ÇEVRİMİÇİ ORTAMLARDA ÇOCUKLARIN GİZLİLİĞİNE İLİŞKİN ICO DÜZENLEMESİ YÜRÜRLÜĞE GİRDİ

Birleşik Krallık Bilgi Komiserliği Ofisi (“ICO”) tarafından yayınlanan Yaşa Uygun İçerik Düzenlemesi (“Düzenleme”) bir yıllık geçiş döneminin ardından 2 Eylül 2021 tarihinde yürürlüğe girdi. Düzenleme, çocuklara yönelik çevrimiçi hizmetlerin Birleşik Krallık veri koruma hukukuna uygun bir şekilde nasıl oluşturulacağı ve sunulacağı konusunda işletmelere etkili rehberlik sağlamayı amaçlamaktadır. Düzenleme, yeni bir düzenlemeden ziyade 2018 Veri Koruma Yasası kapsamında işletmelere yönelik bir uygulama rehberi olarak tanımlanabilir.

Günümüz dünyasında, çocuklar çevrimiçi ortamda hatırı sayılır bir zaman geçirmektedir. Bu eğilim, Covid-19 sonrasında eğitimden sosyalleşmeye kadar her şeyin dijital ortamda sunulmasının bir zorunluluk haline gelmesi ile giderek daha belirgin hale geldi. Öyle ki ICO, Birleşik Krallık’ta her beş kullanıcıdan birinin çocuk olduğunu ancak çocukların kendileri için tasarlanmamış bir interneti kullandıklarının altını çizmiştir.

Düzenleme, çocukların çevrimiçi olduklarında ihtiyaç duydukları özel gizlilik korumalarını karşılamak için oluşturulmuş 15 esnek “yaşa uygun” standardı teşvik ederek bu ihtiyacı karşılamayı amaçlamaktadır.

Düzenleme Kimleri Kapsamaktadır?

Düzenleme, çocuklara yönelik olarak sunulan ya da çocukların erişebileceği bilgi toplumu hizmetlerinin nasıl uygulanması gerektiğini açıklamaktadır. Bilgi toplumu hizmetleri sosyal medya, çevrimiçi oyun, eğitim, eğlence, videoya dair her türlü hizmeti kapsayan genel bir kavramdır. Dolayısıyla uygulama geliştiricileri, oyun şirketleri, oyuncak şirketleri, sosyal medya platformları, eğitim uygulamaları ve web siteleri ile tüm medya, TV ve radyo işleri bu kapsamda değerlendirilmektedir. Bu Düzenleme, Birleşik Krallık merkezli şirketleri ve merkezi Birleşik Krallık’ta bulunmasa da Birleşik Krallık’ta yaşayan çocukların kişisel verilerini işleyen şirketleri kapsamaktadır.

Düzenleme Neleri İçermektedir?

Düzenleme’de Birleşik Krallık Veri Koruma Yasası’ndan aşina olunan 15 standart yer almaktadır. Bu standartlara ek olarak, savunmasız durumda olan çocukları korumak amacı ile ek standartlar getirilmiştir. Standartlar kümülatif ve birbiri ile ilişkili olduğundan tüm standartlar birlikte dikkate alınmalıdır;

1)Çocuğun üstün yararı her zaman birincil odak olmalıdır;

2)Çocuklarla ilgili verilerin işlenmesiyle ilgili düzenli olarak veri koruma etki değerlendirmeleri gerçekleştirilmelidir;

3)Hedef kitlenin belirli yaş aralığı ve gelişim düzeyi dikkate alınarak yaşa uygun uygulama gerçekleştirilmelidir;

4)Hizmetler daha genç kullanıcıların anlayacakları şekilde açık, şeffaf ve dürüst olmalıdır;

5)Verilerin zararlı kullanımı (çocukların fiziksel, zihinsel sağlığına veya hayat kalitesine açıkça zararlı olan veya uygulama kurallarına aykırı olan herhangi bir veri kullanımı) yasaktır;

6)Politikalar ve topluluk standartları desteklenmelidir;

7)Varsayılan ayarlar “yüksek gizlilik” olmalıdır;

8)Çocuklardan veri toplanırken veri minimizasyonu ilkesi uygulanmalıdır;

9)Veri paylaşımı sınırlı olmalıdır ve rutin olmayan veri paylaşımı, zorlayıcı bir neden gerektirmelidir;

10)Varsayılan konum belirleme kapatılmalıdır;

