6698 sayılı Kişisel Verilerin Korunması Kanunu’nda çocukların kişisel verilerine ilişkin özel bir düzenleme mevcut değildir. Bu durum uygulamada belirsizliğe ve dolayısıyla da problemlere neden olmaktadır. En sık karşımıza çıkan problemlerden biri ise, veri ilgilisinin çocuk olması halinde aydınlatma yükümlülüğünün yerine getirilmesi ve açık rıza alınması gereken durumlarda açık rızanın kimden ve nasıl alınacağıdır.
Kişisel Verilerin Korunması Kurulu on sekiz yaşını doldurmamış bir kişinin (çocuğun) babasının, çocuğunun kişisel verilerini imha talebi hakkında bir karar verdi. Ama ne yazık ki karar uygulamadaki problemleri çözmekten uzak, kendi içerisinde belirsizlikleri olan bir karardan öteye geçemedi. Oysaki Kurul’dan beklentimiz konuya ışık tutacak daha somut kararlar vermesiydi.
Bu yazımızda önce kişisel verilerin korunması hakkının niteliğine değindikten sonra GDPR’a göre çocukların kişisel verilerinin korunması ile Kurul’un söz konusu kararına değinip son olarak da uygulamadaki problemlerden ve bizim çözüm önerilerimizden bahsedeceğiz.
I. Hak Olarak Kişisel Verilerin Korunması
Kişiye sıkı sıkıya bağlı haklar için (kanunlarda kesin bir tanım yer almamakla birlikte) öğretide kabul edilen tanıma göre, başkasına devredilemeyen, miras yoluyla geçmeyen, hak sahibinin kişiliğiyle ilgili kural olarak yasal temsil yoluyla kullanılamayıp bizzat hak sahibi tarafından kullanılması gereken haklardır[1]. Bu haklar da diğer bütün haklar gibi ayırt etme gücünden yoksun olanlar tarafından kullanılamazlar. Bu haklar bakımından tartışılması gereken asıl nokta tam ehliyetsizlerin yasal temsilcilerinin bu hakları kullanıp kullanamayacağıdır.
Öğretide ve uygulamada, tam ehliyetsizlik durumunda yasal temsilcinin kişiye sıkı sıkıya bağlı hakları kullanamaması durumunun fiil ehliyetsizliğinin yanı sıra hak ehliyetsizliği sonucunu da doğurabileceği (ve böylece adil olmayan bir sonuç doğabileceği) ve bunu önlemek amacıyla da en azından kişiye sıkı sıkıya bağlı hakların bir kısmının yasal temsilciler tarafından kullanılması gerektiği kanaatine varılmış ve bu hakları ikiye ayırarak incelenmesi gerektiği ileri sürülmüştür. Öğretide bu görüşü savunan yazarlara göre bu haklar, (yasal temsilcinin tam ehliyetsiz adına kesin olarak kullanamayacağı nişanlanma, evlenme, boşanma gibi) mutlak kişiye sıkı sıkıya bağlı haklar ve (ayırt etme gücüne sahip kişinin bizzat kullanabilirken ayırt etme gücünün yokluğu halinde yasal temsilcisinin onun adına kullanabileceği) nispi kişiye sıkı sıkıya bağlı haklar olarak ikiye ayrılır.
Sınırlı ehliyetsizler de kişiye sıkı sıkıya bağlı haklarını yasal temsilcilerine gerek olmaksızın kullanabilirler. Ancak Kanun’un yasal temsilci ile birlikte kullanılmasını öngördüğü kişiye sıkı sıkıya bağlı hakların kullanılmasına yasal temsilcinin de katılması gerekir[2]. 4721 sayılı Türk Medeni Kanunu’nun 16/1 maddesinde, “Ayırt etme gücüne sahip küçükler ve kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler. Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir.” denilmektedir. Buradaki “bu rıza gerekli değildir” ifadesinden kişinin yasal temsilcisinin bu hakları hiçbir zaman kullanamayacağı sonucunu doğurmayacağı bunun aksine, yasal temsilcilerin nispi kişiye sıkı sıkıya bağlı hakları sınırlı ehliyetsiz adına ve hesabına kullanabileceği kanaatindeyiz.
