Akademik (DergiPark) · DergiPark · CC-BY-NC · K.https://doi.org/10.21492/inuhfd.1172245

İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 43 Araştırma Makalesi / Research Article BAĞLANTILI OYUNCAKLAR ÖZELİNDE ÇOCUĞUN KİŞİSEL VERİLERİNİN CEZAİ VE HUKUKİ OLARAK KORUNMASI CRIMINAL AND LEGAL PROTECTION OF CHILD'S PERSONAL DATA WITHIN THE SCOPE OF CONNECTED TOYS Nurten ÖZTÜRK* & Elif Rumeysa GÜRBÜZ Makale Bilgi Gönderi: 07/09/2022 Kabul

İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 43 Araştırma Makalesi / Research Article BAĞLANTILI OYUNCAKLAR ÖZELİNDE ÇOCUĞUN KİŞİSEL VERİLERİNİN CEZAİ VE HUKUKİ OLARAK KORUNMASI CRIMINAL AND LEGAL PROTECTION OF CHILD'S PERSONAL DATA WITHIN THE SCOPE OF CONNECTED TOYS Nurten ÖZTÜRK* & Elif Rumeysa GÜRBÜZ** Makale Bilgi Gönderi: 07/09/2022 Kabul : 17/01/2023 Özet 10.21492/inuhfd.1172245 Bilimsel ve teknolojik gelişmeler hayatın her alanında değişiklik ve yenilikleri de beraberinde getirmektedir. İnternet üzerinden ilişkilendirilen nesnelerin bir türü olan ve Wi-Fi, bluetooth veya hücresel ağlar gibi aracılarla internete bağlanan bağlantılı oyuncaklar da günümüz dünyasında çocukların yeni nesil oyuncakları haline gelmiştir. Eğlence, eğitim ve sağlık gibi pek çok alanda ve farklı amaçlarla kullanılan bu tür oyuncaklar, kişisel verilerin korunması hususunda da ayrı bir öneme sahiptir. Nitekim bu tür oyuncaklar çocuk, ebeveyn ve üçüncü kişilerin kişisel verisine ulaşabilecek niteliktedir. Kişisel verilerin korunması hususu, hukukun farklı alanlarının kesişim noktasında bulunmaktadır. Bu kapsamda gerek uluslararası hukuk belgelerinde gerekse iç hukukta farklı düzenlemelerle kişisel verilerin korunması amaçlanmaktadır. Bu nedenle Avrupa Konseyi ve Avrupa Birliği belgeleri ile birlikte iç hukuktaki durumun incelenmesi gerekmektedir. Çalışmada bağlantılı oyuncaklar özelinde çocuğun kişisel verilerine yönelik tehlikeler ve bundan korunma bakımından ulusal ve uluslararası düzenlemeler ele alınacaktır. Kişisel verilerin korunmasında rıza kavramı özel bir öneme sahiptir. Bu nedenle rızayı ayrıca ve çocuklar özelinde ele alan “Avrupa Birliği Genel Veri Koruma Tüzüğü” ile Türk hukukunda rıza hususu karşılaştırmalı olarak incelenecektir. Anahtar Kelimeler Kişisel Veri, Bağlantılı Oyuncak, Nesnelerin İnterneti, Gizlilik, Rıza. Article Info Received: 07/09/2022 Accepted: 17/01/2023 Abstract Scientific and technological developments lead to changes and innovations in every part of life. Connected toys, which are a type of objects associated with the Internet and used to connect to the Internet through intermediaries such as Wi-Fi, Bluetooth or mobile networks, have also become the new generation toys of children in today's world. These toys, which are used in many fields such as entertainment, education and health, and for different purposes, have a special significance in the protection of personal data. Thus, these toys are in the nature of accessing the personal data of children, parents and third parties. Protection of personal data is a common subject of different branches of law. In this context, it is aimed to protect personal data with different regulations both in international and domestic law documents. It is crucial to examine the situation in domestic law together with the Council of Europe and European Union documents. In the article, national and international regulations will be discussed in terms of the dangers of the child's personal data and protection from it, connected toys. The concept of consent has a special significance in the protection of personal data. For this reason, the “European Union General Data Protection Regulation”, which deals with consent separately and specifically for children, and the issue of consent in Turkish law will be examined comparatively. Keywords Personal Data, Connected Toy, Internet of Things, Privacy, Consent. Bu eser Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır. *Dr. Öğr. Üyesi, Erzincan BY Üniversitesi, Hukuk Fakültesi, Ceza ve Ceza Muhakemesi Hukuku Anabilim Dalı. **Arş. Gör., Erzincan BY Üniversitesi, Hukuk Fakültesi, Medeni Hukuk Anabilim Dalı. Atıf Şekli  Cite As: ÖZTÜRK Nurten/GÜRBÜZ Elif Rumeysa, “Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması”, İnÜHFD, 14(1), 2023, s.43-57. İntihal  Plagiarism: Bu çalışma intihal programında kontrol edilmiş ve en az iki hakem incelemesinden geçmiştir.  This article has been controlled via a plagiarism software and reviewed by at least two blind referees. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 44 EXTENDED SUMMARY Scientific and technological developments lead to changes and innovations in every part of life. Connected toys, that are a type of connected objects to the Internet, have also become the new generation toys of children in today's world. Connected toys are special types of devices that can be considered within the Internet of Things. These toys are designed to connect to the Internet via intermediaries such as Wi-fi, bluetooth or mobile networks. Inspired by the concept of the internet of things, the concept of internet of toys (IoToys) is used for such systems to refer to devices for children. It is feasible to encounter a wide variety of connected toys in the toy market. The Family Online Safety Institute (FOSI) states that these toys are divided into four main categories based on certain criteria. The first type of connected toys is called “toys to life”. These are physical figures or characters that serve as the child’s friend, often connecting with video games. In other words, it can be expressed as a toy with a virtual personality. Amiibos produced by Nintendo can be given as an example of such toys. Secondly another type of IoToys is “robotics”. These are toys that can be controlled through verbal commands or applications. These types of connected toys collect a great deal of data as they analyze a wide variety of data to perform their functions. For instance, My Friends Cayla