Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda çocukların kişisel verilerine ilişkin özel bir düzenleme mevcut değildir. Bu durum uygulamada belirsizliğe ve dolayısıyla da problemlere neden olmaktadır. En sık karşımıza çıkan problemlerden biri ise, veri ilgilisinin çocuk olması halinde aydınlatma yükümlülüğünün yerine getirilmesi ve açık rıza alınması gereken durumlarda açık rızanın kimden ve nasıl alınacağıdır.
Kişisel Verilerin Korunması Kurulu on sekiz yaşını doldurmamış bir kişinin (çocuğun) babasının, çocuğunun kişisel verilerini imha talebi hakkında bir karar verdi. Ama ne yazık ki karar uygulamadaki problemleri çözmekten uzak, kendi içerisinde belirsizlikleri olan bir karardan öteye geçemedi. Oysaki Kurul’dan beklentimiz konuya ışık tutacak daha somut kararlar vermesiydi.
Bu yazımızda önce kişisel verilerin korunması hakkının niteliğine değindikten sonra GDPR’a göre çocukların kişisel verilerinin korunması ile Kurul’un söz konusu kararına değinip son olarak da uygulamadaki problemlerden ve bizim çözüm önerilerimizden bahsedeceğiz.
I. Hak Olarak Kişisel Verilerin Korunması
Kişiye sıkı sıkıya bağlı haklar için (kanunlarda kesin bir tanım yer almamakla birlikte) öğretide kabul edilen tanıma göre, başkasına devredilemeyen, miras yoluyla geçmeyen, hak sahibinin kişiliğiyle ilgili kural olarak yasal temsil yoluyla kullanılamayıp bizzat hak sahibi tarafından kullanılması gereken haklardır[1]. Bu haklar da diğer bütün haklar gibi ayırt etme gücünden yoksun olanlar tarafından kullanılamazlar. Bu haklar bakımından tartışılması gereken asıl nokta tam ehliyetsizlerin yasal temsilcilerinin bu hakları kullanıp kullanamayacağıdır.
Öğretide ve uygulamada, tam ehliyetsizlik durumunda yasal temsilcinin kişiye sıkı sıkıya bağlı hakları kullanamaması durumunun fiil ehliyetsizliğinin yanı sıra hak ehliyetsizliği sonucunu da doğurabileceği (ve böylece adil olmayan bir sonuç doğabileceği) ve bunu önlemek amacıyla da en azından kişiye sıkı sıkıya bağlı hakların bir kısmının yasal temsilciler tarafından kullanılması gerektiği kanaatine varılmış ve bu hakları ikiye ayırarak incelenmesi gerektiği ileri sürülmüştür. Öğretide bu görüşü savunan yazarlara göre bu haklar, (yasal temsilcinin tam ehliyetsiz adına kesin olarak kullanamayacağı nişanlanma, evlenme, boşanma gibi) mutlak kişiye sıkı sıkıya bağlı haklar ve (ayırt etme gücüne sahip kişinin bizzat kullanabilirken ayırt etme gücünün yokluğu halinde yasal temsilcisinin onun adına kullanabileceği) nispi kişiye sıkı sıkıya bağlı haklar olarak ikiye ayrılır.
Sınırlı ehliyetsizler de kişiye sıkı sıkıya bağlı haklarını yasal temsilcilerine gerek olmaksızın kullanabilirler. Ancak Kanun’un yasal temsilci ile birlikte kullanılmasını öngördüğü kişiye sıkı sıkıya bağlı hakların kullanılmasına yasal temsilcinin de katılması gerekir[2]. 4721 sayılı Türk Medeni Kanunu’nun 16/1 maddesinde, “Ayırt etme gücüne sahip küçükler ve kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler. Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir.” denilmektedir. Buradaki “bu rıza gerekli değildir” ifadesinden kişinin yasal temsilcisinin bu hakları hiçbir zaman kullanamayacağı sonucunu doğurmayacağı bunun aksine, yasal temsilcilerin nispi kişiye sıkı sıkıya bağlı hakları sınırlı ehliyetsiz adına ve hesabına kullanabileceği kanaatindeyiz.
Sonuç olarak mutlak kişiye sıkı sıkıya bağlı haklarda yasal temsilciden söz etmek mümkün değilken nispi kişiye sıkı sıkıya bağlı haklar bakımından yasal temsile izin verilmektedir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır (KVKK m. 3, f. d). Her gerçek kişi, kişisel verilerini koruma hakkına sahip olmakla birlikte küçükler için bu hakkın yasal temsilcileri tarafından kullanılamaması durumunda küçüğün hak ehliyetsizliği sonucu doğabileceğinden kişisel verilerin koruması hakkı nispi şahsa sıkı sıkıya bağlı hak olarak değerlendirilmelidir. Böylece kişilerin yanında yasal temsilcilerinin de onların adına ve hesabına bu hakları kullanabilecekleri sonucu ortaya çıkar. Bu kabul, kişisel verilerin korunması hakkı bakımından daha adil sonuçlar doğurur.
