ÇOCUKLARIN ÇEVRİMİÇİ GİZLİLİĞİNİ KORUMA YASASI’NDA DEĞİŞİKLİK YAPILMASI GÜNDEMDE

25.02.2024 - 15:22 Okunma Süresi: 11 Dk

20 Aralık 2023'te, Amerika Birleşik Devletleri Federal Ticaret Komisyonu Tüketiciyi Koruma Bürosu (Federal Trade Commision Burueu of Consumer Protection, “FTC”), Çocukların Çevrimiçi Gizliliğini Koruma Yasası (Children’s Online Privacy Protection Act Rule, “COPPA”) hakkındaki revizyon önerilerini web sitesi üzerinden duyurdu. FTC, revizyon önerileriyle ilgili görüşlerin bildirilmesine yönelik çevrimiçi portalın herkese açık olduğunu ve en son 11 Mart 2024'e kadar geri bildirimleri memnuniyetle karşıladıklarını açıkladı. FTC Başkanı, değişiklik ile çocukların çevrimiçi dünyayı keşfederken internet sitelerinin arkasındaki yönetici şirketler tarafından durmaksızın takip edilerek kişisel verilerinin depolamasının ve çocukların kişisel verilerinin paraya dönüştürülmesinin önüne geçmek olduğunu belirtti. Önerilen güncellemelerden bazıları, çocuklara yönelik hedefli reklamların varsayılan olarak kapalı olmasını (opt-in), çocukların bilgilerine ulaşılırken çevrimiçi kalmasını sağlayacak uygulamaların önüne geçilmesi gibi teknolojideki değişiklikleri içeriyor. Diğer önerilerin ise COPPA’yı açıklığa kavuşturmayı ve kolaylaştırmayı ve veri güvenliğini güçlendirmeyi amaçladığı belirtiliyor. İlave olarak, revizyon önerilerinin, sorumluluğun şirketlerin değil ebeveynlerin olmasını sağlamak amacıyla çocukların kişisel verilerinin çevrimiçi olarak nasıl korunduğunu güçlendirmek için tasarlandığı söyleniyor.

Peki, COPPA tam olarak neyi düzenliyor? Hangi açılardan eleştiriliyor? FTC’nin yeni değişiklik önerilerinin detayları nedir? Ülkemizde çocukların kişisel verilerinin korunması konusundaki çalışmalar üzerinde etkisi nedir? aşağıda değinilecektir.

COPPA Nedir?

COPPA, 13 yaşın altındaki çocukları korumak için tasarlanmış bir Amerikan veri koruma yasasıdır. COPPA'nın yürürlüğe girmesinden önce çevrimiçi gizlilik yasaları, yaşlarına bakılmaksızın herkese aynı muamele edilmesini emretmekteydi.

Neden COPPA ortaya çıktı?

COPPA 1998'de oluşturuldu ancak 2000 yılına kadar yasalaşmadı. Başlangıçta çocukları hedef alan daha fazla internet pazarlama tekniğinin ortaya çıkması gerçeğine tepki olarak kabul edildi.O zamanlar çoğu web sitesinin gizlilik politikası yoktu. Çocukları hedef alan web siteleri bu nedenle kişisel bilgileri izinsiz topluyordu. Uzmanlar ayrıca çocukların bu tür bilgilerin kendilerine karşı nasıl kullanılabileceğini anlayamadıkları için rıza verme yetkilerinin olmadığını savundu. COPPA’ya göre, eğer bir şirket artık bir çocuğun kişisel bilgilerini toplamak istiyorsa, öncelikle ebeveyn izni alması gerekiyor.

Kimler COPPA'ya tabii?

FTC'ye göre aşağıdakilerden herhangi biri sizin için geçerliyse COPPA'ya tabi oluyorsunuz:

-13 yaşın altındaki çocuklara yönelik bir web siteniz veya web hizmetiniz var ve onlar hakkında kişisel bilgi topluyorsunuz.

-Genel bir kitleye yönelik bir web siteniz veya web hizmetiniz var ancak 13 yaşın altındaki çocuklar hakkında kişisel bilgi topladığınıza dair gerçek bilgiye sahipsiniz.

COPPA ile uyumlu olmak ne anlama geliyor?

-Çocukların kişisel bilgilerini toplamadan önce şirketlerin tam olarak hangi verilerin toplandığını açıklayan net bir gizlilik politikası yayınlamaları gerekmektedir. Bu sayfada ayrıca ebeveyn izninin bunun için yasal bir gereklilik olduğuna dair bir bildirim bulunmalıdır.

-Çocukların kişisel bilgilerini toplamadan önce şirketlerin ebeveynlerinden doğrulanabilir izin almaları gerekmektedir. Örneğin ebeveynlerin bir onay formu imzalamaları veya bilgiye dayalı soruları yanıtlamaları gerekebilir.