and Hello Barbie are robotic-type connected toys that have the ability to analyze external questions and provide logical answers to those questions. Toys that can be worn as accessories in the form of helmets, armbands, wristbands, which are very popular among children, are called “wearable connected toys”. Empire EVS, a paintball helmet that shows the positions of other players is an example of this kind of connected toys. Finally, “innovative educational” toys aim to provide information to children on a certain subject and to develop them. Grush, which is actually an ordinary toothbrush, is one such toy. These toys, which are used in many fields such as entertainment, education and health, and for different purposes, have a special significance in the protection of personal data. As a matter of fact, these toys are in the nature of accessing the personal data of children, parents and third parties. Due to this significance, the protection of personal data is provided by both international and national law (public law and private law) provisions. It is crucial to state that Turkey is a counterparty to “The Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data” regarding supervisory authorities and transborder data flows and European Convention on Human Rights. Although there is not a provision that directly refers to children and children’s personal data within these documents, they include provisions protecting personal data. With this article, these provisions are examined. Furthermore, the documents of European Union about protection of personal data in general, and especially those which are about children’s personal data are discussed. European Union, with GDPR, regulated special norms to protect children and children’s personal data. In this context, the concept of consent is explained with the article 7 which state the requirements for a valid legal consent. Article 8 of the GDPR states that if a child is subject to data processing, it shall be unlawful when the child is younger than 16. However, GDPR gives the right to change the age range that could not be below 13 years. In Turkey there are special norms to protect of personal data. First of all, Constitution regulates the protection of personal data. Turkish Penal Code, Turkish Civil Code, Personal Data Protection Law include norms to protect personal data. However, in Turkish law there is not a special norm for the children’s personal data and an age range for a valid legal consent. As a rule, no age limit has been determined for the child's declaration of consent in Turkish law. This is also the case in terms of the protection of personal data. However, the difficulty of determining whether a child can take responsibility for a decision that may affect him or her compels states to set an age limit about consent. Indeed, in every case, determining whether the child has the mental competence for that situation is not very suitable for practical reality. Due to this, an age range for the child's declaration of consent should be adopted in Turkish law. When the personal data is sensitive, it should also be taken into account in determining the age limit. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 45 I. GİRİŞ Çocukların en yakın arkadaşları Barbie ve Cayla birer casus mu? Thomas Edison’un 1879 yılında ampulü icat ettiği herkes tarafından bilinmesine rağmen, 8 yıl sonra ilk konuşan oyuncak bebeği icat ettiği bilinmemektedir. Günümüzde harekete, ışığa veya sese duyarlı olarak ses çıkaran oyuncakların atasının “Edison’un oyuncak bebeği” olduğunu söylemek yanlış olmayacaktır. Ancak pek tabii teknoloji, içine önceden ses kaydedilmiş oyuncaklar ile sınırlı kalmamış; dışarıdan gelen sesleri ve görüntüleri kaydeden, bu kayıtları bağlantılı cihazlara aktaran oyuncaklara kadar ilerlemiştir. My Friends Cayla ve Hello Barbie, bu tür oyuncakların en meşhur örneğidir. Bluetooth aracılığı ile cihazlara bağlanan bu oyuncaklar, kendisine yöneltilen soruları veya komutları ayrıştırarak tıpkı “Siri uygulaması” gibi mevcut veri tabanından veya diğer kullanıcıların sormuş olduğu sorulardan oluşan bir havuzdan ilişkili bilgiyi alıp sese dönüştürerek cevap vermektedir. Tıpkı gerçek bir arkadaş gibi çocukların iletişim kurduğu Cayla ve Barbie’nin, tüm sorulara cevap verirken onların seslerini, hatta görüntülerini de kaydedip farklı şekillerde kullanması halinde birtakım hukuki problemler karşımıza çıkmaktadır. Çalışmada, bağlantılı oyuncaklar olarak adlandırılan bu cihazlar özelinde çocuğun kişisel verilerinin işlenmesi konuları üzerinde durularak; bu hususlar hukuki ve cezai sorumluluk bağlamında incelenecektir. Özellikle, kişisel verilerin işlenmesini hukuka uygun hale getiren rıza kavramının önemine binaen, bu konu ayrı bir başlık altında ele alınacaktır. Rıza hususunun hukuki yönünün yanında bir de rızanın doğrulanmasını içeren teknik bir yönü de bulunmakta olup, bu konuya çalışmada yer verilmeyecektir. Benzer şekilde bağlantılı oyuncakların internetle nasıl bağlantı kurduğu, verileri nasıl işlediği veya aktardığı gibi diğer teknik hususlar üzerinde ayrıntılı olarak durulmayacaktır. II. NESNELERİN İNTERNETİ BAĞLAMINDA BAĞLANTILI OYUNCAKLAR A. Nesnelerin İnterneti İlk kez 1999 yılında, MIT Auto-ID Merkezi kurucularından olan İngiliz teknoloji öncüsü Kevin Ashton tarafından ortaya atılan ve gittikçe daha da yaygın olarak kullanılan “nesnelerin interneti (internet of things/IoT)” kavramı1, Madde 29 Çalışma Grubu’nun nesnelerin interneti konusunda son gelişmelere ilişkin görüşünde şu şekilde tanımlanmaktadır: “Günlük hayatta yaygın olarak kullandığımız cihazlara gömülü halde bulunan milyarlarca sensörün, verileri kaydetmek, işlemek, depolamak veya aktarmak amacıyla tasarlandığı ve benzersiz tanımlayıcılarla ilişkilendirildikleri için ağa bağlanabilme özelliklerini kullanarak diğer cihazlarla veya sistemlerle iletişime girdiği bir altyapıdır”2. Teknik bir tanımın yanı sıra kısa ve öz şekilde açıklamak