A.  Giriş

Günümüz dijital dünyasında bize sunulan imkanlar hayatımızı oldukça kolaylaştırmanın yanı sıra beraberinde birtakım sorunları da getirmiştir. Hem uluslararası arenada hem de ülkemiz çapında küçükten büyüğe herkesin farkındalık kazandığı bir konu olan kişisel verilerin korunması ihtiyacı ve buna paralel olarak gelişen veri korunma hukuku, ülkemizde henüz yeterince dikkat çekmeyen ancak önemi tartışmaya açık olmayan bir konuyu da beraberinde getirmektedir: Çocukların kişisel verilerinin işlenmesi ve ilgili düzenlemeler

Bilindiği gibi, Avrupa Birliği kriterlerine uyum süreci çerçevesinde, Birlik sınırları içinde 2018 yılına kadar uygulanan ve uygulanan uzun yıllar süren bir çabanın sonucu olarak ortaya çıkan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 07.04.2016 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun, büyük ölçüde Avrupa Birliği’nin 95/46/EC sayılı direktifi (“Direktif”) ile aynı yönde düzenlemeler ihtiva etmekte olup, Kanun’un yürürlüğe girmesi ile birlikte bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasal düzenleme altına alınmıştır.

2018 yılı ile beraber Avrupa Birliği içinde Direktif’in yerine “General Data Protection Regulation” (“GDPR”) yürürlüğe girmiş ve uygulanmaya başlamıştır. Böylece Birlik sınırları içinde de çocuklara ait kişisel verilerin korunması ile ilgili birtakım düzenlemeler getirilmiştir.

Türk Veri Koruma Hukuku çerçevesinde ise her ne kadar 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında bu konuda özel bir düzenleme bulunmasa da kişisel Verilerin Korum Kurumu tarafından hem çocuklar için hem çocukların veli/ vasileri için ve hem de çocuklara ait kişisel verileri işleyen veri sorumluları için uygulamaya yönelik çok sayıda rehber yayınlanmıştır.

B.  Kanun Kapsamında

Evvelce de bahsedildiği gibi, Kanun kapsamında çocuk kişisel verilerinin işlenmesi usul ve esasları ile ilgili herhangi bir düzenleme bulunmamaktadır. Bu durumun en temel sebebi ise Kanun’un örnek alındığı Direktif’te yetişkinler ile çocuklar arasında bir ayrım yapılmamış olmasıdır. Mevcut durumda çocuklara ait kişisel verilerin de en az diğer bireylerin kişisel verileri kadar koruma altında olduğu söylenebilir. Ancak çocuk kişisel verileri açısından ayrıca usul ve esaslar getirilmesi gerektiği açıktır.

Nitekim Anayasa’nın usulüne göre yürürlüğe konulmuş milletlerarası antlaşmaların kanun hükmünde olacağını ifade eden 90’ıncı madde atfıyla çocuk haklarının korunması amacıyla usulüne uygun olarak yürürlüğe girmiş Birleşmiş Milletler Çocuk Hakları Sözleşmesi hükümlerinin dikkate alınması gerektiği genel bir kanaat şeklinde günümüz uygulamasında yer almaktadır.

Hukukumuzda çocuklara ait kişisel verilerin işlenmesi usulüne yönelik bir düzenleme yer almasa da çocuklara aydınlatma yapılması önem arz etmektedir. Veri sorumlusunun aydınlatma yükümlülüğü kapsamında[1] ilgili kişiye veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin ne amaçla işleneceği, verilerin kimlere hangi amaçla aktarılacağı, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin yani veri sahibinin hakları[2] konusunda bilgilendirme yapılması gerekmektedir. İlgili kişinin bir çocuk olması halinde ise kişisel verilerini işleme yahut açık rızasını alma aşamalarına geçilmeden önce mutlaka çocuğun ve velisinin yahut vasisinin ayrı ayrı aydınlatılması gerekmektedir.

Belirtmek gerekir ki, veri sorumlusunun çocuklara yönelik aydınlatma yükümlülüğünü yerine getirirken çocuğun yaşını, eğitim düzeyini, idrak kapasitesini de olabildiğince gözeterek anlayabileceği şekilde aydınlatma yapması isabetli olacaktır.

C.  Türk Medeni Kanunu Kapsamında

4721 sayılı Türk Medeni Kanunu’nda (“TMK”) yer alan fiil ehliyeti hakkındaki düzenlemeler çocuklara ait kişisel verilerin korunması usul ve esasları hakkında bizlere yol göstermektedir.

