ingiltere’den yaşa uygun tasarım yasası

İngiltere Veri Koruma Otoritesi (ICO)’ nin , 2018 yılından bu yana üzerinde çalıştığı Yaşa Uygun Tasarım Yasası(Çocuk Yasası) bugün yürürlüğe girdi. Çocuklar tarafından internet kullanımının artması, kişisel verilerinin sıklıkla ihlal edilmesi ve COVID-19 pandemisi ile beraber ebeveynlerin ve okulların çevrimiçi sistemlere olan rağbeti bu yasayı zorunlu kılmıştır. ICO komiseri Elizabeth Denham’ın belirttiği üzere, Birleşik Krallık’taki her beş internet kullanıcısından biri çocuk olsa da, çocuklar kendilerine uygun olmayan bir internet dünyasını kullanıyor. Uygun olmadığının en açık örneği ise yaşanan veri ihlalleridir. Örneğin bu yılın Ocak ayında 28 milyon çocuğa ait isim, yaş ve adres gibi kişisel veri bahis firmalarının eline geçti. Geçen yıl ise 425 çocuğa ait kişisel veri hemşirelerin dikkatsizliği sonucu kaybedildi. COVID-19 sürecinde uzaktan eğitim platformları üzeriden yaşanan veri ihlalleri öğrenciler tarafından düzenlenen pek çok protestoyu beraberinde getirdi. Görüleceği üzere, çevrimiçi hizmetlerin sunulduğu internet aleminde çocuklar yetişkinlere göre daha savunmasız kalmaktadır. Çocuk verilerinin daha fazla korunması gerektiğinin farkında olan İngiltere Yaşa Uygun Tasarım Yasası’nı (Çocuk Yasası) yürürlüğe koymuştur.

Yasa çocukların çevrimiçi gizliliğinin korunmasını amaçlamaktadır. Zira, çocuklar websiteleri ziyaret ettiğinde veya uygulamaları kullandığında, sitede veya uygulamada ilgilendikleri içerikler şekillendirilmekte ve gördükleri reklamlar uyarlanarak bu platformlarda daha fazla vakit geçirmeleri konusunda manipüle edilmektedirler. Dahası, çocuklar zaman içerisinde kendileriyle ilgili binlerce veri noktasını kaydeden şirketler ve kuruluşların verileriyle de ilişkilendirilmektedir (datafied). Bu veriler arasında çocukların ruh halleri, arkadaşlık ilişkileri ve yatış kalkış saati gibi pek çok kişisel verinin yer aldığından bahsedilmektedir. Buradan hareketle, Çocuk Yasası kuruluşlara ürün ve çevrimiçi hizmetlerinde en baştan itibaren (yani ürünlerinin tasarım aşamasından itibaren) çocukların mahremiyetini merkeze koymalarını sağlayan standartlar getiriyor. Dolayısıyla Yasa’da tasarımdan itibaren gizlilik yaklaşımının (Privacy by Design) esas aldığını görmekteyiz.

Çouk Yasası, çocuklar tarafından erişilebilecek uygulamalar, çevrimiçi oyunlar ve websiteleri ve sosyal medya platformaları gibi çevrimiçi hizmetleri düzenlemektedir. Risk bazlı bir yaklaşım sergileyen yasada, çocukların mahremiyetinin, gizliliğinin ihlal edilme ihtimali arttıkça uyulması gereken standartlar da artacak ve farklılaşacaktır. Örneğin uygulamalar, akıllı oyuncaklar, sosyal medya platformları, çevrimiçi oyunlar, uzaktan eğitim platformları, ve çocukların verilerini kullanan, analiz eden ve profilleme faaliyeti yürüten akış hizmetleri yüksek risk taşıyan çevrimiçi hizmetlerdir. Dolayısıyla bunları tasarlamaktan, geliştirmekten veya sağlamaktan sorumlu olanlar, yasaya uymak için muhtemelen daha fazlası sorumluluğa sahip olacaktır.

Çocuk Yasası’nın getirdiği önemli bir başka yenilik ise İngiltere Veri Koruma Yasası’na göre daha geniş çocuk kitlesini koruması altına almasıdır. Şöyle ki, İngiltere Veri Koruma Yasası’nda çocukların yasal olarak çevrimiçi izlenmeye rıza göstermeleri 13 yaşından itibaren geçerli olurken; bu durum Çocuk Yasası’nda 18 yaş olarak belirlenmiştir. Dolayısıyla, 18 yaşın altındaki çocukların erişebileceği çevrimiçi hizmetler ve ürün tasarımları sunan kuruluşlar yasadaki yükümlükleri yerine getirmekle mükelleftir. Yasa yenilikler getirmiş olsa çocukların kişisel verilerini ve gizliliğini koruyan mevcut ulusal ve uluslararası düzenlemeleri ilga etmediğini belirtmek gerekir. Yani, BM Çocuk Hakları Konvansiyonu’nda, AB Genel Veri Koruma Tüzüğü’nde veya İngiliz Veri Koruma Yasası’nda yer alan çocukları koruyucu hükümler uygulanmaya devam edecektir. Örneğin, çocukların ziyaret ettiği siteler ve kullandıkları uygulamalar için veli rızası aranmaya devam edecektir.