gerekirse nesnelerin interneti, internet üzerinden ilişkilendirilen nesnelerdir3. Bu ilişkilendirme sayesinde nesneler birbirleri ile haberleşmekte ve birbirlerine komut verir hale gelmektedir4. IoT cihazlar, 20. yüzyılın sonlarına doğru ilk olarak perakende satış teknolojisinde ortaya çıkmıştır. IoT cihazların ortaya çıkışındaki birincil amaç şirketlerin potansiyel müşterileri hakkında birtakım verileri toplamada daha verimli olmak istemeleridir. Zira insanlar tarafından manuel olarak bilgi toplamak yerine bu konuda otomatikleşmeye gitmek daha güvenilir olacaktır5. Dünya üzerindeki bir trilyonu aşkın nesneden herhangi birisinin bu sisteme dahil edilebileceğini ifade etmek, perakende satış sektörünün bilgi toplamasını kolaylaştıran bir sistem olarak ortaya çıkan IoT teknolojisinin, günümüzde hangi seviyeye geldiğini gösterir niteliktedir. Arabalar, buzdolapları gibi günlük kullanım nesneleri6 bir yana trafiğe karşı diğer araçları uyaran arabalar, anahtarların en son ne zaman yanına bırakıldığını kişilere hatırlatan telefonlar, içindekilerin geri dönüştürülebilirliğini sorgulayan çöp kutuları gibi daha pek çok teknoloji, nesnelerin internetinin hayatımıza kazandırdığı gelişmelerden bazılarıdır7. Yukarıda verilen örneklerden de anlaşılacağı üzere IoT, nesneler araı bağlantıyı kurarak sadece bilgiye ulaşmayı sağlamamakta, aynı zamanda karar alma noktasında da bilgiyi aktifleştirmektedir. Diğer bir ifadeyle IoT, karar alma sürecinde aktif rol oynamaktadır8. Örneğin insanların, akıllı saatler sayesinde günlük kaç saat uykuya ihtiyaç duyduklarının belirlenmesi, havanın yağışlı olacağı günlerde giyebilecekleri 1 KRAMP, Throsten/VAN KRANENBURG, Rob/SEBASTIAN, Lange: “Introduction to the Internet of Things”, Enabling Things to Talk, Bassi vd. (ed.), Springer, Berlin 2013, s.1. https://link.springer.com/chapter/10.1007/978-3-642-40403-0_1#citeas (Erişim: 12.03.2022); BOZKURT YÜKSEL, Armağan Ebru: “Nesnelerin İnternetinin Hukuki Yönden İncelenmesi”, DEÜHFD, 17(2), 2016, s.115; AKİNCE, Bora: “Nesnelerin İnterneti, Güvenlik ve Gizlilik, İnsan Hakları Bağlamında Bir Değerlendirme”, International Journal of Social Inquiry, 14(1), 2021, s.56. 2 Article 29 Data Protection Working Party, Opinion 8/2014 on the on Recent Developments on the Internet of Things, Brüksel, 2014, s.4. https://ec.europa.eu/justice/article-29/documentation/ (Erişim: 12.03.2022) Madde 29 Veri Koruma Çalışma Grubu, bundan sonra WP29 şeklinde anılacaktır, 95/46 sayılı AB Direktifi’nin 29. maddesine göre kurulmuş, veri koruması ile mahremiyet konularında bağımsız bir danışma kuruludur. https://www.mbkaya.com/hukuk/unutulmahakki.pdf (Erişim: 12.03.2022) 3 ERDAL, Erdal/ERGÜZEN, Atilla: “Nesnelerin İnterneti (IoT)”, UMAGD, 12(3), 2020, s.25. 4 AKİNCE, s.55. 5 VAN HOOF, Ben: Protecting Personal Data in the Age of the Internet of Toys, Master Thesis, Tilburg University, 2020, s.13. http://arno.uvt.nl/show.cgi?fid=150358 (Erişim: 13.03.2022) 6 Amerikan Federal Ticaret Komisyonu’nun (FTC) 2015 tarihli bir raporunda, “nesnelerin interneti” ifadesindeki “nesne” kavramının, masaüstü veya dizüstü bilgisayarları ve bunlarla yakın analoglar olan akıllı telefonları ifade etmediği, zira bunların, nesneleri kontrol eden veya onların iletişim kurmasını sağlayan cihazlar olduğu ifade edilmektedir. Bkz. Internet of Things, Privacy & Security in a Connected World, FTC Staff Report, 2015, s.5. https://www.ftc.gov/system/files/documents/reports/federal-trade- commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf (Erişim: 14.03.2022) 7 WEBER, Wolf H./WEBER, Romana: Internet of Things Legal Perspectives, Springer, Berlin, 2010, s.1-2. 8 GREENGARD, Samuel: The Internet of Things, MIT Press, Revised and Update Edition, 2021, s.142-144; BOZKURT YÜKSEL, s.118. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 46 kıyafetlerin seçimi, günlük yaktıkları kalori miktarına göre tüketecekleri besinlerin ayarlanması gibi hayatın birçok safhasında aslında bu nesneler internetle bağlantı kurmak suretiyle kararlara etki etmektedir. Nesnelerin internetinin bireysel kullanım alanlarının yanı sıra toplumsal alanda da pek çok kullanımı karşımıza çıkmaktadır. 1600 IoT projesi arasından, bu teknolojinin en çok kullanıldığı alanların belirlendiği bir çalışmada akıllı şehirler, akıllı endüstriler, bağlantılı tedarik zinciri, akıllı tarım gibi alanlar listede üst sıralarda yer almıştır9. Bunlar birey özelinde katkı sağlamasının yanı sıra toplumun genel ve temel ihtiyaçlarına da çözüm olabilecek ve toplumsal hayatı kolaylaştıran projelerdir. Her geçen gün daha fazla yaşantımızın içine giren IoT, hayatı olabildiğince kolaylaştırmayı hedeflese de birtakım problemleri de beraberinde getirmektedir. Teknik problemler bir yana hukuki açıdan bu problemlerden belki de en önemlisi, IoT’nin kişisel verileri konu almasından ötürü, verilerin hukuka aykırı olarak işlenmesi ihtimalinin gündeme gelmesidir10. B. Nesnelerin İnternetinin Özel Bir Görünümü Olarak Bağlantılı Oyuncakla 1. Tanım Tahta arabalar, bez bebekler gibi geleneksel oyuncakların yerini teknolojik oyuncakların alması yeni bir gelişme olmamasına rağmen, oyuncakların bir ağ ile bağlantıya geçmesi fikri son on yılın beraberinde getirdiği yeniliklerden birisidir. Bağlantılı oyuncaklar, nesnelerin interneti içinde ele alınabilecek özel türdeki cihazlardır11. Bu oyuncaklar, Wi-fi, bluetooth veya hücresel ağlar gibi aracılarla internete bağlanmak için tasarlanmışlardır. Nesnelerin interneti kavramından esinlenilerek, çocuklara yönelik cihazlara atıf yapmak amacıyla bu tür sistemler için oyuncakların interneti (IoToys) kavramı kullanılmaktadır12. İnternet bağlantılı oyuncakları, akıllı oyuncaklardan ayırt etmek gerekmektedir. Akıllı oyuncaklar; mikrofonlar, kameralar veya sensörler (yakınlık sensörü, ışık ve ısı sensörü) gibi gömülü elektronik özellikler içeren oyuncaklardır. Bunlar, kullanıcılarla etkileşime geçebilmeyi sağlayan entegre elektronik özelliklere sahip olsalar da mutlaka