TMK uyarınca[3] “ayırt etme gücüne sahip ve kısıtlı olmayan her ergin kişinin fiil ehliyeti vardır.” Bu bağlamda bir kişinin tam fiil ehliyetine sahip olabilmesi için ayırt etme gücüne sahip olması, ergin yani reşit olması ve kısıtlı olmaması gerekmektedir. Bu kavram ise kendi içinde sayılan şartlardan bazılarını sağlayan ya da hiçbirini sağlamayan ya da birini sağlayan birini sağlamayan gibi durumlarda;
 >tam ehliyetliler,
 >tam ehliyetsizler,
 >sınırlı ehliyetsizler ve
 >sınırlı ehliyetliler olarak dörde ayrılmaktadır.

Yine TMK uyarınca bir kişi 18 yaşını doldurmakla ergin sayılmaktadır. Konu çocuklara ait kişisel verilerin korunması olduğu için 18 yaşın altında olan, ergin olmayan kimseler için geçerli olan sınırlı ehliyetsizlerden bahsetmek gerekmektedir. TMK’da bu husus “ayırt etme gücüne sahip küçükler ve kısıtlılar yasal temsilcilerinin rızası olmadıkça kendi işlemleri borç altına giremezler. Karşılıksız kazandırmada ve kişiye sıkı sıkıya bağlı hakları kullanmakta bu rıza gerekli değildir. Ayırt etme gücüne sahip küçükler ve kısıtlılar haksız fiillerinden sorumludurlar.” şeklinde ifade edilmiştir[4]. Ayrıca yine bu hüküm ile beraber velayet ve vesayete ilişkin hükümlerin de dikkate alınması gerektiği aşikardır. Nitekim aynı maddede kişiye sıkı sıkıya bağlı haklardan bahsedilmiş ancak bu hakların neler olduğu belirtilmemiştir. Bilindiği gibi kişiye sıkı sıkıya bağlı haklar ancak hak sahibi tarafından kullanılabilen, başkasına devri mümkün olmayan ve ölümle sona eren haklardır.

Kişisel Verilerin Korunması Kurumu tarafından yayınlanan “Açık Rıza Alırken Dikkat Edilecek Hususlar” konulu içerikte açık rıza kavramının kişiye sıkı sıkıya bağlı bir hak olduğu vurgulanmıştır.[5] Dolayısıyla bu açıklamalar çerçevesinde çocukların kişisel verilerinin işlenirken kendilerinden açık rıza alınabileceği, kendi iradeleri ile kişisel verilerinin akıbeti hakkında söz sahibi olabileceği sonucuna varılmaktadır. Ancak “ayırt etme gücü” kavramının çok dikkatli değerlendirilmesi gerektiği kanaatindeyiz. Bu sebeple özellikle, düzenlemelerini örnek aldığımız Avrupa Birliği’nde yer alan çocuk kişisel verilerinin işlenmesi usul ve esaslarına ilişkin uygulamaları da göz önünde bulundurarak bir pratik oluşturulması gerekmektedir.

D.  Birleşmiş Milletler Çocuk Hakları Sözleşmesi Kapsamında

Ülkemizde 14 Ekim 1990 tarihinde imzalanarak 27 Ocak 1995 tarihinde yürürlüğe giren Birleşmiş Milletler Çocuk Hakları Sözleşmesi (“Sözleşme”) uyarınca veri sorumlularının çocuklara ait kişisel verileri işlerken çocuğun yararını esas alarak hareket etme yükümlülüğü bulunmaktadır[6]. Bu yükümlülük, Sözleşme’de “Kamusal ya da özel sosyal yardım kuruluşları, mahkemeler, idari makamlar veya yasama organları tarafından yapılan ve çocukları ilgilendiren bütün faaliyetlerde, çocuğun yararı temel düşüncedir” şeklinde kaleme alınmıştır.

Yine Sözleşme uyarınca “Hiçbir çocuğun özel yaşantısına, aile, konut ve iletişimine keyfi ya da haksız bir biçimce müdahale yapılamayacağı gibi, onur ve itibarında da haksız olarak saldırılamaz. Çocuğun bu tür müdahale ve saldırılara karşı yasa tarafından korunmaya hakkı vardır.”[7]

Görüldüğü gibi çocukların gizlilik hakkına saygı duyulması gerekliliği Sözleşme’de de açıkça vurgulanmıştır.