II. GDPR’a Göre Çocukların Kişisel Verilerinin Korunması
Çocuklara ait kişisel verilerin işlenmesi, Avrupa Genel Veri Koruma Tüzüğü (GDPR) kapsamında ayrı bir madde ile düzenlenmiştir. Bu konuyu ele alan GDPR’ın 8. maddesi çerçevesinde çocuğun kişisel verilerinin işlenmesi için en az 16 yaşında olması, eğer çocuk 16 yaşından küçük ise, o halde onun yasal olarak tayin edilmiş velisi ya da vasisinin izninin alınması gerekir. GDPR’ın bu maddesi ile aynı zamanda Avrupa Birliği’ne üye devletlerin kendi iç hukuk düzenlemelerinde bu yaşı değiştirebilecekleri fakat bu değişimin 13 yaştan az olmayacak şekilde yapılması gerektiği de düzenlenmiştir. Bahsedilen madde kapsamında 16 yaşından küçük çocuklar için kişisel verilerinin hukuka uygun olarak işlenmesi çocuk üzerinde velayet hakkı bulunan kişinin rızası veya onayına tabi tutulmuştur. Veri işleme faaliyeti, velinin/vasinin rıza verdiği veya onayladığı ölçüde hukuka uygundur.
GDPR’ın ilgili düzenlemesinin nasıl uygulandığına ilişkin en iyi örnek Birleşik Krallık’tır. Nitekim Birleşik Krallık veri koruma otoritesi olan Information Commissioner’s Office (ICO) kişisel verilerin korunması konusunda çok önemli ve örnek niteliğinde kararlar vermektedir. Birleşik Krallık’taki düzenlemeye göre bilgi toplumu hizmetlerinin sağlanması ile ilgili olarak yalnızca 13 yaş ve üzerindekiler rızalarını verebilirler. 13 yaşının altındakiler bakımından, bilgi toplumu hizmetleri çevrimiçi önleyici veya danışmanlık hizmeti olmadıkça, o çocuğun rızası, onun sorumlu ebeveynleri aracılığıyla sağlanır[3]. Bu düzenleme şu anlama gelir; eğer bilgi toplumu hizmetlerini rızaya dayandırarak hukuka uygunluk sağlanmak isteniyorsa o halde rıza veren kişinin bunun için aranan yaşta olması gerekir. Birleşmiş Milletler Çocuk Hakları Sözleşmesi’nin 3. maddesine göre çocuklara yönelik atılan tüm adımlar ister kamu ister özel sosyal yardım kuruluşları tarafından üstlenilsin her halükârda öncelikli olarak çocuğun çıkarlarını gözetmelidir.
Verilen rızanın geçerliliği de önemli bir husustur. Çocuğun rızasının alınması aşamasında onun yeterliliği önem arz eder. Çocuk, kişisel verilerinin toplanması ve işlenmesinin sonuçlarını anlama kapasitesine sahip olmalıdır. Kapasitenin çocuğun kişiliğine göre değiştiği varsayıldığından kesin bir yaş aralığından bahsetmek mümkün değildir. İngiltere, Galler ve Kuzey İrlanda için konuşmak gerekirse çocuğun hangi yaşta yeterli sayılacağına dair bir belirginlik olmamakla birlikte İskoçya’da 12 yaş ve üzeri olanlar aksi kanıtlanmadıkça veri koruma amaçları doğrultusunda rızalarını vermek için yeterli kapasitede sayılırlar. Avusturya’da ise bu eşik 14 yaştır.
Bir çocuk adına rıza verilmişse, verileri toplanan çocuğun bu rızayı her zaman geri alma hakkı olduğunu bilmesi gerekir. Çocukların aynı zamanda verilerinin nasıl kullanılacağını ve verileri hakkında hangi haklara sahip olduklarını bilmeye de hakları vardır. Bu bildirimlerin çocuklara basit ve yaşlarına uygun bir dille anlatılması gerekir. GPDR madde 8/2’de ise veri sorumlusunun mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf etmesi gerektiği belirtilmiştir. Bu anlamda makul çabanın ne olduğunun belirsizliği de söz konusudur. Günümüzde sürekli olarak değişmekte ve gelişmekte olan teknoloji de göz önünde bulundurulduğunda bu konuda da somut olay temelinde yorum yapmanın daha uygun olacağı kanaatindeyiz.
