6698 sayılı KVKK'ya göre, bir veri sorumlusunun, 18 yaşından küçük bir çocuktan 'açık rıza' alması mümkün müdür? Çocukların kişisel verilerinin işlenmesinde rıza nasıl alınmalıdır?

Bu sorunun cevabı, çocuğun 'ayırt etme gücüne' (temyiz kudretine) sahip olup olmamasına göre değişir. KVKK, bu konuda Medeni Kanun'un genel ilkelerine atıf yapar. 1) Ayırt Etme Gücüne Sahip Olmayan Küçükler: Medeni Kanun'a göre, ayırt etme gücüne sahip olmayan küçüklerin (genellikle çok küçük yaştaki çocuklar) yaptıkları hukuki işlemler geçersizdir. Dolayısıyla, bu çocukların tek başlarına verdikleri 'açık rıza' da hukuken geçerli değildir. Bu durumdaki çocukların kişisel verilerinin rızaya dayalı olarak işlenebilmesi için, rızanın çocuğun 'veli veya vasisi' tarafından verilmesi gerekir. 2) Ayırt Etme Gücüne Sahip Küçükler: Medeni Kanun'a göre, ayırt etme gücüne sahip ancak ergin olmayan küçükler (genellikle ergenlik çağındaki çocuklar), yasal temsilcilerinin rızası olmadıkça borç altına giremezler. Kişisel Verileri Koruma Kurulu'nun yorumuna göre, bu durumdaki küçüklerin, özellikle kendileriyle ilgili ve sonuçlarını anlayabilecekleri konularda (örneğin, bir sosyal medya uygulamasına üye olma) verdikleri rıza, yasal temsilcilerinin (veli/vasi) onayı veya icazeti ile geçerli hale gelebilir. Bazı durumlarda, çocuğun verdiği rızanın yanında, veli veya vasinin de ayrıca rızasının alınması, en güvenli yol olarak kabul edilmektedir. Özellikle hassas veriler veya çocuğun aleyhine sonuçlar doğurabilecek işlemler için bu çifte onay mekanizması önerilir.