E.  GDPR Kapsamında

Çocuklara ait kişisel verilerin işlenmesine ilişkin olarak GDPR’da aşağıdaki düzenlemelere yer verilmiştir:

“İşlemenin ilgili kişinin rızasına bağlı olarak gerçekleştiği durumlarda çocuğa doğrudan bilgi toplumu hizmetlerinin sunulmasına ilişkin olarak, çocuğun kişisel verilerinin işlenmesinin hukuka uygun olabilmesi için çocuğun en az 16 yaşında olması gerekmektedir. Çocuğun 16 yaşından küçük olması halinde, bu tür bir işleme ancak rızanın çocuk üzerinde velayet hakkına sahip bir kişi tarafından verildiği ya da onaylandığı ölçüde hukuka uygun olabilecektir. Üye devletler kanunlarıyla, 13 yaşından küçük olmamak kaydıyla, bu amaçlara yönelik olarak, daha küçük bir yaş sınırı belirleyebilir.

Veri sorumlusu, bu tür durumlarda, mevcut teknolojiyi de dikkate alarak rızanın velayet hakkına sahip kişi tarafından verildiğini doğrulamaya yönelik makul çabayı sarf edecektir.
1’inci fıkra çocuğa ilişkin bir sözleşmenin geçerliliği, oluşturulması ve etkisi ile ilgili kurallar gibi üye devletlerin genel sözleşme hukukunu etkilemez.” [8]

“Çocuklar, kişisel verilerinin korunması bakımından meydana gelebilecek riskler, bu risklerin sonuçları ve alınması gereken tedbirler ile konuya ilişkin hakları bakımından daha az farkındalık sahibi oldukları için özel bir korumaya ihtiyaç duymaktadırlar. Bu özel koruma, özellikle de çocukların kişisel verilerinin pazarlama veya kullanıcı profili yaratma amaçlarıyla kullanılması veya doğrudan çocuğa hizmet sunumu yapılması durumunda kişisel veri toplanmasının söz konusu olduğu hallerde uygulanmalıdır. Velayet hakkı sahibi kişinin rızası, çocuklara verilecek koruyucu ve danışmanlık hizmetlerinde aranmamalıdır.”[9] 

Bu düzenlemeler birlikte değerlendirildiğinde görüleceği gibi Avrupa Birliği hukuku kapsamında üye devlet başkaca bir düzenleme getirmediği sürece, bilgi toplumu hizmetlerinin bir çocuğa sunulabilmesi, çocuğa ait kişisel verilerin hukuka uygun işlenebilmesi için rıza verecek çocuğun en azından 16 yaşının içinde olması gerekmektedir. Böylece üye devlet 13 yaşa kadar başkaca bir yaş kıstası belirlemediği sürece 16 yaş ve üzeri çocuklardan rızaları hukuka uygun olarak alınabilecektir.

Bu noktada GDPR’ın çocuk kişisel verilerine karşı özel bir önem atfettiğini ve bir sınırlama getirdiğini görüyoruz. Nitekim günümüzde Birlik sınırları içinde hiçbir ülke 13 yaş altındaki çocukların kişisel verilerinin veli yahut vasisinin rızası alınmadan ve buna uygun aydınlatma yapılmadan işlenmesinin önüne geçmiştir. Yukarıdaki düzenlemeler ile 13-16 yaşlar aralığının esnek olarak üye devletin tercihine bırakılmasının sebebi ise üye devletlerin kendi ulusal hukuk kurallarına uygun düzenlemeyi yapabilmesine olanak sağlamaktır.

E.  Genel Değerlendirme ve Sonuç

Görüldüğü gibi her ne kadar ülkemizde kişisel verilerin korunmasına ilişkin çalışmalar yıllar önce başlamış olsa da Kanunun yürürlüğe girmesiyle beraber ivmelenen bu süreç için var olan kanun ve düzenlemeler henüz çok yeni sayılabilecek düzeydedir.

Bu bilgi bülteni kapsamında sadece Avrupa kıtası ile ülkemizdeki kanuni düzenlemeler ve regülasyonlar irdelenmişse de konu dünya çapında önem arz etmekte ve pek çok ülkede bu konuda hukuki düzenlemeler yapmaktadır. Bu sebeple mümkün olan en kısa sürede Türk hukukunda çocuklara ait kişisel verilerin korunması usul ve esaslarını belirleyen, kapsayıcı, özel düzenlemelerin yapılması gerektiği kanaatindeyiz.

Saygılarımızla,
Gülaç Hukuk Bürosu

[1] Bkz: 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 10
[2] Bkz: 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 11
[3] Bkz: 4721 sayılı Türk Medeni Kanunu madde 10
[4] Bkz: 4721 sayılı Türk Medeni Kanunu madde 16
[5] https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar
[6] Bkz: Birleşmiş Milletler Çocuk Hakları Sözleşmesi madde 3
[7] Bkz: Birleşmiş Milletler Çocuk Hakları Sözleşmesi madde 16
[8] Bkz: General Data Protection Regulation madde 8
[9] Bkz: General Data Protection Regulation resital 38