Erva Akın yazdı “Yaşa Uygun Teknolojik Tasarım: İngiltere’den Öncü Bir Adım”

İstanbul Üniversitesi Hukuk Fakültesi’nden mezun olan Erva Akın, yüksek lisansını Bilişim ve Fikri Mülkiyet Hukuku alanında Leibniz University Hannover ve Queen Mary University of London’da tamamladı. Aynı yıl, Avrupa Konseyi’nde çalıştı. Araştırma ilgi alanları, dijital ve teknolojik değişimin insani ve sosyal yönlerini çevreleyen geniş tartışmalara kadar uzanmakta. Age Appropriate Design – Children Code kapsamında yazdığı makalenin Türkçe özetini okuyucularımızla buluşturduk.

Karmaşık ve hızla gelişen dijital dünyada hem çocukların hem de yetişkinlerin çevrimiçi etkinlikleri giderek daha fazla kaydedilmekte, izlenmekte, analiz edilmekte ve ekonomik faaliyetlere konu edilmektedir. Çocukların dijital iklimin zarar verici faaliyetlerinden korunması için hukuki düzenlemeler yapılmaktadır. Birleşik Krallık’ın Bilgi Komisyonu Ofisinin (Information Commissioner’s Office – ICO) hazırladığı ve Eylül 2021’de yürürlüğe giren Yaşa Uygun Tasarım (Age Appropriate Design – UK Children Code/UK Çocuk Kodu olarak da bilinir) çocukların çevrimiçi ortamda kişisel verilerinin korunması için oluşturulmuştur.^[1] Bu yeni düzenleme, Birleşmiş Milletler Çocuk Haklarına Dair Sözleşme’nin (UNCRC) ruhuna da uygun olarak çocuğun üstün yararı ilkesi, verinin kötüye kullanım yasağı, veri minimizasyonu, profil oluşturma ve ebeveyn kontrolü standartları da dahil olmak üzere çocukların erişmesi muhtemel olan tüm bilgi toplumu hizmetlerinin uyması gereken 15 temel ilke/standart öngörmektedir.

Mutlaka çocuklara yönelik olmasa da uygulamalar, bağlantılı oyuncaklar ve cihazlar, arama motorları, sosyal medya platformları ve video oyunları çocuklar tarafından erişilebilecek hizmetlerdendir. Bu standartların hazırlanması, 2018 Veri Koruma Yasası’nın 123. maddesine dayandığı için çocukların erişmesi muhtemel bilgi toplumu hizmetleri, bu standartlara uyduklarını kanıtlamadıkça GDPR’a (General Data Protection Regulation – Avrupa Birliği Genel Veri Koruma Tüzüğü) da uyum göstermemiş sayılacaktır.^[2] Burada temel amaç, mevcut veri koruma hukukuna ek güvenceler sağlamaktır.

Çocuğun Tanımı

GDPR, ebeveyn kontrolünün gerekli olduğu haller gibi belirli durumlarda çocukların yaşları için bazı kriterler belirlemiş olsa da ne GDPR ne de UK Çocuk Kodu, çocuk terimini tanımlar. Veri sorumluları, çevrimiçi hizmetlerini UK Çocuk Kodu’na uyarlarken, UNCRC’nin 1. maddesinde yer alan ve çocuğun 18 yaşın altındaki herhangi bir insan olarak tanımlandığı evrensel tanımı esas alacaktır.^[3]

Yaş Doğrulama Mekanizması ile Kişinin Yaşını Belirleme

Sorumluluk rejimi, çocukların erişebileceği tüm çevrimiçi hizmetlere yönelik olduğu için, yetişkin ve çocuk kullanıcıyı ayırt edebilmek önemlidir. Bunun için tüm kullanıcılara yönelik bir yaş doğrulama sistemi kullanılmalıdır. Bu, dijital ortamda çocuklara yaşlarına uygun davranılmasını sağlayan Yaşa Uygun Tasarım’ın amacı ile tutarlıdır. İtalya’dan yakın tarihli bir olay, yaş doğrulama eksikliğinin bir çocuğu ne ölçüde zararlı bir sona götürebileceğini göstermek için iyi bir başlangıç ​​noktasıdır. “Boğulma meydan okumasına” teşebbüs eden bir çocuğun ölümünün ardından TikTok, İtalyan Veri Koruma Otoritesi tarafından kısıtlamalara tabi tutuldu.^[4] TikTok, bir çocuğun intihar etmesine neden olan yaş doğrulamasını sağlayamadığı için sorumlu kabul edildi.

