İnternet Ortamında Çocuğun Kişisel Verileri ve Mahremiyeti
1. Giriş
Günümüz dijital toplumunda çevrimiçi dünya, çocukların günlük hayatının ayrılamaz bir parçası haline gelmiştir. Teknolojideki hızlı ilerleme ve sosyal medyanın yaygınlaşması neticesinde çocuklar artık akıllı telefon ve tabletler, akıllı oyuncaklar ve sosyal medya platformları ile birlikte büyümektedir. Tüm bu dijital dünya gelişmeleri çocukların ve gençlerin eğitimi, yaratıcılıklarının gelişimi ve sosyal etkileşimleri için yeni kanallar açarak fayda ve fırsat sağlamaktadır.
Bununla birlikte, çocukların internete bağlanmaları, kendisi, ailesi veya arkadaşları tarafından yapılan sosyal medya paylaşımları çocukların taciz, pedofili, şantaj, siber zorbalık, kişisel veri ve mahremiyet ihlallerine maruz kalmaları bakımından ciddi riskler oluşturmaktadır. Ayrıca çocuklar, kimlik hırsızlığından sosyal medya bağımlılığına kadar birçok fiziksel ve psikolojik tehditle karşı karşıya kalmaktadır.
Bazı hallerde ise, bu tür riskleri -istemsizce olsa dahi- bizzat çocuğun ebeveynlerinin, yakın çevresinin, öğretmenlerin bilinçsiz sosyal medya kullanımıyla oluşturması da söz konusu olabilmektedir. İnternet ortamında, özellikle sosyal medyada yakın çevresinin, ebeveynlerinin çocuklara ait içerikleri paylaşması, doğumundan yana çocuğun gündelik yaşantısının, özel gün ve anlarının, aile ve tatil fotoğraflarının, okul ve ödül töreni fotoğraf ve videolarının paylaşımlara konu edilmesi çocuğun mahremiyet sınırlarının aşıldığını göstermektedir. Bu doğrultuda, “sharing” (paylaşmak) ve “parenting” (ebeveynlik) kelimelerinin birleşmesiyle oluşan “Sharenting” kavramı literatüre yerleşmiştir.
Bununla birlikte, çocukların ebeveynleri tarafından oluşturulan herkese açık sosyal medya hesapları, markalı içeriklerin paylaşımıyla birlikte yine çocuğun mahremiyetinin aşılması sorununu ortaya çıkarmaktadır. Bu durum da keza “Influencer Kids” (Fenomen Çocuk) olarak sosyal medyada tanımlanmaktadır.
Algı düzeyleri ve yaşları nedeniyle paylaşımlarının sonuçlarını öngörememesi, riskleri anlayamaması, haklarını bilmemesi ve aile gözetiminin özellikle dijital alanlarda zayıf olması gibi nedenlerle çocuklar, bu tür tehdit ve risklere karşı savunmasız kalmaktadır. Bu nedenle çocukların internet ortamında kişisel verilerinin ve dijital mahremiyetlerinin korunması son derece önem arz etmektedir.
2. Çocukların Özel Hayatın Gizliliği Hakkına ve Kişisel Verilerinin Korunmasına ilişkin Ulusal ve Uluslararası Düzenlemeler
Birleşmiş Milletler Çocuk Hakları Sözleşmesi
Birleşmiş Milletler Çocuk Hakları Sözleşmesi (“BMÇHS”, “Sözleşme”), 20 Kasım 1989 tarihinde kabul edilmiş ve 2 Eylül 1990 tarihinde yürürlüğe girmiştir. Türkiye de dahil olmak üzere 196 ülkenin taraf olduğu Sözleşme, en fazla ülkenin onayladığı insan hakları belgesi olarak kabul edilmektedir. Türkiye, 14 Eylül 1990 tarihinde imzaladığı Sözleşme’ye 9 Aralık 1994 tarihli ve 4058 sayılı TBMM Uygun Bulma Kanunu uyarınca taraf olmuş ve Sözleşme, Türkiye açısından 4 Mayıs 1995 tarihi itibariyle yürürlüğe girmiştir.
