Başak Ozan Özparlak

EDPB Onay Rehberinde Çocuk Verisi ve Onaya Dair

Av. Dr. Başak Ozan Özparlak
Ozan&Ozan Hukuk Bürosu, Kurucu Ortak

EDPB tarafından GDPR açısından “onay” a dair rehberin ilk versiyonu 4 Mayıs 2020’de yayınlandı. Rehberde “onay”ın GDPR kapsamında özel olarak düzenlendiği alanlardan biri olarak 8. Madde açısından Çocuk Verisine Dair Onay konusunda “açıklamalar” da bulunuyor.

Rehberdeki bu bölüm; çocuk verisinin işlenmesine onay ile ilgili hükümler içeren GDPR 8. Madde ve Gerekçe 38’e atıfla başlıyor: “çocuklar, veri işlenmesi ile ilgili risklerin, sonuçların, yasal haklarının daha az farkında olabileceklerinden, çocuk verisinin pazarlama ve profil çıkarma ile diğer her türlü amaçla toplanmasında daha fazla korumaya ihtiyaç duyulmaktadır.” GDPR madde 8 uyarınca, doğrudan çocuğa sunulan bir bilgi toplumu hizmeti varsa, çocuk tarafından verilen onay çocuğun en az ona altı (16) yaşını doldurmuş olması halinde geçerli olacaktır. Ancak üye devletler tarafından bu yaş sınırı on üçe (13) kadar indirilebilir. Çocuktan “bilgilendirilmiş onay” alındığının kabul edilebilmesi için ise, EDPB veri kontrolörünün açık ve yalın bir dille, topladığı veriyi nasıl işlemeyi düşündüğünü çocuğa açıklaması gerektiğini belirtiyor. Çocuklar için GDPR’da öngörülen bu artı koruma tedbirleri aşağıdaki iki koşulun bulunması halinde uygulanır:

              1. Çocuğa doğrudan sunulan “bilgi toplumu hizmeti”ne dair veri işlenmesi söz konusu ise,
              2. Onaya dayalı bir işleme faaliyeti bulunuyorsa.

Çocuğa doğrudan hizmet sunulması ifade ile kastedilenin, hizmet sağlayıcısının 18 yaş ve üzeri kişileri hedeflemesi hali için kabul edilmiştir. Hizmet sağlayıcısı tarafından yaş doğrulaması için makul çabanın gösterilmesi gerekecektir diyen EDPB, bu makul çabanın aşırı veri işleme içermemesi gerektiğini belirtmek ile yetinmektedir. Bu konuda metin açıklayıcı olmaktan çok, daha fazla ihtilaf yaratma potansiyeli taşımaktadır. Burada ilk akla gelebilecek olan yaş onaylama yöntemi olarak çocukların EĞİTİM VERİSİNE ULAŞILMASI konusunda metin suskundur. İngiltere’de online bahis sitelerinin yaş doğrulama için online eğitim verilerine ulaşabildiği ortaya çıkmıştır Online Bahis Şirketlerinin Okul Verisine Erişimi[1]. Öte yandan, IEEE de Otonom Akıllı Sistemlerde Etik Uyumlu Tasarım Rehberinde[2], çocukların online eğitim verilerine 2018 yılı itibari ile 14 data broker şirketinin sahip olduğunu ortaya çıkaran Fordham Üniversitesi’nin araştırmasına atıf yaparak Öğrenci Verisi [3] çocukların online eğitim verilerinin ticari amaçla kullanılmasının önlenmesi gerektiğini belirtmiştir. IEEE aynı raporda, çocuk verisi için bir öneri getirerek, erişkin olana dek çocuk verisinin emanet altında olması ve çocuk erişkin olduğunda verinin işlenip işlenmemesi konusunda rıza hakkını kullanabilmelidir yönünde bir öneride bulunmuştur.

EDPB Rehberi ise, Covid19 döneminde okulların online şekilde sunulması sırasında tartışma yaratan eğitimin dijital tekeller aracılığı ile sunulmaya başlanması sırasında elde edilebilecek çocukların davranışsal özelliklerini de içeren eğitim verisinin, GDPR madde 8 açısından yaş doğrulama amacı ile kullanıp kullanılmayacağı konusunu, yasal ihtilafların sonucuna bırakmaktadır.

