Çocukların Veri Güvenliği: Dünyada Ve Türkiye’de Güncel Gelişmeler

Güncel Yazılar -
Kişisel Verilerin Korunması ve Gizlilik

Dijital ekosistemde çocuklar artık yalnızca korunması gereken bireyler değil, veri odaklı iş modellerinin merkezindeki kullanıcı segmentlerinden de biridir. Sosyal medya platformları, oyun uygulamaları ve video paylaşım siteleri, çocukların davranışsal verilerini, etkileşim alışkanlıklarını ve içerik tüketim kalıplarını sistematik biçimde işlemektedir. Bu durum, veri koruma hukukunda çocuklara ilişkin yaklaşımın klasik rıza temelli modelden çıkıp risk temelli bir düzenleme modeline evrilmesine yol açmıştır.

Bugün gelinen noktada tartışma artık yalnızca “çocuklardan veri alınabilir mi?” sorusu ile sınırlı değil. Asıl mesele, çocuklara yönelik profillemenin bütünüyle yasaklanıp yasaklanmaması gerektiği, yaş doğrulama için hangi tekniklerin hukuken meşru ve orantılı kabul edileceği ve işe yarayacağı, platform tasarımının doğrudan veri koruma denetiminin konusu haline gelip gelmeyeceği ve yalnızca kullanıcının beyanına dayanan “self-declared age” yönteminin yeterli sayılıp sayılamayacağıdır. Başka bir ifadeyle, düzenleyicilerin yaklaşımı artık rıza merkezli klasik çerçevenin ötesine geçmiş, tasarım, algoritma ve iş modeli düzeyinde çocuk haklarını merkeze alan yapısal bir değerlendirmeye evrilmiştir. Son dönemde dünyada yaşanan gelişmeler de bu dönüşümü doğrular niteliktedir.

Çocukların Veri Mahremiyetinin Korunmasına Yönelik Global Gelişmeler

Birleşik Krallık Veri Koruma Otoritesi - ICO

Geçtiğimiz günlerde Birleşik Krallık Veri Koruma Otoritesi (“ICO”) Reddit’e çocukların kişisel verilerini hukuka uygun şekilde işlemediği gerekçesi ile 14,47 milyon £ para cezası uygulamıştır. ICO tarafından yürütülen soruşturmada, Reddit’in uygun ve etkili bir yaş doğrulama mekanizması uygulamadığı ve bu nedenle 13 yaşın altındaki çocukların kişisel verilerini işlemek için hukuka uygun bir dayanağa sahip olmadığı, çocuklara yönelik riskleri değerlendirmek ve azaltmak amacıyla bir veri koruma etki analizi gerçekleştirmediği tespit edilmiştir. Bu eksiklikler nedeniyle Reddit’in, çocukların verilerini hukuka aykırı şekilde işlediği ve onları uygunsuz ve zararlı içeriklere maruz kalma riskiyle karşı karşıya bıraktığı belirtilmiştir. Esasen Temmuz 2025’te Reddit, olgun içeriklere erişim için yaş doğrulaması ve hesap açarken kullanıcıdan yaş beyanı alma gibi önlemler getirmiş olmasına rağmen ICO, yalnızca kullanıcı beyanına dayanmanın çocuklar açısından riskli olduğunu ve kolayca aşılabileceğini belirtmiştir.

Çin Veri Koruma Otoritesi - CAC

29 Aralık 2025 tarihinde Çin Veri Koruma Otoritesi (“CAC”) tarafından yayımlanan bir duyuru ile, Siber Uzayda Küçüklerin Korunmasına İlişkin Tedbirler’e ek bir uygulama olarak, 14 yaşın altındaki kişilere ait kişisel verileri işleyen tüm veri sorumlularına yıllık rapor sunma zorunluluğu getirmiştir. Herhangi bir istisna öngörülmemiş olup, küçüklerin kişisel verilerini herhangi bir kapsamda işleyen tüm veri sorumluları bu yeni raporlama yükümlülüğüne tabidir. Esasen Çin’de veri sorumluları küçüklerin kişisel verilerine ilişkin işleme faaliyetlerini yıllık olarak denetleme yükümlülüğüne tabi idi. Yeni düzenleme ile bu yükümlülük genişletilerek denetim sonuçlarının bir özetinin resmi olarak CAC’a bildirimi zorunlu kılınmıştır. Çin veri koruma otoritesi genel veri koruma gerekliliklerine ek olarak çocuklar yönünden, çocuklara yönelik hazırlanmış gizlilik bildirimleri, yaş doğrulama yöntemleri, ebeveyn rızası mekanizmaları, çocukların verilerine özgü politika ve prosedürlerin belirlenmiş olması gibi hususların denetim kapsamında incelenmesi gerektiğini belirtmiştir.