Bununla birlikte, ICO, kullanıcılara sadece yaşlarını veya yaş aralığını sormanın etkili bir yaş doğrulaması olmadığı görüşündedir.

Yetişkinler ise çocuk olmadıklarını göstermek için kendileri hakkında daha fazla bilgi vermelidir. Bir çocuk ebeveyn gözetimi altındaysa, ebeveynlik durumunu doğrulamak için ebeveynden de verilerini açıklaması talep edilecektir. Bu durum yetişkinleri çocuk korumasının getirdiği kısıtlamalara tabi olmamak için daha fazla veri sağlamaya zorlar. Veri sorumluları, bir kullanıcının yaşını doğrulayabilmek için olabildiğince az ama ek başka doğrulayıcılara ihtiyaç duymayan etkili veri toplamalıdır. ICO, bunu hem yetişkinler hem de çocuklar için mahremiyeti temin eden “hard identifier” olarak isimlendirir.^[5] Resmi kimlik veya pasaport belgesi ya da kredi kartı bilgileri buna örnektir. 

Varsayılan Mahremiyet Ayarları (Default Privacy Settings)

Bir kişi bir çevrimiçi hizmeti ilk kez kullandığında, verilerin toplanması ve işlenmesi için önceden belirlenmiş varsayılan ayarlar vardır. Temel hizmetler için gereken profil oluşturmaya ek olarak, bu tür varsayılan ayarlar, kullanıcıların çevrimiçi deneyimlerini temel hizmet dışındaki yollarla geliştirmek veya kişiselleştirmek için kullanılabilir. Kullanıcılar, varsayılan mahremiyet ayarlarını uygun gördükleri şekilde değiştirebilirler.

Çocuklar, kendileri için en iyi olanı bilme konusunda yetişkinlerle aynı kapasiteye sahip olmadığından, UK Çocuk Kodu, veri sorumlularının çocuklara yönelik mahremiyet varsayılan ayarlarının daha yüksek bir koruma sağlamasını öngörmektedir. Çocuk değiştirmedikçe, veri sorumlularının profil oluşturma varsayılan ayarlarını etkinleştirmesine izin verilmez. Varsayılan ayarları değiştirebilmek için 13 yaşından küçükler ve 13 yaşından büyükler farklı kurallara tabidir.

Açık olmaları için zorunlu bir neden olmadıkça, çocukların tüm profil oluşturma ayarları varsayılan olarak kapatılmalıdır. Veri sorumlularının, ayarları varsayılan olarak açık hale getirmek için zorlayıcı bir neden göstermeleri gerekir. Veri sorumluları, temel hizmetleri sağlamak için profil oluşturmanın etkinleştirilmesi gerektiğini iddia ederken, ticari nedenlerin temel hizmetler olarak kabul edilmesi zordur.^[6] Bununla birlikte, yüksek mahremiyet varsayılan ayarlarından kaçınmak için veri sorumluları ana hizmetlerini çok geniş bir şekilde tanımlama eğilimindedir. Gerçekten de ICO, reklamcılığın kritik bir bileşen olduğu ve kişiselleştirme gerektirdiği birkaç hizmet örneği sunmaktadır. Örneğin, müşterilere belirli bir harcama miktarında indirim sunan hizmetler, kişiselleştirilmiş reklam vermek için anonim olmayan verilerin işlenmesini gerektirir. Bu örnekte ticari amaçlar, veri sorumlusunun temel hizmetinin bir parçasıdır. Ancak bunlar, özellikle veri sorumluları çeşitli başka hizmetler sağladığında, genellikle ikna edici olmayan son derece nadir durumlardır. Ayrıca, çocuk verilerinin profilini çıkarmak için zorlayıcı bir nedene sahip olmak yeterli değildir; varsayılan ayarlardan sapmak için zorlayıcı bir nedenin çocuğun üstün yararı ile uyumlu olması gerekir. Peki, çocukların en üstün yararı nedir? Üstün yarar kavramı, UK Çocuk Kodu’ndaki diğer birçok standartta atıf yapılan anahtar terimlerden biridir. UK Çocuk Kodu’na göre, üstün yarar kavramı bütüncül bir yaklaşım gerektirir. İfade özgürlüğü, ırk, din, milliyet veya vicdan özgürlüğü, BM Çocuk Hakları Sözleşmesi’nde çocuğun üstün yararı için verilen örneklerden yalnızca birkaçıdır. Bu nedenle çocuğun üstün yararı, tüm bu faktörlerin dikkate alınmasını gerektirir.

