Turkey: Dijital Çağda Çocukların Kişisel Verileri Ve Hukuki Boyutu

1. GİRİŞ

Teknolojinin önlenemez bir şekilde ilerlediği günümüzde, kişilerin mevcut pek çok alışkanlığı değişmekte ve bu bağlamda gündeme yeni konu başlıkları yerleşmektedir. Bunların başında hiç kuşkusuz kişisel verilerin korunması hukuku gelmekte ve bu ışıkta gerçek ve tüzel kişilerin süregelen iş yapış şekillerinde birçok değişiklikler meydana gelmektedir. 7 Nisan 2016 tarihinde Resmi Gazete 'de yayınlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu getirdiği düzenlemeler ile her ne kadar kişisel verilerin işlenmesi hususunda 18 yaşından büyük ergin kişiler üzerinden bir çerçeve çizse de, çocukların kişisel verileri üzerindeki tasarruflar da bir o kadar önem arz etmektedir.

2. TÜRK HUKUKUNDAKİ DÜZENLEMELER

Türkiye'de kişisel veri koruma hukuku alanında düzenlemeler getiren 6698 Sayılı KVK Kanunu içerdiği hükümler itibariyle ergin kişi [1]ve çocuklar[2] için ayrı bir düzenleme öngörmemektedir. Şöyle ki; Kanun'un kapsamını belirten 2.maddesi incelendiğinde düzenlenmiş olan ilgili veri koruma hükümlerinin, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı öngörülmüştür. [3]Buradan hareketle Türk Medeni Kanunu uyarınca hak süjesi olarak belirtilmiş gerçek kişi tanımından[4] yola çıkıldığında, KVKK'nın getirdiği yasal korumanın ergin kişiler kadar çocuklar için de aynı şekilde hüküm doğuracağı sonucuna varılacaktır.

Kanunumuzun çıkış noktası niteliğinde olan ve pek çok noktada dayanak oluşturan 95/46/AT sayılı Avrupa Birliği Direktifine göz atıldığında ilgili Yönerge 'de de bu açıdan bir ayrıma gidilmediği görülmektedir. Zira metinde açık olarak "protection of individuals with regard to the processing of personal data" [5]ifadesine yer verilmiş olup mevcut Veri Koruma Mevzuatımızdaki "gerçek kişi" düzenlemesi ile yeknesaklık göstermektedir.

Veri Koruma Mevzuatımızda çocuklara ait kişisel veriler hakkında ayrı bir düzenlemenin yer almaması sebebiyle işbu Kanunu TMK ile beraber incelemek doğru olacaktır. Şöyle ki; 6698 Sayılı Kanun, kişisel verilerin korunması kapsamındaki hukuki güvenceyi tüm "gerçek kişilere" tanımıştır. 4721 sayılı MK Md. 28 uyarınca ise kişi; tam ve sağ doğumundan itibaren gerçek kişi olarak kabul edilmektedir. [6]Buradan hareketle KVKK'nın ergin kişiler kadar ergin olmayan kişileri de bu "gerçek kişi" tanımıyla kapsamı ve koruması içine aldığını söylemek mümkündür. Medeni Kanun, gerçek kişilerin hak ve borçlara ehil olması için ise fiil ehliyetinin varlığını şart koşmuş olup Kanun'un 14.maddesi uyarınca 18 yaşın altındaki küçüklerin fiil ehliyetine sahip olmadığı [7]ve bu kişiler adına işlemlerin veli ya da vasi tarafından gerçekleştirilebileceği düzenlenmiştir.

Buradan hareketle KVKK 'da aranan açık rıza ve aydınlatma yükümlülüğünün muhatabının çocuğunun velisi ya da vasisi olacağını söylemek yanlış olmayacaktır. Bu noktada çocuğun rıza beyanının önemsiz olduğu şeklinde bir sonuç çıkarılmamalıdır. Zira aşağıda değinileceği üzere Avrupa ve Amerika'daki regülasyonlara göz atıldığında çocuğun kendi kişisel verileri üzerinde tasarrufta bulunmasına imkân verilmiş olup bu bağlamda ayrıntılı düzenlemeler getirilmiştir.

3. ULUSLARARASI HUKUKTAKİ DÜZENLEMELER

25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği (GDPR) veri koruma hukuku alanında daha detaylı düzenlemeler getirmiş olup Tüzüğün 8.maddesi [8]çocuklara ait kişisel verilerin işlenmesi hallerini ayrı bir madde ile regüle etmiştir. Buna göre çocuğa ait kişisel verilerin işlenmesi için çocuğun en az 16 yaşında olması aranmış olup belirlenen bu yaştan küçük çocuklar için yasal olarak tayin edilmiş veli ya da vasisinin iznine işaret edilmiştir. Tüzük AB üyesi devletlerin kendi iç düzenlemeleri ile bu yaşı 13 yaştan az olmayacak şekilde değiştirebileceklerini de belirtmiştir.

