu sebeple özellikle çocukların kişisel verilerinin korunması konusunda farkındalığın artırılmasına ve çocukları muhtemel risklerden koruyucu önlemler alınmasına ihtiyaç duyulmaktadır. Bu yazıda çocukların kişisel verilerinin korunmasına ilişkin Türkiye'deki güncel hukuki durum değerlendirilecektir.

1. Türk Medeni Kanunu'nda Yer Alan Düzenlemeler

Çocukların kişisel verilerinin korunması söz konusu olduğunda, akla ilk olarak 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ("KVKK") gelmektedir. KVKK'nın 2. maddesinde yer alan "bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." ifadesi ile KVKK'nın uygulama kapsamı belirtilmiştir.

İlgili hükümde yer alan "gerçek kişiler" kapsamında çocukların yer alıp almadığı ise tartışmalı bir durumdur. 4721 sayılı Türk Medeni Kanunu'nun ("TMK") 28. maddesi uyarınca kişi; tam ve sağ doğumundan itibaren gerçek kişi olarak kabul edilmektedir. Gerçek kişilerin hak ve borçlara ehil olabilmeleri için ise fiil ehliyetinin varlığı aranmaktadır. TMK'nın 14.maddesi, 18 yaşın altındaki küçükler fiil ehliyetine sahip olmadığından, bu kişiler adına işlemlerin veli ya da vasi tarafından gerçekleştirilebileceğini düzenlemektedir.

Her gerçek kişi, kişisel verilerini koruma hakkına sahip olsa dahi, bu hakkın çocuklar tarafından etkin şekilde kullanıp kullanılamayacağı tartışmalı bir durumdur. Bu hakkın çocuklar adına yasal temsilcileri tarafından kullanılamaması durumunda çocuğun hak ehliyetsizliği gibi ciddi bir sonuç doğabilecektir. Bu noktada, kişisel verilerin koruması hakkının şahsa sıkı sıkıya bağlı bir hak mı, yoksa nispi şahsa sıkı sıkıya bağlı hak olarak mı değerlendirilmesi gerektiği sorusu akıllara gelmektedir. Kişisel Verileri Koruma Kurul'u ("Kurul") tarafından verilen bir kararda bu konuya ilişkin bir değerlendirme yapılmıştır, aşağıdaki başlıkta detaylı olarak incelenecektir.

2. Kişisel Verileri Koruma Kurulu'nun Kararları

Her ne kadar mevcut durumda KVKK'da çocuklarım kişisel verilerinin işlenmesi hususunda özel bir düzenleme bulunmasa da Kurul, çocukların kişisel verilerinin gizliliğine dikkat çekilen çeşitli kararlar yayınlamıştır:

a. 18 Yaşını Doldurmamış İlgili Kişiye Ait Sağlık Raporunun İmha Edilmesine Yönelik İlgili Kişinin Babası Tarafından Veri Sorumlusuna Başvurulması ve Cevap Alınamaması – (11/08/2020)

Karara konu olayda; 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun gerçeğe aykırı olarak düzenlendiği iddia edilmiş olup bu raporun kayıtlardan imha edilmesi talebi ile ilgili kişinin babası tarafından veri sorumlusuna başvuruda bulunulmuştur.

Veri sorumlusunun söz konusu talebe cevap vermemesi üzerine, ilgili kişinin kendisi Kurul'a şikâyette bulunmuştur.

İlgili kişinin 18 yaşını doldurmadığı dikkate alındığında, Kurul'a şikâyette bulunulmasına dair hakkın ilgili kişi tarafından kullanılıp kullanılmayacağı hususu Kurul tarafından öncelikli olarak ele alınmıştır:

  • Anayasanın "Özel Hayatın Gizliliği" başlıklı 20. maddesinde herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu; bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
  • 4721 sayılı TMK'nın 16.maddesinde ayırt etme gücüne sahip küçükler ve kısıtlıların, yasal temsilcilerinin rızası olmadıkça kendi işlemleriyle borç altına giremeyeceği düzenlenmekle birlikte karşılıksız kazanma ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rızanın gerekli olmadığının hüküm altına alındığı; bu çerçevede, kural olarak sınırlı ehliyetsizlerin kişiye sıkı sıkıya bağlı haklarını kullanmada yasal temsilcinin rızasını almak zorunda olmadığı düzenlense de, kişiye sıkı sıkıya bağlı haklardan olup çok önemli sonuçlar doğurmaya elverişli olan bazılarının istisnai olarak yasal temsilcinin rızasına tabi tutulduğunun görüldüğü; bu itibarla, kişiye sıkı sıkıya bağlı hakların kullanılmasına karar verme yetkisinin bizzat hak sahibi tarafından kullanılması gerektiği, hakkın kullanılmasına karar verme yetkisinin başkasına devredilemediği,
  • Kişilik hakkının, kişinin maddi ve manevi varlıkları ile iktisadi bütünlüğü ve sır çevresi üzerinde sahip olduğu kişiye sıkı sıkıya bağlı bir hak olduğu, bu niteliği nedeniyle herkese karşı ileri sürülebilen bu hakkın başkasına devredilemez, vazgeçilemez ve zamanaşımına uğramaz nitelikte olduğu, kişiye sıkı sıkıya bağlı olan hakların bu niteliklerinden ötürü miras yoluyla mirasçılara geçmediği ve hak süjesinin ölümüyle kendiliklerinden ortadan kalktığı; bu anlamda, ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakların da kişiye sıkı sıkıya bağlı haklardan olduğu; bu anlamda 4721 sayılı Kanunun 16. maddesinde yer alan "Ayırt etme gücüne sahip küçükler ve kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler. Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir." hükmündeki ayırt etme gücüne sahip küçüklerin kişiye sıkı sıkıya bağlı hakları kullanmalarında yasal temsilcilerinin rızasının gerekli olmadığına ilişkin kuralın çocuk için bir yetki kuralı olduğu, ancak veli için bir yasak kuralı olmadığı; velinin nispi kişiye sıkı biçimde bağlı hakları küçük adına ve hesabına kullanabildiği,
  • hususları göz önünde bulundurulduğunda, çocuğun üstün yararı da gözetilerek kişisel verilerin korunması hakkının da somut olay bakımından nispi kişiye sıkı biçimde bağlı hak kategorisinde ele alınmasının yerinde olacağı değerlendirilmiştir.
  • İlgili kişinin ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikâyet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği kanaatine varılmıştır.

b. Veri Sorumlusu Eğitim Kurumu Tarafından Şikâyetçinin Çocuklarının Özel Nitelikli Kişisel Verilerinin Hukuka Aykırı Olarak İşlenmesi – (02/04/2020)

Karara konu olayda; şikâyetçinin velisi bulunduğu çocuklarının okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için özel nitelikli kişisel verilerinin kullanıldığı ve işlendiği belirtilmiştir.

Kurul tarafından yapılan incelemede;

  • Veri sorumlusunun ilgili kişilere CAS testi uygulanması sürecinde, ilgili kişilerin reşit olmaması nedeniyle velisinin açık rızasına dayanmadan özel nitelikli kişisel verilerini işlediği,
  • Veri sorumlusunun, öğrencilere CAS testi uygulanması sürecinde veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişilerin diğer hakları konusunda öğrencinin velisine yeterli düzeyde bilgi sağlamamak suretiyle aydınlatma yükümlülüğünü tam olarak yerine getirmediği,
  • İlgili kişilerin özel nitelikli kişisel veri kapsamında olan sağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle veri işleme faaliyetinin hukuka aykırı olduğu tespit edilerek veri sorumlusuna 50.000 TL idari para cezası uygulanmasına, velilere ve öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesi, hukuka aykırılıkların giderilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

c. Tiktok Pte. Ltd. Tarafından 13 Yaş Altı Çocukların Kişisel Bilgilerinin Görüntülendiği ve Uygun Ebeveyn İzni Olmadan Çocuklar Hakkında Veri Toplanması - (01.03.2023)

Karara konu olayda; 2021 yılı Ocak ayında TikTok Gizlilik Politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu anlaşılmıştır.

TikTok, 2021 yılı Ocak ayında Gizlilik Politikasında bir güncelleme yaparak, 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının "özel" olarak değiştirmiştir. Özel profil ayarı, yalnızca kullanıcının onayladığı takipçilerin kullanıcı tarafından paylaşılan videolara erişebilmesine imkan tanımaktadır.

Ancak bu güncellemeye dek profil ayarlarının varsayılan olarak herkese açık olarak belirlenmesi ile etkileşimlerde hiçbir sınırlandırılmada bulunulmaması sonucunda TikTok'un hassas yaş grubunda olan kullanıcıların verilerine erişilmesi konusunda yeterli tedbir almadığı görülmektedir.

Gizlilik Politikasının güncellenmesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin herhangi bir sınırlandırma olmadan görüntülendiği ve ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuçların doğma riskinin bulunduğu da Kurul tarafından vurgulanmıştır.

3. 11. Kalkınma Planı – GDPR Uyum Süreci

KVKK'dan farklı olarak Avrupa Birliği bünyesinde uygulanan Genel Veri Koruma Tüzüğü ("GDPR") çocukların kişisel verilerinin korunmasına yönelik özel düzenlemeler içermektedir.

GDPR'ın "Bilgi Toplumu Hizmetleriyle İlgili Olarak Çocuğun Rızası İçin Geçerli Koşullar" başlıklı 8.maddesine göre, bilgi toplumu hizmetleri sağlanması kapsamında bir çocuğun kişisel verilerinin işlenmesi, çocuğun en az 16 yaşında olması halinde hukuka uygun olacaktır. Çocuğun 16 yaşından küçük olduğu hallerde ise, söz konusu işleme faaliyeti ancak çocuk üzerinde ebeveyn sorumluluğu bulunan kişi tarafından rıza gösterildiği veya yetki verildiği takdirde ve ölçüde hukuka uygun olacaktır. Ancak üye devletler, 13 yaştan küçük olmamak kaydıyla, kanunla daha küçük bir yaş belirleyebilmektedirler.

Türkiye, 11. Kalkınma Planı ile mevcut kişisel verilerin korunması mevzuatını GDPR'a uyumlu hale getirmeyi hedeflemektedir. Türkiye'nin bu konuda bir uyum sürecinde olduğu, son yıllarda verilen Kurul kararlarından, ilgili diğer Kurumların kararlarından, çıkarılan yönetmeliklerden, yayınlanan rehberlerden ve tavsiyelerden de anlaşılabilmektedir. Bu gelişmeler ışığında, nihai hale getirilecek KVKK'nın çocukların veri gizliliği için daha güçlü korumalar sağlaması beklenmektedir.

4. Sosyal Ağ Sağlayıcılara İlişkin BTK Kararı

Yukarıda da bahsedildiği üzere, sadece KVKK'nın değil, ilgili diğer Kurumlar tarafından verilen kararlardan da Türkiye'de çocukların kişisel verilerinin korunmasının gündemde olduğu anlaşılmaktadır. 1 Nisan 2023'te yayınlanan "Sosyal Ağ Sağlayıcı Hakkında Usul ve Esaslar" başlıklı BTK kararı ile sosyal ağ sağlayıcılara getirilen yükümlülükler arasından "çocuklara özgü ayrıştırılmış hizmet sunulması" başlıklı düzenleme ilgi çekici olmuştur.

İlgili yükümlülük kapsamında;

Sosyal ağ sağlayıcılar, çocuk olduğu anlaşılabilen kullanıcılara sunulan içerik, reklam ve diğer hizmetlerde;

  • Çocuğun yaşı,
  • Çocuğun üstün yararının gözetilmesi,
  • Çocuğun fiziksel, psikolojik ve duygusal gelişiminin korunması,
  • Çocuğa yönelik cinsel istismar ve ticari sömürü risklerinin önlenmesi,
  • Çocuğa ait kişisel verilerin korunmasında yüksek düzeyde gizlilik ayarları ile asgari düzeyde veri işlenmesinin sağlanması,
  • Sözleşme, kullanıcı ayarları ve veri politikaları gibi hususların çocuğun anlayabileceği şekilde sunulması hususlarında ve çocuklara özgü ayrıştırılmış hizmet sunma konusunda diğer gerekli tüm tedbirleri almakla yükümlü hale gelmişlerdir.

Aynı yıl içerisinde, kısa zaman aralıklarında hem KVKK tarafından yayınlanan TikTok kararı ile hem de BTK tarafından yayınlanan Sosyal Ağ Sağlayıcılara ilişkin kararda, hassas yaş grubunda bulunan kullanıcıların kişisel verilerine erişilmesi konusunun vurgulanması önemli bir gelişme olmuştur.

SONUÇ

Güncel durumda Türkiye'de kişisel verilerin korunması mevzuatında çocuklara yönelik düzenlemelerde eksiklikler bulunmakla beraber yazıda belirtilen gelişmeler, bu konunun uzun süre Türkiye'nin hukuki gündeminde olacağına ve yeni düzenlemelerin kapıda olduğuna işaret etmektedir.

Çocukların kişisel verilerin korunması son derece hassas bir konu olduğundan, sadece hukuki düzenlemelerin yeterli olmayacağı, bu konuda toplum olarak bir farkındalığın geliştirilmesi gerektiği unutulmamalıdır.

Farkındalık oluşturulması noktasında öncelikle ailelerin çocukların kişisel verilerinin korunması konusunda kendi bilgi ve farkındalıklarını artırması, sonrasında çocuklarını bu konuda yönlendirmeleri ve kişisel veri mahremiyeti konusunu gündelik sohbetlerinin bir parçası haline getirmeleri önemli olacaktır.

Özellikle çocuklara yönelik ürün ve hizmet geliştiren işletmelerin KVKK'ya ve gelecek düzenlemelere uyum konusunda özenli olmaları da yine bu konudaki farkındalığın artmasına katkı sağlayacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of İrem Naz Yıldız
İrem Naz Yıldız
Photo of Didem Kalaycıoğlu Birol
Didem Kalaycıoğlu Birol
Your Author LinkedIn Connections
ARTICLE
30 November 2023

Çocukların Kişisel Verilerinin Korunması: Türkiye'de Güncel Durum

Turkey Privacy
Contributor
DKB Legal Consultancy & Compliance
DKB Legal was founded by Didem Kalaycıoğlu Birol and based in Istanbul, Turkey. DKB Legal provides consultancy and compliance management services to local and foreign clients, particularly in the areas of Personal Data Protection, Telecommunications Law, Competition Law, E-Commerce & Consumer Law.
Explore
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More