Bu yazımızda, fiil ehliyeti olmayan çocukların kişisel verilerin işlenmesi ile ilgili dikkat edilecek hususlara değineceğiz.
GDPR ve Çocukların Kişisel Verileri
Fiil ehliyeti olmayan kişilerin kişisel verilerinin (çocukların kişisel verilerin) işlenmesi ve aydınlatma metinleri ile açık rıza metinlerinin nasıl olması gerektiği; veli veya vasinin onayı olmadan alınan rızanın geçerliliği hususları tartışmalıdır. Çocukların hak ehliyeti doğum ile başlarken, fiil ehliyetleri ise sınırlı ehliyetsiz olarak nitelendirilir. Bu durumda istisnalar haricinde, veli veya vasi onayı olmadan yaptıkları hukuki işlemler geçersiz sayılır. Kişisel verilerin korunması kapsamında aydınlatma metinleri ve açık rıza metinleri de hukuki bir işlem olma niteliğini haiz iken, Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında çocukları kişisel verilerine ilişkin bir düzenleme getirilmemiştir. Buna karşın GDPR farklılık arz etmektedir.
Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) 8’inci maddesinde KVKK’dan farklı olarak çocukların kişisel verilerinin korunması ile ilgili ayrı bir düzenleme getirmiştir. Bu düzenlemeye göre çocuklar da 16 yaşından küçük olanlar ve 16 yaşında veya daha büyük olanlar olarak ikiye ayrılmıştır. Bir çocuğun kişisel verisinin işlenebilmesi için en az 16 yaşından olmalı, henüz 16 yaşında olmayan çocukların kişisel verisinin işlenebilmesi için veli veya vasisinin rızası olması gerekir. Rıza verilmesinde dahi bu faaliyetin sınırları yine veli/vasi tarafından belirlenecektir.
Çocuk, velisi/vasisi tarafından verilen rızanın verilmesi aşamasında ne kadar söz sahibi olacaktır? Kişisel verinin işlenmesi faaliyetinin ne anlama geldiği ve bu rızanın çocuğun kendisi tarafından geri alınabileceği çocuğa bildirilmelidir. GDPR, üye devletlerin 13 yaşından küçük olmaması kaydıyla 16 yaş sınırını düşürebilecekleri düzenlenmiştir. Bu konuda Avrupa ülkeleri çocuğun en azından kaç yaşında olması gerektiği konusundan uygulama olarak bir birliğe varamamış olsalar da böyle bir algılama yetisinin olmasını aramaktadırlar.
GDPR’da, yaş küçüklüğü durumunda kişisel verilerin hukuka aykırı olarak işlenmesinde 83’üncü maddesinin 5’inci fıkrası gereğince bazı yaptırımlar ile karşı karşıya kalınabilir. KVKK ve GDPR kıyaslandığında GDPR’daki cezaların ihlale sebep olan şirketlerin mahvına sebep olabilecek nitelikte olduğunu söylemek mümkündür. Çocukların kişisel verisini işlerken regülasyona uymayanlara 20.000.000 Euro’ya kadar ceza kesilebilir. İhlali gerçekleştiren oluşumun ticari anlamda bir teşebbüs olması halinde ise, ihlal tarihinden bir önceki mali yılın yıllık global çaptaki cirosunun %4’üne kadar idari para cezası kesilebilir. Bu ceza baremlerinden hangisinin geçerli olacağı hususunda ise hangi hesaplamanın daha yüksek olduğu dikkate alınır.
KVKK’da düzenleme bulunmamasına karşın, çocukların kişisel verileriyle ilgili düzenleme Kişisel Sağlık Verileri Hakkında Yönetmelik çerçevesinde rastlanılmaktadır. Yönetmeliğin 8’inci maddesinde çocukların sağlık kişisel verilerine e-nabız üzerinden ebeveynlerinin onaya ihtiyaç duymadan erişebileceği hüküm altına alınmıştır. Devamında ise “ayırt etme gücüne” sahip olan çocukların e-nabız üzerinden ebeveynlerin erişimine izin şartı getirebilirler. Bu düzenlemenin sağlık verisi gibi hassas bir veri kategorisi için getirilmesi oldukça yerinde olmasına karşın, özel nitelikli kişisel verilerin dışında kalan diğer veri kategorileri için de ayırt etme gücüne sahip çocukların iradesi de dikkate alınmalıdır.