- Giriş
Toplumdaki kişisel verisi korunmaya muhtaç ve savunmasız olarak değerlendirilebilecek bireylerin sayısı ve veri işleme faaliyetlerinin günlük hayattaki yoğunluğu göz önünde bulundurulduğunda, hiç şüphesiz söz konusu bireylerin kişisel verilerinin korunmasının daha fazla gündeme gelen bir konu başlığı olması gerekmektedir. Farklı veri işleme faaliyetleri ile veri grupları arasındaki mevcut eşitsizliklerin vurgulanabilir olması ve bireylerin haklarını kullanmalarındaki sağlık, yaş, cinsiyet veya sosyal durum gibi birçok faktör tarafından koşullandırıldığının daha somut bir biçimde belirlenebilir olması gerekmektedir. İşbu çalışma ile gerektiği noktalarda Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ve uygulamaları referans gösterilerek, savunmasız bireylerin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") nezdinde olmak üzere Türk hukuku bağlamındaki durumu değerlendirilmeye çalışılmıştır.
- Savunmasız Birey Kavramı
KVKK'da olduğu gibi GDPR kapsamında da savunmasız kişilere yönelik açık bir tanım bulunmamakla birlikte, 75 numaralı beyan "savunmasız gerçek kişilerin, özellikle çocukların kişisel verilerinin işlendiği" şeklinde bir referans barındırmaktadır. Ancak belirtilmelidir ki, söz konusu "savunmasız gerçek kişi" belirlemesinin yanında çocukların durumunu GDPR bağlamında ayrıca ele alınmaktadır.1
Savunmasız bireyler yasal olarak yetersiz, rıza verme yetisinden yoksun ve kişisel verilerinin kamuya açık hale gelmesi durumunda çok olumsuz sonuçlara maruz kalabilecek kişiler şeklinde tanımlanabilecek2 olup; bebek ve küçük çocuklar, yaşlılar, hamile kadınlar, ruhsal bozukluğu olan insanlar, sığınmacılar, engelli insanlar, etnik azınlıklar ve hastalar şeklinde örneklendirilebilecektir. Söz konusu örneklemelere paralel biçimde, Madde 29 Çalışma Grubu'nun Nisan 2017 tarihinde yayımladığı "Kılavuz"3 ile de savunmasız kişilere çocuklar, işçiler, akıl hastaları, sığınmacılar, yaşlılar, hastalar ve veri sorumlusu ile ilgili kişi arasındaki dengesizlik bulunan haller savunmasız bireyler emsal gösterilmiştir.
- Çocukların Durumu
Savunmasız birey konusunda tipik örnek olarak çocukların durumu gösterilebilecektir. Çocuklar, veri güvenliği odaklı tasarımların karmaşıklığını anlama konusunda daha sınırlı kapasiteye, daha az deneyime, risk ve haklar konusunda daha az farkındalığa sahiptirler ve kolaylıkla manipüle edilebilirler olduklarından kişisel verilerinin korunmasına muhtaç bireyler olarak nitelendirilebilecektir. Nitekim, Kişisel Verileri Koruma Kurulu'nun ("Kurul") yayımladığı Çocukların Kişisel Verilerinin Korunması Bakımından Dikkat Edilmesi Gerekenler4 başlıklı doküman ile de çocuklar arasında yeni teknolojilerin kullanımının yaygınlığı, çocuğun algı düzeyi ve yaşı itibariyle kişisel verilerini paylaşmasının sonuçlarını öngörememesi, risklerin farkında olmaması, yasal haklarını ve bu haklarını nasıl kullanacağını bilmemesi ve aile gözetiminin dijital alanlarda zayıf olması gibi hususların çocukları çevrimiçi ortamdaki risklere karşı savunmasız kıldığı belirtilmiştir.
Her beş internet kullanıcısından biri çocuk olduğu5 ancak erişilen hizmetlerin büyük bir çoğunluğunun çocukların ihtiyaçları veya ilgili güvenlik açıkları göz önünde bulundurularak geliştirilmemiş olduğu göz önünde bulundurulduğunda, özellikle çevrimiçi hizmetlerin tasarımı ve varsayılan olarak yüksek düzeyde koruma sağlaması gerekliliği açıktır. Çocuk olarak nitelendirilebilecek bir savunmasız bireyin gizlilik ayarlarını gözden geçirmeden veya değiştirmek için bir aksiyon alamadan varsayılan olarak korunuyor olması sağlanmalıdır. Kurul tarafından konuya ilişkin yayımlanan Çocukların Kişisel Verilerinin Korunması Bakımından Dikkat Edilmesi Gerekenler dokümanında ürün ve hizmet geliştirenler tarafından dikkat edilmesi gerekenler şu şekilde ifade edilmiştir;
- Ürün ve hizmetlerde KVKK uyumu konusunda maksimum özen gösterilmelidir.
- Ürün ve hizmetlerde, veri minimizasyonu ilkesine uygun olarak, en az seviyede kişisel veri işlenmelidir.
- Ürün ve hizmetlerde çocukların algı düzeyine uygun, gerekirse resim ve görsel efektler ile desteklenerek, aydınlatma metinleri hazırlanmalıdır.
- Ancak o yaşlardaki bir çocuğun cevaplayabileceği sorular sormak veya velayet/vesayet hakkı sahiplerinin doğrulanmış iletişim adreslerine bilgilendirme ve açık rıza onay metinleri gönderilmesi gibi çocuğun yaşını doğrulayacak sistemler kullanılmalıdır.
- Teknik ve idari tedbirler en üst seviyede ele alınmalıdır.
- Çocukların haklarını bilmelerini ve kullanabilmelerini sağlayacak uygun politika ve mekanizmalar geliştirilmelidir.