Sonuç olarak mutlak kişiye sıkı sıkıya bağlı haklarda yasal temsilciden söz etmek mümkün değilken nispi kişiye sıkı sıkıya bağlı haklar bakımından yasal temsile izin verilmektedir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır (KVKK m. 3, f. d). Her gerçek kişi, kişisel verilerini koruma hakkına sahip olmakla birlikte küçükler için bu hakkın yasal temsilcileri tarafından kullanılamaması durumunda küçüğün hak ehliyetsizliği sonucu doğabileceğinden kişisel verilerin koruması hakkı nispi şahsa sıkı sıkıya bağlı hak olarak değerlendirilmelidir. Böylece kişilerin yanında yasal temsilcilerinin de onların adına ve hesabına bu hakları kullanabilecekleri sonucu ortaya çıkar. Bu kabul, kişisel verilerin korunması hakkı bakımından daha adil sonuçlar doğurur.
II. GDPR’a Göre Çocukların Kişisel Verilerinin Korunması
Çocuklara ait kişisel verilerin işlenmesi, Avrupa Genel Veri Koruma Tüzüğü (GDPR) kapsamında ayrı bir madde ile düzenlenmiştir. Bu konuyu ele alan GDPR’ın 8. maddesi çerçevesinde çocuğun kişisel verilerinin işlenmesi için en az 16 yaşında olması, eğer çocuk 16 yaşından küçük ise, o halde onun yasal olarak tayin edilmiş velisi ya da vasisinin izninin alınması gerekir. GDPR’ın bu maddesi ile aynı zamanda Avrupa Birliği’ne üye devletlerin kendi iç hukuk düzenlemelerinde bu yaşı değiştirebilecekleri fakat bu değişimin 13 yaştan az olmayacak şekilde yapılması gerektiği de düzenlenmiştir. Bahsedilen madde kapsamında 16 yaşından küçük çocuklar için kişisel verilerinin hukuka uygun olarak işlenmesi çocuk üzerinde velayet hakkı bulunan kişinin rızası veya onayına tabi tutulmuştur. Veri işleme faaliyeti, velinin/vasinin rıza verdiği veya onayladığı ölçüde hukuka uygundur.
GDPR’ın ilgili düzenlemesinin nasıl uygulandığına ilişkin en iyi örnek Birleşik Krallık’tır. Nitekim Birleşik Krallık veri koruma otoritesi olan Information Commissioner’s Office (ICO) kişisel verilerin korunması konusunda çok önemli ve örnek niteliğinde kararlar vermektedir. Birleşik Krallık’taki düzenlemeye göre bilgi toplumu hizmetlerinin sağlanması ile ilgili olarak yalnızca 13 yaş ve üzerindekiler rızalarını verebilirler. 13 yaşının altındakiler bakımından, bilgi toplumu hizmetleri çevrimiçi önleyici veya danışmanlık hizmeti olmadıkça, o çocuğun rızası, onun sorumlu ebeveynleri aracılığıyla sağlanır[3]. Bu düzenleme şu anlama gelir; eğer bilgi toplumu hizmetlerini rızaya dayandırarak hukuka uygunluk sağlanmak isteniyorsa o halde rıza veren kişinin bunun için aranan yaşta olması gerekir. Birleşmiş Milletler Çocuk Hakları Sözleşmesi’nin 3. maddesine göre çocuklara yönelik atılan tüm adımlar ister kamu ister özel sosyal yardım kuruluşları tarafından üstlenilsin her halükârda öncelikli olarak çocuğun çıkarlarını gözetmelidir.
Verilen rızanın geçerliliği de önemli bir husustur. Çocuğun rızasının alınması aşamasında onun yeterliliği önem arz eder. Çocuk, kişisel verilerinin toplanması ve işlenmesinin sonuçlarını anlama kapasitesine sahip olmalıdır. Kapasitenin çocuğun kişiliğine göre değiştiği varsayıldığından kesin bir yaş aralığından bahsetmek mümkün değildir. İngiltere, Galler ve Kuzey İrlanda için konuşmak gerekirse çocuğun hangi yaşta yeterli sayılacağına dair bir belirginlik olmamakla birlikte İskoçya’da 12 yaş ve üzeri olanlar aksi kanıtlanmadıkça veri koruma amaçları doğrultusunda rızalarını vermek için yeterli kapasitede sayılırlar. Avusturya’da ise bu eşik 14 yaştır.