bir ağa bağlı olmaları gerekmez. Daha teknik bir ifadeyle bu oyuncaklarda verilerin analizi yerel olarak gerçekleştirilir; veriler harici bir veri merkezine gönderilmez13. Örneğin uzaktan kumandalı arabalar, yönlendirilme noktasında kullanıcısıyla kumanda aracılığıyla bir bağlantı kursa da internet üzerinden bir bağlantı olmaksızın hareket edebilir. Yani internete değil kişiye bağlıdır. Dolayısıyla ağ bağlantılı oyuncak ve akıllı oyuncakları birbirinden ayıran temel kriter, oyuncağın internete bağlanarak veri işleyebilme yeteneğine sahip olup olmamasıdır14. Ancak belirtmek gerekir ki, ağ bağlantılı oyuncaklarla akıllı oyuncakların bir araya getirilmesi mümkündür. Bunlara genellikle bağlantılı akıllı oyuncaklar15 veya yeni nesil akıllı oyuncaklar denmektedir. Bu oyuncaklar, akıllı oyuncakların yapay zekâ sistemini ve bağlantılı oyuncakların bağlanabilme yeteneğini bir araya getirerek hem oyuncağı kullanan kişiden gelen komutları işler hem onlarla gerçek zamanlı etkileşime girer hem de iletişim kurmak için harici veri merkezlerini kullanırlar16. 2. Bağlantılı Oyuncak Türleri Oyuncak piyasasında çok çeşitli bağlantılı oyuncaklarla karşılaşmak mümkündür. Aile Çevrimiçi Güvenlik Enstitüsü (FOSI), bu oyuncakların belirli kriterlere göre dört ana kategoriye ayrıldığını belirtmektedir17. Bu oyuncakların her biri farklı şekillerde kullanılabildiğinden ve bu nedenle çeşitli tür ve boyutlarda veri toplayabildiğinden, aralarındaki farkları belirlemek önem arz etmektedir18. Birinci tür bağlantılı oyuncaklar “toys to life” olarak adlandırılmaktadır. Bunlar, genellikle video oyunlarıyla bağlantı kuran ve kullanıcılara arkadaş gibi hissettiren fiziksel figür veya karakterlerdir. Başka bir ifadeyle toys to life türündeki oyuncaklar, sanal bir kişiliğe sahip oyuncaklardır. Bu tür oyuncaklara Nintendo tarafından üretilen Amiibo’lar örnek olarak verilebilir. Amiibo denilen küçük oyun karakterleri Nintendo Switch (bir tür oyun konsolu) ile bağlantı kurarak çocuklara ileri seviye oyun deneyimi sağlar19. Benzer şekilde dışarıdan bakınca sıradan bir yüzen ördeğe benzeyen Edwin the Duck ise telefona indirilecek özel bir uygulama sayesinde internetle bağlantıya geçerek etkileşimli hale gelmektedir. Bu sayede ördek 9 ERDAL/ERGÜZEN, s.31. IoT’nin kullanıldığı diğer tüm alanlara ilişkin bkz. KRAMP/VAN KRANENBURG/SEBASTIAN, s.3-10. 10 Konunun teknik yönü için bkz. GREENGARD, s.53 vd.; WEBER/WEBER, s.2 vd. 11 VAN HOOF, s.13. 12 PETER, Jochen/KÜHNE, Rinaldo/BARCO, Alex/JONG, De Chiara/VAN STRATEN, Caroline L.: “Asking Today the Crucial Questions of Tomorrow: Social Robots and the Internet of Toys”, in Mascheroni, Giovanna/Holloway, Donell (ed.), The Internet of Toys, Practices, Affordances and the Political Economy of Children’s Smart Play, Springer Nature, Switzerland, 2019, s.27; CHOWDHURY, Wahida: “Toys That Talk to Strangers: A Look at the Privacy Policies of Connected Toys”, Proceedings of the Future Technologies Conference (FTC), 2018, s.153; VAN HOOF, s.13. 13 MAALOUF, Melissa A.: “This Is Not Child’s Play The Regulation Of Connected Toys In The EU And U.S.”, Archives de philosophie du droit, 59(1), 2017, s.222; PETER, s.28-30; VAN HOOF, s.14. 14 Akıllı ve bağlantılı oyuncaklara ilişkin ayrıntılı bilgi için bkz. https://dijitalmedyavecocuk.bilgi.edu.tr/ 2016/12/26/ag-baglantili- oyuncaklar-dunyanin-gundeminde/ (Erişim: 13.03.2022) 15 Çalışmada, akıllı oyuncak olup olmadığı dikkate alınmaksızın her iki kavram için de bağlantılı oyuncaklar ifadesi kullanılmaktadır. 16 VAN HOOF, s.14-15. 17 FOSI Report: Kids and the Connected Home, 2016, s.4, https://fpf.org/wp-content/uploads/2016/11/Kids-The-Connected-Home- Privacy-in-the-Age-of-Connected-Dolls-Talking-Dinosaurs-and-Battling-Robots.pdf (Erişim: 22.07.2022) 18 VAN HOOF, s.15. 19 NANSEN, Bjorn/NICOLL, Benjamin/APPERLEY, Thomas: “Postdigitality in Children’s Crossmedia Play: A Case Study of Nintendo’s Amiibo Figurines”, in Mascheroni, Giovanna/Holloway, Donell (ed.), The Internet of Toys, Practices, Affordances and the Political Economy of Children’s Smart Play, Springer Nature, Switzerland, 2019, s.90-91; FOSI, s.4; VAN HOOF, s.15. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 47 hikayeler anlatmakta, ninniler çalmakta, hatta su geçirmez özelliği sayesinde banyo suyunun ideal ısısını belirleyerek ebeveynlere yardımcı olmaktadır20. IoToys’ların bir diğer türü “robotik” olarak adlandırılan oyuncaklardır. Bunlar, sözlü komutlar veya uygulamalar aracılığıyla kontrol edilebilen oyuncaklardır. Bu türdeki bağlantılı oyuncaklar, işlevlerini yerine getirebilmek için çok çeşitli verileri analiz ettiklerinden dolayı önemli ölçüde veri toplarlar ve bu nedenle hangi tür verilerin işlendiği iyice araştırılmalıdır21. Örneğin My Friends Cayla ve Hello Barbie, dışarıdan gelen soruları analiz ederek o sorulara mantıklı cevaplar verme kabiliyetine sahip robotik türde bağlantılı oyuncaklardır. Çocuklar arasında oldukça popüler olan kask, kol bandı, bileklik şeklinde aksesuar olarak giyilebilen/takılabilen oyuncaklar ise “giyilebilir bağlantılı oyuncaklar” olarak adlandırılmaktadır. Örneğin bir paintball kaskı olan Empire EVS diğer oyuncuların konumlarını göstermektedir22. Son olarak “öğrenme geliştirme” oyuncakları ise çocuklara belirli bir konuda bilgi vermeyi, onları geliştirmeyi amaçlamaktadır. Aslında sıradan bir diş fırçası olan Grush bu tür oyuncaklardandır. Grush, çocuklara diş fırçalama alışkanlığı kazandırmayı bir internet oyunu aracılığı ile yapmaktadır23. Pek tabii bunu yaparken, internetle bağlantı kurmaktadır. Son zamanlarda bağlantılı oyuncaklar sadece eğlence veya eğitim amacıyla değil farklı amaçlarla da kullanılmaya başlanmıştır. Örneğin sağlık sektöründe, çocukların sağlık durumlarının kontrol edilmesi amacıyla bazı sağlık verilerinin toplanmasını kolaylaştırmak ve çocuk açısından da durumu katlanılabilir kılmak için bazı bağlantılı oyuncaklar geliştirilmiştir24. Bunun yanında sınıf eğitimlerinde de bu tür oyuncaklardan