Dijital ekosistemde çocukların artık yalnızca korunması gereken bireyler değil, veri odaklı iş modellerinin herkesinki kullanıcı segmentlerinden biridir. Sosyal medya platformları, oyun uygulamaları ve video paylaşım siteleri, insanların davranışlarını çoğaltma, genişlemelerini ve içerik tüketim kalıplarını sistematik biçimde çalışmaktadır. Bu durum, veri koruma hukukunda sorunlara ilişkin yaklaşımın klasik rıza modelinden ayrılma riskine karşılık bir düzenleme modeline evrilmesine yol açmıştır.
Çocukların Veri Güvenliği: Dünyada Ve Türkiye’de Güncel Gelişmeler
Gelinen noktada tartışma artık yalnızca “çocuklardan veri alınabiliyor mu?” sorularla sınırlı değil. Asıl kart, çocuklara yönelik profillemenin bütünüyle yasaklanıp yasaklanmaması gerekli, yaş için hangi tekniklerin hukuken meşru ve haklı kabul edilmemesi ve işe yarayacağı, platform tasarımının doğrudan veri koruma denetiminin olup bitene kadar gelmeyeceği ve yalnızca kullanıcıların beyanına dayanan “kendi kendine beyan edilen yaş” yönteminin yeterli sayılıp sayılamayacağıdır. Başka bir yararla, yatay yaklaşım artık rıza merkezli klasik çerçevenin dağılımının geçmişi, tasarımı, güncellenmesi ve iş modeli düzeyinde çocuk hakları merkeze alan esnek bir değerlendirmeye evrilmiştir. Son dönemde dünyada yaşanan gelişmeler de bu bileşenlerin doğru niteliktedir.
Çocukların Veri Mahremiyetinin Korunmasına Yönelik Küresel Gelişmeler
Birleşik Krallık Veri Koruma Otoritesi - ICO
Geçtiğimiz günlerde Birleşik Krallık Veri Koruma Otorite'si (“ICO”) Reddit'e kişilerin yasadışı olarak hukuka uygun şekilde işlenmesinin gerekçesi ile 14,47 milyon £ para cezası uygulamıştır. ICO tarafından yürütülen soruşturmada, Reddit'in uygun ve etkili bir yaş aralığı uygulamadığı ve bu nedenle 13 yaş altında kişilerin kişisel olarak işlenmesi için hukuka uygun bir dayanağa sahip olmadığı, bölgelere yönelik risk oranları ve minimum amacıyla bir veri koruma etki analizi gerçekleştirmediği tespit edilmiştir. Bu eksiklikler nedeniyle Reddit'in, çocukların beslenme biçimleri hukuka aykırı şekilde kullanıldığı ve bunların uygunsuz ve zararlı içeriklere maruz kalma riskiyle karşı karşıya damgalandığı belirtildi. Esasen Temmuz 2025'te Reddit, kapsamlı içeriklere erişim için yaş bakımı ve hesap sağlarken kullanıcıdan yaş beyanı alma gibi önlemler getirmiş olmasına rağmen ICO, yalnızca kullanıcı beyanına dayanmanın çocukların bakış açısına sahip olduğunu ve kolayca aşılanabileceğini belirtti.
Çin Veri Koruma Otoritesi - CAC
29 Aralık 2025 tarihinde Çin Veri Koruma Otoritesi (“CAC”) tarafından yayımlanan bir duyuru ile, Siber Uzayda Küçüklerin Korunmasına İlişkin Tedbirler’e ek bir uygulama olarak, 14 yaşın altındaki kişilere ait kişisel verileri işleyen tüm veri sorumlularına yıllık rapor sunma zorunluluğu getirmiştir. Herhangi bir istisna öngörülmemiş olup, küçüklerin kişisel verilerini herhangi bir kapsamda işleyen tüm veri sorumluları bu yeni raporlama yükümlülüğüne tabidir. Esasen Çin’de veri sorumluları küçüklerin kişisel verilerine ilişkin işleme faaliyetlerini yıllık olarak denetleme yükümlülüğüne tabi idi. Yeni düzenleme ile bu yükümlülük genişletilerek denetim sonuçlarının bir özetinin resmi olarak CAC’a bildirimi zorunlu kılınmıştır. Çin veri koruma otoritesi genel veri koruma gerekliliklerine ek olarak çocuklar yönünden, çocuklara yönelik hazırlanmış gizlilik bildirimleri, yaş doğrulama yöntemleri, ebeveyn rızası mekanizmaları, çocukların verilerine özgü politika ve prosedürlerin belirlenmiş olması gibi hususların denetim kapsamında incelenmesi gerektiğini belirtmiştir.