ABD Federal Ticaret Komisyonu  - FTC

ABD Federal Ticaret Komisyonu (“FTC”), COPPA’ya (Children’s Online Privacy Protection Act) ilişkin uygulama faaliyetleri hakkında bir politika bildirimi yayımlamıştır. FTC’nin yayımladığı politika bildirimi, yaş doğrulama teknolojilerini çevrim içi çocuk güvenliği açısından kritik bir araç olarak konumlandırmakta ve işletmecileri bu teknolojileri kullanmaya teşvik etmektedir. Komisyon, yalnızca kullanıcının yaşını belirleme amacıyla veri işleyen genel kitleye veya karma kitleye yönelik hizmetler bakımından, belirli güvencelere uyulması şartıyla COPPA kapsamında yaptırım uygulamama yaklaşımı benimseyeceğini açıklamıştır. Bu güvenceler; verinin yalnızca yaş tespiti amacıyla kullanılması, gereksiz yere saklanmaması, güvenliğinin sağlanması, üçüncü taraflarla sınırlı ve kontrollü paylaşımı, ebeveyn ve çocuklara açık bildirim yapılması ve kullanılan yöntemlerin makul doğruluk sağlamasının temin edilmesini içermektedir. Bu gelişme, yaş doğrulamanın hem federal düzeyde hem de eyalet mevzuatında artan şekilde düzenleyici gündemin merkezine yerleştiğini göstermektedir.

Türkiye’deki Gelişmeler

Kişisel Verileri Koruma Kurulu – KVKK – Dijital Platformlar Hakkında Re’sen İnceleme Başlattı

Türkiye bakımından çocukların kişisel verilerinin korunmasına yönelik özel bir düzenleme bulunmamakla birlikte, konu kurumun ve düzenleyici otoritelerin gündeminde olmaya devam etmektedir. Geçtiğimiz günlerde Kişisel Verileri Koruma Kurulu bir duyuru yayınlayarak, çocukların sosyal medya kullanımında kişisel verilerinin korunmasına ilişkin, çocukların yüksek yararı da gözetilerek dijital ortamda karşılaşabilecekleri potansiyel risklerden korunmasını teminen, sosyal medya platformlarında çocukların kişisel verilerinin nasıl işlendiği ve hangi tedbirlerin alındığı hususlarında TikTok, Instagram, Facebook, Youtube, X ve Discord platformları hakkında re’sen inceleme başlatılmasına karar verildiğini duyurmuştur.

Bilgi Teknolojileri ve İletişim Kurumu da yine geçtiğimiz günlerde genç kullanıcılar arasında oldukça popüler olan Bigo Live, MICO ve SoulChill gibi platformların da bulunduğu 9 canlı yayın uygulamasına Ankara 10. Sulh Ceza Hakimliğinin erişimin engellenmesi kararına istinaden erişim engeli getirmiştir.

Son dönemde çocukların veri mahremiyetinin korunmasına yönelik atılan düzenleyici ve idari adımlar, bu alanın küresel ölçekte öncelikli bir politika başlığı haline geldiğini göstermektedir. Bu gelişmeler, çocuk verilerinin artık yalnızca teknik bir uyum konusu değil, temel hak ve dijital güvenlik meselesi olarak ele alındığını ortaya koyan güçlü bir küresel trendi yansıtmaktadır.

Yine çocukları hedef alan reklam uygulamaları bakımından da sınırlayıcı düzenlemelerin yapılması planlamaktadır.

Çocuk Verilerinin Korunması Ayrı Bir Hukuki Rejim Gerektiriyor

Çocukların Üstün Yararı

Veri koruma hukukunun temel varsayımı, bireyin verisi üzerindeki kontrolünü bilinçli şekilde kullanabilmesidir. Ancak çocuklar, işlenen verinin kapsamını ve sonuçlarını tam olarak kavrayamayabilir, uzun vadeli dijital etkileri öngöremez, sözleşme ve rıza mekanizmalarının hukuki sonuçlarını değerlendiremez ve manipülasyona ve davranışsal yönlendirmeye daha açıktır. Bu nedenle çocukların “serbest irade” beyanının hukuki ağırlığı yetişkinlerle aynı kabul edilmemektedir.