faydalanılmaya başlanmıştır. Tablet veya bilgisayarlar aracılığıyla oynanan sanal oyunlar, bağlantılı oyuncakların sunduğu bazı imkânları gerek ebeveynlere gerekse çocuklara sağlasalar da, hatta tıpkı bağlantılı oyuncaklar gibi veri toplasalar da çalışmamız kapsamında ele alınmamaktır. Zira bağlantılı oyuncak ifadesiyle anlatılmak istenen şey temel olarak çocukların oynaması ve etkileşim kurması için dizayn edilmiş olan fiziki nesneler/cihazlardır. III. BAĞLANTILI OYUNCAKLAR ARACILIĞIYLA ÇOCUĞUN KİŞİSEL VERİLERİNİN İHLALİ VE İHLALDEN KORUNMA A. Genel Olarak Nesnelerin interneti kavramının özel bir türü olarak ifade edilebilecek olan bağlantılı oyuncaklar, tasarımlanma amacı ve teknik yapısı gereği dışarıdan gelen verileri toplar ve harici bir merkeze aktararak burada depolar. Böyle bir mekanizmaya sahip olması ise bu oyuncakları hukukun önemli bir sorunu haline getirmektedir. Zira oyuncaklar aracılığıyla toplanan verilerin birçoğu kişisel veri niteliğini haizdir ve kişisel veriler, günümüz teknoloji çağında ihlal edilmesi en muhtemel değerlerdendir. Bu önemine binaen kişisel verilerin korunması hem kamu hukuku karakterli hem de özel hukuk karakterli hükümlerle sağlanmaktadır. Türk Ceza Kanunu’na bakıldığında kişisel verilerin korunmasına ilişkin pek çok hükmün varlığı dikkat çekmektedir. Bunun yanı sıra daha özel nitelikli kanunlar da kişisel verilerin korunmasına ilişkin hükümleri ihtiva etmektedir. Kişisel veriler, kişilik hakkını oluşturan şahıs varlığı değerlerinden olduğu için kişilik hakkını koruyucu hükümler de yine kişisel verilerin korunmasına hizmet etmektedir. Çalışmanın bu bölümünde genel olarak, bağlantılı oyuncaklar yoluyla çocukların kişisel verilerinin nasıl ihlal edilebileceği açıklandıktan sonra kişisel verilerin korunmasına hizmet eden ulusal ve uluslararası düzenlemelerin ilgili hükümlerine değinilerek bağlantılı oyuncaklar özelinde gündeme gelebilecek koruma mekanizmaları üzerinde durulacaktır. B. Kişisel Veriler ve Bağlantılı Oyuncaklar Son zamanlarda daha da interaktifleşen oyuncaklar, çocuklar için daha eğlenceli ve daha öğretici hale gelmesine rağmen birçok riski de beraberinde getirmektedir. Bu risklerin başında gizlilik ve mahremiyet yer almaktadır. Zira bağlantılı oyuncakların çeşitlerine göre topladığı veri türleri ve miktarları farklılık arz etse de toplanan verilerin çok büyük bir kısmı çocuğu tanınabilir kılmaktadır; başka bir ifadeyle bu veriler onu tanımlayabilecek verilerdir25. Örneğin robotik türdeki oyuncakların işlevlerini yerine getirebilmesi için çeşitli ayrıntıları analiz etmesi gerektiğinden bu tür oyuncaklar çok büyük miktarlarda veri toplayabilir. Bu veriler çevredekilerin sesleri, konumları, görüntüleri olabilir. Giyilebilir türdeki oyuncaklar ise daha ziyade vücut hareketlerinden 20 FOSI, s.4. 21 FOSI, s.5. 22 FOSI, s.5. 23 FOSI, s.25. 24 Huggable adı verilen ve Massachusetts Teknoloji Enstitüsü'ndeki Kişisel Robotik Grubu tarafından geliştirilen, pediatrik kanser hastaları ve ebeveynleri için stresi, ağrıyı ve tıbbi tedavinin kaygısını azaltmaya yardımcı olmayı amaçlayan pelüş oyuncak, etkileşimli bir robotik arkadaştır. https://laughingsquid.com/the-huggable-a-plush-interactive-robotic-companion-that-provides- comfort-to-young-cancer-patients/ (Erişim: 15.03.2022) 25 MAALOUF, s.225. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 48 kalp atış hızı, vücut ısısı, yakılan kalori gibi verileri işler26; bunun yanında bu oyuncakların bazı türlerinin kişilerin konumlarına erişebilmesi de mümkündür. Bağlantılı oyuncaklar aracılığıyla hem çocukların hem de ebeveynlerin kişisel verileri kayda alınabilmektedir. Çocuğun ve ebeveynlerin doğum tarihi, adı, cinsiyeti, profil resmi, çocuk ve ebeveynler tarafından gönderilen sohbet mesajları, sesli mesajlar, fotoğraflar, şifre ve arama geçmişi gibi verilerle ebeveynlere ait e-posta adresi, kredi kartı bilgileri, IP numarası, Wi-Fi şifresi toplanabilecektir27. Bu veriler dışında ayrıca bağlantılı oyuncak üreticileri, çocuğun oyuncakla etkileşime girdiği ve oyuncağı kullandığı özel(belirli) yollarla ilgili bilgileri de izleyebilir. Örneğin, çocuğun oynadığı oyunların türleri, girdiği web siteleri, izlediği videolar, dinlediği müzikler ve tercihleri gibi çocuktan/çocuk hakkında bilgi toplanabilir. Yine oyuncağın web sitesi aracılığıyla üçüncü kişi hizmetlerine (Facebook veya Twitter gibi) erişime izin verilirse, bu üçüncü kişi hizmetlerinden de bilgi toplanması mümkün hale gelmektedir28. Ancak ifade edilmelidir ki, bağlantılı oyuncaklar aracılığıyla elde edilecek kişisel veriler sadece çocuk veya ebeveynlerine değil üçüncü kişilere de ait olabilir. Tüm bu verilerin yanı sıra bağlantılı oyuncakların bazı türleri, biyometrik veriler gibi özel nitelikteki verileri de işlemektedir. Parmak izi veya retina doğrulamasıyla giriş yapılabilen oyuncaklar kişilerin fizyolojik özelliklerini analiz edip işlerken; biyometrik verilerin bir diğer türü olan davranışsal verilerden sayılan yazı stili, nefes alma gibi veriler de kayıt altına alınabilmektedir29. Örneğin My Friends Cayla kaydettiği sesleri, ses biyometrik çözümleri üzerine faaliyet gösteren bir yazılım şirketi olan Nuance’a göndermektedir. Nuance’ın ABD istihbarat teşkilatına ses tanıma hizmetleri sağlayan bir şirket olduğu bilinmektedir30. Kayıt altına alınan seslerin biyometrik çözümleri, bu verilerin nitelikli kişisel veri niteliğinde olduğu ve özel bir veri işleme rejimine göre işlenmesi gerektiği dikkate alınmaksızın Nuance’ın veri tabanlarında saklanmaktadır31. Dolayısıyla bağlantılı oyuncağın işlevini yerine getirebilmesi için verileri işlemesinin kabul edilmesi, özel nitelikteki verilerin bir üçüncü şirketle paylaşılması ve o şirketin amaçları doğrultusunda da kullanılabilmesine yol açmaktadır. Sonuç olarak bağlantılı oyuncakların çalışma mantığının, farklı boyut ve türlerde verileri işlemek ve bu işlenen verileri kullanarak, kullanıcıya oyuncağın amacını yerine getirecek dönütü sağlamak olduğu ifade edilebilir. Ancak