Avrupa Veri Koruma Kurulu (EDPB), yakın zamanda dijital ortamda çocukların korunmasına yönelik önemli bir bildiri yayımladı. Bu bildiri, çocukların çevrimiçi güvenliğini artırmak ve Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu yaş doğrulama yöntemlerini geliştirmek amacıyla rehber ilkeler sunmaktadır. Dijital ortamda çocukların korunmasını sağlamak için çeşitli ulusal ve Avrupa çapında yapılan düzenlemeler ve girişimler de bu çabayı desteklemektedir.
EDPB, yaş güvencesi (age assurance) kavramını, kişisel verilerin korunmasını sağlarken aynı zamanda ayrımcılık gibi temel hakları da koruyacak şekilde ele almayı amaçlamaktadır. Bu doğrultuda, yaş doğrulama, yaş tahmini ve bireysel beyan olmak üzere üç ana yaş güvencesi yöntemi belirlenmiş ve bu yöntemlerin veri koruma açısından taşıdığı riskleri azaltmak için belirli ilkeler geliştirilmiştir.
Bu yazıda, EDPB’nin yaş güvencesi ve çocukların çevrimiçi korunmasına dair önerdiği rehber ilkeleri ve bunların dijital dünyada nasıl uygulanabileceğini daha yakından inceleyeceğiz.
Kişisel verilerinin korunması ve GDPR uyumluluğu hakkında daha fazla bilgi için bizimle iletişime geçebilirsiniz.
Bildiride Yer Alan İlkeler
Hak ve Özgürlüklerden Tam ve Etkin Yararlanma
Yaş güvencesi süreçlerinde çocukların üstün yararı gözetilmeli ve onların kapsamlı hakları, özellikle veri koruma ve ifade özgürlüğü gibi hakları dikkate alınmalıdır.
Yaş Güvencesinin Orantılılığının Risk Temelli Değerlendirilmesi
Hizmet sağlayıcılar, risk temelli ve orantılı önlemler benimsemelidir. Yaş güvencesi gerekliliği, çocuk hakları ve katılımı göz önünde bulundurularak yapılan risk değerlendirmeleri çerçevesinde değerlendirilmelidir. Kişisel verilerin işlenmesinden önce riskler ve orantılılık açısından GDPR m.35 kapsamında bir Veri Koruma Etki Değerlendirmesi (DPIA) gerçekleştirilmelidir.
Veri Koruma Risklerinin Önlenmesi
Yaş güvencesi süreci, kişisel veri koruma risklerini önlemek için dikkatle tasarlanmalıdır. GDPR m.5(1)’e göre, yaş güvencesi yalnızca yaş doğrulaması amacıyla kullanılmalı, kişileri izlemek için ek bir araç haline gelmemelidir. Bu süreç, adillik, şeffaflık ve amaç sınırlılığı ilkelerine uygun olmalıdır. Ayrıca, veri minimizasyonu ilkesi gereği, toplanan kişisel veriler başka amaçlarla kullanılmamalıdır.
Özellikle, bir bireyin yaşını doğrulamak amacıyla hizmet sağlayıcının kimliğini veya coğrafi konumunu belirlemesi, profillemesi veya kişisel bilgilerini izlemesi beklenmemelidir. Bu, GDPR m.6(4)’teki kişisel verilerin sonraki kullanımına dair kurallar ve veri minimizasyonu ilkesi ile çelişecektir. Aynı zamanda bu süreçte güç dengesizliği durumlarının önlenmesi de önemlidir. Hizmet sağlayıcılar, bireylerin hareket serbestliği eksiklikleri nedeniyle gereksiz veri koruma risklerine maruz kalmamalarını sağlamalıdır. Bu nedenle, yaş doğrulama yöntemini kullanamayan ya da kullanmak istemeyen kullanıcılara alternatifler sunulmalıdır.
Amaçla Sınırlılık ve Veri Minimizasyonu
Toplanan kişisel veriler, yalnızca açık ve meşru yaş güvencesi amaçlarına hizmet etmelidir. GDPR m.5(1)(b) kapsamında veri işleme, yalnızca gerekli niteliklerle sınırlı tutulmalı, gereksiz kişisel veri kombinasyonlarından veya ek işleme faaliyetlerinden kaçınılmalıdır. Bunu sağlamak için veri gizliliğini artıran teknolojiler (PETs) ve sözleşmeye dayalı yükümlülükler gibi organizasyonel önlemler devreye alınmalıdır.
Yaş Güvencesinin Etkinliği
Yaş güvencesi, gerçekleştirildiği amaca uygun bir etkinlik seviyesine ulaşmalı ve kullanılan yöntemler, veri işleme amacını karşılayacak şekilde yeterli olmalıdır. Özellikle, yasal olarak zorunlu kılınan yaş doğrulama önlemlerinin etkinliği, gereklilik ve orantılılık ilkeleri çerçevesinde değerlendirilmelidir.
Bu sürecin etkinliği üç temel faktör üzerinden ele alınır: erişilebilirlik, güvenilirlik ve dayanıklılık.
- Erişilebilirlik açısından, doğrulama sistemleri geniş çapta uygulanabilir olmalı ve kimlik belgesi ya da cep telefonu olmayan bireyler için alternatif yöntemler sunulmalıdır.
- Güvenilirlik, GDPR m.5(1)(d) doğruluk ilkesi gereğince, kullanılan yöntemlerin yeterli ve tutarlı bir doğruluk seviyesine sahip olmasını ve kullanıcılar için itiraz ve düzeltme mekanizmaları sağlamasını gerektirir.
- Dayanıklılık, sistemlerin kötüye kullanım ve yanıltma girişimlerine karşı dirençli olmasını ifade eder. Ancak, yalnızca kullanıcı beyanına dayalı yöntemlerde bu direnç sınırlı olabilir.
Hizmet sağlayıcılar ve üçüncü taraflar, sistemlerinin etkinliğini kanıtlayabilmeli ve erişilebilirlik, güvenilirlik ve dayanıklılık konusunda şeffaf olmalıdır.
Hukuka Uygunluk, Adillik ve Şeffaflık
Yaş güvencesi sürecinde kişisel verilerin işlenmesi hukuka uygun, adil ve şeffaf olmalıdır. Hizmet sağlayıcılar, GDPR m.6 kapsamında geçerli bir hukuki dayanak belirlemeli ve gerekli durumlarda m. 9(2)’deki istisnalara uygun hareket etmelidir.
Şeffaflık, kullanıcıların kişisel verilerinin nasıl işlendiğini anlamalarını sağlamak için kritik öneme sahiptir. GDPR m.12, 13 ve 14 uyarınca, kullanıcılar şu konularda bilgilendirilmelidir:
- Hangi kişisel verilerin işleneceği ve nasıl işlendiği,
- Yaş doğrulama sürecine üçüncü tarafların dahil olup olmadığı ve bunların rolü,
- Verilerin paylaşımı veya üçüncü ülkelere aktarımı,
- Saklama süresi veya belirleme kriterleri,
- GDPR m. 15-22 kapsamında kullanıcı hakları ve itiraz mekanizmaları.
Özellikle çocuklar için sağlanan bilgilendirme, açık ve anlaşılır olmalı, adil veri işleme sağlanmalıdır.
Otomatik Karar Verme
Yaş güvencesi kapsamında otomatik karar verme süreçleri, GDPR m.22 ile uyumlu olmalı ve bireylerin haklarını koruyacak önlemler içermelidir. Otomatik kararlar, içeriğe veya hizmete erişimi belirleyebilir ve bazı durumlarda ifade özgürlüğü gibi temel hakları etkileyebilir. Bu nedenle, hizmet sağlayıcılar ve üçüncü taraflar, yanlış yaş belirleme durumunda kullanıcıların itiraz edebileceği mekanizmalar sunmalıdır.