11)Ebeveyn kontrollerine izin verilebilir ve bu kontroller yardımcı olabilir, ancak bu kontrollerin yürürlükte olduğu ve çocuğun izlenip izlenmediğine ilişkin bilgi, çocuğa şeffaf hale getirilmelidir;

12)Varsayılan profil oluşturma kapalı olmalıdır;

13)Dürtme teknikleri (nudge techniques- kullanıcıları, kullanıcının karar vermesinde tasarımcının tercih ettiği yolları izlemeye yönlendiren veya teşvik eden tasarım özellikleri) önerilmez;

14)Bağlı oyuncaklar ve cihazlar Düzenleme’ye uygun olmalıdır;

15)Çocuğa yardımcı olmak için çevrimiçi araçlar erişilebilir ve belirgin olmalıdır.

ICO Düzenleyici Strateji Başkanı Michael Murray Düzenleme ile getirilen standartlara ilişkin kaleme almış olduğu blog yazısında çocukların kişisel verilerinin korunmasına ilişkin olarak dikkate alınması gereken en önemli hususlardan birinin Birleşmiş Milletler Çocuk Haklarına Dair Sözleşme’de de (“BMÇHS”) yer alan çocuğun üstün yararı kavramı olduğunun altını çizmiştir. Murray’e göre BMÇHS’nin çocuklara yönelik hizmet sunan şirketler tarafından dikkate alınması gereken dört kısmı şu şekildedir;

1)Çocukların ticari sömürüye karşı güvende olma hakkı bulunmaktadır (BMÇHS Madde 32): Bilgi toplumu hizmetleri, kişiselleştirmeden kaçınmalıdır. Kişiselleştirilmiş reklamlar, varsayılan olarak açık (on-by-default) olmamalı, bu reklamlar Reklamcılık Uygulamaları Komitesi standartlarına uymalı ve söz konusu reklamlarda yaşa uygun olmayan veya hileli ürünlerin pazarlanmasından kaçınılmalıdır. Ayrıca, hesap verilebilirlik açısından, çocukların verilerinin nasıl paraya çevrilebileceğine ilişkin olarak şeffaf bilginin nasıl sunulabileceğinin düşünülmesi gerekmektedir.

2)Çocukların, başkaları ile etkileşimde bulunurken suistimalden korunma hakkı bulunmaktadır (BMÇHS Madde 34): Diğer hizmet kullanıcıları ile varsayılan olarak açık (on-by-default) veri paylaşımı, çocukları şiddet veya suistimal risklerine maruz bırakabilir. Gizlilik ayarları konusunda dikkatli olunarak; varsayılan yüksek gizliliğin (high privacy by default) ayarlı olup olmadığı düşünülmelidir. Hizmet sunulan çocukların, bilgilerinin nasıl paylaşıldığını anlayıp anlamadığı mutlaka değerlendirilmeli; çocukların kişisel verilerine yanlış veya kötü niyetli kişilerin ulaşamamasının nasıl garantiye alınabileceği düşünülmelidir.

3)Çocukların, geniş yelpazede bilgiye ve medyaya erişim sağlama hakkı bulunmaktadır (BMÇHS Madde 17): Çocukların, öğrendikçe ve büyüdükçe, yaşlarına uygun bilgileri bulup bulamayacaklarının ve nasıl bulabileceklerinin düşünülmesi gerekmektedir. Çevrimiçi hizmetler kapsamında, çocukları üstün menfaatlerine hizmet etmeyen bilgilere maruz bırakan, dezenformasyon niteliğinde olan veya çocukların sağlıklarına zarar verebilecek içerikler gibi kişiselleştirilmiş haberler ve bilgiler sunulmamalıdır.

4)Çocukların, oyun oynamaya hakları vardır (BMÇHS Madde 31): Düzenleme’ye uyum sağlamak, oynanabilirlik işlevlerini geliştirmek veya bağlı oyuncak veya cihazların güvenli işlevselliğini sağlamak için veri analitiklerini kullanmak kadar basit olabilir; çocukların kişisel verilerini, onların kullanıcı deneyimlerini geliştirmek, daha eğlenceli veya kolay kullanılabilir hale getirmek anlamına gelebilir. Bu çerçevede, bir çocuğun çevrimiçi gruplara girme veya çevrimiçi gruplardan çıkma özgürlüğünün de düşünülmesi gerekecektir. Çocuklara, anlayabilecekleri nitelikte, net gizlilik bildirimleri sunulmalı, onlara kimlerle bilgi paylaşabilecekleri konusunda kontrol hakkı verilmelidir.