Konuya ilişkin ayrıca, Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) 12 Ağustos 2020 tarihi itibariyle Yaşa Uygun Tasarım Kanunu'nun parlamento sürecinin tamamlandığını duyurmuştur.6 Varsayılan olarak yüksek düzeyde çocuklara yönelik korumayı amaçlayan söz konusu düzenleme ile mobil uygulamalar, sosyal medya, çevrimiçi oyunlar, web siteleri gibi çevrimiçi hizmetlere yönelik standartlar getirilmiştir.
- Diğer Savunmasız Bireyler Hakkında
Özellikle yeni teknolojileri kullanan ve veri işlemenin niteliği, kapsamı, bağlamı ve amaçları dikkate alındığında gerçek kişilerin hak ve özgürlüklerine yönelik yüksek risk oluşturması muhtemel ise GDPR kapsamında7 veri sorumlusunun bir risk değerlendirmesi (DPIA) yapması öngörülmüştür. İşbu yol ile kişisel veri işleme faaliyeti ile ilgili risklerin belirlenmesi ve en aza indirilmesi noktasında ciddi bir aksiyon alınır olacaktır. Yukarıda da atıfta bulunduğum Kılavuz ile, savunmasız bireylerin veri faaliyetine konu olması risk oluşturması yüksek ihtimal bir faaliyet olarak değerlendirilmiş ve bu hallerde risk değerlendirmesinin gerekli olduğu açıklanmıştır. Yapılacak risk değerlendirmesinin aynı zamanda ilgili kişilere yönelik yapılacak aydınlatmayı ve rıza kurgusunu, yani faaliyete ilişkin tasarımı, etkileyeceği unutulmamalıdır.
Dolayısıyla, kişisel veri işleme faaliyetleri karşısında savunmasız olarak nitelendirilebilecek bireyler denilince yalnızca çocuk veya yaşlılar değil, veri sorumlusu ile ilgili kişi arasında dengesizlik oluşturabilecek ve ilgili kişinin hak ve özgürlüklerine yönelik risk meydana getirebilecek konumdaki gerçek kişiler de düşünülmelidir.
Bu noktada akla gelecek ilk örneklerden biri işçi ile işveren ilişkisi olacaktır. İşçi ile işveren arasındaki ilişkiye dair Kurul tarafından yayımlanan Açık Rıza Rehberi'nde8 işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğurabileceği haller örneklendirilerek tarafların eşit konumda olması hali değerlendirilmiştir. Kurum tarafından verilen örnek üzerinden ilerlersek, işveren tarafından aslında aralarındaki ilişki gereğince daha "savunmasız" konumdaki işçinin durumuna yönelik bir risk değerlendirme faaliyetinin gerçekleştirilerek (örnek bağlamında açık rıza tanımı da göz önünde bulundurularak) mevcut kurgunun oluşturulması gerektiğinin açıklandığını görüyoruz.
Hasta ile hastane arasındaki ilişki de bir başka örnek olarak verilebilecektir. İlgili kişinin genetik ve sağlık verilerinin işleniyor olması ve işbu veri işleme faaliyetinin öznesinde "hasta" olarak yer alması sebebiyle, aralarındaki ilişkinin veri sorumlusu olan hastane tarafından bir risk değerlendirmesine konu edilmesi gerektiği rahatlıkla söylenebilecektir. 21.06.2019 tarihli Resmi Gazete'de yayımlanan 30808 sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik bu gözle okunabilecektir.
- Sonuç
Savunmasız bireylere yönelik örnekler çeşitlendirilebilir olmakla birlikte, kişisel verilerinin korunmasına muhtaç bu kişiler temelde düşünülenin de ötesinde gündelik yaşamlarında kişisel veri işleme faaliyetlerinde ilgili kişi sıfatına haiz konumunda olmaktadır. Bu sebeple, veri sorumluları kişisel veri işleme süreçlerinin KVKK ve bağlı mevzuatlarına uyumunu gerçekleştirirken, her bir faaliyetin kendi dinamikleri üzerinden dizayn etmeli ve risk değerlendirmesi yoluyla en uygun kurguyu oluşturmalıdır.
Kaynakça
- ICO, Information Commissioner's Annual Report and Financial Statements 2019-20
- Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679
- https://www.moneyandmentalhealth.org/wp-content/uploads/2019/10/Data-Protecting-report.pdf
- https://www.itgovernance.co.uk/privacy-impact-assessment-pia
- https://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
- https://www.skillcast.com/blog/gdpr-safeguarding-vulnerable-adults
- https://kvkk.gov.tr/yayinlar/A%C3%87IK%20RIZA.pdf
- https://www.kvkk.gov.tr/Icerik/6737/Cocuklarin-Kisisel-Verilerinin-Korunmasi-Bakimindan-Dikkat-Edilmesi-Gerekenler
- https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/age-appropriate-design-a-code-of-practice-for-online-services/
- https://gdpr-info.eu/
- https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
Footnotes
1 Art. 8 GDPR, Conditions applicable to child's consent in relation to information society services
2 Ghent University Research Tips, GDPR: who are considered as vulnerable persons?
3 Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679
4 Kişisel Verileri Koruma Kurulu 23.04.2020, Çocukların Kişisel Verilerinin Korunması Bakımından Dikkat Edilmesi Gerekenler
5 Information Commissioner's Annual Report and Financial Statement 2019-20, sf. 21
6 https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/age-appropriate-design-a-code-of-practice-for-online-services/#:~:text=The%20Secretary%20of%20State%20laid,a%2012%20month%20transition%20period.
7 Art. 35 GDPR, Data Protection Impact Assessment
8 Kişisel Verileri Koruma Kurulu, Açık Rıza Rehberi
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
