Anasayfa/ Makale/ Çocukların Kişisel Verilerinin İşlenmesinde Hukuka Uygunluk

Çocukların Kişisel Verilerinin İşlenmesinde Hukuka Uygunluk

Çocukların kişisel verilerinin işlenmesi, ehliyet durumlarına, uluslararası yaş standartlarına ve ebeveynlerin sosyal medya kullanımlarına göre farklı hukuki rejimlere tabidir. Bu makalede, GDPR ve COPPA standartları, sharenting kavramı ve ev içi kullanım istisnaları hukuki bir perspektifle incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA VELAYET ÇOCUK HAKLARI KVKK

Dijital çağın getirdiği teknolojik gelişmeler, çocukların kişisel verilerinin çevrimiçi platformlarda her zamankinden daha fazla işlenmesine neden olmaktadır. Çocukların kişisel verilerinin korunması, onların henüz fiziksel ve ruhsal gelişimlerini tamamlamamış olmaları sebebiyle hukuk sistemlerinde özel bir hassasiyetle ele alınmaktadır. İşleme pratiği bağlamında, çocukların verilerinin hukuka uygun olarak işlenebilmesi için açık rıza mekanizmasının doğru işletilmesi şarttır. Türk hukuku başta olmak üzere, küresel veri koruma standartları, rıza beyanında bulunacak kişinin yaşını ve ayırt etme gücünü merkeze almaktadır. Bu noktada, veri sorumlularının mevzuata uygun hareket edebilmesi için çocukların ehliyet kademelerini iyi analiz etmeleri ve sınırları uluslararası alanda çizilmiş yaş standartlarını uygulamaları gerekmektedir. Günümüzde ayrıca, ebeveynlerin çocuklarına ait verileri kontrolsüzce paylaşması anlamına gelen sharenting olgusu, hukuka uygunluk sınırlarının yeniden tartışılmasına yol açmıştır.

Çocuğun Ehliyet Kademelerine Göre Açık Rıza Mekanizmaları

Türk Medeni Kanunu (TMK) uyarınca çocukların hukuki işlem ehliyeti, ayırt etme gücünün varlığına göre iki temel kategoriye ayrılır. Ayırt etme gücünden yoksun olan çocuklar, tam ehliyetsiz statüsündedir ve tek başlarına hukuki işlem tesis edemezler. Kişisel verilerin işlenmesine rıza gösterme hakkı, kişiye sıkı sıkıya bağlı haklar kapsamında değerlendirildiğinden, tam ehliyetsiz çocukların bu hakkı bizzat kullanması mümkün değildir. Bu sebeple, söz konusu çocukların verilerinin işlenebilmesi için yasal temsilcilerinin rızası aranmaktadır. Ancak yasal temsilci, çocuğun verilerinin işlenmesine izin verirken mutlak surette çocuğun üstün yararını gözetmek zorundadır. Örneğin, bir eğitim kurumuna kayıt veya sağlık hizmetlerinden yararlanma gibi çocuğun menfaatinin ağır bastığı durumlarda yasal temsilci rıza verebilirken, salt ticari amaçlı işlemlerde bu rızanın hukuki geçerliliği tartışmalı hale gelir.

Buna karşılık, ayırt etme gücüne sahip küçükler ise hukuk sistemimizde sınırlı ehliyetsiz olarak nitelendirilmektedir. TMK m. 16 hükmü gereğince, sınırlı ehliyetsizler kişiye sıkı sıkıya bağlı haklarını, yasal temsilcilerinin izni veya onayı olmaksızın bizzat kullanma ehliyetine sahiptir. Bu kuralın veri koruma hukukuna yansıması neticesinde, ayırt etme gücünü haiz bir çocuk, kendi kişisel verilerinin işlenmesine tek başına açık rıza verebilir. Elbette her somut olayın niteliğine göre çocuğun o işlemi kavrama yetisi ayrıca değerlendirilmelidir. Bazı durumlarda risklerin büyüklüğü göz önüne alınarak çocuğun rızasının yanı sıra yasal temsilcinin onayı sürecinin de dahil edilmesi, çocuğun üstün menfaatinin korunması adına uygulamada destekleyici bir pratik olarak tavsiye edilmektedir.

