Çocukların Kişisel Verilerinin Korunması: KVKK Rehberi

BumerangData Hukuk Ekibi · · 12 dk okuma
Çocukların Kişisel Verilerinin Korunması: KVKK Rehberi

Çocukların Kişisel Verilerinin Korunması: KVKK Uyumluluğu Rehberi

Dijital çağda çocukların kişisel verilerinin korunması, işletmeler ve kuruluşlar için kritik bir hukuki ve ahlaki sorumluluk haline gelmiştir. Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında çocukların verilerine yönelik özel koruma mekanizmaları bulunmaktadır. Bu rehberde, çocukların kişisel verilerinin korunmasının hukuki altyapısını, uygulamada dikkat edilmesi gereken hususları ve işletmeler için gerekli adımları detaylı olarak inceleyeceğiz.

KVKK'da Çocuk Tanımı ve Koruma Kapsamı

Çocuk Olarak Kabul Edilen Kişiler

KVKK mevzuatında çocuk, 18 yaşından küçük olan kişiler olarak tanımlanmaktadır. Bu tanım, uluslararası standartlara uygun olarak yapılmıştır. Çocuklara yönelik özel koruma mekanizmaları, onların fiziksel ve zihinsel gelişim süreçlerinde kişisel verilerinin istismardan korunması amacıyla oluşturulmuştur.

Kişisel Verileri Koruma Kurulu'nun kararlarında, çocukların bağımlı konumları ve rıza verme kapasitelerinin sınırlı olması, bu yaş grubunun korunmasının neden daha katı düzenlemelere tabi olması gerektiğini sık sık vurgulamaktadır. İşletmeler, çocuklardan veri toplama veya işleme sırasında bu özel statüyü her zaman göz önünde bulundurmalıdır.

Yaş Kategorileri ve Koruma Seviyeleri

Çocuklara yönelik koruma mekanizmaları, yaş kategorilerine göre farklılık gösterebilir:

  • 13 yaş altı çocuklar: Verilerinin işlenmesi için mutlaka velinin yazılı rızası gereklidir.
  • 13-18 yaş aralığı: Kanunun 8. maddesi kapsamında belirli durumlarda çocuğun kendisinin rıza vermesi mümkün olabilir, ancak velinin onayı gerekebilir.
  • 16 yaş üzeri çocuklar: Bazı istisnai durumlarda kendi rızalarını verebilirse de, velinin denetimi altında kalmalıdır.

KVKK 5. Madde: Kişisel Veri İşlemenin Hukuki Dayanağı

Çocuk Verisi İçin Meşru Faaliyet Şartları

KVKK'nın 5. maddesi, kişisel verilerin işlenmesinin hukuki dayanakları belirlemektedir. Çocukların verilerinin işlenmesi söz konusu olduğunda, meşru faaliyet kavramı daha dar ve kontrollü bir şekilde uygulanmaktadır.

Örneğin, bir e-ticaret platformu çocuk müşterilerinin verilerini işlerken, veri işlemenin doğrudan sözleşme ilişkisinden kaynaklanması veya yasal bir zorunluluğu yerine getirmesi gibi açık hukuki dayanakları olmalıdır. Sadece pazarlama amaçlı meşru faaliyet iddiası, çocuk verisi söz konusu olduğunda daha titiz değerlendirilmektedir.

Rıza Temelli Veri İşleme

Çocuk verilerinin işlenmesinde, KVKK'nın 8. maddesi uyarınca rıza hukuki dayanağı en sık kullanılan yöntemdir. Ancak burada kritik nokta, rızanın geçerliliğidir:

  • 13 yaş altı çocuklar için rıza mutlaka velisi tarafından verilmelidir.
  • Rıza oydurma, kandırma veya zorlama yoluyla alınamaz.
  • Rızanın alındığına dair kanıt işletmenin sorumluluğundadır.
  • Rıza geri çekilebilir ve geri çekme, verme kadar kolay olmalıdır.

KVKK 6. Madde: Psikolojik ve Sosyal Riskler

Çocuk Verilerinin Özel Risk Kategorileri

KVKK'nın 6. maddesi, hassas kişisel veriler olarak nitelendirilen verilerin işlenmesini kısıtlamaktadır. Çocuklara gelince, bu kavram daha geniş bir yorumlanma eğilimindedir çünkü çocukların psikolojik ve sosyal gelişimi daha fazla risk altındadır.

Örneğin, bir sosyal medya platformu çocuklardan:

  • Konumsal veriler
  • Biyometrik veriler
  • Sağlık verilerine dair bilgiler
  • Din, siyasi düşünce veya cinsel yönelim gibi hassas bilgiler

toplayabilir fakat bu veriler özel koruma altında olmalı, sadece kesin gereklilik durumlarında ve ek güvenlik önlemleri ile işlenmelidir.

Profiling ve Otomatik Karar Alma Riskleri

KVKK'nın 8. maddesi, otomatik karar alma ve profiling işlemlerine özel hükümler getirmiştir. Çocuklarla ilgili otomatik profiling işlemleri (örneğin, algoritmaların çocuğun davranışını analiz ederek reklam göstermesi) ekstra kontrol mekanizması gerektirmektedir. Kişisel Verileri Koruma Kurulu, bu tür uygulamaları değerlendirirken çocuğun gelişim sürecine etkisini önemli bir kriter olarak almaktadır.

Eğitim Kurumlarında Çocuk Verisi Korunması

Okullar ve Öğretim Kurumlarının Yükümlülükleri

Eğitim kurumları, çocuk verisi işleyen en önemli sektörlerden biridir. Okullar, çocukların:

  • Adı, soyadı, Türkiye Kimlik Numarası
  • Başarı notları ve akademik performans
  • Rehberlik hizmetleri kapsamındaki bilgiler
  • Kütüphane ve bilgisayar lab kullanım kayıtları
  • Beslenme merkezi verilerine dair bilgiler

gibi verilerini işlemektedir. Bu veriler, yasal zorunluluğu karşılamak, sözleşme ilişkisini yürütmek ve çocuğun menfaatlerini korumak amaçları doğrultusunda işlenmelidir.

KVKK uyumluluğu açısından okulların dikkat