Tasarımda gizlilik yaklaşımını benimseyen Yasa’da 15 standarda yer verilmiştir. Standartların odak noktası, hizmet ve uygulamalardaki varsayılan ayarların veri toplama ve kullanımını minimuma indirerek çevrimiçi hizmetlere erişimi mümkün olduğunca arttırmaktır. Ayarların varsayılan olarak “yüksek gizlilik”i sağlayacak şekilde planlanması hedeflenmiştir. Kısaca kanun koyucu tasarım aşamasında, ileride yaşanabilecek veri ihlallerinin önüne geçmeye çalışmaktadır. Ancak yasadaki yükümlülüklerin tam anlamıyla yerine getirilmesi ve bunların veri koruma mevzuatıyla uyumlu olması zaman gerektiren bir süreçtir. Bu öngören kanun koyucu kuruluşlara yükümlülükleri yerine getirmesi için 12 aylık bir geçiş süreci belirlemiştir. Bu sürenin sonuna kadar kuruluşların ürün tasarımlarında çocuk mahremiyetini gözeten değişikliklikler yapmaları gerekmektedir.

Son olarak yasada yer alan 15 standarda bakacak olursak;

Çocuğun Yüksek Yararı: Bir çocuk tarafından erişilmesi muhtemel çevrimiçi hizmetleri tasarlarken ve geliştirirken çocuğun yüksek yararı birincil husus olmalıdır.

Veri Koruma Etki Değerlendirmeleri: Kişisel veri işleme faaliyeti gerçekleştirdiğiniz hizmetlerinize erişme olasılığı olan çocukların hak ve özgürlüklerine yönelik riskleri değerlendirmek ve bunları azaltmak için etki analiz değerlendirilmesi (DPIA) gerçekleştirilmelidir. Bu değerlendirmelerde farklı yaş gruplarının kapasiteleri ve ihtiyaçları hesaba katılmalıdır. Sonuç olarak bu etki analiz değerlendirmesi ile Çocuk Yasası’nın uyumlu olması aranmıştır.

Yaşa Uygun Uygulama: Bireysel kullanıcıların yaşını anlamak amacıyla risk temelli bir yaklaşım benimsenmelidir. Yasadaki standartların çocuk kullanıcılara etkili bir şekilde uyguladığından emin olunmalıdır. Bu ise iki şekilde mümkündür: Çocukların hak ve özgürlüklerine karşı risk oluşturan veri işleme faaliyetleri için belirli yaş gruplarının oluşturulması veya yasadaki standartların tüm kullanıcılara yaş farkı gözetmeksizin uygulanması.

Şeffaflık: Kullanıcılara sunduğunuz politikaların (saklama, imha, çerez) ve kullanım sözleşmelerinin kısa, anlaşılır ve çocuğun yaşına uygun açık bir dilde olması gerekmektedir.

Verilerin Zararlı Kullanımı: Çocukların kişisel verileri; sektör uygulama kurallarına, diğer düzenleyici hükümlere ve Hükümet tavsiyelerine aykırılık teşkil edecek şekillerde kullanılmamalıdır.

Politikalar ve Topluluk Standartları: Yayınlanmış kullanım sözleşmeleri, politikalar Yasa’da yer alan standartlara uygun olacak şekilde geliştirilmelidir.

Veri Minimizasyonu: Çocuklardan yalnızca ihtiyaç duydulduğu kadar yani minimum düzeyde kişisel veri toplanmalı ve saklanmalıdır. Çocuklara hangi öğeleri etkinleştirmek istedikleri konusunda ayrı seçenekler sunulmalı; çocuklar tüm öğeleri kapsayan tercihlere maruz bırakılmamalıdır.

Veri Paylaşımı: Çocuğun yüksek yararını göz önünde bulundurularak veri aktarımı konusunda ikna edici bir neden gösterilmediği sürece çocukların verileri aktarılmamalıdır. Örneğin coğrafi konum verileri varsayılan ayarda kapalı olarak düzenlenmelidir. Eğer konum izleme etkin modda ise çocukların bunu fark etmelerini sağlayacak açık bir işaretler sağlanmalıdır.

Ebeveyn Kontrolleri: Ebeveyn kontrolünün mevcut olduğu uygulama ve çevrimiçi hizmetlerde, buna ilişkin çocuğun yaşına uygun bilgilendirme yapılmalıdır. Çevrimiçi hizmetiniz bir ebeveynin çocuğun çevrimiçi faaliyetlerini ve konumunu izlemesine izin veriyorsa, izlenirken çocuğa açık bir işaret sağlanmalıdır.

Profil Oluşturma: Profil oluşturmanın varsayılan ayarda kapalı olmasına dikkat edilmelidir. Aksi takdirde haklı bir neden olmadıkça bu yasaya aykırılık teşkil edecektir.

Dürtme Teknikleri: Çocukların geçersiz amaçlarla kişisel veri veya gizlilik korumalarını zayıflatan veya kapatmaya yönlendiren yahut teşvik eden dürtme tekniklerini kullanılmamalıdır.

Çevrimiçi araçlar: Çocukların veri koruma haklarını kullanmalarına ve endişelerini bildirmelerine yardımcı olacak kullanışlı ve erişilebilir araçlar sağlanmalıdır.

Bağlı Oyuncaklar ve Cihazlar: Akıllı oyuncakların veya cihazların bu yasaya uyumlu olmalarını sağlayan etkili araçlar, bunlarda mevcut olmalıdır..