Örneğin, sevdiği müzik grubu hakkında bilgiler almak isteyen bir çocuk için mail adresi açmak istenebilir. Bu mail adresi yalnızca bilgi almak istediği içerikte mail atmak için kullanıldığı takdirde burada toplanılan kişisel veriler için riskin daha az olduğu söylenebilir. Böyle bir durum için veri sorumlusunun göstereceği makul çaba, kullanıcının basitçe kendi rızasını verebilecek yaşta olduğuna dair bir beyan veya ebeveyninin beyanı için bir onay kutusu yerleştirmek ya da e-mail onayı almak olabilir. İlgili süreçte belirtilen bu adımların veri işleme aşamasındaki düşük riskler göz önüne alınarak yeterli olduğu söylenebilir.
Örneği değiştirmek gerekirse, kişilerin konuşma odaları üzerinden kişisel verilerini paylaşmaya yarayan çevrimiçi hizmetler bakımından böyle bir hizmete çocukların katılması daha riskli olabilir. Bu nedenle alınan izni doğrulamak için daha katı yöntemler benimsenmelidir. Uygulanabilecek yöntemlerden biri, üçüncü kişilerden o çocuğun rızasını vermek konusunda yeterli olgunlukta olduğunun onayını almak olabilir. Diğer bir yöntem ise çocuğun ebeveyni olduğu söylenen kişinin kimliğini kontrol ederek çocuk ile arasındaki ilişkiyi doğrulamak olabilir.
Sonuç olarak bilişim teknolojileri geliştikçe makul çabanın anlamı da değişecektir ancak riski hesaplamak ve olası risklerin kapsamında geçerli bir rıza alındığına dair makul çaba sarf etmek yaklaşımı her zaman aynı kalmalıdır [4].
Bu konuya ilişkin olarak ABD’de Google ve Youtube’a karşı açılan bir dava mevcuttur[5]. Youtube’un günümüzde çocuklar için televizyondan daha çok tercih edilen bir platform olduğu bilinmektedir. Nitekim, uygulamanın içinde çocuk kullanıcılara hitap eden birçok kanal bulunmaktadır. Bu davada da 13 yaş altındaki çocukların uygulamayı kullanırken verilerinin hukuka aykırı bir şekilde toplandığı tespit edilmiş ve bu kapsamda çocukların ve ailelerinin rızası alınmadan veri toplayan Google ve Youtube’un, ailelere tazminat ödemesi gerektiğine karar verilmiştir. Bu davadan sonra İngiltere’de de çocuklarının Youtube kullanımı sonucu verilerinin yasadışı kullanımına ilişkin iddiada bulunan Duncan Mccan[6], çocuklarının Youtube’u sevdiğini ve bunu kullanmalarını engellemesinin mümkün olmadığını ancak Youtube gibi bir platformun mutlaka yasalara uygun hareket etmesi gerektiğini belirtmiştir.[7] Mccann bu iddiasında aileler ve teknolojik platformlar arasında büyük bir güç dengesizliği olduğunu ve veri koruma yasalarına uyulmadığını da belirtmiştir[8].
Davadan da anlaşıldığı üzere günümüzdeki teknolojik gelişmeler kapsamında veri sorumlularının, çocukların kullanımını dikkate alarak onların verilerinin toplanması kapsamında gerekli önlemlerin alınmasının ve hukuka uygun şekilde rızalarının alınmasının gerekli olduğu anlaşılmaktadır.
Sonuç olarak GDPR’ın 8. maddesi uygulamada iki seçenek vermektedir: Ya doğrudan veri ilgilisinin ebeveynlerinden rıza alınması ya da ebeveynlerin veri ilgilisinin rıza verme konusunda kendisini yetkilendirmesinin sağlaması. Bu iki seçenekten biri uygulanmadan GDPR kapsamında çocuğun kişisel verilerinin işlenmesi mümkün değildir[9].
III. Türk Hukukunda Durum ve Kurul’un 11/ 08/ 2020 Tarihli 2020/ 622 Sayılı Kararı
A. Kararın Özeti
Şikâyete konu olayda, gerçeğe aykırı olarak düzenlendiği iddia edilen 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik olarak, kişinin babası tarafından başvuruda bulunulan veri sorumlusu bu talebe cevap vermemiştir. Cevap verilmemesi üzerine baba tarafından Kişisel Verileri Koruma Kuruluna (Kurul) şikâyette bulunulmuştur.