Bir çocuk adına rıza verilmişse, verileri toplanan çocuğun bu rızayı her zaman geri alma hakkı olduğunu bilmesi gerekir. Çocukların aynı zamanda verilerinin nasıl kullanılacağını ve verileri hakkında hangi haklara sahip olduklarını bilmeye de hakları vardır. Bu bildirimlerin çocuklara basit ve yaşlarına uygun bir dille anlatılması gerekir. GPDR madde 8/2’de ise veri sorumlusunun mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf etmesi gerektiği belirtilmiştir. Bu anlamda makul çabanın ne olduğunun belirsizliği de söz konusudur. Günümüzde sürekli olarak değişmekte ve gelişmekte olan teknoloji de göz önünde bulundurulduğunda bu konuda da somut olay temelinde yorum yapmanın daha uygun olacağı kanaatindeyiz.
Örneğin, sevdiği müzik grubu hakkında bilgiler almak isteyen bir çocuk için mail adresi açmak istenebilir. Bu mail adresi yalnızca bilgi almak istediği içerikte mail atmak için kullanıldığı takdirde burada toplanılan kişisel veriler için riskin daha az olduğu söylenebilir. Böyle bir durum için veri sorumlusunun göstereceği makul çaba, kullanıcının basitçe kendi rızasını verebilecek yaşta olduğuna dair bir beyan veya ebeveyninin beyanı için bir onay kutusu yerleştirmek ya da e-mail onayı almak olabilir. İlgili süreçte belirtilen bu adımların veri işleme aşamasındaki düşük riskler göz önüne alınarak yeterli olduğu söylenebilir.
Örneği değiştirmek gerekirse, kişilerin konuşma odaları üzerinden kişisel verilerini paylaşmaya yarayan çevrimiçi hizmetler bakımından böyle bir hizmete çocukların katılması daha riskli olabilir. Bu nedenle alınan izni doğrulamak için daha katı yöntemler benimsenmelidir. Uygulanabilecek yöntemlerden biri, üçüncü kişilerden o çocuğun rızasını vermek konusunda yeterli olgunlukta olduğunun onayını almak olabilir. Diğer bir yöntem ise çocuğun ebeveyni olduğu söylenen kişinin kimliğini kontrol ederek çocuk ile arasındaki ilişkiyi doğrulamak olabilir.
Sonuç olarak bilişim teknolojileri geliştikçe makul çabanın anlamı da değişecektir ancak riski hesaplamak ve olası risklerin kapsamında geçerli bir rıza alındığına dair makul çaba sarf etmek yaklaşımı her zaman aynı kalmalıdır [4].
Bu konuya ilişkin olarak ABD’de Google ve Youtube’a karşı açılan bir dava mevcuttur[5]. Youtube’un günümüzde çocuklar için televizyondan daha çok tercih edilen bir platform olduğu bilinmektedir. Nitekim, uygulamanın içinde çocuk kullanıcılara hitap eden birçok kanal bulunmaktadır. Bu davada da 13 yaş altındaki çocukların uygulamayı kullanırken verilerinin hukuka aykırı bir şekilde toplandığı tespit edilmiş ve bu kapsamda çocukların ve ailelerinin rızası alınmadan veri toplayan Google ve Youtube’un, ailelere tazminat ödemesi gerektiğine karar verilmiştir. Bu davadan sonra İngiltere’de de çocuklarının Youtube kullanımı sonucu verilerinin yasadışı kullanımına ilişkin iddiada bulunan Duncan Mccan[6], çocuklarının Youtube’u sevdiğini ve bunu kullanmalarını engellemesinin mümkün olmadığını ancak Youtube gibi bir platformun mutlaka yasalara uygun hareket etmesi gerektiğini belirtmiştir.[7] Mccann bu iddiasında aileler ve teknolojik platformlar arasında büyük bir güç dengesizliği olduğunu ve veri koruma yasalarına uyulmadığını da belirtmiştir[8].
Davadan da anlaşıldığı üzere günümüzdeki teknolojik gelişmeler kapsamında veri sorumlularının, çocukların kullanımını dikkate alarak onların verilerinin toplanması kapsamında gerekli önlemlerin alınmasının ve hukuka uygun şekilde rızalarının alınmasının gerekli olduğu anlaşılmaktadır.
Sonuç olarak GDPR’ın 8. maddesi uygulamada iki seçenek vermektedir: Ya doğrudan veri ilgilisinin ebeveynlerinden rıza alınması ya da ebeveynlerin veri ilgilisinin rıza verme konusunda kendisini yetkilendirmesinin sağlaması. Bu iki seçenekten biri uygulanmadan GDPR kapsamında çocuğun kişisel verilerinin işlenmesi mümkün değildir[9].