Sözleşme ile çocuk haklarının korunması amaçlanmış ve taraf devletlerin bu hakların uygulanması için belirli yükümlülüklere uymaları gerektiği hükme bağlanmıştır. Bu doğrultuda, Sözleşme kapsamında benimsenen dört temel ilke şu şekildedir; ayrım gözetmeme, çocuğun yüksek yararı, yaşama ve gelişme hakkı ile katılım hakkı.
Sözleşme’nin 16.maddesi; “Hiçbir çocuğun özel yaşantısına, aile, konut ve iletişimine keyfi ya da haksız bir biçimde müdahale yapılamayacağı gibi, onur ve itibarına da haksız olarak saldırılamaz.” şeklinde düzenlenmiştir. Sözleşme’nin 3.maddesi kapsamında ise; “Taraf Devletler, çocuğun ana–babasının, vasilerinin ya da kendisinden hukuken sorumlu olan diğer kişilerin hak ve ödevlerini de göz önünde tutarak, esenliği için gerekli bakım ve korumayı sağlamayı üstlenirler ve bu amaçla tüm uygun yasal ve idari önlemleri alırlar.” hükmü yer almaktadır. Böylelikle Sözleşme’de çocukların özel hayatının korunması hususu özel olarak hüküm altına alınmış, ayrıca Sözleşme’ye taraf devletlerin, çocuğun veli ve vasisinin çocuğun yüksek yararını göz önünde tutarak hareket etmesi gerektiği belirtilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu
Bilindiği üzere, ülkemizde kişisel verilerin korunmasına ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 24 Mart 2016 tarihinde kanunlaşmış, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Uluslararası yasal düzenlemeler doğrultusunda KVKK, yürürlüğe girdiği tarih itibariyle özellikle veri sorumluları tarafından yükümlülüklerin yerine getirilmesi, veri sorumluları siciline kaydolunması, uyum süreçlerinin yürütülmesi, ilgili kişilere karşı aydınlatma ve rıza gerekliliklerinin yerine getirilmesi, veri ihlalleri, idari para cezaları gibi hususlar ile yüksek önem arz eden ve sürekli gelişmekte olan bir alan açmıştır.
KVKK kapsamında kişisel verilerin işlenmesi, imha edilmesi, aktarılması, veri sorumlusunun yükümlülükleri, veri sorumlusuna başvuru ve kurula şikayet, sicil kayıt yükümlülüğü, suç ve kabahatlar ile idari para cezaları gibi başlıklar düzenlenmiş olsa da çocuklara ait kişisel verilerin korunmasına ilişkin özel bir düzenleme bulunmamaktadır. Bununla birlikte, çocuklar için özel bir düzenleme olmasa dahi KVKK ile getirilen yasal korumanın ve genel hükümlerin çocuklar için de uygulanacağı açıkça anlaşılmaktadır.
Avrupa Genel Veri Koruma Tüzüğün (Generel Data Protection Regulation) ve Dijital Hizmetler Yasası (Digital Services Act)
14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından kabul edilen ve esasen 24 Mayıs 2016 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (“GDPR”, “Tüzük”), 25 Mayıs 2018 tarihinde tüm hükümleriyle birlikte uygulanmaya başlamıştır. GDPR, Avrupa Birliği ülkelerini ve bu ülkelerin vatandaşlarıyla kurumlarına yönelik veri koruma ve gizlilik hususlarını içeren bir yasal düzenlemedir.
Ülkemizdeki yasal düzenleme KVKK’dan farklı olarak, GDPR kapsamında çocukların kişisel verilerinin korunmasına ilişkin hükümler açık ve net bir şekilde, özel olarak düzenlemektedir.
GDPR uyarınca çocuklara ait kişisel verilerin korunmasında temel husus geçerli rıza beyanıdır. Şöyle ki; GDPR’ın 8.maddesi uyarınca, “6. maddesinin 1. fıkrasının (a) bendinin uygulandığı hallerde, doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Üye devletler, 13 yaştan küçük olmamak kaydıyla, bu amaçlara yönelik olarak kanunla daha küçük bir yaş belirleyebilir.” şeklinde bir düzenleme yer almaktadır.