Avrupa'daki regülasyonlara benzer şekilde, Amerikan hukukunda da özel bir kanun ile çevrimiçi sistemler dâhilinde işlenen çocuklara ait kişisel veriler hakkında kısıtlayıcı ve sınırlayıcı hükümler getirilmiştir.[9] İlgili Kanun'a göre; 13 yaşından küçük olmamak şartı ile çocuklar kendilerine ait kişisel veriler hakkında tasarrufta bulunma hakkına haiz olup 13 yaşından küçükler için ise velilerinin rızasının alınması şart koşulmuştur.

Bu kapsamda 2015 yılında Hong-Kong merkezli VTech Şirketi'nin veri ihlali sebebiyle geçirdiği soruşturma konu hakkında önemli bir örnek teşkil etmektedir. Şöyle ki; soruşturmaya sebebiyet veren durum "VTech's Kid Connect App" sebebiyle meydana gelmiştir. Bu uygulama vasıtasıyla çocuklar, diğer çocuklar veya ebeveynler ile iletişime geçmektedir. Amerika Birleşik Devletleri Federal Ticaret Komisyonu (FTC) yaptığı araştırma sonucunda bu uygulama kapsamında VTech şirketinin velilerden gerekli izinleri almadığını ve güvenlik tedbirlerini yerine getirmediğini tespit etmiştir. [10]İhlal sebebiyle $650,000 cezaya maruz kalan şirketin, karar metnin de anlaşıldığı üzere çocukların kişisel verileri ile ilgili açık ve anlaşılır bir şekilde bilgi vermediği, velilerden gerekli noktalarda izin almadığı ve veri güvenliğini sağlamak için gerekli tedbirleri yerine getirmediği anlaşılmaktadır. [11]

4. SONUÇ

2016 yılında hayatımıza giren KVK Kanunu getirdiği düzenlemeler ile kişisel verilerin korunması konusunda kişilere birtakım haklar tanımıştır. Gerçek ve tüzel kişiler bakımından getirilen bu veri koruma kültürüne uyum sürecinin yavaş yavaş tamamlanmasını takiben daha detaylı hükümlerin de gelmesi beklenmektedir. Bu bağlamda özellikle günümüzde pek çok ticari ilişkide bir süje olarak yer alan çocuklar bakımından 6698 Sayılı Kanun'un globaldeki regülasyonlara yaklaşması beklemektedir.

KAYNAKÇA

-4721 Sayılı Türk Medeni Kanunu, Md. 11 – "Erginlik on sekiz yaşın doldurulmasıyla başlar."

-5395 Sayılı Çocuk Koruma Kanunu, Md.3 (1) a. "Çocuk: Daha erken yaşta ergin olsa bile, on sekiz yaşını doldurmamış kişiyi ifade eder"

-6698 Sayılı Kişisel Verilerin Korunması Kanunu, Md. 2- (1) "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır."

-4721 Sayılı Türk Medeni Kanunu, Md. 28- "Kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer"

-REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), erişim için: http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

-4721 Sayılı Türk Medeni Kanunu, Md.28 "Kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer"

-4721 Sayılı Türk Medeni kanunu, Md.14 "Ayırt etme gücü bulunmayanların, küçüklerin ve kısıtlıların fiil ehliyeti yoktur"

Art. 8 GDPR Conditions applicable to child's consent in relation to information society services

-Children's Online Privacy Protection Act,

-Toying With Children's Data: Lessons From The FTC's First Connected Toys Settlement Action, Alan L. Friel and Carolina A. Alonso

-https://www.ftc.gov/system/files/documents/cases/vtech_file_stamped_stip_order_1-8-18.pdf

[1] 4721 Sayılı Türk Medeni Kanunu, Md. 11 – "Erginlik on sekiz yaşın doldurulmasıyla başlar."

[2] 5395 Sayılı Çocuk Koruma Kanunu, Md.3 (1) a. "Çocuk: Daha erken yaşta ergin olsa bile, on sekiz yaşını doldurmamış kişiyi ifade eder"

[3] 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Md. 2- (1) "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır."

[4] 4721 Sayılı Türk Medeni Kanunu, Md. 28- "Kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer"

[5] REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), erişim için: http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

[6] 4721 Sayılı Türk Medeni Kanunu, Md.28 "Kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer"

[7] 4721 Sayılı Türk Medeni kanunu, Md.14 "Ayırt etme gücü bulunmayanların, küçüklerin ve kısıtlıların fiil ehliyeti yoktur"

[8] Art. 8 GDPR Conditions applicable to child's consent in relation to information society services

[9] Children's Online Privacy Protection Act,

[10] Toying With Children's Data: Lessons From The FTC's First Connected Toys Settlement Action, Alan L. Friel and Carolina A. Alonso

[11] https://www.ftc.gov/system/files/documents/cases/vtech_file_stamped_stip_order_1-8-18.pdf

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.