Birleşmiş Milletler Çocuk Hakları Sözleşmesi, çocuğun üstün yararını temel ilke olarak kabul eder. Bu ilkenin veri koruma hukukundaki yansıması çocuğa zarar verme potansiyeli olan veri işleme faaliyetlerinin daha sıkı denetlenmesidir. Burada da esasen birincil amaç veri gizliliğinin korunması olsa da temelde çocukların psikolojik, sosyal ve bilişsel gelişiminin korunmasıdır.
Uzun Vadeli Dijital Ayak İzi Riski

Çocukluk döneminde oluşturulan dijital izler, yetişkinlikte istihdam, sosyal itibar, eğitim fırsatları, güvenlik üzerinde önemli etkiler yaratabilir. Yetişkinler verilerinin işlenmesine bilinçli risk alarak rıza verebilirlerken, çocuklar verilerinin işlenmesinin gelecekteki etkilerini değerlendirme konusunda yeterli bilinç düzeyine sahip değildirler. Bu nedenle çocuk verileri, zaman boyutu açısından daha yüksek risk taşımaktadır. Aile paylaşımları, sosyal medya hesapları, çevrim içi oyun aktiviteleri, eğitim platformları ve mobil uygulamalar aracılığıyla oluşan dijital ayak izleri; kimlik, konum, davranış kalıpları ve ilgi alanlarına ilişkin uzun vadeli bir veri profili yaratabilir. Bu veriler çoğu zaman kalıcıdır, üçüncü kişiler tarafından işlenebilir ve ilerleyen yıllarda bireyin mahremiyeti üzerinde etkiler doğurabilir.

Profilleme ve Algoritmik Manipülasyon Riski

Sosyal medya platformlarının temel çalışma prensipleri son yıllarda davranışsal reklamcılık, içerik öneri algoritmaları ve dikkat ekonomisi modelleri üzerinden şekillenmektedir. Çocuklara ilişkin toplanan veriler, içerik öneri sistemleri, kişiselleştirilmiş reklamlar, oyun içi yönlendirmeler veya algoritmik sıralamalar aracılığıyla onların tercihlerini, dikkat sürelerini ve tüketim alışkanlıklarını şekillendirebilir. Gelişimsel olarak daha kırılgan bir dönemde bulunan çocuklar, veri temelli tasarım ve dark patterns gibi tekniklere karşı daha savunmasızdırlar. Bu nedenle çocuklara yönelik veri işleme yalnızca gizlilik değil, aynı zamanda davranışsal etki boyutu da taşımaktadır.

Hukuki Kapasite ve Rıza Sorunu

Veri koruma hukukunda açık rıza bilgilendirilmiş ve özgür irade beyanına dayalı olmalıdır. Ancak çocukların, hukuki işlem ehliyeti sınırlıdır ve ayırt etme gücü yaşa göre değişmektedir. Dolayısıyla dijital dünyada bilinçli tercih yapma kapasiteleri sınırlı olabilir. Platformlar, gelişmiş veri analitiği ve algoritmik sistemler aracılığıyla kullanıcı davranışlarını ölçme, tahmin etme ve yönlendirme kapasitesine sahiptir; çocuk ise bu teknik altyapının işleyişini çoğu zaman anlayamaz. Hizmet şartları ve gizlilik politikaları karmaşık ve uzun metinler olup, çocukların bunları kavrama ve sonuçlarını değerlendirme imkanı sınırlıdır. Bildirimler, ödül mekanizmaları, sonsuz kaydırma, oyunlaştırma teknikleri gibi tasarım unsurlarının gelişimsel olarak daha hassas olan çocukları daha kolay etkilediği belirtilmektedir. Bu nedenle birçok ülkede çocukların kişisel verilerinin işlenmesinde ek koruma mekanizmaları öngörülmüş, belirli yaşın altındaki çocuklar için ebeveyn onayı şartı getirilmiş veya doğrudan yaş sınırı uygulaması benimsenmiştir.

Çocuk Verilerinin Korunmasında Global Düzenleyici Yaklaşımlar

AB Veri Koruma Tüzüğü (GDPR)

Avrupa Genel Veri Koruma Tüzüğü’nün (“GDPR”) 8. maddesi, bilgi toplumu hizmetleri kapsamında çocuk rızasına ilişkin yaş sınırını düzenlemektedir. Bir bilgi toplumu hizmeti doğrudan çocuğa sunuluyorsa ve işleme faaliyeti rıza hukuki sebebine dayanıyorsa, çocuğun yaşı 16’nın altındaysa, rıza ancak ebeveyn tarafından ya da onun onayıyla verildiğinde geçerli kabul edilmektedir. Üye devletler bu yaş sınırını 13 yaşa kadar düşürebilir. Bu nedenle AB içinde yaş sınırı ülkeden ülkeye 13–16 arasında değişebilmektedir.