maddi bir değeri temsil eden kişisel veriler söz konusu olduğunda, veri işleyenler, verileri belirli şekillerde toplamak ve işlemek için ticari ve piyasa kaynaklı pek çok amaçla hareket edebilir32. Pek tabii ilk amaç oyuncağın kullanımını sağlamak olsa da elde edilen kişisel veriler sayesinde hedef tüketicileri saptayabilmek, davranış biçimlerini gözlemleyebilmek, kullanıcının kişisel eğilimlerini ortaya koyan profiller çıkarmak gibi amaçlarla da hareket edilmektedir33. Nihayetinde kişisel veriler, kullanıcının kabulünü aşan amaçlarla işlenmekte ve kullanılmakta tabiri caizse ifşa olmaktadır; bunun kişisel verilerin üçüncü kişilerce ele geçirilmesine neden olan hacker saldırılarından pratikte herhangi bir farkı kalmamaktadır. Dolayısıyla, kişisel veriler çerçevesinden bakıldığında bağlantılı oyuncakların başta gizlilik olmak üzere birçok hukuki soruna sebebiyet vereceği aşikardır. C. Çocuğun Kişisel Verilerinin Korunmasına İlişkin Hukuki Düzenlemeler 1. Uluslararası Düzenlemeler a. Avrupa Konseyi Tarihi süreçte insan hakları ve insan onurunun korunmasına yönelik olarak yapılan düzenlemelerde 2. Dünya Savaşı büyük bir önem taşımaktadır. Bu tarihten sonra devletler gerek iç hukuklarında gerekse uluslararası alanda pek çok düzenleme yapmıştır. Bu belgelere bakıldığında yaşam hakkı, aile hakkı, özel hayatın korunması gibi hakların koruma altına alındığı görülmekle birlikte doğrudan kişisel verilerin korunmasına yönelik hükümlere rastlamak zordur. Ancak 20. yüzyılın ikinci yarısından itibaren yaşanan bilimsel ve teknolojik gelişmelerle beraber kişisel veri kavramı ve bunun korunmasına yönelik hususlar da uluslararası anlamda önem kazanmıştır34. Bu kapsamda OECD 23 Eylül 1980 tarihinde “Özel Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeleri” yayımlamış olup belgenin bağlayıcılığı olmamakla birlikte bu alanda yayımlanmış ilk belge niteliğindedir. Kişisel verilerin korunmasına ilişkin olarak Avrupa Konseyi bünyesinde “108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 28 Ocak 1981 tarihinde 26 PEPPET, Scott R.: “Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent”, Texas Law Review, 85, 2014, s.88. 27 NELSON, Bill: Children’s Connected Toys: Data Security and Privacy Concerns, Office of Oversight and Investigations Minority Staff Report, December 14, 2016, s.8. 28 NELSON, s.8. 29 VAN HOOF, s.38-39. 30 THOMAS, Casey: “Learning to Learning to Share (Personal Information) with My Friend Cayla”, AELJ Blog, 162, 2017, s.2. https://larc.cardozo.yu.edu/aelj-blog/162 (Erişim: 25.06.2022); VAN HOOF, s.36-37. 31 MAALOUF, s.232; THOMAS, s.2-3. 32 CUSTERS, Bart/SEARS, Alan M./DECHESNE, Francien/GEORGIEVA, Ilina/TANI, Tommaso/VAN DER HOF, Simone: EU Personal Data Protection in Policy and Practice, Springer-Verlag GmbH, 2019, s.2. 33 KÜZECİ, Elif: Kişisel Verilerin Korunması, 4. Baskı, On İki Levha Yayıncılık, İstanbul 2020, s.38. 34 Kişisel verilerin korunmasına yönelik hukuki düzenlemelerin tarihi gelişimi hususunda ayrıntılı bilgi için bkz. KÜZECİ, s.115 vd. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 49 imzaya açılmış ve 1 Ekim 1985 tarihinde yürürlüğe girmiştir35. Sözleşme ile kişisel veriler, “kimliği belirli veya belirlenebilir bir gerçek kişi ("ilgili kişi") hakkındaki tüm bilgiler” olarak tanımlanmıştır. Sözleşme’de ayrıca özel nitelikli kişisel veriler ve otomatik işlemin tanımı yapılmış, hangi verilerin hangi şartlarda otomatik işleme konu olacağı belirtilmiştir. Taraf Devletlerin kişisel verilerin korunması ve işlenmesi konusunda iç hukukta gerekli düzenlemeleri ve denetim mekanizmasını oluşturmaları gerektiği ifade edilmiştir. Sözleşme’de kişisel verileri işlenen gerçek kişiler korunmuş ancak çocuklara özgü ayrıca bir hüküm sevk edilmemiştir. Avrupa Konseyi’nin kişisel verilerin korunmasına ilişkin olarak hazırladığı diğer düzenleme “181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”dür36. Kişisel veri aktarımının uluslararası alanda da büyük bir yer edinmesi karşısında Avrupa Konseyi ilgili Protokol’ü kabul etmiştir. Avrupa İnsan Hakları Sözleşmesi’nde kişisel verilerin korunmasına yönelik bir düzenlemenin bulunmadığı yönünde yapılan tartışmalar Avrupa Konseyi’nin 108 No’lu Sözleşmesi ile sonuçlanmıştır. Ancak zamanla Avrupa İnsan Hakları Mahkemesi kişisel verilerin korunmasını, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde “herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir” şeklinde düzenlenen özel hayata ve aile hayatına saygı hakkı çerçevesinde ele almıştır37. Başka bir ifadeyle kişisel verileri koruma hakkı ayrı ve bağımsız bir hak olarak değil özel hayatın korunması hakkı kapsamında incelenmektedir. b. Avrupa Birliği Avrupa Birliği’nde kişisel verilerin işlenmesine ilişkin çalışmalar 1970li yıllarda başlamıştır. Bu çalışmalarda Avrupa Komisyonu ve Avrupa Parlamentosu önemli rol oynamıştır38. Ancak ifade etmek gerekir ki, Birlik hukuku içerisinde verilerin korunmasına ilişkin mevzuat oluşturulması yönünde en önemli adım, Avrupa Komisyonu'nun kişisel verilerin korunmasına ilişkin bir teklif paketini içerir Tebliğ’i kabul ettiği yıl olan 1990 yılında atılmıştır39. İlgili teklif, 1995 yılında Direktif olarak kabul edilmiştir. Böylece “95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi”, kişisel verilerin korunması bağlamında Avrupa Birliği’nin temel düzenlemesi olmuştur40. Söz konusu Direktif ile üye devletlerin “gerçek kişilerin temel hak ve özgürlüklerini ve özellikle kişisel verilerin işlenmesi çerçevesinde özel hayatın gizliliği haklarını korumayı” sağlaması amaçlanmıştır. Ayrıca “üye devletler arasında kişisel verilerin serbest akışının” herhangi bir şekilde kısıtlanması yasaklanmıştır. 1995 tarihli Direktif’ten sonra Avrupa Birliği bünyesinde farklı alanlarda kişisel verilerin korunmasına ilişkin düzenlemeler yapılmıştır. 1997 tarihli “Telekomünikasyon Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Tüzüğü” ve “Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Tüzüğü” (2002) bunlara örnek olarak verilebilir. 