ABD Federal Ticaret Komisyonu - FTC
ABD Federal Ticaret Komisyonu (“FTC”), COPPA’ya (Children’s Online Privacy Protection Act) ilişkin uygulama faaliyetleri hakkında bir politika bildirimi yayımlamıştır. FTC’nin yayımladığı politika bildirimi, yaş doğrulama teknolojilerini çevrim içi çocuk güvenliği açısından kritik bir araç olarak konumlandırmakta ve işletmecileri bu teknolojileri kullanmaya teşvik etmektedir. Komisyon, yalnızca kullanıcının yaşını belirleme amacıyla veri işleyen genel kitleye veya karma kitleye yönelik hizmetler bakımından, belirli güvencelere uyulması şartıyla COPPA kapsamında yaptırım uygulamama yaklaşımı benimseyeceğini açıklamıştır. Bu güvenceler; verinin yalnızca yaş tespiti amacıyla kullanılması, gereksiz yere saklanmaması, güvenliğinin sağlanması, üçüncü taraflarla sınırlı ve kontrollü paylaşımı, ebeveyn ve çocuklara açık bildirim yapılması ve kullanılan yöntemlerin makul doğruluk sağlamasının temin edilmesini içermektedir. Bu gelişme, yaş doğrulamanın hem federal düzeyde hem de eyalet mevzuatında artan şekilde düzenleyici gündemin merkezine yerleştiğini göstermektedir.
Türkiye’deki Gelişmeler
Kişisel Verileri Koruma Kurulu – KVKK – Dijital Platformlar Hakkında Re’sen İnceleme Başlattı
Türkiye bakımından çocukların kişisel verilerinin korunmasına yönelik özel bir düzenleme bulunmamakla birlikte, konu kurumun ve düzenleyici otoritelerin gündeminde olmaya devam etmektedir. Geçtiğimiz günlerde Kişisel Verileri Koruma Kurulu bir duyuru yayınlayarak, çocukların sosyal medya kullanımında kişisel verilerinin korunmasına ilişkin, çocukların yüksek yararı da gözetilerek dijital ortamda karşılaşabilecekleri potansiyel risklerden korunmasını teminen, sosyal medya platformlarında çocukların kişisel verilerinin nasıl işlendiği ve hangi tedbirlerin alındığı hususlarında TikTok, Instagram, Facebook, Youtube, X ve Discord platformları hakkında re’sen inceleme başlatılmasına karar verildiğini duyurmuştur.
Bilgi Teknolojileri ve İletişim Kurumu da yine geçtiğimiz günlerde genç kullanıcılar arasında oldukça popüler olan Bigo Live, MICO ve SoulChill gibi platformların da bulunduğu 9 canlı yayın uygulamasına Ankara 10. Sulh Ceza Hakimliğinin erişimin engellenmesi kararına istinaden erişim engeli getirmiştir.
Son dönemde çocukların veri mahremiyetinin korunmasına yönelik atılan düzenleyici ve idari adımlar, bu alanın küresel ölçekte öncelikli bir politika başlığı haline geldiğini göstermektedir. Bu gelişmeler, çocuk verilerinin artık yalnızca teknik bir uyum konusu değil, temel hak ve dijital güvenlik meselesi olarak ele alındığını ortaya koyan güçlü bir küresel trendi yansıtmaktadır.
Yine çocukları hedef alan reklam uygulamaları bakımından da sınırlayıcı düzenlemelerin yapılması planlamaktadır.
Çocuk Verilerinin Korunması Ayrı Bir Hukuki Rejim Gerektiriyor
Çocukların Üstün Yararı
Veri koruma hukukunun temel varsayımı, bireyin verisi üzerindeki kontrolünü bilinçli şekilde kullanabilmesidir. Ancak çocuklar, işlenen verinin kapsamını ve sonuçlarını tam olarak kavrayamayabilir, uzun vadeli dijital etkileri öngöremez, sözleşme ve rıza mekanizmalarının hukuki sonuçlarını değerlendiremez ve manipülasyona ve davranışsal yönlendirmeye daha açıktır. Bu nedenle çocukların “serbest irade” beyanının hukuki ağırlığı yetişkinlerle aynı kabul edilmemektedir.