Özellikle çocuklar söz konusu olduğunda, GDPR’nin 71. Gerekçesi, tamamen otomatik karar verme süreçlerinin çocuklar üzerinde hukuki veya benzer şekilde önemli etkiler yaratmaması gerektiğini vurgular. Olası istisnalar, yalnızca çocuğun refahının korunması gibi zorunlu durumlarla sınırlı olmalıdır.
Bu kapsamda, hizmet sağlayıcılar her zaman alternatif yaş doğrulama yöntemleri, itiraz ve çözüm mekanizmaları, gerekirse insan müdahalesi ve çocuklara özel bilgilendirme yöntemleri sunarak sürecin adil ve şeffaf olmasını sağlamalıdır.
Tasarım ve Varsayılan Olarak Veri Koruma (Data Protection By Design and By Default)
Yaş güvencesi sistemleri, GDPR m.25 doğrultusunda tasarım aşamasından itibaren veri koruma ilkesine uygun olmalı ve kişisel veri sahiplerinin haklarını koruyacak teknik ve organizasyonel önlemler içermelidir.
EDPB’nin rehberlerine göre, veri sorumluları mevcut piyasa teknolojilerini ve en iyi uygulamaları dikkate alarak gizliliği artırıcı yöntemleri tercih etmelidir. Kullanıcı verilerinin cihaz tabanlı, güvenli bir şekilde işlenmesi ve sadece gerekli bilgilerin paylaşılmasını sağlayan çözümler öncelikli olmalıdır.
Yaş Güvencesinin Güvenliği
Yaş güvencesi sürecinde işlenen kişisel veriler GDPR m.32 gereğince korunmalı, veri ihlali riskine karşı önlemler alınmalıdır. Şifreleme, takma adlandırma ve minimum veri saklama prensipleri uygulanarak bu konuda güvenlik artırılabilir.
Olası kişisel veri ihlallerinde GDPR m.33 ve 34 kapsamında hızlı tespit ve bildirim süreçleri devreye girmelidir. Ancak unutulmamalıdır ki, güçlü güvenlik önlemleri tek başına yeterli değildir. GDPR m.25 kapsamında, veri korumanın tasarım aşamasında ve varsayılan olarak sağlanması, orantılılık ilkesine uygun hareket edilmesi ve kullanıcı haklarının önceliklendirilmesi gerekmektedir.
Hesap Verilebilirlik
Hizmet sağlayıcılar ve sürece dahil olan üçüncü taraflar, GDPR m.24(2) kapsamında yaş güvencesi süreçlerini yönetmek ve uyumluluklarını kanıtlamak için sağlam bir yönetişim çerçevesi oluşturmalıdır.
Bu yönetişim çerçevesi, sorumlulukların belirlenmesini, denetim süreçlerinin tanımlanmasını ve risk yönetimini kapsamalıdır. Veri işleme faaliyetlerinde kimin hangi görevlerden sorumlu olduğu net bir şekilde belirlenmeli ve süreçler düzenli olarak gözden geçirilmelidir. Bu yaklaşım, yaş doğrulama süreçlerinde şeffaflığı, uyumluluğu ve güveni artıracaktır.
Bu yazımızda incelediğimiz EDPB’nin yaş güvencesi hakkında yayımladığı rehber ilkeler, çocukların dijital dünyada güvenliğini sağlamak ve GDPR ile uyumlu yaş güvencesi süreçleri geliştirmek için önemli bir yol haritası sunmaktadır. Bildiri detaylarının tamamına erişebilmek için https://www.edpb.europa.eu/system/files/2025-02/edpb_statement_20250211ageassurance_v1-1_en_0.pdf adresini ziyaret edebilirsiniz.
Av. Didem KALAYCIOĞLU BİROL
Av. Ayça KÖKEN