-Ebeveynlere, onaylarını istedikleri zaman iptal etme seçeneği sunulmalıdır. Ve bunu yapmanın yöntemi açıkça açıklanmalıdır.

-Bir şirket çocukların kişisel bilgilerini toplamak istiyorsa, bu verilerin çalınmasını veya gereğinden uzun süre saklanmasını önleyecek prosedürler uygulamalıdır. Aynı kural, daha sonra verilere elde eden herkes için de geçerlidir.

Web Siteleri COPPA'ya uyuyor mu?

COPPA'nın yürürlüğe girmesinden önce çoğu web sitesi çocukların veri gizliliğini çok ciddiye almıyordu. Çünkü bunu yapmamanın gerçek bir sonucu yoktu.

Kanun kabul edildiğinde birçok web sitesi veri toplama politikalarını tamamen yeniden yazmak zorunda kaldı. 13 yaşın altında ziyaretçi alan web sitelerinin çoğunluğu artık COPPA uyumludur. Birçok web sitesi de Kanun nedeniyle 13 yaşın altındaki kullanıcılara izin vermemektedir.

FTC'ye göre, bir şirket COPPA gerekliliklerini karşılayamazsa her bir aykırı eylem başına 43.280 dolara kadar para cezasına çarptırılabilir.

Masraflı dava yükü potansiyeline rağmen bazı şirketler COPPA'yı görmezden geliyor. Bunun kanıtı, meydana gelen yüksek profilli vakaların sayısında görülebilir.

Yasa kapsamında yargılanan şirketler arasında 2014'te 450.000 dolar para cezasına çarptırılan Yelp ve 2019'da 5.700.000 dolar para cezasına çarptırılan TikTok yer alıyor.

COPPA'nın Eleştirildiği Noktalar Nedir?

COPPA’yı eleştirenler, yasayı hem anayasaya aykırı hem de etkisiz olarak etiketlediler.

Artık birçok web sitesi 13 yaşın altındaki kullanıcıların kaydolmasını engellediği için bunun anayasaya aykırı olduğu düşünülüyor. Bunun, bu tür kullanıcıların ifade özgürlüğü haklarını kullanmasını engelleyebileceği ileri sürülüyor.

Aşağıdakiler de dahil olmak üzere çeşitli nedenlerden dolayı etkisiz kabul ediliyor:

-Kanunun dili muğlak olduğundan yoruma açıktır.

-Ebeveyn iznini almak için kullanılan mekanizmalardan bazılarının üretilmesi kolaydır. Birçok kullanıcı sadece yaşları hakkında yalan söylemektedir.

-Bir web sitesi bir çocuğun kaydolmasını engellediğinde, çocuğun potansiyel olarak daha fazla risk taşıyan başka bir web sitesine gitme ihtimalinin yüksek olduğu ileri sürülmektedir.

-Kanun ilk yazıldığında internet çok farklı bir yerdi. Mesela YouTube diye bir şey yoktu. Bu gerçeğe rağmen COPPA'da çok az değişiklik yapıldı.

COPPA Yeterince Etkili mi?

Çevrimiçi veri toplamayla ilgili sorunlar artık iyi bilinmektedir. COPPA'nın uygulamaya konması, 13 yaşın altındakileri bunlardan koruma konusunda önemli bir ilk adımdı. Kanun nedeniyle internet çocuklar için daha güvenli bir yer haline geldi.

Bu gerçeklere rağmen, Yasanın olabileceği ve muhtemelen olması gerektiği kadar etkili olmadığı da inkar edilemez. Öyle olsaydı bu kadar çok yüksek profilli dava olmazdı görüşü yaygın.

COPPA’yı Etkili Hale Getirmek için Daha Önce Neler Yapıldı?

FTC, 2019 yılında COPPA’yı gözden geçirdi ve yasada değişiklik yapılması gerekip gerekmediğine ilişkin kamuya açık yorum talebi üzerine 175.000'den fazla yorum aldı. Ayrıca 2019 yılı Ekim ayında ses özellikli bağlantılı cihazların artan kullanımı, eğitim teknolojisi ve üçüncü tarafları barındıran genel kitle platformları da dahil olmak üzere çevrimiçi çocuk pazarındaki gelişen iş uygulamaları ışığında çocuklara yönelik içerik açısından COPPA’nın güncellenip güncellenmeyeceği konusunda bir çalıştay düzenledi.

FTC, diğer şeylerin yanı sıra, kişisel bilgilerin tanımını bir çocuğun çevrimiçi etkinliğini, coğrafi konum bilgilerini, fotoğraflarını, videolar ve ses kayıtlarını izleyen çerezler gibi kalıcı tanımlayıcıları da içerecek şekilde genişleterek mobil cihazların ve sosyal ağların artan kullanımını yansıtacak şekilde en son 2013 yılında COPPA üzerinde değişiklikler yaptı.