Birleşmiş Milletler Çocuk Hakları Sözleşmesi, çocuğun üstün yararını temel ilke olarak kabul eder. Bu ilkenin veri koruma hukukundaki yansıması çocuğa zarar verme potansiyeli olan veri işleme faaliyetlerinin daha sıkı denetlenmesidir. Burada da esasen birincil amaç veri gizliliğinin korunması olsa da temelde çocukların psikolojik, sosyal ve bilişsel gelişiminin korunmasıdır.
Uzun Vadeli Dijital Ayak İzi Riski
Çocukluk döneminde oluşturulan dijital izler, yetişkinlikte istihdam, sosyal itibar, eğitim fırsatları, güvenlik üzerinde önemli etkiler yaratabilir. Yetişkinler verilerinin işlenmesine bilinçli risk alarak rıza verebilirlerken, çocuklar verilerinin işlenmesinin gelecekteki etkilerini değerlendirme konusunda yeterli bilinç düzeyine sahip değildirler. Bu nedenle çocuk verileri, zaman boyutu açısından daha yüksek risk taşımaktadır. Aile paylaşımları, sosyal medya hesapları, çevrim içi oyun aktiviteleri, eğitim platformları ve mobil uygulamalar aracılığıyla oluşan dijital ayak izleri; kimlik, konum, davranış kalıpları ve ilgi alanlarına ilişkin uzun vadeli bir veri profili yaratabilir. Bu veriler çoğu zaman kalıcıdır, üçüncü kişiler tarafından işlenebilir ve ilerleyen yıllarda bireyin mahremiyeti üzerinde etkiler doğurabilir.
Profilleme ve Algoritmik Manipülasyon Riski
Sosyal medya platformlarının temel çalışma prensipleri son yıllarda davranışsal reklamcılık, içerik öneri algoritmaları ve dikkat ekonomisi modelleri üzerinden şekillenmektedir. Çocuklara ilişkin toplanan veriler, içerik öneri sistemleri, kişiselleştirilmiş reklamlar, oyun içi yönlendirmeler veya algoritmik sıralamalar aracılığıyla onların tercihlerini, dikkat sürelerini ve tüketim alışkanlıklarını şekillendirebilir. Gelişimsel olarak daha kırılgan bir dönemde bulunan çocuklar, veri temelli tasarım ve dark patterns gibi tekniklere karşı daha savunmasızdırlar. Bu nedenle çocuklara yönelik veri işleme yalnızca gizlilik değil, aynı zamanda davranışsal etki boyutu da taşımaktadır.
Hukuki Kapasite ve Rıza Sorunu
Veri koruma hukukunda açık rıza bilgilendirilmiş ve özgür irade beyanına dayalı olmalıdır. Ancak çocukların, hukuki işlem ehliyeti sınırlıdır ve ayırt etme gücü yaşa göre değişmektedir. Dolayısıyla dijital dünyada bilinçli tercih yapma kapasiteleri sınırlı olabilir. Platformlar, gelişmiş veri analitiği ve algoritmik sistemler aracılığıyla kullanıcı davranışlarını ölçme, tahmin etme ve yönlendirme kapasitesine sahiptir; çocuk ise bu teknik altyapının işleyişini çoğu zaman anlayamaz. Hizmet şartları ve gizlilik politikaları karmaşık ve uzun metinler olup, çocukların bunları kavrama ve sonuçlarını değerlendirme imkanı sınırlıdır. Bildirimler, ödül mekanizmaları, sonsuz kaydırma, oyunlaştırma teknikleri gibi tasarım unsurlarının gelişimsel olarak daha hassas olan çocukları daha kolay etkilediği belirtilmektedir. Bu nedenle birçok ülkede çocukların kişisel verilerinin işlenmesinde ek koruma mekanizmaları öngörülmüş, belirli yaşın altındaki çocuklar için ebeveyn onayı şartı getirilmiş veya doğrudan yaş sınırı uygulaması benimsenmiştir.
Çocuk Verilerinin Korunmasında Global Düzenleyici Yaklaşımlar
AB Veri Koruma Tüzüğü (GDPR)
Avrupa Genel Veri Koruma Tüzüğü’nün (“GDPR”) 8. maddesi, bilgi toplumu hizmetleri kapsamında çocuk rızasına ilişkin yaş sınırını düzenlemektedir. Bir bilgi toplumu hizmeti doğrudan çocuğa sunuluyorsa ve işleme faaliyeti rıza hukuki sebebine dayanıyorsa, çocuğun yaşı 16’nın altındaysa, rıza ancak ebeveyn tarafından ya da onun onayıyla verildiğinde geçerli kabul edilmektedir. Üye devletler bu yaş sınırını 13 yaşa kadar düşürebilir. Bu nedenle AB içinde yaş sınırı ülkeden ülkeye 13–16 arasında değişebilmektedir.