Verinin Zarar Verici Biçimde Kullanılması

Murray’e göre zarar verici kullanım standardıyla uyumlu olmak için, Birleşik Krallık Veri Koruma Yasası’nda düzenlenmiş olan gerekliliklere uyum sağlamanın yanı sıra, endüstri davranış kuralları, diğer düzenleyici hükümler veya Hükümet tavsiyelerine de uyum sağlamak gerekmektedir. Mensubu olunan endüstri veya sektöre ilişkin ilgili yönlendirmeleri güncel olarak takip etmek, iyi bir başlangıç noktasıdır. ICO’nun, bu konuya ilişkin hükümlere yönelik olarak hazırlanmış; çocuklar için pazarlama, yayıncılık, oyun veya basım yapmadan önce dikkate alınması gereken bir kılavuzu da bulunmaktadır.

İlaveten, önemle belirtmek gerekir ki; ilgili hükümlerde tanımlanan yükümlülüklerin ve çocukların maruz kalabileceği potansiyel risk ve zararların, veri koruma etki değerlendirmesi oluşturma sürecinde dikkate alınması gerekmektedir.

Veri Minimizasyonu

Murray’e göre kişisel veri toplama amaçları konusunda net olunmalı, bu amaçlar için ihtiyaç duyulan minimum miktarda veri toplanmalı ve o veriler minimum süre boyunca saklanmalıdır. Sunulan hizmetin her bir müstakil unsuru ayrıştırılarak, hangi kişisel veriye hangi unsuru meydana getirmek için, ne kadar süre boyunca ihtiyaç duyulduğu gözden geçirilmelidir.

Çocuklara, hizmetin hangi unsurlarını kullanmak istedikleri ve ne kadar kişisel veri sunmaları gerektiği konularında mümkün olduğunca fazla seçim hakkı tanınmalıdır.

Veriyi orijinal işlevinin ötesinde kullanmaktan veya bu işlevi yerine getirmek için gerekenden fazla veri toplamaktan kaçınılması gerekiyor. Kişisel veriler, temel hizmetin sunulmasının ötesinde, kullanıcıların çevrimiçi deneyimlerini ‘geliştirmek’, ‘genişletmek’ veya ‘kişiselleştirmek’ için kullanılıyorsa, bu durum özellikle önem taşımaktadır.

Yukarıda bahsi geçen üç standardın detaylı biçimde incelenmesi, çevrimiçi ortamda kişisel verileri ile ilgilenilmesi hususunda çocuklara karşı sorumlulukların anlaşılması yönünde esaslı bir adımdır.

Çocukların, hayatlarının çok önemli olan bu döneminde internet ve sosyal medya gibi insanın psikolojisini ve gelişimini inanılmaz boyutlarda etkileyebilecek kavramların mevcudiyetinde, günümüz koşullarının sağladığı etkileşim, bilgiye kolay erişim ve çevrimiçi kanallar ile kendini geliştirme olanaklarından mahrum kalmadan ama aynı zamanda çevrimiçi şiddet, suistimal, dezenformasyon ve yanlış yönlendirilme gibi tehlikelerden de korunarak varlıklarını sürdürmeleri büyük önem taşımaktadır. Bunun sağlanması için ise, çocukların üstün yararının ve Birleşmiş Milletler Çocuk Hakları Sözleşmesi başta olmak üzere birçok hukuki düzenlemeden ileri gelen hak ve özgürlüklerinin gözetilmesi suretiyle çocuklarının kişisel verilerinin korunmasının elzem olduğu ve bu hususta özellikle hizmet sağlayıcı organizasyonlara büyük iş düştüğü tartışılmazdır. Çocukların üstün yararının gözetilmesi, verilerin zarar verici biçimde kullanılmaması ve veri toplama, işleme ve saklama süreçlerinde veri minimizasyonuna dikkat edilmesi, çocukların çevrimiçi ortamda hizmet alırken işlenen kişisel verilerinin korunması konusunda olumlu sonuçlar doğurarak; hem veri sahibi çocuğun internet ortamında mümkün olduğu derecede korunmasını, hem de çocuğa hizmet sunan kişi ve kurumların hukuki açıdan güvende olmasını sağlayacaktır.

Kaynaklara aşağıdaki linkler üzerinden ulaşabilirsiniz.

https://blogs.dlapiper.com/privacymatters/uk-ico-rules-regarding-the-online-privacy-of-children-enter-into-force/

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/07/spotlight-on-the-children-s-code-standards-best-interests-of-the-child/