Uluslararası Hukukta Yaş Standartları: GDPR ve COPPA

Küresel düzeyde çocuk verilerinin işlenmesine ilişkin yaş standartları, Avrupa Birliği ve Amerika Birleşik Devletleri mevzuatlarında belirgin sınırlar ile çizilmiştir. Bu standartlar veri sorumlularına şu yükümlülükleri getirmektedir:

  • Genel Veri Koruma Tüzüğü (GDPR): Doğrudan bilgi toplumu hizmetleri sunulan durumlarda, çocuğun tek başına geçerli bir rıza verebilmesi için en az 16 yaşında olması şartı koşulmuştur. Üye devletler bu sınırı kendi iç hukuklarında 13 yaşına kadar düşürebilir. Çocuk belirlenen yaş sınırının altındaysa, işleme faaliyetinin hukuka uygunluğu için veli onayının alınması ve veri sorumlusunun bunu doğrulamak adına makul çaba sarf etmesi gereklidir.
  • COPPA (Children’s Online Privacy Protection Act): ABD hukukunda yer alan bu düzenleme, 13 yaşından küçük çocukları hedef almaktadır. Çevrimiçi hizmet veya ticari web sitesi operatörlerinin, 13 yaş altı çocuklardan veri toplamadan önce mutlaka doğrulanabilir ebeveyn onayı alması zorunlu kılınmıştır.

Her iki düzenleme de çocukların dijital platformlarda maruz kalabilecekleri tehlikeleri minimize etmeyi amaçlamaktadır. GDPR sistemi, çocukların riskleri ve hakları daha az farkında oldukları gerçeğinden yola çıkarak, profil oluşturma faaliyetlerinde çok daha sıkı koruma tedbirleri öngörür. Türk hukukunda henüz doğrudan teknoloji hizmetleri için net bir yaş sınırı kanunla çizilmemiş olmakla birlikte, doktrinde çocukların 15 yaşını doldurmaları halinde hukuki işlemlerde gösterdikleri yeterlilikten yola çıkılarak, veri işleme onayı için de benzer bir ayırt etme gücü kriterinin baz alınması gerektiği savunulmaktadır. Uygulamadaki bu yaş tespiti gerekliliği, veri işleyen şirketleri gelişmiş yaş doğrulama sistemlerini entegre etmeye zorlamaktadır.

Dijital Ebeveynlik ve Sharenting Olgusu

İnternet kullanımının yaygınlaşmasıyla birlikte ebeveynlerin, çocuklarının fotoğraflarını, sağlık durumlarını ve günlük yaşam aktivitelerini sosyal mecralarda sürekli paylaşması, sharenting olgusu olarak adlandırılmaktadır. Özellikle sosyal medya anneleri olarak bilinen profiller, kimi zaman çocukların masumiyetini ticari bir metaya dönüştürerek reklam gelirleri elde etme amacı güdebilmektedir. Bu tür yoğun paylaşımlar, literatürdeki tabiriyle over sharenting, çocuğun dijital ayak izinin kendi kontrolü dışında oluşmasına zemin hazırlamaktadır. Dahası, internet ortamına aktarılan verilerin kopyalanabilirliği nedeniyle tamamen yok edilememesi, çocukları kötü niyetli kişilerin hedefi haline getirmekte ve dijital çocuk kaçırma (digital kidnapping) gibi telafisi güç güvenlik risklerine davetiye çıkarmaktadır.

Bu paylaşımları yapan ebeveynler genellikle ifade özgürlüğü kapsamında hareket ettiklerini iddia etseler de, Anayasa'nın 26. maddesi gereğince ifade özgürlüğü, başkalarının haklarının korunması amacıyla sınırlandırılabilir. Burada bahsedilen "başkaları", bizzat çocukların kendisidir ve çocuğun özel hayatının gizliliği ebeveynin ifade özgürlüğünden üstün tutulmalıdır. Ebeveynlerin çocuklarına ait verileri bilinçsizce ve kontrolsüzce ifşa etmesi, hukuken velayet hakkının sınırlarının aşıldığı ve çocuğun üstün yararı ilkesinin ihlal edildiği anlamına gelmektedir. Veri koruma pratiği bağlamında, ebeveynlerin çocukları adına hareket ederken kendi sosyal tatminlerinden ziyade, çocuğun uzun vadeli psikolojik gelişimini temel almaları zorunludur.

Aile İçi Paylaşımlar ve KVKK m. 28/1-a İstisnası

KVKK m. 28/1-a bendi, veri işleme pratiğinde kanunun uygulama alanını daraltan önemli bir istisna hükmüdür. Bu bende göre; kişisel verilerin, üçüncü kişilere verilmemesi ve veri güvenliğine ilişkin yükümlülüklere uyulması şartıyla, gerçek kişiler tarafından aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi durumunda KVKK hükümleri uygulanmaz. Bu ev içi kullanım istisnası, bireylerin özel yaşamlarını hukuki prosedürlerle çekilmez hale getirmemek amacı taşır. Örneğin, bir çocuğun doğum günü kutlaması sırasında anne babası tarafından fotoğraflarının çekilmesi ve bu fotoğrafların sadece aynı konutta yaşayan aile üyeleri arasında kişisel cihazlarda muhafaza edilmesi, ilgili istisna kapsamında değerlendirilir ve herhangi bir açık rıza süreci gerektirmez.