İlgili madde çerçevesinde, kişisel veri işlemenin meşruluk temeli olarak rızaya dayanıldığı durumlarda, çocuğa ait kişisel verilerin işlenmesinin hukuka uygun olması için çocuğun en az 16 yaşında olması gerekmektedir. Eğer çocuk 16 yaşından küçük ise de çocuğun yasal olarak tayin edilmiş velisi ya da vasisinin rızasının alınması gerektiği belirtilmektedir; bu halde veri işleme faaliyeti, çocuğun velisinin/vasisinin rıza verdiği veya onayladığı ölçüde hukuka uygun olacaktır. Söz konusu madde ile aynı zamanda Avrupa Birliği’ne üye devletlerin kendi iç hukuk düzenlemelerinde bu yaşı belirleyebilecekleri ancak 13 yaşın altında bir alt sınır belirlenemeyeceği de düzenlenmiştir.
GDPR’ın yanı sıra, Avrupa Parlamentosu tarafından kabul edilmesini takiben 16 Kasım 2022 tarihinde yürürlüğe giren ve 17 Şubat 2024 tarihinde uygulanmaya başlayacak olan Dijital Hizmetler Yasası (“DSA”) kapsamında, dijital ortamda sunulan çevrimiçi hizmetler bakımından çocuklara yönelik birtakım yükümlülükler getirilmektedir.
Buna göre, internet sitesi, sosyal medya, çevrimiçi pazar yerleri de dahil olmak üzere çevrimiçi hizmet sağlayıcıları, hizmetlerine çocuklar tarafından erişilip erişilemediği veya çocuklar üzerinde etkisi olup olmadığına ilişkin etki değerlendirmesi yapmak ve bu değerlendirme doğrultusunda belirlenen sistematik riskleri azaltmak zorundadır. Bu kapsamda söz konusu riskleri azaltmak adına alınması gereken önlemler DSA’da şu şekilde belirtilmektedir; (i) çocukları içerik, temas, davranış ve sözleşme risklerine maruz bırakan sistem tasarım özelliklerinin uyarlanması veya kaldırılması, (ii) orantılı ve mahremiyeti koruyan yaş güvencesi uygulanması, (iii) tüm hizmet süresince çocuğun yüksek yararına öncelik veren tavsiye ve otomatik karar verme sistemlerinin kullanılması, (iv) 18 yaşın altındaki kullanıcılar için tasarım (design) ve varsayılan (default) olarak en yüksek düzeyde gizlilik, emniyet ve güvenlik sağlanması, (v) 18 yaşın altındaki kullanıcılar için hedefli reklamcılık gibi ticari amaçlar da dahil olmak üzere profil oluşturmanın önlenmesi, (vi) yayımlanan kural ve koşulların yaşa uygun olmasını ve çocukların haklarını gözetmesini sağlamak, (vii) uzman tavsiyesi ve desteğine kolay ulaşım sağlanması da dahil çözüm ve tazmin için çocuk dostu mekanizmalar sağlanması.
Çocukların Çevrimiçi Gizliliğinin Korunması Yasası (Children’s Online Privacy Protection Act)
Amerika Birleşik Devletleri’nde 21 Ekim 1998 tarihinde kabul edilen ve 21 Nisan 2000 tarihinde yürürlüğe giren Çocukların Çevrimiçi Gizliliğinin Koruması Kanunu (“COPPA”), 13 yaşın altındaki çocukların kişisel verilerini ve gizliliğini korumak amacıyla internet sitelerine ve çevrimiçi hizmet veren operatörlere özel yükümlülük ve sınırlandırmalar getiren bir federal düzenlemedir.
COPPA kapsamında; 13 yaşın altındaki çocukların sosyal medya sitelerine üye olmasının yasak olduğu, internet sitesi tarafından çocuk kullanıcıların herhangi bir kişisel bilgisinin toplanması veya kullanılması için -ve bilgi toplanmadan önce- sitelerin ebeveyn/vasilerden doğrulanabilir onay alması gerektiği ve bu doğrulanabilir onayın ne zaman ve nasıl alınacağı, çocuk kullanıcıların bilgilerinin toplandığı her kanalda gizlilik politikasının yayınlanması gerektiği ve bu gizlilik politikasının kapsamına hangi hususların dahil edilmesi gerektiği gibi hususlar düzenlenmektedir. Bununla birlikte, COPPA kapsamında ayrıca, 13 yaşın altındaki çocukları hedefleyen pazarlama türlerine ve yöntemlerine ilişkin kısıtlamalar da dahil olmak üzere, bir operatörün çocukların çevrimiçi gizliliğini ve güvenliğini korumak için sahip olduğu yükümlülükler ve sorumluluklar da düzenlenmektedir.
COPPA, internet sitesi veya çevrimiçi hizmet veren operatör şirket eğer ABD merkezli ise ABD dışındaki çocuklar da dahil olmak üzere 13 yaşın altındaki çocuklar hakkında ABD’nin yargı yetkisi altındaki kişi veya kuruluşlar tarafından kişisel bilgilerin çevrimiçi olarak toplanması için geçerli olarak uygulanmaktadır.
2013 yılında COPPA’da yapılan bir değişiklik ile, “çocukların kişisel bilgileri” tanımı genişletilmiş ve çerez izleyicileri, coğrafi konum verileri ve herhangi bir görsel-işitsel bilgi de tanım kapsamına alınmıştır.
Birleşik Krallık Yaşa Uygun Tasarım Yasası (UK Age Appropriate Design Code)
Birleşik Krallık’ın veri koruma otoritesi Bilgi Komisyonu Ofisi (Information Commissioner’s Office) (ICO) tarafından 2 Eylül 2020 tarihinde kabul edilen Yaşa Uygun Tasarım Yasası, 18 yaşın altındaki çocukların verilerini ve mahremiyetini korumak için çevrimiçi platformların yerine getirmesi gereken 15 standardı belirlemektedir ve Yaşa Uygun Tasarım Yasası kapsamına giren internet site ve ürünlerin, çocukların veri gizliliği ve güvenliği için ek koruma sağlaması gerekmektedir.
Yaşa Uygun Tasarım Yasası kapsamında yükümlü olan şirketler; tasarım hizmetlerini yaşa uygun ve çocukların çıkarlarına uygun olacak şekilde tasarlamak, veri kullanımlarının çocukları ticari ve cinsel sömürüden koruyup korumadığını göz önünde bulundurmak, varsayılan olarak yüksek düzeyde gizlilik sağlamak, çocukları daha fazla veri sağlamaya teşvik eden tasarım özelliklerini kullanmamak, çocukların bulundukları yeri izleyen coğrafi konum hizmetlerini kullanmamak ve Birleşik Krallık’ta yaşayan çocuklardan hangi kişisel verileri topladıklarının haritasını çıkarmak ile yükümlü kılınmaktadır. Bu standartları yerine getirmeyen ve uymayan internet sitesi ve sosyal medya platformları ise GDPR’ı ihlal edenlerle aynı şekilde caydırıcı para cezalarına tabi olmaktadır.
Kaliforniya Tüketici Gizliliği Yasası (California Consumer Privacy Act) ve Kaliforniya Yaşa Uygun Tasarım Kodu Yasası (California Age-Appropriate Design Code Act)
1 Ocak 2020 tarihinde yürürlüğe giren 2018 Kaliforniya Tüketici Gizliliği Yasası (“CCPA”), Amerika Birleşik Devletleri’nde eyalet düzeyindeki ilk ve en kapsamlı veri gizliliği yasası olarak kabul edilmektedir.
Diğer hususların yanı sıra, CCPA kapsamında COPPA’da yer alan boşluklara ilişkin düzenlemeler getirilmektedir. Şöyle ki; CCPA uyarınca, kişisel bilgilerin işlenmesine ilişkin rıza yaşı 16 olarak belirlenmiştir, 16 yaşın altındaki çocukların, açıkça ifşa edilen amaçlar için kişisel bilgilerin toplanmasına şahsen onay vermesi gerekirken, 13 yaşın altındaki çocuklar için ise veli veya vasi onayı gerekmektedir. Bununla birlikte, “kişisel bilgiler” tanımı, coğrafi konum, IP adresleri, alışveriş ve tarama geçmişi ve tüketici tercihleri de dahil olacak şekilde yapılmaktadır.
Kaliforniya Senatosu, çocukların internet ortamındaki veri gizliliğini güçlendirmek adına başka bir yasa tasarısını daha onaylamıştır. 25 Eylül 2022 tarihinde kabul edilen ve 1 Temmuz 2024 tarihinde yürürlüğe girecek olan Kaliforniya Yaşa Uygun Tasarım Kodu Yasası (“CAADCA”), Birleşik Krallık Yaşa Uygun Tasarım Yasası’ndan ilham alarak, 18 yaşın altındaki çocukların kişisel verilerinin toplanması, saklanması ve işlenmesi hususlarını düzenlemektedir. CAADCA ile birlikte çocuklar için yüksek düzeyde bir gizlilik ve koruma öngörülerek, halihazırda mevcut olan COPPA ve Kaliforniya Ebeveyn Sorumluluğu ve Çocuk Koruma Yasası genişletilmiştir.
CAADCA uyarınca, çocuk tanımı 18 yaşın altındaki çocukları kapsayacak şekilde genişletilmekte ve zorlayıcı bir neden olmadıkça bir çocuğun coğrafi konumunun profilinin oluşturulması ve toplanması yasaklanmaktadır. Hizmet için gerekli olmayan kişisel bilgilerin toplanması ve kullanılması engellenerek veri minimizasyonu ve amaç sınırlaması ilkeleri güçlendirilmektedir. Bununla birlikte, işletmeler; çocuk kullanıcıların yaşını makul bir kesinlikle tahmin etmeye zorlanmakta ve çevrimiçi hizmete erişmesi muhtemel olan çocukların yaşına uygun bir dilde her türlü gizlilik bildirimi, hizmet şartları, politika ve topluluk standartlarını sunmakla yükümlü kılınmaktadır.
CAADCA ile birlikte, Facebook, Twitter ve Tik Tok gibi büyük platformlar çocukların dijital mahremiyetini ve güvenliğini korumak amacıyla 18 yaşın altındaki kullanıcılar için yaşa uygun yeni korumalar uygulamakla yükümlü kılınmaktadır.
3. KVKK Uyarınca İnternet Ortamında Çocuğun Kişisel Verilerinin İşlenmesi Kapsamında Açık Rıza
KVKK kapsamında çocukların kişisel verilerinin korunmasına ilişkin özel düzenleme bulunmadığından, bu hallerde genel hükümlerin uygulanması ve göz önünde bulundurulması gerekmektedir.
Çocuğun fotoğrafları, adı-soyadı, doğum tarihi, konum bilgileri, eğitim bilgileri gibi kişisel verilerinin kendisi veya başkaları tarafından sosyal medyada paylaşılması KVKK kapsamında kişisel verilerin işlenmesi niteliğindedir. Bu nedenle, bu gibi durumlarda kişisel verilerin hukuka uygun olarak işlenmesi için KVKK’nın 4.maddesi kapsamındaki genel kurallara ve KVKK’nın 5.maddesi uyarınca ise kişisel veri işlenme şartlarına uyulması gerekmektedir.
KVKK’nın 5.maddesi ile düzenlendiği üzere, kural olarak, kişisel veriler veri sahibinin açık rızası ile işlenebilmektedir. Çocuklar için ayrı bir düzenleme bulunmadığından, çocukların kişisel verilerinin işlenmesinde açık rızaya dayanıldığı hallerde de rıza alınması gerekmektedir. Bu durumda söz konusu rızanın kimden alınacağı ya da çocuğun verdiği rızanın geçerli olup olmayacağı, vasisinin veya velisinin rızasının mı alınması gerektiği hususunda tartışmalar bulunmaktadır.
Türk hukukunda çocukların açık rızasının yasal veli veya vasi tarafından verilmesi için gerekli yaş sınırı hakkında KVKK kapsamında veya Kişisel Verileri Koruma Kurulu tarafından belirlenen bir düzenleme bulunmamaktadır.
Yalnızca Kişisel Sağlık Verileri Hakkında Yönetmelik’in 8/1.maddesi kapsamında ebeveynlerin, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duymaksızın e-Nabız üzerinden erişebileceği düzenlenmektedir. Ancak ayırt etme gücüne sahip çocukların, sağlık geçmişlerine ebeveynlerin erişimini e-Nabız üzerinden izne tabi tutabilmektedir. Bu konuyla ilgili olarak, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 11/08/2020 tarihli ve 2020/622 sayılı Kararı’na konu olayda henüz 18 yaşını doldurmamış ilgili kişinin veri sorumlusuna yaptığı başvuruya yanıt verilmemesi üzerine yasal temsilcisi babası tarafından Kurul’a şikayet başvurusunda bulunmuştur. Kurul tarafından kararda, küçüğün ayırt etme gücüne sahip olup olmamasına göre bir ayrıma giderek 4721 sayılı Türk Medeni Kanun’nun (“TMK”) 11. vd. hükümlerine atıf yapılmıştır.
Söz konusu karar kapsamında Kurul tarafından yapılan değerlendirmede; “ebeveynlerin, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duymaksızın e-Nabız üzerinden erişebileceği, ayırt etme gücüne sahip çocukların, sağlık geçmişlerine ebeveynlerin erişimini e-Nabız üzerinden izne tabi tutabileceğinin hüküm altına alındığı; mezkûr Yönetmelik hükümleri uyarınca sınırlı ehliyetsizlerin de ayırtım gücüne sahip olmak koşuluyla Kanunun 11 inci maddesinde belirtilen hakları bizzat kullanabileceği, bunun yanında e-Nabız verilerine erişim hususunda küçük tarafından aksi öngörülmedikçe hem küçüğün hem velisinin yetkili kılındığının anlaşıldığı; anılan düzenlemenin somut olay bakımından kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde bağlı hak olduğu yönündeki değerlendirme ile de uyumlu olduğu; zira her iki durumda da ayırtım gücüne sahip küçüğün söz konusu hakkı bizzat kullanabileceği gibi velisinin de onun adına ve hesabına kullanımına olanak tanındığı” belirtilmiştir. Bu nedenle, 18 yaşından küçüklerin, fiil ehliyetine sahip olduğu ölçüde kişisel verileri üzerinde tasarrufta bulunabileceği ve ilgili kişi çocuğun ve velisinin başvuru konusundaki iradelerinin örtüştüğü noktada, karara konu olayda küçüğün yaptığı başvurunun da velisinin başvurusunun da geçerli olduğu kabul edilmiştir.
Bunun yanı sıra, çocukların kendi kişisel verilerinin işlenmesiyle ilgili verdiği rızanın geçerli olmayacağını, bu nedenle buna dayanılarak yapılan işlemenin hukuka uygun olmadığını kabul eden görüşler de bulunmaktadır. Bu halde, çocuğun kişisel verisinin işlenmesi için çocuğun velisi veya vasisi tarafından açık rıza verilmesi gerektiği ve bu durumda veli veya vasinin çocuğun menfaatini gözetmesi gerektiği düşünülmektedir. Bu görüşün dayanağı ise; çocuğun kişisel verilerinin işlenmesi durumunda bunun riskleri ve sonuçları hakkında yeterli bilinç ve fikre sahip olmaması ve bu nedenle velisinin korumasına bırakılmasıdır.
TMK uyarınca yapılan değerlendirmeler de dikkate alındığında ve uygulamada da veri sorumluları tarafından benimsendiği üzere; çocukların kişisel verileri işlenirken çocuğun üzerinde TMK kapsamında dahi önemli derecede yetkiye sahip olan anne ve babanın /veli veya vasinin açık rızasının alınması gerektiği anlaşılmaktadır. Kaldı ki, TMK’nın 342.maddesi uyarınca, ana ve babanın, velayetleri kapsamında üçüncü kişilere karşı çocuklarının yasal temsilcisi olduğu düzenlenmektedir.
4. Öne Çıkan Çocuk Mahremiyeti İhlalleri
TikTok
Dünya çapında milyonlarca kullanıcısı olan son dönemin özellikle çocuklar ve gençler arasında popüler sosyal medya platformu Çin menşeili Tik Tok, farklı hükümetler tarafından yasaklanması ve mahkum edildiği para cezaları ile sıkça gündeme gelmektedir.
4 Nisan 2023 tarihli duyuru kapsamında belirtildiği üzere[1]; Birleşik Krallık veri koruma kurumu olan İngiltere Bilgi Komisyonu Ofisi (“ICO”) tarafından yürütülen soruşturmada TikTok tarafından; i) uygulamada hesap oluşturulması için minimum yaş sınırının 13 olarak belirlenmesine rağmen, 2020’de 13 yaşın altındaki 1,4 milyon İngiliz çocuğun platformunu kullanmasına izin verildiği, ii) 13 yaş altı çocuklara ait kişisel verilerin ebeveyn izni olmadan kullanıldığı ve iii) platformu kimin kullandığı ve reşit olmayan çocukların tespiti için yeterince çaba gösterilmediği ileri sürülerek TikTok’un veri koruma yasasını ihlal ettiği tespit edilmiştir. Ve bu gerekçelerle TikTok, ICO tarafından 12,7 milyon sterlin para cezasına çarptırılmıştır. Söz konusu ceza, ICO tarafından verilen en yüksek para cezası olma özelliğini taşımaktadır. TikTok yetkilileri tarafından ilgili cezaya itiraz edileceği belirtilmiştir; eğer itirazın uygun görülmesi halinde nihai para cezasında indirim yapılması söz konusu olabilecektir.
Bunun yanı sıra, 27 Şubat 2019 tarihinde duyurulduğu üzere[2], ana görevi tüketici haklarını korumak olan Amerika Birleşik Devletleri kurumu Federal Ticaret Komisyonu (Federal Trade Commission) (“FTC”) tarafından, Tik Tok’un selefi Musical.ly üzerinden çocuklardan yasadışı olarak kişisel bilgi toplanarak kullanıldığı, ebeveynleri bilgilendirme ve izinlerini alma mekanizmalarının işletilmediği gerekçeleriyle COPPA’nın ihlal edildiği tespit edilmiş ve Tik Tok, 5.7 milyon para cezası ödemeye mahkum edilmiştir. Veri ve gizlilik ihlalleri nedeniyle para cezalarına çarptırılan TikTok’un aynı zamanda güvenlik ve mahremiyet endişeleri nedeniyle birçok ülkede de kullanımı yasaklanmaktadır.
Microsoft
FTC tarafından 5 Haziran 2023 tarihinde duyurulduğu üzere[3]; Microsoft tarafından, Xbox hesapları aracılığıyla oyun sistemine kaydolan çocuklara ait kişisel verilerin yasadışı olarak toplandığı, bu verilerin, yasa kapsamında yasaklanmış olmasına rağmen gerekli olandan daha uzun süre saklandığı ve bu nedenlerle COPPA’nın ihlal edildiği tespit edilmiştir. FTC ile Microsoft arasında yapılan anlaşma sonucunda ise Microsoft, bu ihlaller nedeniyle 20 milyon dolar para cezası ödemeyi kabul etmiştir.
Amazon
31 Mayıs 2023 tarihli duyuru kapsamında[4] FTC tarafından tespit edildiği üzere, Amazon tarafından geliştirilen sesli sanal asistan Alexa üzerinden kaydedilen çocuk ses kayıtlarının ebeveynlerin talebi üzerine silinmediği ve bunların gereğinden uzun süre saklandığı, bu halde çocukların veri ve mahremiyetini ihlal ettiği anlaşılmıştır. Hem COPPA’yı hem de kullanıcıları aldatmaya karşı konulan kuralları ihlal etmesi gerekçesiyle Amazon, buna karşılık 25 milyon dolar ödemeyi kabul etmiştir.
İrlanda Veri Koruma Komisyonu, 2 Eylül 2022 tarihli kararı uyarınca[5], ABD merkezli teknoloji şirketi Meta’ya ait sosyal medya platformu Instagram’a GDPR’ı ihlal ettiği gerekçesiyle 405 milyon euro tutarında para cezasına hükmetmiştir. Söz konusu kararda, Instagram tarafından 13 ile 17 yaş arasındaki çocuk kullanıcıların işletme hesabı kullanmasına izin verildiği ve bu nedenle bu tür hesapların işletilmesinde çocuk kullanıcıların telefon numarasının ve e-posta adresinin halka açık şekilde yayınlandığı, ve bu hesapların varsayılan olarak herkese açık olmasından dolayı çocukların mahremiyetinin ihlal edildiği belirtilmiştir.
Google ve Youtube
4 Nisan 2019 tarihli duyuru ile birlikte FTC[6], Google LLC ve alt kuruluşu YouTube tarafından, COPPA kapsamında ebeveynlerinden alınması gereken izinleri alınmadığından bahisle 13 yaşın altındaki çocukların kişisel bilgilerini toplayıp, çocuklara yönelik reklam yaparak yasaları ihlal etmekle suçlanmış ve şikayet sonucunda, Google LLC ve YouTube’a COPPA kurallarının ihlal edilmesinden dolayı 170 milyon dolar tutarında para cezası verilmiştir. Söz konusu ceza, COPPA ihlali kapsamında verilen en yüksek para cezası olma özelliğini taşımaktadır.
5. Sonuç
Günümüz dünyasında giderek artan internet ve sosyal medya kullanımı ile çocukların daha erken yaşlarda dijital dünyaya katılması, çocukların kişisel verileri, mahremiyeti ve güvenliği bakımından risk ve tehditlerle karşılaşmasına neden olmaktadır. Bu durum ise, çocukların mahremiyetini korumanın önemini açığa çıkartmakla birlikte, dünyanın dört bir yanındaki kanun koyucuları ve veri koruma otoritelerini harekete geçirmektedir. Çocukların kişisel bilgileri, daha hassas ve daha yüksek korumayı gerektiren bilgiler olarak görülmekte ve bu nedenle yasal düzenlemelerle birlikte kuruluşlara bu tür bilgi ve verilerin toplanması, kullanılması ve açıklanması için bazı uygulama esasları getirilmektedir. Gerek otoriteler tarafından dev şirketlere verilen dev para cezaları ile gerekse artan ve detaylı şekillenen yasal düzenlemeler ile açıkça anlaşılmaktadır ki, çocukların özellikle internet ortamındaki verilerinin ve mahremiyetinin korunmasına yönelik kurallar ve yükümlülüklerin derinleştirilmesi, bunların ihlalinin ise yakından takip edilerek ciddi yaptırımlar ile sonuçlandırılması kaçınılmaz olacaktır.
KVKK alanındaki tüm yazılarımızı bağlantıdan okuyabilirsiniz.
Av. Cihangir Altuğ TAŞ’ın 13. Sayı’mızda çıkan “Metaverse’te Kişisel Verilerin Korunması” isimli yazısını okumak için bağlantıya tıklayınız.
Yazar: Av. Berna Çetinkaya
Kaynakça
https://dergipark.org.tr/tr/download/article-file/1397697
https://dergipark.org.tr/en/download/article-file/2016479
https://hukuk.deu.edu.tr/wp-content/uploads/2019/09/CANAN-ERDOGAN.pdf
https://www.lexology.com/library/detail.aspx?g=ff5bfe26-4e98-4499-b6d6-4eaea0d3fdb0
[1] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/
[2] https://www.ftc.gov/legal-library/browse/cases-proceedings/172-3004-musically-inc
[3] https://www.ftc.gov/news-events/news/press-releases/2023/06/ftc-will-require-microsoft-pay-20-million-over-charges-it-illegally-collected-personal-information
[4] https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-doj-charge-amazon-violating-childrens-privacy-law-keeping-kids-alexa-voice-recordings-forever
[5] https://www.dataprotection.ie/en/resources/law/decisions/Meta-Platforms-Ireland-Limited-formerly-Facebook-Ireland-Limited-and-the-Instagram-social-media-network-September-2022
[6] https://www.ftc.gov/news-events/news/press-releases/2019/09/google-youtube-will-pay-record-170-million-alleged-violations-childrens-privacy-law