Birleşik Krallık Veri Koruma Otoritesi (ICO)

Birleşik Krallık veri koruma otoritesi ICO’nun Children’s Code düzenlemesi, global ölçekte en ileri örneklerden biridir. Bu düzenleme, rıza temelli modelin ötesinde doğrudan platform tasarımına müdahale eden bir düzenlemedir ve varsayılan olarak en yüksek gizlilik, geolokasyonun kapalı olması, profil çıkarmanın sınırlandırılması, nudge tekniklerinin çocuklar aleyhine kullanılmaması, yüksek riskli veri işleme faaliyetlerinde veri koruma etki analizi yapılması zorunluluğu gibi yükümlülükleri içermektedir. Reddit’e verilen para cezası, yalnızca yaş doğrulama eksikliğine değil, çocuklara yönelik risk analizi yapılmamasına ve veri işleme tasarımının yetersizliğine dayanmaktadır. Reddit kararı ile artık tek başına “13 yaş altı yasaktır” demenin yeterli görülmediği, çocuk kişisel verilerini işleyen veri sorumlularından etkili, ölçülebilir ve teknik olarak doğrulanabilir önlemler almalarının beklendiğini göstermesi bakımından önemli bir karardır.

ABD- Children’s Online Privacy Protection Act (COPPA)

ABD’de çocuk verileri COPPA kapsamında düzenlenmekte ve 13 yaş altı kullanıcılar için ebeveyn onayı gerekmektedir. Ancak ABD’nin konuya yaklaşımı temel hak merkezli değil, tüketici koruma ve haksız ticari uygulama perspektifine dayanmaktadır. FTC’nin TikTok ve YouTube kararları, ebeveyn onayı eksikliği ve yanıltıcı uygulamalara dayanır. Ancak davranışsal reklamcılığa yaklaşım AB kadar katı değildir.

Türkiye - KVKK

Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda çocuklara özgü açık bir düzenleme bulunmamaktadır. Kişisel Verileri Koruma Kurulu’nun küçüklerin verilerinin korunmasında veri sorumlularınca alınması gereken tedbirlere yönelik ilk somut yönlendirmesi olarak değerlendirilebilecek kararı 2023 yılında TikTok hakkında verdiği karardı. Son dönemde sosyal medya platformlarına re’sen başlatılan inceleme öncesinde Kurul’un çocuk kişisel verilerinin korunması özelinde sosyal medya platformlarına yönelik sistemik bir yaptırım pratiği bulunmamaktadır.

Küresel eğilim ve Kurul’un sosyal medya platformlarına yönelik re’sen inceleme kararı dikkate alındığında, Türkiye’de yakın gelecekte, çocuk verilerine ilişkin rehber yayımlanması, yaş doğrulama sistemlerine ilişkin teknik standartların belirlenmesi gibi gelişmeler beklenmektedir.

Platformlardan artık “gerçek” yaş doğrulama beklentisi beraberinde ciddi bir hukuki çelişkiyi de  doğurmaktadır. Etkili bir yaş doğrulama daha fazla verinin işlenmesini gerektirmektedir. Oysa veri koruma hukukunun temel ilkelerinden biri de veri minimizasyonudur. AI tabanlı yaş tahmini, biyometrik analiz, yüz tarama gibi yöntemler bugün gerçek bir yaş doğrulama için teleffuz ediliyor ise de bu yöntemler özel nitelikli veri işlenmesini de beraberinde getirmektedir. Burada da cevaplanması gereken en önemli soru çocuğu korumak için daha fazla veri işlemek ne ölçüde meşrudur?

Bu mesele, önümüzdeki yıllarda hem veri koruma hem de AI düzenlemeleri bakımından önemli bir tartışma konusu olacaktır. Türkiye henüz bu dönüşümün erken aşamasında olsa da, dijital platformların çocuk kullanıcı yoğunluğu dikkate alındığında, düzenleyici müdahalenin kaçınılmaz olduğu açıktır.

Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.

Abone Olun
×

Etik değerlerle inşa edilmiş, küresel ölçekte saygı gören kırk yıllık bir yolculuk. Hikayemizi keşfedin.