Çağımızda, hukuki düzenlemeler bir yana bu düzenlemelere rehberlik etmesi beklenen metinler dahi sanki hakların kullanımını açıklamaktan ziyade, bu hakların sınırlandırılmaları ve istisnalarına dair kanunlardaki boşluk veya belirsizlikleri kullanmak isteyen kişi veya kurumlara rehberlik etmektedir.

Rehberde de belirtildiği üzere, çocuğun GDPR’da belirtilen 16 yaşından veya üye devletler tarafından öngörülen 13 üzerindeki bir yaşın altında olması halinde ise çocuğun yasal temsilcisinden onay alınması gerekmektedir. Düşük risk durumlarında bu onayın yasal temsilciden bir eposta ile alınması yeterlidir diyen EDPB, yüksek risk içeren durumlarda ise daha fazla kanıta ihtiyaç olduğunu belirtmektedir. Nesnelerin İnterneti yakında yaşamımızı şekillendirmeye başlayacakken, “kişisel veri” kavramının bile sorgulanmaya başlandığı bir zamanda[4], çocuk verisi konusunda düşük/yüksek risk ayrımının nasıl bir pratik faydası olduğu tartışılabilir.

Rehberde bu konudaki önemli bir nokta da çocuğun veri işlemeye onay verme konusunda karar verebilme yaşına geldiğinde, daha önce yasal temsilcisi tarafından verilen onay ile ilgili hareketsiz kalırsa veri işlenmesinin geçerli olduğuna dair yorumdur. Neden tersi şekilde bir değerlendirme yapılmadığı açıklanmamıştır. Ancak hemen arkasından gelen paragrafta EPDB, çocuğun dijital onay verme yaşına geldiğinde daha önce kendi adına verilmiş onayı geri çekme hakkı olacağını belirterek “adillik ve hesap verilebilirlik İLKELERİ”NE UYGUN OLARAK ÇOCUĞA ONAYI GERİ ALMA HAKKI KONUSUNDA BİLGİLENDİRME YAPILMALIDIR DENMEKTEDİR. Yapılmaması, GDPR yönünden bir ihlal niteliğinde midir? Cevap yok.

Çocuk ile ilgili olarak GDPR 8. Madde kapsamında onay alınması gerekmeyen bazı istisnai haller de olduğu belirtilerek buna örnek olarak, çocuk koruma hizmeti kapsamında çocuğa sunulan online sohbet hizmetleri açıkça gösterilmektedir. Ancak bu konuda da rehberdeki bu istisnadan yararlanmak için çocuk koruma hizmeti kılıfına sokulabilecek hizmetler konusunda dikkatli olunmalıdır. Önümüzdeki dönemde, siber ve fiziksel alanın daha fazla iç içe geçtiği bir çağa girerken mevcut kuralları ve özellikle kanunların seçtiği “dil”i ve kavramları yeniden düşünmek gerekiyor. Çocuk verisi için onay kurumunun sınırlı koruma yönünü, özellikle çocuklar açısından “veri işleme” faaliyetinin erişkinlik dönemindeki dahil olmak üzere etkilerini, çocukların yasal temsilcilerinin çocuklar hakkında gerçekten neye onay verip vermedikleri konusunda bilgi sahibi olup olmadıklarını, değillerse onay kavramını sorgulamamız gerekiyor.

Her şeyden önemlisi, yasaların dili ve birbirleri arasında yaptıkları atıflar onları adeta rubik küplere dönüştürürken, bu denli detaylı olup asıl hedefledikleri koruma amacına “yasaklamadığını serbest bırakmak” sureti ile nasıl hizmet edemediklerine şaşmamak değil, şaşırmak ve sorgulamak gerekir.

Dipnotlar

[1]“Revealed: betting firms use schools data on 28m children”, The Times, 19.01.2020. https://www.thetimes.co.uk/article/revealed-betting-firms-use-schools-data-on-28m-children-dn37nwgd5

[2] IEEE Ethically Aligned Design, First Edition, 2018, s.118.

[3] Russell, N. Cameron, Reidenberg, Joel R., Martin, Elizabeth, and Norton, Thomas, “Transparency and the Marketplace for Student Data” (June 6, 2018). Virginia Journal of Law and Technology, Available at SSRN: https://ssrn.com/abstract=3191436

[4] Wachter, Sandra: Data Protection in the Age of Big Data, Nature Electronics Volume 2, pages 6-7, 2019.

Bir Cevap Yazın