Birleşik Krallık Veri Koruma Otoritesi (ICO)
Birleşik Krallık veri koruma otoritesi ICO’nun Children’s Code düzenlemesi, global ölçekte en ileri örneklerden biridir. Bu düzenleme, rıza temelli modelin ötesinde doğrudan platform tasarımına müdahale eden bir düzenlemedir ve varsayılan olarak en yüksek gizlilik, geolokasyonun kapalı olması, profil çıkarmanın sınırlandırılması, nudge tekniklerinin çocuklar aleyhine kullanılmaması, yüksek riskli veri işleme faaliyetlerinde veri koruma etki analizi yapılması zorunluluğu gibi yükümlülükleri içermektedir. Reddit’e verilen para cezası, yalnızca yaş doğrulama eksikliğine değil, çocuklara yönelik risk analizi yapılmamasına ve veri işleme tasarımının yetersizliğine dayanmaktadır. Reddit kararı ile artık tek başına “13 yaş altı yasaktır” demenin yeterli görülmediği, çocuk kişisel verilerini işleyen veri sorumlularından etkili, ölçülebilir ve teknik olarak doğrulanabilir önlemler almalarının beklendiğini göstermesi bakımından önemli bir karardır.
ABD- Children’s Online Privacy Protection Act (COPPA)
ABD’de çocuk verileri COPPA kapsamında düzenlenmekte ve 13 yaş altı kullanıcılar için ebeveyn onayı gerekmektedir. Ancak ABD’nin konuya yaklaşımı temel hak merkezli değil, tüketici koruma ve haksız ticari uygulama perspektifine dayanmaktadır. FTC’nin TikTok ve YouTube kararları, ebeveyn onayı eksikliği ve yanıltıcı uygulamalara dayanır. Ancak davranışsal reklamcılığa yaklaşım AB kadar katı değildir.
Türkiye - KVKK
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda çocuklara özgü açık bir düzenleme bulunmamaktadır. Kişisel Verileri Koruma Kurulu’nun küçüklerin verilerinin korunmasında veri sorumlularınca alınması gereken tedbirlere yönelik ilk somut yönlendirmesi olarak değerlendirilebilecek kararı 2023 yılında TikTok hakkında verdiği karardı. Son dönemde sosyal medya platformlarına re’sen başlatılan inceleme öncesinde Kurul’un çocuk kişisel verilerinin korunması özelinde sosyal medya platformlarına yönelik sistemik bir yaptırım pratiği bulunmamaktadır.
Küresel eğilim ve Kurul’un sosyal medya platformlarına yönelik re’sen inceleme kararı dikkate alındığında, Türkiye’de yakın gelecekte, çocuk verilerine ilişkin rehber yayımlanması, yaş doğrulama sistemlerine ilişkin teknik standartların belirlenmesi gibi gelişmeler beklenmektedir.
Platformlardan artık “gerçek” yaş doğrulama beklentisi beraberinde ciddi bir hukuki çelişkiyi de doğurmaktadır. Etkili bir yaş doğrulama daha fazla verinin işlenmesini gerektirmektedir. Oysa veri koruma hukukunun temel ilkelerinden biri de veri minimizasyonudur. AI tabanlı yaş tahmini, biyometrik analiz, yüz tarama gibi yöntemler bugün gerçek bir yaş doğrulama için teleffuz ediliyor ise de bu yöntemler özel nitelikli veri işlenmesini de beraberinde getirmektedir. Burada da cevaplanması gereken en önemli soru çocuğu korumak için daha fazla veri işlemek ne ölçüde meşrudur?
Bu mesele, önümüzdeki yıllarda hem veri koruma hem de AI düzenlemeleri bakımından önemli bir tartışma konusu olacaktır. Türkiye henüz bu dönüşümün erken aşamasında olsa da, dijital platformların çocuk kullanıcı yoğunluğu dikkate alındığında, düzenleyici müdahalenin kaçınılmaz olduğu açıktır.
Forbes Türkiye bu içeriği 05 Mart 2026 tarihinde yayınlamıştır.
-----------