Çocuklar Rızanın Kapsamını ve Sonuçlarını Nasıl Anlar?

Bir çocuk bir mahremiyet ayarını değiştirmeye çalışırsa, veri sorumluları riski azaltmak için şeffaflık standardının gerektirdiği şekilde çocuklara yaşlarına uygun açıklamalar sağlamalıdır.

Kişisel verileri korumanın amacını anlamanın yanı sıra, çocuklar genellikle geçmişlerinden ve ticari faaliyet kavramına ne ölçüde aşina olduklarına bağlı olan farklı anlayış boyutlarına sahip olabilir.^[7] Bir çocuk onay verse bile, bu bilinçsiz bir kararın sonucu olabilir.

GDPR madde 8, bir çocuğun bilgi toplumu hizmetleri için kendisiyle ilgili verileri işlemeye rıza gösterdiği belirli yaş kriterlerini düzenlemektedir. Çevrimiçi hizmetlerin veri sorumluları, çocukların verilerini işlemek için rıza yasal dayanağını ileri sürdüğünde UK Çocuk Kodu, 13 yaşından küçük çocukların rıza verebilmeleri için ebeveyn iznini şart koşar. Aslında GDPR uyarınca, 16 yaş ve altı çocuklar için ebeveyn izni gerekir, ancak GDPR’ın 8. maddesi üye devletlere söz konusu sınırı 13 yaşına düşürme yetkisi tanımıştır ki Birleşik Krallık bu yetkiyi kullanmıştır. Ne var ki UK Çocuk Kodu’nda bu tercihin sebeplerine ve çocuğun yüksek yararına olduğuna dair bilimsel çalışmalara veya diğer kanıtlara atıfta bulunulmamıştır.

Rıza ve Ebeveyn – Çocuk İlişkisi

13 yaşından küçük çocuklar adına rıza verme yetkisi ebeveynlere aittir. UK Çocuk Kodu kapsamında uygulanacak bir diğer standart ise ebeveyn kontrolü olup, bu standardın ne kadar sıkı uygulanacağı uygulamada belirlenecektir. Kurallar belirsizliğini koruyor çünkü bir standart (ebeveyn kontrolü) uğruna eşit derecede önemli olan başka bir standart (çocuğun üstün yararı) tehlikeye atılabilir. Bazı akademisyenler, özellikle ebeveyn denetiminin çocukların çıkarlarına hizmet etmediğini ve potansiyel olarak çocukların mahremiyet haklarını ihlal ettiğini savunmaktadır.^[8]

Ayrıca, UNCRC çocukların mahremiyetini konu edinen 8. maddesinde çocuklar için bir güvence sağlasa bile, çocukların karar süreçlerine katılımları onların üstün yararına olacağından çocuklar sürecin dışında bırakılmamalıdır. Mahremiyet hakları insan onurunun bir parçası olduğu için, ebeveynlerinin kendi çıkarları için müdahale etmesi durumunda çocuklar bilgilendirilmelidir.^[9]

Ebeveynler, ebeveynlik sorumluluklarının bir parçası olarak çocuklarının çıkarlarına en uygun kararları vermelidir. Ebeveynler, çocuklarının başkalarının temel haklarını ihlal eden eylemlerinden de sorumlu olduklarından, çocuklarının yüksek yararını gözetmeden kendi çıkarlarına göre hareket edebilirler. Çocuklar ve ebeveynler arasındaki ilişkide bir çıkar çatışması olduğu anlaşılmaktadır.