FTC’nin Yeni Değişiklik Önerileri Başlıkları Nelerdir?

FTC, çocukların kişisel bilgilerinin kullanımına ve ifşa edilmesine yeni kısıtlamalar getirecek ve şirketlerin hizmetlere erişimi çocuklara ait verilerden para kazanmaya koşullandırma yeteneğini daha da sınırlayacak değişiklikler önerdi. Teklif, dijital hizmetlerin çocuklar için güvenli ve güvenli olmasını sağlamak amacıyla yükü ebeveynlerden sağlayıcılara kaydırmayı amaçlıyor.

Yeni değişiklik önerileri şöyle özetleniyor:

-Hedefli Reklamcılık İçin Ayrı Etkinleştirme Onayı (Opt-in): Mevcut izin gerekliliğine dayanarak, COPPA kapsamındaki web sitesi ve çevrimiçi hizmet operatörlerinin artık, üçüncü taraf reklamverenler de dahil olmak üzere üçüncü taraflara bilgi ifşa etmek için ayrı doğrulanabilir ebeveyn izni almaları gerekecektir; Meğer ki açıklama, web sitesinin veya çevrimiçi hizmetin doğasının ayrılmaz bir parçası olsun. Firmaların tüketicilerin hizmetlere erişimini, kişisel bilgilerin üçüncü taraflara açıklanması şartına bağlayamaması esas kabul edilmektedir.

-Çocuğun kişisel bilgilerin toplanmasında çocuğun katılımının şart koşulmasına karşı yasak: Teklif, makul olarak gerekli olandan daha fazla kişisel bilgi toplanmasına yönelik doğrudan bir yasak işlevi gördüğünü açıkça belirtmek amacıyla, kişisel verilerin toplanmasına ilişkin bir faaliyete (çocuğun bir oyuna, ödül teklifine veya başka bir aktiviteye katılması) koşulunun aranmasına ilişkin mevcut düzenlemedeki yasağı keskinleştirmeyi amaçlamaktadır. Ayrıca FTC, "etkinlik/aktivite" kelimesinin anlamını açıklığa kavuşturmak için bu bölüme yeni bir dil eklemeyi düşündüğünü açıklamıştır.

-Dahili operasyonlar için destek sınırlamaları istisnası: Mevcut kural, operatör başka herhangi bir kişisel bilgi toplamadığı ve kalıcı tanımlayıcıyı yalnızca "dahili operasyonlar için destek" sağlamak amacıyla kullandığı sürece, operatörlerin önce doğrulanabilir ebeveyn izni almadan kalıcı tanımlayıcılar toplamasına izin verir. Önerilen kural değişiklikleri, bu istisnayı kullanan operatörlerin, operatörün kalıcı bir tanımlayıcı topladığı belirli dahili operasyonları ve bu tanımlayıcının belirli bir kişiyle hedefli reklamcılık aracılığıyla iletişim kurmak için kullanılmamasını veya ifşa edilmemesini nasıl sağlayacaklarını belirten çevrimiçi bir bildirim sağlamasını gerektirecektir.

-Çocukları çevrimiçi kalmaya teşvik etme sınırlamaları: Operatörlerin, COPPA'nın çoklu iletişim ve dahili operasyon istisnaları desteği kapsamında toplanan çevrimiçi iletişim bilgilerini ve kalıcı tanımlayıcıları, çocukları hizmetlerini daha fazla kullanmaya teşvik etmek veya teşvik etmek amacıyla anında bildirimler göndermek için kullanması yasaktır. Hizmetlerinin kullanımını teşvik etmek veya teşvik etmek için bir çocuktan toplanan kişisel bilgileri kullanan operatörlerin de bu tür kullanımı COPPA'nın gerektirdiği doğrudan ve çevrimiçi olarak işaretlemeleri gerekecektir.

-Eğitim Teknolojileri ile ilgili değişiklikler: FTC, çocuklara ait bilgilerin ticari amaçlı kullanımını yasaklamak ve ek önlemler uygulamak için eğitim teknolojisinin kullanımına ilişkin mevcut kılavuzunun yasalaşmasını önerdi. Önerilen kural, okulların ve okul bölgelerinin, yetkili eğitim teknolojisi sağlayıcılarının öğrencilerin kişisel bilgilerini toplamasına, kullanmasına ve açıklamasına izin vermesine olanak tanıyacak, ancak bu yalnızca okulun izin verdiği eğitim kapsamıyla sınırlı olacak ve herhangi bir ticari amaç için kullanılmayacaktır.

-Güvenli Liman (Safe Harbor) programlarının hesap verebilirliğinin arttırılması: Önerilen kural, her programın kendi üyelik listesini kamuya açık bir şekilde açıklamasının ve Komisyona ek bilgiler rapor etmesinin zorunlu kılınması da dahil olmak üzere, COPPA Güvenli Liman programlarının şeffaflığını ve hesap verebilirliğini artıracaktır.

-Veri güvenliği gerekliliklerinin güçlendirilmesi: FTC, operatörlerin çocuklardan toplanan kişisel bilgilerin hassasiyetine uygun koruma önlemleri içeren yazılı bir çocuklara yönelik kişisel bilgi güvenliği programı oluşturmasını, uygulamasını ve sürdürmesini zorunlu kılarak COPPA'nın veri güvenliği gerekliliklerinin güçlendirilmesini önerdi.

-Veri saklama sınırlamaları: FTC, kişisel bilgilerin yalnızca toplanma amacını yerine getirmek için gerekli olduğu süre boyunca saklanmasına izin vererek COPPA'nın veri saklama sınırlarını da güçlendirecektir. Önerilen değişiklik aynı zamanda operatörlerin saklanan bilgileri herhangi bir ikincil amaç için kullanmasını da yasaklıyor ve operatörlerin bilgileri süresiz olarak saklayamayacaklarını açıkça belirtiyor. Kural aynı zamanda operatörlerin çocukların kişisel bilgilerine ilişkin yazılı bir veri saklama politikası oluşturmasını ve bunu kamuya açıklamasını da gerektirecektir.

Yukarıdakilere ek olarak, FTC, yasadaki bazı tanımlarda, "kişisel bilgi" tanımının biyometrik tanımlayıcıları içerecek şekilde genişletilmesini öngördüğünü ve Komisyonun bir web sitesinin veya çevrimiçi hizmetin çocuklara yönelik olup olmadığını belirlerken üçüncü taraflar ve benzer web siteleri veya hizmetlerdeki kullanıcıların yaşını, pazarlama materyallerini, tüketicilere veya üçüncü taraflara yönelik beyanlarını, kullanıcılar veya üçüncü şahıslar tarafından yapılan incelemeleri dikkate alacağını belirtti.

Uluslararası Düzenlemelerin Türkiye’ye Etkisi Nedir?

Ülkemizde çocukların kişisel verilerinin korunmasına yönelik özel bir düzenleme bulunmamaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatın çocuklar açısından da uygulama alanı bulacağı Kişisel Verileri Koruma Kurulu (KVKK) tarafından açıkça ifade edilmekte olup ebeveynlerin ve çocukların kişisel verilerini çevrimiçi ortamda nasıl koruyabileceklerine dair kılavuz broşürler KVKK’nın internet sitesi üzerinden yayınlanmaktadır ve ayrıca zaman zaman bu konu üzerine podcast içerikleri paylaşılmaktadır. Bunun dışında çocukların çevrimiçi ortamda korunmasına ilişkin çalışmalar, Türkiye’de 2007 yılında yürürlüğe giren 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun çerçevesinde yürütülmektedir. BTK’nın 2022-2024 yılları için öngördüğü Çocukların Korunmasına Yönelik Çevrimiçi Güvenlik Stratejisi Belgesi’nde Kuzey İrlanda, Avustralya, İngiltere, İskoçya’da çocukların çevrimiçi korunmasına dair yaklaşımlardan esinlendiğine işaret edilmiş olsa da Türkiye’deki ilgili kurumlar tarafından 14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından kabul edilen ve 24 Mayıs 2016 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) ile 16 Kasım 2022 tarihinde yürürlüğe giren ve 17 Şubat 2024 tarihinde uygulanmaya başlayan Dijital Hizmetler Yasası (Digital Services Act, “DSA”) kapsamındaki çocukların çevrimiçi ortamda korunması hakkındaki düzenlemeler yakından takip edilmektedir. Aynı şekilde COPPA üzerindeki değişiklikler, tüm uluslararası düzenlemeleri tetiklediği gibi ülkemizdeki mevzuat değişikliklerine etki etmesi açısından da önemlidir. Bu durumun en büyük sebebi ise dünya çapında hizmet veren sosyal medya şirketlerinin çoğunun genel merkezlerinin Amerika Birleşik Devletleri’nde olması ve COPPA gibi federal düzeyde etkili olan yasalar vesilesiyle stratejilerine yön vermelerinin kaçınılmaz hale gelmesidir. Dolayısıyla COPPA ile hedeflenen özellikle teknolojik değişikliklerin hayata geçmesi halinde global düzeyde etkili olacağını ve ilerleyen günlerde ülkemizdeki yasal düzenlemelere de yansıyacağını şimdiden öngörmek mümkün.

Kübra YAVUZ