28 Temmuz 2021’de İngiltere Veri Koruma Otoritesi ICO, çocuk verileri, işlenmesi ve korunması hakkında blog yazısı yayımlamıştır. İlgili yazıda çocuklara ait kişisel verilerin işlenmesinde çocuğun yüksek menfaatini gözetmiştir.
Çocuğun Yüksek Menfaati
Çocuğun yüksek yararı/menfaati kavramı, Birleşmiş Milletler Çocuk Haklarına Dair Sözleşme’den (UNCRC) gelmektedir. ICO, verilen bir hizmeti kullanan herhangi bir çocuk için olabilecek en iyi şeyin çocuğun yüksek menfaatini gözetmek olduğunu belirtmiştir. Bu kapsamda çocuğun yüksek menfaati, çocuğun kişisel verilerinin işlenmesinde geçerli olmalıdır.
ICO, UNCRC kapsamında çocuk kişisel verilerinin işlenmesine için kuruluşların ele alması gereken dört genel bölümü özetlemiştir.
-
Çocukların ticari baskılardan korunma hakkı vardır (UNCRC Madde 32).
ICO, İnternet toplumu hizmetlerinin özellikle gelir yaratan hizmet özelliklerinin kullanmasında, çocuklara yönelik kişiselleştirilmiş hedeflerden kaçınması gerektiğini belirtmiştir.
Bu kapsamda ICO internet toplumu hizmetlerinin,
- Çocuklara ait kişisel verilerden nasıl para kazanılabileceği konusundadaha şeffat bilgi sağlaması gerektiğini,
- Kişiselleştirilmiş reklamcılık özelliklerinin varsayılan olarak açık olmaması gerektiğini,
- Yapılan reklamların Reklam Uygulamaları Komitesi standartlarına uyması gerektiğini,
- Çocukların yaşlarına uygun olmayan veya hileli ürünleri pazarlamanmasından kaçınması gerektiğini belirtmiştir.
-
Çocuklar, başkalarıyla etkileşime girdiklerinde istismardan korunma hakkına sahiptir (UNCRC Madde 34).
ICO, bir hizmet sağlanırken kullanıcıların birbirleriyle olan veri paylaşımlarından çocukların da etkilenebileceğini belirtmiş, diğer hizmet kullanıcılarıyla varsayılan bir özellik olarak açık gelen bir veri paylaşımının, çocukları şiddet veya istismar risklerine maruz bırakabileceğini vurgulamıştır.
Bu kapsamda ICO, internet toplumu hizmetlerine yönelik olarak; çocuklara ait kullanıcı hesaplarına ilişkin gizlilik ayarlarını varsayılan olarak yüksek gizliliğe ayarlanması gerektiğini, hizmeti kullanan çocuklarının bilgilerinin paylaşılabileceğini veya kimlere aktarılabileceğinin farkında olması gerektiğini ve çocukların kişisel verilerinin yanlış ellere geçmemesini sağlaması gerektiğini belirtmiştir.
-
Çocukların farklı bilgilere ve medyaya erişim hakkı vardır (UNCRC Madde 17).
ICO, internet toplum hizmetlerinin çocukların öğrenirken ve büyürken çeşitli, yaşa uygun bilgileri bulup bulamayacağını ve bunları nasıl bulabileceklerini düşünmesini; bu kapsamda çocukları kendi çıkarlarına uygun olmayan bilgilere maruz bırakan kişiselleştirilmiş haberler ve bilgiler sunmaması gerektiğini vurgulamıştır.
-
Çocukların oynama hakkı vardır (UNCRC Madde 31)
ICO, internet toplumu hizmetlerinin bir çocuğun çevrimiçi gruplara katılma veya ayrılma özgürlüğünü de düşünmesi gerektiğini, çocuk verilerini çocukların anlayabileceği açık gizlilik bildirimleri sağlaması ve bilgilerinin kiminle paylaşabilecekleri konusunda onlara kontrol vermesi gerektiğini ifade etmiştir.
Verilerin Zararlı Kullanımı
ICO, internet toplumu hizmet sağlayıcıların zararlı kullanım standardına uymak için Birleşik Krallık GDPR’da belirtilen gereksinimlere uyması gerektiğini, ancak aynı zamanda sektörel uygulama kurallarına, diğer düzenleyici hükümlere veya Devlet tavsiyelerine de uyması gerektiğini belirtmiştir. Bu kapsamda ICO, hizmet verilen ilgili sektörün veya sektör için belirlenmiş olan ilgili kılavuzları takip etmek iyi bir başlangıç noktası olduğunu belirtmiştir.
Veri Minimizasyonu
ICO, internet toplumu hizmet sağlayıcıların kişisel verileri toplama amaçları konusunda net olması gerektiğini ve bu amaçlar için ihtiyaç olan minimum miktarda veri toplamak ile bu verileri minimum süre boyunca saklamanın önemli olduğunu vurgulamıştır. Bu kapsamda internet toplumu hizmet sağlayıcıların hizmetinin her bir öğesi arasında ayrım yapması gerektiğini ve her bir öğeyi hangi süreyle bulundurmak için hangi kişisel verilerin gerekli olduğunu belirlemesi gerektiğini ifade etmiştir.
ICO, internet toplumu hizmet sağlayıcılara,
- Çocuklara verilen hizmetin hangi özelliklerini kullanmak istedikleri ve ne kadar kişisel veri sağlamaları gerektiği konusunda mümkün olduğunca fazla seçenek tanınması gerektiğini,
- Orjinal işlevinin ötesinde verileri kullanmaktan veya bu işlevi gerçekleştirmek için gerekenden daha fazla veri toplamaktan kaçınması,
- Çocuklara ait kişisel verilerin, temel hizmetinizin sağlanmasının ötesinde, kullanıcılarınızın çevrimiçi deneyimini geliştirmek veya “kişiselleştirmek” için kullanılmasından kaçınması gerektiğini vurgulamıştır.
ICO, üç standart üzerinde çalışmanın, çocukların kişisel verilerini çevrimiçi olarak ele alma ve çocuklara karşı sorumlulukları anlama yolunda temel bir adım olacağını vurgulamıştır.
Daha ayrıntılı bilgiye ICO tarafından yayımlanan, “Yaşa uygun tasarım: çevrimiçi hizmetler için bir uygulama kodu” başlıklı rehberinden ulaşabilirsiniz.
Ayrıca GDPR kapsamında çocuk verilerinin işlenmesine dair bilgiye Çocuk Verilerinin İşlenmesinin KVKK ve GDPR Açısından Değerlendirilmesi yazımızdan ulaşabilirsiniz.