Çocukların Kişisel Verilerinin Korunması: KVKK m. 5 ve Veli Rızasının Sınırı — AB GDPR m. 8 ile Karşılaştırmalı Analiz

Doç. Dr. Ezgi Tan

doi:10.HUKUKDERGI/2029.2.01

Giriş

Çocukların kişisel verilerinin korunması; veri koruma hukukunun en hassas alanlarından birini oluşturmaktadır. Çocukların hem manipülasyona daha açık olmaları, hem de uzun vadeli kişisel veri kayıtlarının onların gelecekteki sosyal hayatlarını etkileyebilecek olması; özel bir koruma rejimi gerektirir. 6698 sayılı KVKK m. 5 hükmü; kişisel verilerin işlenmesinin "açık rıza" temelinde gerçekleşebileceğini düzenler; ancak çocukların açık rıza verme ehliyetinin sınırları doktrinde tartışmalıdır.¹

Bu çalışma; KVKK m. 5 ve TMK m. 16 hükümlerinin birlikte yorumunu sistematize eder; GDPR m. 8 ile karşılaştırmalı analiz yapar ve çocuk verisinin işlenmesinde veli rızasının operasyonel sınırlarını belirler.

I. KVKK m. 5 ve TMK m. 16 Birlikte Yorumu

A. KVKK m. 5'in genel çerçevesi

KVKK m. 5 hükmü; kişisel verilerin işlenmesinin temel hukuki dayanaklarını sıralar. Açık rıza; bunların başında gelir. Hüküm; rıza vereninin ehliyeti konusunda özel bir düzenleme içermez.

B. TMK m. 16 ve ayırt etme gücü

TMK m. 16; ayırt etme gücüne sahip ergin olmayanların hukuki işlemler için yasal temsilcilerinin izniyle hareket etmeleri gerektiğini düzenler. Bu hükmün kişisel veri işleme rızasına da uygulanması; doktrindeki hâkim görüşü oluşturur.²

C. Hibrit model

Türk hukukundaki yaklaşım; bir hibrit model olarak nitelendirilebilir: ayırt etme gücü olan çocuk; kendisi açık rıza verebilir; ancak yasal temsilcisinin onayı da gerekir. Bu model; net bir yaş sınırı belirlememe sorununu beraberinde getirir.

II. AB GDPR m. 8 ile Karşılaştırma

A. GDPR'nin yaş sınırı yaklaşımı

GDPR m. 8; 16 yaşın altındaki çocukların kişisel veri işleme rızasının veli onayını gerektirdiğini belirler. Üye devletler; bu sınırı 13'e kadar düşürebilir. Bu yaklaşım; net bir yaş sınırı belirlerken; üye devletlerin esneklik tanınmasıyla dengelenmiştir.³

B. Türk hukukunun karşılaştırmalı konumu

Türk hukuku; net bir yaş sınırı belirlememe yönüyle GDPR'den ayrılır. Bu ayrım; uygulamada veri sorumlularının operasyonel zorluklar yaşamasına yol açar. Hangi yaşta çocuğa veli onayı isteyeceği veya kendi rızasını yeterli sayacağı belirsizliği; pratik bir sorun oluşturur.

"GDPR'nin net yaş sınırı yaklaşımı; operasyonel uygulanma açısından üstündür. Türk hukukunun da benzer bir yaş sınırı öngörmesi; veri koruma rejiminin operasyonel etkinliğini artıracaktır."

— E. Tan, "Çocuk Verisinde Yaş Sınırı Sorunu", 2024.

III. Operasyonel Sınırlar ve Öneri

A. Yaş kategorileri önerisi

Türk hukuku için aşağıdaki yaş kategorilerine dayalı bir öneri sunulmaktadır: (i) 0-12 yaş: Veli rızası mutlaka gerekli; çocuğun rızası geçersiz; (ii) 13-15 yaş: Veli rızası + çocuk rızası birlikte gerekli; (iii) 16-17 yaş: Çocuk rızası yeterli; veli rızası tavsiye edilebilir.

B. Risk-temelli yaklaşım

Yaş sınırının; veri işleme risk düzeyine göre de değişebileceği önerilebilir. Yüksek risk içeren veri işlemelerinde; veli onayı yaşı yükseltilebilir.

C. Veri sorumlusu yükümlülükleri

Veri sorumlularının; çocuk olduğu belli olan kullanıcılar için özel prosedürler geliştirmesi zorunlu hale getirilmelidir. Yaş doğrulama mekanizmaları; teknik olarak yeterli düzeyde olmalıdır.⁴

Sonuç

Türk hukukunda; çocukların kişisel verilerinin işlenmesi için bir yaş sınırının düzenlenmesi; veri koruma rejiminin operasyonel etkinliğini artıracaktır. GDPR m. 8'in benimsediği yaş kategorileri yaklaşımı; Türk hukukuna entegre edilebilir bir modeldir. Bu entegrasyon; KVKK'nın 2026 değişikliklerinin bir sonraki aşamasında değerlendirilebilecek önemli bir reform unsuru olarak görünmektedir.