info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Türkiye’de ve Dünyada Çocuk Verilerinin Korunması ile Sınır Ötesi Veri Aktarımları

14 Ağu 2025
0

Özet: TikTok hakkında Türkiye, AB ve ABD’de verilen kararlar; çocukların kişisel verileri ve yurt dışına veri aktarımı başlıklarında düzenleyicilerin çıtayı yükselttiğini gösteriyor. Türkiye’de 2024 KVKK reformu ile standart sözleşme, bağlayıcı şirket kuralları (BŞK) ve 5 iş günü içinde bildirim gibi yeni araçlar devreye alındı. AB’de GDPR m. 8 (ebeveyn onayı) ve m. 44–50 (aktarımlar) sıkı uygulanıyor; ABD’de COPPA çerçevesinde FTC/DOJ düzeyinde yaptırımlar artıyor.

1) TikTok Kararlarından Küresel Manzara

  • AB (GDPR): İrlanda Veri Koruma Otoritesi (DPC), 1 Eylül 2023 tarihli nihai kararında TikTok’a 345 milyon € idari para cezası verdi. Gerekçeler arasında 13–17 yaş grubu için adil olmayan tasarımlar, yetersiz şeffaflık ve varsayılan herkese açık hesap ayarları öne çıktı. Karar, EDPB’nin bağlayıcı uyuşmazlık çözüm kararını takiben açıklandı.

  • Birleşik Krallık: ICO, 4 Nisan 2023’te TikTok’a £12,7 milyon ceza kesti; gerekçe çocukların verilerinin hukuka aykırı işlenmesi ve ebeveyn onay mekanizmalarının yetersizliğiydi.

  • ABD: TikTok’un selefi Musical.ly 2019’da COPPA ihlalleri nedeniyle 5,7 milyon $ ceza ve uyum yükümlülükleriyle uzlaşmaya vardı. 2024’te FTC’nin tavsiyesi üzerine ABD Adalet Bakanlığı (DOJ) TikTok’a çocuk gizliliği ihlalleri iddiasıyla dava açtı. Süreç, COPPA’nın etkin uygulanmasına dair kapsamlı bir emsal niteliğinde ilerliyor.

  • Türkiye: KVKK Kurulu’nun 2023/134 sayılı kararında TikTok’a 1.750.000 TL para cezası verildi; ebeveyn onayı olmadan çocuk verisi toplanması, aydınlatmanın yetersizliği, çerezlerle profilleme ve Türkçe politikanın olmaması gibi ihlaller tespit edildi.

Ders: Düzenleyiciler; varsayılan gizlilik ayarları, yaşa uygun tasarım, açık ve sade aydınlatma, ebeveyn onayı doğrulaması ve sınır ötesi aktarımlar için hukuki dayanak konularında sert bir hat izliyor.

2) Türk Hukuku: Çocuk Verileri ve Yeni Aktarım Rejimi (KVKK)

  • Çocuk Verileri: KVKK’da spesifik bir yaş eşiği yer almasa da, uygulamada reşit olmayanlar için ebeveyn/vasi rızası ve yaşa uygun aydınlatma aranır; “sınırlı veri minimizasyonu” ve profilleme konularında hassasiyet yüksektir. (TikTok Türkiye kararı bu başlıkları somutlaştırdı.)

  • 2024 Reformu – m. 9: 1 Haziran 2024’ten itibaren yurt dışına veri aktarımı; (i) yeterlilik kararı, (ii) uygun güvenceler (ör. standart sözleşme, BŞK, Kurul onaylı taahhütname), veya (iii) istisnalar (açık rıza dâhil) ile mümkün. Standart sözleşmelerin 5 iş günü içinde KVKK’ya bildirilmesi zorunlu.

  • Rehber ve Dokümanlar: KVKK; Standart Sözleşme şablonlarını, BŞK başvuru formlarını ve kapsamlı Yurt Dışına Aktarım Rehberi’ni yayımladı. Uygulamada bildirimin KEP veya modül üzerinden yapılması, Türkçe metnin esas olması ve bildirime uyulmaması hâlinde idari yaptırım öngörülüyor.

3) AB (GDPR) Perspektifi: Çocuk Verisi + Aktarımlar

  • Çocukların Onayı (m. 8): Varsayılan yaş 16; Üye Devletler 13’e kadar indirebilir. Ebeveyn sorumlusu tarafından doğrulanabilir onay ve yaşa uygun aydınlatma aranır.

  • Aktarımlar (m. 44–50): Yeterlilik kararı, SCC’ler, BŞK’lar ve istisnalar temel mekanizmalardır. Şeffaflık, ek teknik/idari tedbirler ve Transfer Etki Değerlendirmesi (TIA) beklentisi giderek standart hâle gelmiştir.

4) ABD (COPPA) ve Son Gelişmeler

  • COPPA; 13 yaş altı çocukların verilerinin işlenmesinde ebeveynin doğrulanabilir onayını ve silme/erişim haklarını zorunlu kılar. 2019 Musical.ly uzlaşması sonrası 2024 DOJ davası, sosyal platformların çocuk odaklı tasarım ve denetim eksikliği iddialarını test eden güçlü bir emsal olarak ilerliyor.

5) TikTok Dosyalarından Uyum İçin 10 Somut Ders

  1. Varsayılan Gizlilik: 13–17 yaş için özel/kapalı varsayılan ayarlar; profil, beğeni ve yorum görünürlüklerini “kademeli aç/kapat” ilkesiyle tasarlayın. (DPC kararındaki “varsayılan herkese açık hesap” eleştirisi)

  2. Yaş Doğrulama: Yaş kapısı (age-gating) + risk tabanlı ebeveyn onayı doğrulaması; “kolay atlatılabilir” akışlardan kaçının.

  3. Aydınlatmanın Sadelik Testi: “Herkes/Anyone” gibi muğlak ifadelerden kaçın; çocuk dilinde kısa, ikonlu, katmanlı metinler. (Şeffaflık ihlali vurgusu)

  4. Çerez/Profil Oluşturma: Pazarlama ve davranışsal hedeflemede opt-in ve yaşa özel sınırlar; reklam kişiselleştirmesinde 13–17 yaşa daraltılmış kapsam. (TR ve UK kararlarının ortak eleştirisi)

  5. Karanlık Desenler (Dark Patterns): Çocuğu daha fazla paylaşmaya iten arayüzleri kaldırın; adil/ölçülü tasarım.

  6. Sınır Ötesi Aktarım Haritası: AB→TR/3. ülke ve TR→3. ülke aktarımlar için SCC/BŞK/standart sözleşme + TIA/DPIA’yı birleştirin; TR tarafında 5 iş günü bildirimini unutmayın.

  7. Teen Güvenlik Modları: 13–17 yaş için DM kısıtları, yorum filtreleri, indirilebilirlik kapalı varsayılanı. (AB/UK karar mantığına uyum)

  8. Silme ve Erişim Hakları: Ebeveyn talebiyle hızlı silme ve kanıtlanabilir log; ABD’deki davalarda kritik.

  9. Tedarikçi Yönetimi: Reklam, ölçümleme ve bulut sağlayıcılarıyla aktarım hükümleri ve alt işleyen denetimi; AB’de ondan sonraki aktarımlar için de zincir sorumluluğu.

  10. Kayıt ve İspat: Çocuk verisi akış diyagramı, ebeveyn onayı kanıtı, bildirim kayıtları ve KVKK/EDPB rehberlerine uygun saklama politikası.

6) Türkiye’de 2025 İtibarıyla Sınır Ötesi Aktarım Yol Haritası (Örnek)

A. AB/EEA’dan Türkiye’ye (GDPR):

  • Temel: SCC (2021 model maddeler) veya BŞK; TIA ve ek teknik tedbirler (şifreleme, bölgesel barındırma) ile destekleyin.

B. Türkiye’den üçüncü ülkeye (KVKK):

  • Öncelik sırası: 1) Yeterlilik kararı varsa doğrudan, 2) Standart sözleşme (imza → 5 iş günü içinde KVKK bildirimi), 3) BŞK onayı veya 4) taahhütname (Kurul onayı), 5) istisnalar (açık rıza gibi).

7) Uygulama İçin Pratik Kontrol Listesi (Çocuk Odaklı Platformlar)

  • Yaş doğrulama + ebeveyn onay mimarisi (kanıt saklama).

  • 13–17 yaş için varsayılan gizlilik ve karanlık desen yok ilkesi.

  • Katmanlı, çocuk dilinde aydınlatma; app içi mini özet

  • Çerez/ID grafiği: reklam ve ölçümleme için ayrı onay akışları.

  • Aktarım envanteri + SCC/standart sözleşme + TIA/DPIA.

  • Silme/erişim taleplerine SLA; kayıt defteri.

  • Tedarikçi/alt işleyen sözleşmelerinde çocuk verisi kısıtları.

Sonuç

TikTok kararları, çocukların veri güvenliği ve sınır ötesi aktarım alanında “tasarımda gizlilik”, açıklık ve ölçülülük ilkelerinin artık zorunlu uyum standardı hâline geldiğini gösteriyor. Türkiye’de 2024 KVKK reformu ile AB’ye yakın bir aktarım mimarisi kurulmuş durumda; bu da hem Türkiye’deki platformların global standartlara entegrasyonunu kolaylaştırıyor hem de denetim riskini artırıyor. Çocuk odaklı (veya çocukların erişebildiği) her dijital hizmet; yaşa uygun tasarım, doğrulanabilir ebeveyn onayı, net aydınlatma ve şeffaf aktarım mekanizmaları olmaksızın artık yüksek risk bölgesinde sayılıyor

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button