Kurul kararında öncelikle Anayasa’nın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının birinci bölümünde yer alan ve temel hak ve hürriyetlerin niteliğini açıklayan 12. maddesine, sonrasında ise kişisel verilerin düzenlendiği 20.maddesinin 3. fıkrasına ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacına değinmiştir.
Sonrasında ise 4721 sayılı Kanun başta olmak üzere mevzuatımızda, kişiye sıkı sıkıya bağlı hakkın ve kişilik hakkının tanımına yer verilmediği; bununla birlikte, kişilik hakkının, kişinin maddi ve manevi varlıkları ile iktisadi bütünlüğü ve sır çevresi üzerinde sahip olduğu kişiye sıkı sıkıya bağlı bir hak olduğu, bu niteliği nedeniyle herkese karşı ileri sürülebilen bu hakkın başkasına devredilemez, vazgeçilemez ve zamanaşımına uğramaz nitelikte olduğu, kişiye sıkı sıkıya bağlı olan hakların bu niteliklerinden ötürü miras yoluyla mirasçılara geçmediği ve hak süjesinin ölümüyle kendiliklerinden ortadan kalktığı; bu anlamda, ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakların da kişiye sıkı sıkıya bağlı haklardan olduğu; kişiye sıkı sıkıya bağlı hakların öğretide mutlak ve nispi olarak ayrıldığı ifade edilmiştir.
Velinin rızası şartıyla nişanlanma, evlenme, evlilik dışı çocuğu tanıma, mal rejimi sözleşmesi yapma, derneğe üye olma, ölüme bağlı tasarrufta bulunma gibi mutlak kişiye sıkı biçimde bağlı hakların kullanılmasında karar verme yetkisinin hak sahibine tanındığı, kişiliği koruyucu davalar, yaş ve isim düzeltme davalarını ikame etme gibi nispi kişiye sıkı biçimde bağlı hakların küçük tarafından bizzat kullanılabileceği gibi, velinin de küçük adına ve hesabına kullanabildiği; bu anlamda 4721 sayılı Kanun’un 16/1 maddesindeki ayırt etme gücüne sahip küçüklerin kişiye sıkı sıkıya bağlı hakları kullanmalarında yasal temsilcilerinin rızasının gerekli olmadığına ilişkin kuralın çocuk için bir yetki kuralı olduğu, ancak veli için bir yasak kuralı olmadığı; velinin nispi kişiye sıkı biçimde bağlı hakları küçük adına ve hesabına kullanabildiği belirtilmiştir.
Bu bakımdan Kurul, çocuğun üstün yararı da gözetilerek kişisel verilerin korunması hakkının da somut olay bakımından nispi kişiye sıkı biçimde bağlı hak kategorisinde ele alınması gerektiğine kanaat getirmiştir. Öte yandan, “Kişisel Sağlık Verileri Hakkında Yönetmelik”in 5/6 maddesine göre, herkesin veri sorumlusuna başvurarak kendisiyle ilgili olarak 6698 sayılı Kanun’un 11.maddesinde yer alan hakları kullanabileceğinin belirtildiği; Yönetmeliğin 8. maddesinin 1. fıkrasında ise ebeveynlerin, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duymaksızın e-Nabız üzerinden erişebileceği, ayırt etme gücüne sahip çocukların, sağlık geçmişlerine ebeveynlerin erişimini e-Nabız üzerinden izne tabi tutabileceğinin hüküm altına alındığı; mezkûr Yönetmelik hükümleri uyarınca sınırlı ehliyetsizlerin de ayırtım gücüne sahip olmak koşuluyla Kanun’un 11. maddesinde belirtilen hakları bizzat kullanabileceği, bunun yanında e-Nabız verilerine erişim hususunda küçük tarafından aksi öngörülmedikçe hem küçüğün hem velisinin yetkili kılındığının anlaşıldığı; anılan düzenlemenin somut olay bakımından kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde bağlı hak olduğu yönündeki değerlendirme ile de uyumlu olduğu; zira her iki durumda da ayırt etme gücüne sahip küçüğün söz konusu hakkı bizzat kullanabileceği gibi velisinin de onun adına ve hesabına kullanımına olanak tanındığı değerlendirmesinde bulunarak küçüğün ayırt etme gücüne sahip olması koşuluyla, (ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüşmesi de dikkate alınarak) gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varmıştır.
B. Kararın Değerlendirilmesi
Türk Medeni Kanun’unda (Kurul’un kararında belirttiği gibi) kişiye sıkı sıkıya bağlı hakların tanımı yer almamaktadır. Nitekim kişisel verilerin korunmasının da kişiye sıkı sıkıya bağlı hak niteliğine sahip olup olmadığına ilişkin bir düzenleme mevcut değildir. Bu nedenle on sekiz yaşını doldurmamış kişiler bakımından 6698 sayılı Kanun’daki hakların nasıl kullanılacağının belirlenebilmesi için öncelikle kişisel verilerin korunmasının kişiye sıkı sıkıya bağlı bir hak olup olmadığının belirlenmesi gerekir. Kurul da kararında bu kapsamda bir inceleme gerçekleştirmiştir.