2000 yılında ilan edilen ve 1 Aralık 2009 tarihinde kabul edilen Lizbon Anlaşması’yla bağlayıcılık kazanan Avrupa Birliği Temel Haklar Şartı’nın 8. maddesinde de “herkes kendisini ilgilendiren kişisel verilerin korunması hakkına sahiptir” ifadeleriyle kişisel verilerin korunması hakkı düzenlenmiştir. İlgili madde ayrıca söz konusu temel hakla bağlantılı olarak temel veri koruma ilkelerini de düzenlemiştir. Avrupa Komisyonu, “2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü”nü (GDPR) 2016 yılında kabul etmiş, Tüzük Mayıs 2018 tarihinde yürürlüğe girmiştir. Bu Tüzükle birlikte Avrupa Birliği’nde kişisel verilerin korunmasına ilişkin temel hususları üye devletler bünyesinde uyumlu hale getiren 1995 tarihli Direktif (DPD) yürürlükten kaldırılmıştır. DPD ile karşılaştırıldığında, GDPR tüm AB sakinleri, şirketler ve 35 Türkiye Sözleşmeyi 28 Ocak 1981 tarihinde imzalamıştır. Sözleşme’nin onaylanmasının uygun bulunduğuna ilişkin Kanun 17 Şubat 2016 tarihli Resmi Gazete’de yayımlanmış, Sözleşme 29 Şubat 2016 tarihinde onaylanmış ve onaylanmasına ilişkin karar 17 Mart 2016 tarihli Resmi Gazete’de yayımlanmıştır. 36 Türkiye, Protokol’ü 8 Kasım 2001 tarihinde imzalamıştır. Protokol, 5 Mayıs 2016 tarihli 29703 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Avrupa Konseyi, 2018 yılında kişisel verilerin işlenmesi ve korunmasında teknolojik alanda yaşanan değişikliklere uyum sağlamak amacıyla Kişisel Verilerin İşlenmesine İlişkin Bireylerin Korunmasına İlişkin Sözleşmede Değişiklik Yapılmasına Dair Protokol’ü kabul etmiş olmakla birlikte Türkiye henüz ilgili Protokol’e taraf olmamıştır. 37 GONZALES FUSTER, Gloria: The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer International Publishing, Switzerland 2014, s.94. 38 Komisyon, 1973 yılında, Avrupa endüstrisinin küresel olarak daha rekabetçi hale gelmesine yardımcı olacak veri işlemenin endüstriyel uygulamasının geliştirilmesi için sistematik desteğin tasarlanmasının gerekli olduğunu belirten Veri İşlemeye İlişkin Topluluk Politikası başlıklı bir Tebliğ yayınlamıştır. Bu tarihten sonra kişisel verilerin korunmasına yönelik çalışmalar artmıştır. Ayrıntılı bilgi için bkz. GONZALES FUSTER, s.111 vd. 39 GONZALES FUSTER, s.124. 40 GONZALES FUSTER, s.124. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 50 (çoğu) devlet kurumu için doğrudan bağlayıcı niteliktedir. Ayrıca GDPR, verilerin taşınabilirliği ve unutulma hakkı gibi yeni bazı hususlar ile veri işleyenler için yeni yükümlülükler getirmiştir41. GDPR’de kişisel veri kavramı, “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi”, tanımlanmış gerçek kişi de, “özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen kişi” olarak tanımlanmıştır. Tüzük ile birlikte kişisel verilerin işlenmesinde geçerli olacak rıza kavramı da açıklanmıştır. Buna göre rıza, “kendisine dair kişisel verilerin işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan sonra alınan rızayı ifade etmekte olup” veri sahibinin rızası, “veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge”dir. Yukarıda ele aldığımız uluslararası belgelerin aksine GDPR çocuğun kişisel verileri yönünden, çocuklara yönelik gerçekleştirilen faaliyetler kapsamında, özel düzenleme getirmiştir. Kişisel veri sahibinin çocuk olması halinde rızanın geçerli olabilmesi için 16 yaş bir sınır olarak kabul edilmiş42, 16 yaşından küçüklerin rızası için rızanın velayet hakkı sahibi tarafından verilmesi veya çocuk tarafından verilmesi halinde velayet hakkı sahibi tarafından onaylanması şartı getirilmiştir (m.8). Ayrıca geçerli bir rıza olmaksızın çocuğun kişisel verilerinin işlenmesi halinde işleme faaliyetinin hukuka uygun olması “yalnızca veri sorumlusu veya veri işleyen tarafından izlenen meşru menfaatlerin amaçları için işlemenin gerekli olması halinde” mümkündür (m.6). Bu halde dahi, ilgili kişinin kişisel verilerinin korunmasını gerektiren menfaatleri veya temel hak ve özgürlüklerinin söz konusu menfaatlerin önüne geçtiği özellikle ilgili kişinin çocuk olduğu durumlar haricinde işleme hukuka uygun olacaktır. 2. Ulusal Düzenlemeler a. Genel Olarak Türk hukukunda nesnelerin internetine, dolayısıyla bağlantılı oyuncaklara ilişkin özel bir düzenleme bulunmamakla birlikte bazı genel ve özel kanunlarda kişisel verilere ilişkin hükümlerin bu kapsamda değerlendirilmesi mümkündür. Söz konusu hükümler çerçevesinde, bir ihlalin varlığı halinde bunun ortadan kaldırılması, zararın tazmin edilmesi ve sorumlu kişilerin cezalandırılmasının mümkün olup olmadığının incelenmesi gerekmektedir. b. Anayasa 1982 Anayasası’nın ikinci bölümünde düzenlenen temel hak ve hürriyetlerden biri de özel hayatın gizliliğidir. Maddenin ilk halinde kişisel verilere ilişkin bir düzenleme bulunmamakla birlikte 2010 yılında yapılan Anayasa değişikliğiyle 20. maddeye kişisel verilerin korunmasına ilişkin hüküm eklenmiştir. Buna göre “herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Söz konusu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”. Anayasa Mahkemesi’ne bireysel başvuru yolunun kabul edilmesiyle birlikte kişisel verilerin korunması hakkına ilişkin pek çok başvuru yapılmıştır. Kişisel Verilerin Korunması Kanunu yürürlüğe girmeden önce Mahkeme’nin kişisel verilerin neler olduğu yönünde verdiği kararlar önem taşımaktadır. Mahkeme, “özel hayatın geniş bir kavram olduğunu ve kapsayıcı bir tanımının yapılmasının zor olduğunu belirtmiş olmakla birlikte özel hayata saygı hakkının, kişinin maddi ve manevi bütünlüğü, fiziksel ve sosyal kimliği, bireyin ismi, cinsel yönelimi, cinsel yaşamı gibi unsurları koruduğunu, kişisel bilgiler ve veriler, kişisel gelişim, aile hayatı vb. hususlarının da ilgili hakkın içinde yer aldığını” ifade etmiştir43. Ayrıca “kişisel veri -belirli veya kimliği belirlenebilir olmak şartıyla- bir kişiye ilişkin bütün bilgileri” ifade etmekte olup, “bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi sadece kimliğini ortaya koyan bilgileri değil telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmiş, resim, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgiler, IP adresi, e-posta adresi, alışveriş alışkanlıkları, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” bu kapsamdadır44. “Kişisel verilerin korunması hakkı, kişinin onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır45. Anayasa’nın 20. maddesinin üçüncü fıkrasının kişisel verilerin korunmasını isteme hakkı kapsamında sadece işleme şeklindeki sınırlama ya da 41 CUSTERS/SEARS/DECHESNE/GEORGIEVA/TANI/VAN DER HOF, s.1. 