III. Türk Hukukunda Durum ve Kurul’un 11/ 08/ 2020 Tarihli 2020/ 622 Sayılı Kararı
Şikâyete konu olayda, gerçeğe aykırı olarak düzenlendiği iddia edilen 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik olarak, kişinin babası tarafından başvuruda bulunulan veri sorumlusu bu talebe cevap vermemiştir. Cevap verilmemesi üzerine baba tarafından Kişisel Verileri Koruma Kuruluna (Kurul) şikâyette bulunulmuştur.
Kurul kararında öncelikle Anayasa’nın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının birinci bölümünde yer alan ve temel hak ve hürriyetlerin niteliğini açıklayan 12. maddesine, sonrasında ise kişisel verilerin düzenlendiği 20.maddesinin 3. fıkrasına ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacına değinmiştir.
Sonrasında ise 4721 sayılı Kanun başta olmak üzere mevzuatımızda, kişiye sıkı sıkıya bağlı hakkın ve kişilik hakkının tanımına yer verilmediği; bununla birlikte, kişilik hakkının, kişinin maddi ve manevi varlıkları ile iktisadi bütünlüğü ve sır çevresi üzerinde sahip olduğu kişiye sıkı sıkıya bağlı bir hak olduğu, bu niteliği nedeniyle herkese karşı ileri sürülebilen bu hakkın başkasına devredilemez, vazgeçilemez ve zamanaşımına uğramaz nitelikte olduğu, kişiye sıkı sıkıya bağlı olan hakların bu niteliklerinden ötürü miras yoluyla mirasçılara geçmediği ve hak süjesinin ölümüyle kendiliklerinden ortadan kalktığı; bu anlamda, ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakların da kişiye sıkı sıkıya bağlı haklardan olduğu; kişiye sıkı sıkıya bağlı hakların öğretide mutlak ve nispi olarak ayrıldığı ifade edilmiştir.
Velinin rızası şartıyla nişanlanma, evlenme, evlilik dışı çocuğu tanıma, mal rejimi sözleşmesi yapma, derneğe üye olma, ölüme bağlı tasarrufta bulunma gibi mutlak kişiye sıkı biçimde bağlı hakların kullanılmasında karar verme yetkisinin hak sahibine tanındığı, kişiliği koruyucu davalar, yaş ve isim düzeltme davalarını ikame etme gibi nispi kişiye sıkı biçimde bağlı hakların küçük tarafından bizzat kullanılabileceği gibi, velinin de küçük adına ve hesabına kullanabildiği; bu anlamda 4721 sayılı Kanun’un 16/1 maddesindeki ayırt etme gücüne sahip küçüklerin kişiye sıkı sıkıya bağlı hakları kullanmalarında yasal temsilcilerinin rızasının gerekli olmadığına ilişkin kuralın çocuk için bir yetki kuralı olduğu, ancak veli için bir yasak kuralı olmadığı; velinin nispi kişiye sıkı biçimde bağlı hakları küçük adına ve hesabına kullanabildiği belirtilmiştir.
Bu bakımdan Kurul, çocuğun üstün yararı da gözetilerek kişisel verilerin korunması hakkının da somut olay bakımından nispi kişiye sıkı biçimde bağlı hak kategorisinde ele alınması gerektiğine kanaat getirmiştir. Öte yandan, “Kişisel Sağlık Verileri Hakkında Yönetmelik”in 5/6 maddesine göre, herkesin veri sorumlusuna başvurarak kendisiyle ilgili olarak 6698 sayılı Kanun’un 11.maddesinde yer alan hakları kullanabileceğinin belirtildiği; Yönetmeliğin 8. maddesinin 1. fıkrasında ise ebeveynlerin, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duymaksızın e-Nabız üzerinden erişebileceği, ayırt etme gücüne sahip çocukların, sağlık geçmişlerine ebeveynlerin erişimini e-Nabız üzerinden izne tabi tutabileceğinin hüküm altına alındığı; mezkûr Yönetmelik hükümleri uyarınca sınırlı ehliyetsizlerin de ayırtım gücüne sahip olmak koşuluyla Kanun’un 11. maddesinde belirtilen hakları bizzat kullanabileceği, bunun yanında e-Nabız verilerine erişim hususunda küçük tarafından aksi öngörülmedikçe hem küçüğün hem velisinin yetkili kılındığının anlaşıldığı; anılan düzenlemenin somut olay bakımından kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde bağlı hak olduğu yönündeki değerlendirme ile de uyumlu olduğu; zira her iki durumda da ayırt etme gücüne sahip küçüğün söz konusu hakkı bizzat kullanabileceği gibi velisinin de onun adına ve hesabına kullanımına olanak tanındığı değerlendirmesinde bulunarak küçüğün ayırt etme gücüne sahip olması koşuluyla, (ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüşmesi de dikkate alınarak) gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varmıştır.
B. Kararın Değerlendirilmesi
Türk Medeni Kanun’unda (Kurul’un kararında belirttiği gibi) kişiye sıkı sıkıya bağlı hakların tanımı yer almamaktadır. Nitekim kişisel verilerin korunmasının da kişiye sıkı sıkıya bağlı hak niteliğine sahip olup olmadığına ilişkin bir düzenleme mevcut değildir. Bu nedenle on sekiz yaşını doldurmamış kişiler bakımından 6698 sayılı Kanun’daki hakların nasıl kullanılacağının belirlenebilmesi için öncelikle kişisel verilerin korunmasının kişiye sıkı sıkıya bağlı bir hak olup olmadığının belirlenmesi gerekir. Kurul da kararında bu kapsamda bir inceleme gerçekleştirmiştir.
Ayırt etme gücü, kişinin gerçekleştirdiği fiillerin hukuki sonuçlarını algılayabilmesidir. Ayırt etme gücüne sahip kişiler bakımından kişiye sıkı sıkıya bağlı hakların kullanılması için yasal temsilcilerinin rızasının olması şartı aranmamaktadır. Nitekim Türk Medeni Kanunu madde 16’ya göre, “Ayırt etme gücüne sahip küçükler ve kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler. Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir”.
Bu bakımdan yukarıda açıkladığımız üzere ayırt etme gücüne sahip çocuklar bakımından, kişisel verilerin kişiye sıkı sıkıya bağlı hak olması nedeniyle, veli/vasisi olmaksızın, kendi başlarına Kişisel Verilerin Korunması Mevzuatından kaynaklı haklarını kullanabilmeleri kabul edilmelidir. Ancak burada da (aşağıda daha ayrıntılı açıklayacağımız üzere) ayırt etme gücünün varlığının hangi yaşlarda, hangi durumlarda kabul edilmesi gerektiğine ilişkin bilgi verilmesi gerekir. Zira her ne kadar Kurul kararı olmasa da Kişisel Verilerin Korunması Mevzuatı, mevzuatın amacı ve sair düzenlemeler değerlendirildiğinde kişisel verilerin kişiye sıkı sıkıya bağlı bir hak olduğu sonucu çıkmaktadır.
Kurul’un burada özellikle vurgulaması, açıklığa kavuşturması gereken konu ayırt etme gücüne sahip kimselerin KVKK bakımından kimler olacağıdır. Kurul, “küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği değerlendirildiğinden somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu” şeklinde karar verirken, aynı zamanda, iradelerin örtüşmemesi durumunda ne olacağı sorusunu gündeme getirmiştir. Aynı örnekten devam edersek veli/vasi çocuğunun fotoğraflarının sosyal medyada paylaşılmasını isterken, çocuğun bunu istememesi durumunda ne olacaktır? Bu problem nasıl çözülecektir? Kurul aslında, uygulamaya şekil vermeye çalışırken başka problemleri de (haklı olarak) gündeme getirmiştir.
Aslında bu soru sosyo-kültürel konuları da içinde barındıran kompleks bir sorundur. Zira toplumdan topluma hatta bir toplumun kendi içindeki alt gruplarındaki aile ilişkileri açısından dahi değişkenlik gösteren yanıtları içerir. Bize göre veli/vasi ile çocuğun istekleri çatıştığında istisnalar dışında çocuğun iradesine önem verilmelidir. Zira gelecekteki yetişkinlik yaşamında fotoğrafıyla yaşamak zorunda kalacak ve belki o fotoğraftaki haliyle anılmak istemeyecek kişi çocuğun kendisidir. Tabii ki aile içi her ilişkiye hukukun karışması doğru değildir. Dolayısıyla sosyal medyada paylaşılacak her fotoğraf için veli/vasinin çocuktan açık rıza alması gerektiği söylenemez. Ancak çocuğun açıkça karşı çıkması halinde söz konusu fotoğraflar yayınlanmamalı, eğer yayınlanmış ise kaldırılmalıdır. Bu durum ise mutlaka kanun tarafından düzenlenmeli ve açıklığa kavuşturulmalıdır.