Sonuç

UK Çocuk Kodu, kullanıcılarla ilgili karar vermedeki hakimiyetleri sürekli arttığı için bilgi toplumu hizmetlerini daha çok sorumlu tutmak yönündeki genel eğilimin bir yansımasıdır. UK Çocuk Kodu ile çocukların erişmesi muhtemel çevrimiçi hizmetlere getirilen standartlar, GDPR ile yakın ilişkisinin bir sonucu olarak hukuki yaptırımlar uygulama kapasitesi nedeniyle, çocukların veri koruma haklarının korunması ve vurgulanması için iyi bir adımdır. UK Çocuk Yasası, Yaşa Uygun Tasarımın çocukları dijital ortamdan uzaklaştırmakla değil, dijital ortamda nasıl daha iyi korunabilecekleriyle ilgili olduğunu sık sık vurgular.

Bununla birlikte kullanıcıların yaşlarının doğru tespiti, daha çok bunlarla ilgili veri toplanmasına bağlı olduğu sürece, bu durum yetişkinlerin mahremiyeti üzerinde orantısız bir etkiye yol açabilir. Bu nedenle, çocukların ve ebeveynlerin verilerini anonimleştirmek açıkça imkânsız olduğundan, veri sorumluları güçlü ve etkili siber güvenlik ve veri koruma etki değerlendirmesi gibi önlemleri uygulamalıdır.

Son olarak, sistem açısından kritik bir soruna harici çözümler aramak uygun olabilir. Bu bağlamda, çocukların dijital okuryazarlığını artırmaya yönelik kampanya ve girişimler, çocuk dostu çevrimiçi platformların işlevselliğini artıracaktır.

KAYNAKÇA

Better Internet for Kids, ‘The General Data Protection Regulation and Children’s Rights: Questions and Answers for Legislators, DPAs, Industry, Education, Stakeholders and Civil Society, Roundtable Report’ (23 June 2017), https://www.betterinternetforkids.eu/documents/167024/2013511/GDPRRoundtable_June2017_FullReport.pdf , (Roundtable Report)

European Data Protection Board (EDPB), ‘Italian DPA imposes limitation on processing on TikTok after the death of a Girl from Palermo’ (26 January 2021) https://edpb.europa.eu/news/national-news/2021/italian-dpa-imposes-limitation-processing-tiktok-after-death-girl-palermo_en

Information Commissioner’s Office, ‘Age Appropriate Design: A Code of Practice for Online Services – Consultation Document’ (2020), https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services/  (Guidelines on Children’s Code)

UK Data Protection Act 2018, https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted

Van der Hof S and E Lievens ‘The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR’ Communication Law Vol. 23, No. 1, (2018), https://infolawcentre.blogs.sas.ac.uk/files/2018/03/Comms_Law_23.1.pdf

---

^[1] Information Commissioner’s Office, ‘Age Appropriate Design: A Code of Practice for Online Services – Consultation Document’, (2020), (Guidelines on Children’s Code)

^[2] UK Data Protection Act 2018. Birleşik Krallık’taki veri koruma çerçevesi, DPA 2018 ve GDPR’dır.

^[3] Simone van der Hof and Eva Lievens ‘The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR’ Communication Law Vol. 23, No. 1, (2018)

^[4] European Data Protection Board (EDPB), ‘Italian DPA imposes limitation on processing on TikTok after the death of a Girl from Palermo’ (26 January 2021)

^[5] Guidelines on Children’s Code, s. 34 ve 107.

^[6] Guidelines on Children’s Code, s. 104.

^[7] Better Internet for Kids, ‘The General Data Protection Regulation and Children’s Rights: Questions and Answers for Legislators, DPAs, Industry, Education, Stakeholders and Civil Society, Roundtable Report’ (23 June 2017), s. 14. (Roundtable Report)

^[8] (n, 3)

^[9] Roundtable Report, s. 17.