Ayırt etme gücü, kişinin gerçekleştirdiği fiillerin hukuki sonuçlarını algılayabilmesidir. Ayırt etme gücüne sahip kişiler bakımından kişiye sıkı sıkıya bağlı hakların kullanılması için yasal temsilcilerinin rızasının olması şartı aranmamaktadır. Nitekim Türk Medeni Kanunu madde 16’ya göre, “Ayırt etme gücüne sahip küçükler ve kısıtlılar, yasal temsilcilerinin rızası olmadıkça, kendi işlemleriyle borç altına giremezler. Karşılıksız kazanmada ve kişiye sıkı sıkıya bağlı hakları kullanmada bu rıza gerekli değildir”.
Bu bakımdan yukarıda açıkladığımız üzere ayırt etme gücüne sahip çocuklar bakımından, kişisel verilerin kişiye sıkı sıkıya bağlı hak olması nedeniyle, veli/vasisi olmaksızın, kendi başlarına Kişisel Verilerin Korunması Mevzuatından kaynaklı haklarını kullanabilmeleri kabul edilmelidir. Ancak burada da (aşağıda daha ayrıntılı açıklayacağımız üzere) ayırt etme gücünün varlığının hangi yaşlarda, hangi durumlarda kabul edilmesi gerektiğine ilişkin bilgi verilmesi gerekir. Zira her ne kadar Kurul kararı olmasa da Kişisel Verilerin Korunması Mevzuatı, mevzuatın amacı ve sair düzenlemeler değerlendirildiğinde kişisel verilerin kişiye sıkı sıkıya bağlı bir hak olduğu sonucu çıkmaktadır.
Kurul’un burada özellikle vurgulaması, açıklığa kavuşturması gereken konu ayırt etme gücüne sahip kimselerin KVKK bakımından kimler olacağıdır. Kurul, “küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği değerlendirildiğinden somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu” şeklinde karar verirken, aynı zamanda, iradelerin örtüşmemesi durumunda ne olacağı sorusunu gündeme getirmiştir. Aynı örnekten devam edersek veli/vasi çocuğunun fotoğraflarının sosyal medyada paylaşılmasını isterken, çocuğun bunu istememesi durumunda ne olacaktır? Bu problem nasıl çözülecektir? Kurul aslında, uygulamaya şekil vermeye çalışırken başka problemleri de (haklı olarak) gündeme getirmiştir.
Aslında bu soru sosyo-kültürel konuları da içinde barındıran kompleks bir sorundur. Zira toplumdan topluma hatta bir toplumun kendi içindeki alt gruplarındaki aile ilişkileri açısından dahi değişkenlik gösteren yanıtları içerir. Bize göre veli/vasi ile çocuğun istekleri çatıştığında istisnalar dışında çocuğun iradesine önem verilmelidir. Zira gelecekteki yetişkinlik yaşamında fotoğrafıyla yaşamak zorunda kalacak ve belki o fotoğraftaki haliyle anılmak istemeyecek kişi çocuğun kendisidir. Tabii ki aile içi her ilişkiye hukukun karışması doğru değildir. Dolayısıyla sosyal medyada paylaşılacak her fotoğraf için veli/vasinin çocuktan açık rıza alması gerektiği söylenemez. Ancak çocuğun açıkça karşı çıkması halinde söz konusu fotoğraflar yayınlanmamalı, eğer yayınlanmış ise kaldırılmalıdır. Bu durum ise mutlaka kanun tarafından düzenlenmeli ve açıklığa kavuşturulmalıdır.
IV. Uygulamada Çocukların Kişisel Verileri Hakkındaki Problemler ve Çözümleri
Kişisel Verilerin Korunması Kanunu’nun 10. maddesine göre veri sorumlusunun aydınlatma yükümlülüğü mevcuttur. Veri sorumlusu, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan hakları konusunda aydınlatmalıdır. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre aydınlatma yükümlülüğünün yerine getirilmesinin ispatı da veri sorumlusuna aittir.