Ancak söz konusu tam istisna halinin sınırları oldukça dardır ve mutlak surette üçüncü kişilerle paylaşmama koşuluna bağlanmıştır. Ebeveynlerin, aynı konutu paylaşmayan akrabalara, iletişim gruplarına veya herkese açık sosyal medya hesaplarına çocuğun fotoğrafını ya da özel nitelikli verisini yüklemesi durumunda ev içi kullanım istisnası derhal ortadan kalkar. İnternet ortamında yapılan bu tür paylaşımlar, verinin üçüncü kişilere doğrudan aktarımı anlamına geldiğinden, eylem KVKK’nın genel uygulama alanına girer. Dolayısıyla, aile fertleri arasında kalan masum bir anı kaydı ile bu verinin dijital platformlar aracılığıyla alenileştirilmesi hukuken tamamen farklı rejimlere tabidir ve kamuya açık platformlardaki ifşalar hukuka aykırı veri işleme boyutu kazanmaktadır.

Çocuğumun fotoğraflarını Instagram'da paylaşmam suç mu? expand_more
KVKK kapsamında, çocuğunuzun fotoğraflarını yalnızca aynı evde yaşadığınız aile fertleriyle kişisel cihazlarınızda muhafaza ederseniz bu durum "ev içi kullanım istisnası"na girer ve kanun uygulanmaz. Ancak, bu fotoğrafları herkese açık sosyal medya hesaplarında veya iletişim gruplarında paylaştığınızda veriyi üçüncü kişilere aktarmış olursunuz ve mevcut hukuki istisna ortadan kalkar. Çocuğunuzun özel hayatının gizliliği, ebeveyn olarak sizin ifade özgürlüğünüzden daima üstün tutulmaktadır. Bu sebeple internet ortamındaki bu tip alenileştirmeler velayet hakkının sınırlarının aşılması ve hukuka aykırı veri işleme faaliyeti olarak değerlendirilir.
16 yaşındaki oğlum kendi başına internet sitelerine üye olabilir mi? expand_more
Türk Medeni Kanunu uyarınca ayırt etme gücüne sahip küçükler "sınırlı ehliyetsiz" statüsünde kabul edilir ve kişiye sıkı sıkıya bağlı haklardan olan kişisel veri işleme onayını tek başlarına verebilirler. Hukukumuzda doğrudan teknoloji hizmetleri için kesin bir kanuni yaş sınırı bulunmasa da, doktrinde 15 yaşını doldurmuş çocukların bu onayı vermek için yeterli ayırt etme gücüne sahip olduğu savunulmaktadır. Bununla birlikte, Avrupa Birliği'nin GDPR standartları doğrudan bilgi toplumu hizmetlerinde geçerli bir rıza için kural olarak 16 yaş sınırını aramaktadır. Uygulamada, yüksek risk barındıran veri işleme faaliyetlerinde çocuğun onayının yanı sıra veli onayının da alınması hukuki güvenliğiniz ve çocuğun üstün yararı açısından tavsiye edilmektedir.
Küçük bebeğimin verilerini isteyen şirketlere benim onay vermem yasal mı? expand_more
Ayırt etme gücü henüz bulunmayan bebekler ve küçük çocuklar "tam ehliyetsiz" oldukları için kendi kişisel verilerinin işlenmesine hukuken rıza gösteremezler. Bu noktada yasal temsilci sıfatıyla anne ve baba olarak sizin rızanız devreye girer, ancak bu onayı verirken yegane ölçütünüz "çocuğun üstün yararı" olmalıdır. Örneğin çocuğunuzun eğitim veya sağlık hizmetlerinden faydalanması gibi menfaatinin ağır bastığı durumlarda vereceğiniz rıza hukuka uygundur. Ancak verilerin sadece ticari amaçlarla kullanılacağı durumlarda yasal temsilci olarak vereceğiniz rızanın hukuki geçerliliği oldukça tartışmalıdır.
Sosyal medya annelerinin çocuklarından reklam geliri elde etmesi yasal mı? expand_more
Ebeveynlerin çocuklarının fotoğraflarını ve günlük yaşam aktivitelerini sosyal mecralarda sürekli paylaşmasına literatürde "sharenting" adı verilmektedir. Ebeveynlerin çocuklarının masumiyetini ticari bir metaya dönüştürerek reklam geliri elde etme amacı gütmesi, çocuğun kendi kontrolü dışında bir dijital ayak izi oluşmasına sebebiyet verir. Ebeveynler genellikle bu eylemlerini ifade özgürlüğü kapsamında değerlendirse de, bu hak çocuğun gizlilik hakkı lehine sınırlandırılmak zorundadır. Çocuğun verilerinin kişisel tatmin veya ticari kaygılarla bu şekilde ifşa edilmesi, velayet hakkının kötüye kullanılması ve üstün yarar ilkesinin ihlali anlamını taşır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir