6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda çocukların kişisel verilerine ilişkin özel bir düzenleme mevcut değildir. Bu durum uygulama da belirsizliğe ve dolayısıyla da problemlere neden olmaktadır. En sık karşımıza çıkan problemlerden biri ise, veri ilgilisinin çocuk olması halinde aydınlatma yükümlülüğünün yerine getirilmesi ve açık rıza alınması gereken durumlarda açık rızanın kimden ve nasıl alınacağıdır.

Kişisel Verileri Koruma Kurul’unun bu konuda vermiş olduğu 11/08/2020 tarih 2020/622 Sayılı Kararı bulunmaktadır. Bu karara göre; on sekiz yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik ilgili kişinin babası tarafından yapılan başvuruda, çocuğun üstün yararı gözetilerek kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde bağlı hak kategorisinde ele alınmasının yerinde olacağı kararı verilmiştir.

İlgili Kararda; kişilik hakkının, kişinin maddi ve manevi varlıkları ile iktisadi bütünlüğü ve sır çevresi üzerinde sahip olduğu kişiye sıkı sıkıya bağlı bir hak olduğu, bu niteliği nedeniyle herkese karşı ileri sürülebilen bu hakkın başkasına devredilemez, vazgeçilemez ve zamanaşımına uğramaz nitelikte olduğu, kişiye sıkı sıkıya bağlı olan hakların bu niteliklerinden ötürü miras yoluyla mirasçılara geçmediği ve hak süjesinin ölümüyle kendiliğinden ortadan kalktığı; bu anlamda, ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakların da kişiye sıkı sıkıya bağlı haklardan olduğu; kişiye sıkı sıkıya bağlı hakların öğretide mutlak ve nispi olarak ayrıldığı ifade edilmiştir.

Veli veya vasisinin rızasıyla nişanlanma, evlenme, evlilik dışı çocuğu tanıma, mal rejimi sözleşmesi yapma, derneğe üye olma, ölüme bağlı tasarrufta bulunma gibi mutlak kişiye sıkı biçimde bağlı hakların kullanılmasında karar verme yetkisi hak sahibine tanınmışken; kişiliği koruyucu davalar, yaş ve isim düzeltme davalarını ikame etme gibi nispi kişiye sıkı biçimde bağlı haklar ise küçük tarafından bizzat kullanılabileceği gibi, veli veya vasinin de küçük adına ve hesabına kullanabildiği haklardandır.

Bu kapsamda, küçüğün ayırt etme gücüne sahip olması koşuluyla, çocuğun üstün yararı gözetilerek kişisel verilerin korunması hakkının nispi kişiye sıkı şekilde bağlı haklardan olduğu ve her iki tarafın da hakkı kullanmada yetkili olduğu kabul edilmiştir.

Çocuklara ait kişisel verilerin işlenmesi, Avrupa Genel Koruma Tüzüğü (GDPR) kapsamında ise düzenlemeye yer bulmuştur. Bu konuyu ele alan GDPR’ın 8. maddesinde çocuğun kişisel verilerinin işlenmesi için 16 yaşından büyük olması koşulu aranmaktadır.  Eğer 16 yaşından küçük ise, o halde onun yasal olarak tayin edilmiş velisi ya da vasisinin izninin alınması gerekmekte olup, veri işleme faaliyeti, velinin/vasinin rıza verdiği veya onayladığı ölçüde hukuka uygundur.

Ayrıca; GDPR’ ın bu maddesi ile Avrupa Birliği’ne üye devletlerin kendi iç hukuk düzenlemelerinde bu yaşı değiştirebilecekleri fakat bu değişimin 13 yaştan az olmayacak şekilde yapılması gerektiği de düzenlenmiştir.