Veri ilgilisine aydınlatma açık ve sade bir dil ile yapılmalıdır. Başka bir deyişle aydınlatma, veri ilgilisinin anlayabileceği bir dil ve üslupta olmalıdır. Veri ilgilisinin anlayamayacağı şekilde aydınlatma yapılması durumunda, aydınlatma yükümlülüğü yerine getirilmiş olmamaktadır. Peki veri ilgilisi 18 yaşından küçük ise ne olacaktır? İşte tam da bu noktada birtakım problemler karşımıza çıkmaktadır:
1. 18 yaşından küçük kişiler için aydınlatma yükümlülüğü nasıl yerine getirilecek ve (gerekmesi durumunda) açık rızaları nasıl alınacak?
2. Aydınlatma ve açık rızanın muhatabı veli/vasi mi olacak?
3. 18 yaşından küçük kişilerin veri ilgilisi olması durumunda Kanun’un 11. maddesinde sayılan haklar kim tarafından kullanılacak?
4. 18 yaşından küçük kişiler bakımından aydınlatma yükümlülüğündeki dil ve üslup nasıl olacak?
5. Aydınlatma yükümlülüğü, açık rızanın alınması ve veri ilgilisinin hakları bakımından GDPR’daki gibi yaşlar arasında ayrım mı yapılacak?
18 yaşından küçük kişilerin başka bir deyişle çocukların veri ilgilisi olması durumu uygulamada problemlere neden olmaktadır. Örneğin, bir lisede, 15- 17 yaş aralığındaki öğrencilerin lisenin sosyal medya hesabı üzerinden fotoğrafları paylaşılmak istenmektedir. Sosyal medya hesabından tanıtım amacıyla öğrencilerin fotoğraflarının paylaşılması için öğrencilere aydınlatma yapılması ve açık rızalarının alınması gerekir. Örneği biraz daha değiştirelim. Bir anaokulunda 5- 6 yaş aralığındaki öğrencilerin anaokulunun sosyal medya hesabı üzerinden fotoğrafları paylaşılmak istenmektedir. Her iki yaş grubu bakımından da aydınlatma yükümlülüğünün ve açık rızanın muhatabı veli/vasi mi olmalıdır? GDPR’daki gibi yaşlar arasında ayrım mümkün müdür? İşte bu soruların cevabı için öncelikle ayırt etme gücü kavramının üzerinde durulması gerekir.
Öğretide, ayırt etme gücü, kişinin fiillerinin neden olduğu hukuki sonuçları anlayabilme ve kavrayabilme yeteneği olarak tanımlanır[10]. Türk Medeni Kanunu’nun 13. maddesine göre, “Yaşının küçüklüğü yüzünden veya akıl hastalığı, akıl zayıflığı, sarhoşluk ya da bunlara benzer sebeplerden biriyle akla uygun biçimde davranma yeteneğinden yoksun olmayan herkes, bu Kanuna göre ayırt etme gücüne sahiptir”. Ancak Kanun’da yaş küçüklüğü bakımından bir düzenleme yapılmamıştır. Başka bir deyişle, Kanun yaş küçüklüğüne sahip kişilerin ayırt etme gücüne sahip olmadığını belirtirken yaş küçüklüğünden hangi yaşın anlaşılması gerektiğini ifade etmemiştir. Somut olayın şartlarına bakılarak kişinin ayırt etme gücüne sahip olup olmadığı o somut olay tekelinde belirlenmelidir. Nitekim İsviçre Federal Mahkemesi’nin de aynı doğrultuda vermiş olduğu kararlar mevcuttur. Diğer taraftan Almanya (yedi yaşını doldurmamış kişiler ayırt etme gücüne sahip kabul edilmemiştir) gibi bu konuda düzenleme yapan ülkeler de mevcuttur[11].
Kişisel Verilerin Korunması Hukuku bakımından ayırt etme gücüne sahip çocuğun ilgili mevzuattan kaynaklı haklarını kullanabileceğini, aydınlatma yükümlülüğünün ona karşı gerçekleştirilebileceğinin ve açık rızanın kendisinden alınabileceğinin kabulü gereklidir. Ancak her somut olaya göre, veri sorumlularının ayırt etme gücünün var olup olmadığının belirlenmesi, veri sorumlularının faaliyetlerinin aksamadan ilerlemesi için işlevsel bir çözüm değildir. Örneğin yukarıda verdiğimiz örneğe göre 15-17 yaş aralığındaki kişilerin sosyal medyada fotoğraflarının paylaşılması konusunda ayırt etme gücüne sahip olduğu kabul edilebilir. Peki teknoloji çağında olduğumuz gerçeğini göz önüne alırsak 12 yaşındaki bir kişi de sosyal medya hesaplarından fotoğraflarının paylaşılması konusunda ayırt etme gücüne sahip kabul edilebilir mi?
Uygulama açısından bu belirsizlik büyük problemlere yol açmaktadır. Kanaatimizce, Kişisel verilerin korunması mevzuatında yapılacak bir güncelleme ile (aydınlatma yükümlülüğünün yerine getirilmesi vb. konularının açıklığa kavuşturulması için) belirli yaş grubu ya da grupları bakımdan açıkça düzenleme yapılmalı, GDPR gibi bir yaş belirlenmelidir. 15 yaşını doldurmuş kişilerin (her ne kadar kendine özel bir mevzuat olsa da) Ceza Hukuku bakımından da önemli olması nedeniyle, Kişisel Verilerin Korunması Hukuku bakımından muhatap olması kabul edilebilir. Başka bir deyişle aydınlatma yükümlülüğü 15 yaşını doldurmuş kişilere doğrudan yerine getirilebilir, açık rıza doğrudan kendilerinden alınabilir. 15 yaşını doldurmamış kişiler bakımından ise veli/vasisi tarafından bu işlemler gerçekleştirilebilir. Ayrıca 15-18 yaş arasındaki kişilerin, kişisel verilerinin işlenmesine yönelik verecekleri rızaları bakımından çeşitli ölçütler dikkate alınarak ayrıştırmaya gidilebilir. Bazı rıza beyanları açısından hem küçüğün hem de veli/vasinin ortak rızanın varlığı aranabilir. Böylelikle küçüklerin haklarını da koruyan ama onların iradelerine de değer veren bir orta yol ve çözüm bulunabilir.
Tekrar belirtmek gerekir ki uygulamada veri sorumluları bakımından her somut olay özelinde çocuğun ayırt etme gücüne sahip olup olmadığının belirlenmesi çok zordur. 15 yaşını doldurma kriteri GDPR düzenlemesine de uygun olup, paralellik sağlaması bakımından da önemlidir. Nitekim 11. Cumhurbaşkanlığı Kalkınma Planı’nda da bahsedildiği üzere Kişisel Verilerin Korunması mevzuatında yapılacak değişikliklerde GDPR örnek alınacak ve değişiklikler bu kapsamda yapılacaktır. Ancak şu anda mevcut durumda yasal bir düzenleme olmadığından 15 yaş kriteri sadece bir öneriden ibarettir. Zira herhangi bir yasal düzenleme yapılmadan uygulamada belirli bir yaş belirlenmesi mümkün değildir.
Peki biz uygulamada ne yapıyoruz? Uygulamada bu problemi 18 yaşını doldurma kriteriyle çözüyoruz. 18 yaşını doldurmamış kişilere velayeten aydınlatma yapılarak, veli/vasilerinden açık rızalarının alınmasını öneriyoruz. Böylece hem uygulamada veri sorumlularını zora sokan ayırt etme gücünün belirlenmesi problemini hem de iradelerin örtüşmemesi ihtimalini ortadan kaldırıyoruz. Nitekim 18 yaş mevcut yasal düzenlemelere en uygun olan ve güvenli çözüm olduğu için bunu öneriyoruz.
Sonuç
Çocuklar bakımından kişisel verilerin korunmasının incelenebilmesi için öncelikle kişisel verilerin korunmasının hak olarak hukuki niteliğinin belirlenmesi gerekir. Kişiye sıkı sıkıya bağlı haklar mutlak ve nispi olarak (öğretiye göre) ikiye ayrılmaktadır. Kurul’un kararında da belirttiği gibi kişisel verilerin korunması nispi kişiye sıkı sıkıya bağlı bir hak olup mutlak kabul edilmemesi mevzuatın amacına daha uygun düşmektedir.
Nispi kişiye sıkı sıkıya bağlı hakların kullanılması bakımından kişinin ayırt etme gücüne sahip olup olmadığının belirlenmesi de önemlidir. Mevzuatımızda ayırt etme gücünü ortadan kaldıran hallerden biri olarak yaş küçüklüğü belirtilmiş; ancak yaş küçüklüğünden ne anlaşılması gerektiğine ilişkin özel bir düzenleme yapılmamıştır. Yaş küçüklüğünün (ayırt etme gücü bakımından) ne anlaşılması gerektiği konusu öğretide çözülmeye çalışılmıştır. Öğretideki hakim görüşe göre, yaş küçüklüğü bakımından ayırt etme gücü her somut olaya göre değerlendirilmelidir. Ancak kişisel verilerin korunması söz konusu olunca veri sorumlularının (çok çeşitli faaliyet gerçekleştirdikleri göz önüne alındığında) her faaliyetleri bakımdan çocukların ayırt etme gücüne sahip olup olmadığını değerlendirmeleri mümkün değildir. Bu nedenle yasal bir düzenleme ile bir yaşın belirlenmesi yerinde olacaktır.
GDPR’a göre eğer çocuk 16 yaşından küçük ise, o halde onun yasal olarak tayin edilmiş velisi ya da vasisinin izni gerekir. Ayrıca AB üyesi ülkelerin 13 yaşından az olmamak kaydıyla 16 yaşından daha az bir yaşı belirlemeleri de mümkündür. Bu konuda GDPR uygulamasının Türkiye’de de uygulanabileceği ileri sürülebilse de başta Türk Medeni Kanunu olmak üzere (Kişisel Verilerin Korunması mevzuatı dışındaki mevzuat) diğer mevzuatta da bu konuda düzenleme olmamasından dolayı, GPDR’da düzenlenen 16 yaşın kullanılması mümkün değildir. Türk Hukukuna göre, hakların kullanıma ilişkin tek yaş 18’dir (evlilik ile ilgili durumlar hariç). 18 yaş dışında bir yaş aralığı mevzuatımızda Ceza Hukuku’nda mevcuttur. Çocukların kişisel verilerinin korunması bakımından yasal düzenleme mutlaka yapılmalıdır. Bu düzenlemede 15-18 yaş aralığındaki çocukların verecekleri rıza kişisel verilerin korunması bakımından da geçerliliğe kavuşturulabilir. Günümüzün teknoloji çağı olduğu (ve evlenebildikleri, boşanabildikleri) değerlendirildiğinde 15-18 yaş aralığındaki kişilerin ayırt etme gücüne bu konuda sahip oldukları kabul edilebilir.
Mevcut durumda çocukların kişisel verilerinin korunmasına ilişkin bir düzenleme olmadığından uygulamada ortaya çıkan problemleri 18 yaşı bir kriter olarak kabul ederek çözüyoruz. 18 yaşın altındaki kişilere velayeten aydınlatma yapılmasını, açık rızaların veli/vasilerinden alınmasını; hakların veli/vasileri tarafından kullanılmasını öneriyoruz.
Kişisel Verilerin Korunması Kurulu ise vermiş olduğu kararda, doğru bir şekilde kişisel verilerin korunmasını nispi kişiye sıkı sıkıya bağlı hak olarak nitelendirmiştir. Çocukların haklarını kullanması bakımından küçüğün ayırt etme gücüne sahip olması ve veli/vasisi ile iradeleri örtüşmesi şartıyla hem veli/vasinin hem de çocuğun hakları kullanmada yetkili olduğuna karar vermiştir. Ancak bu karar uygulamada yaşanan problemleri çözmede yetersiz kaldığı gibi birtakım belirsizliklere de yol açmıştır. Kurul’un kararlarını verirken uygulamada yaşanan problemleri çözmeye odaklanması, kararları daha iyi gerekçelendirmesi ve bunu kamuoyu ile paylaşması ve daha çok belirsizliğe neden olmamasını temenni ediyoruz.
Murat Volkan Dülger* / Cansu Ceren Kahraman* / Simay Yalçın*
----------------------
* Avukat, Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku Anabilim Dalı,
* Avukat, İstanbul Barosu, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Bölümü Yüksek Lisans Öğrencisi,
* Stajyer Avukat, İstanbul Barosu,
[1] Mustafa Dural/Tufan Öğüz, Türk Özel Hukuku Cilt II Kişiler Hukuku, 16. Baskı, Filiz Kitabevi, İstanbul 2015, s. 79.
[2] Dural/Öğüz, s. 93.
[3] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-are-the-rules-about-an-iss-and-consent/ Erişim Tarihi: 02.10.2020.
[4] https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr-1-0.pdf Erişim Tarihi: 05.10. 2020.
[5] https://www.ftc.gov/news-events/press-releases/2019/09/google-youtube-will-pay-record-170-million-alleged-violations Erişim Tarihi: 06.10.2020.
[6] Dijital araştırmacı.
[7] https://www.dataguidance.com/news/uk-youtube-faces-legal-action-allegedly-breaching-childrens-privacy Erişim Tarihi: 05.10.2020.
[8] https://www.forbes.com/sites/emmawoollacott/2020/09/14/lawsuit-accuses-youtube-of-violating-childrens-privacy/#35b8b4a713fe, Erişim Tarihi: 07. 10.2020.
[9] https://www.iubenda.com/en/help/11429-minors-and-the-gdpr Erişim Tarihi: 05.10.2020
[10] Vehbi Umut Erkan/İpek Yücer, Ayırt Etme Gücü, Ankara Üniversitesi Hukuk Fakültesi Dergisi, C. 60, S. 3, 2011, s. 486.
[11] Erkan/Yücer, s. 489, 490.