42 Ancak üye devletler 13 yaşına kadar bu sınırı düşürebilirler(m.8). 43 AYM, 3.3.2016, B. No: 2013/5653, § 40. Ayrıca bkz. AYM, 15.10.2015, B. No: 2013/2084, § 46. 44 AYM, 9.4.2014, E.2013/122, K.2014/74; AYM, 25.12.2014, E.2014/74, K.2014/201; AYM, 19.3.2015, E.2014/180, K.2015/30; AYM, B. No: 2013/2941, 11/5/2016, § 49. Ayrıca bkz. AYM, B. No: 7.9.2021, 2018/30296, § 30. 45 AYM, 30.12.2015, E.2014/122, K.2015/123, §§ 19, 20. Ayrıca bkz. AYM, 7.9.2021, B. No: 2018/30296, § 29. Kişisel verilerin korunması hakkının ilişkili olduğu diğer haklar ve kişisel verilerin korunmasıyla amaçlanan çıkar konusunda ileri sürülen teorilerle ilgili ayrıntılı bilgi için bkz. KÜZECİ, s.66 vd. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 51 müdahalelere karşı değil, kişisel verilere yönelik her türlü müdahale ve sınırlamalara karşı güvence getirdiği anlaşılmaktadır46”. c. Türk Ceza Kanunu 2005 yılında yürürlüğe giren 5237 sayılı TCK’nın “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı “İkinci Kitap İkinci Kısım Dokuzuncu Bölümü”nde 135- 140. maddeler arasında “Kişisel Verilerin Kaydedilmesi, Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme ile Verileri Yok Etmeme” suçları düzenlenmiştir. TCK’nın ilgili hükümleriyle Anayasa ve kişisel verilere ilişkin özel bir kanuni düzenlemeden önce kişisel verilere karşı suçlar hukukumuzda düzenlenmiştir47. İfade etmek gerekir ki, TCK hükümlerinin yorumlanması ve kapsamının belirlenmesi hususunda gerek uluslararası düzenlemeler gerekse ulusal düzenlemeler olan Anayasa ve KVKK hükümleri dikkate alınmalıdır. Kişisel verilerin kaydedilmesi suçu ile hukuka aykırı olarak kişisel verilerin kaydedilmesi yaptırım altına alınmıştır. TCK’da kişisel veriler kavramı tanımlanmamakla birlikte kişisel veriden söz edebilmek için, “verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli veya belirlenebilir” nitelikte olması gerekir48. 135. maddenin 2. fıkrasında kişisel verinin, özel nitelikte veri kabul edilen “kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması” hali cezanın artırılmasını gerektiren nitelikli hal olarak düzenlenmiştir. Suçun hareket unsuru olan kaydetmek kelime anlamı itibariyle, “yazmak, bazı önemli noktaları tespit etmek, hatırlamak için yazmak, not etmek, sesi veya resmi manyetik bant üzerine geçirmek, elektronik veya sayısal araçlarda bilgiyi korumaya almak49” şeklinde tanımlanmaktadır. Bu nedenle suçun hareket unsuru bakımından kişisel verilerin yazılması, not edilmesi, korumaya alınması kaydetmek hareketini oluşturacaktır. Ayrıca ifade edilmelidir ki, kişisel verilerin kaydedilmesi, KVKK’da tanımlanan kişisel verilerin işlenmesi50 kavramı unsurlarından biri olarak belirtilmiştir. Bu kapsamda bağlantılı oyuncaklar yoluyla kişilerin verilerinin kaydedilmesi halinde ilgili suç oluşacaktır. Verileri hukuka aykırı olarak verme veya ele geçirme suçu ile “kişisel verileri, hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme hareketleri” cezalandırılmıştır51. Örneğin bağlantılı oyuncaklar aracılığıyla temin edilen bilgilerin hukuka aykırı olarak üçüncü kişilere verilmesi halinde ilgili suç oluşacaktır. Böyle bir durumda kişisel verilerin kaydedilmesinin hukuka aykırı olması halinde hem kişisel verilerin kaydedilmesi hem de verileri hukuka aykırı olarak verme veya ele geçirme suçundan sorumluluk doğacaktır. Verileri yok etmeme suçu ile ise kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri yaptırım altına alınmıştır. Ayrıca ifade etmek gerekir ki, KVKK’nın 7. maddesinde de KVKK veya ilgili diğer bir kanun uyarınca işlenmiş kişisel verilerin işlenmeyi gerektiren hallerin kalkması halinde silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekliliği ifade edilmiştir52. İlgili suçlar bakımından belirli hususlar ortak özellik niteliğindedir. Sırf hareket suçu niteliğinde olan suçlar kasten işlenebilen soyut tehlike suçlarıdır53. Kişisel verilerin kaydedilmesi suçu ile “verileri hukuka aykırı olarak verme veya ele geçirme suçu” doğrudan kastla işlenebilir54. “Kişisel verilerin kaydedilmesi” ile “verileri hukuka aykırı olarak verme veya ele geçirme suçları” bakımından fail ve mağdur55 herhangi bir özellik arz etmez. Ancak ilgili suçların “kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle” veya “belli bir meslek ve sanatın sağladığı 46 AYM, 17.9.2020, B. No: 2016/1310, § 63; AYM, 1.9.2020, B. No: 2018/23077, §101. 47 Söz konusu hükümler dışında ayrıca haberleşmenin gizliliğini ihlal (m.132), kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması (m.133), özel hayatın gizliliğini ihlal (m.134), ticarî sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması(m.239) ve göreve ilişkin sırrın açıklanması (m.258) suçları da kişisel verilerin korunmasında etkili olacaktır. 48 Kişisel veri ve kişisel verilerin korunması hakkında ayrıntılı bilgi için bkz. KÜZECİ, s.10 vd. 49 https://sozluk.gov.tr/, (Erişim: 06.06.2022) 50 KVKK’da kişisel verilerin işlenmesi kavramı, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmıştır (m.3/1,e). 51 Suçun başlığı ve içeriğinin örtüşmediği ve bu nedenle eleştirilmesi gerektiği yönünde ayrıntılı bilgi için bkz. ZAFER, Hamide: “Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu”, Duruşma Arası Dergisi, (4), 2020, s.39. 52 Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ile düzenlenmiştir. 53 KOCA, Mahmut/ÜZÜLMEZ, İlhan: Kişisel Verilerin Kaydedilmesi Suçu, D.E.Ü. Hukuk Fakültesi Dergisi, Prof. Dr. Durmuş TEZCAN’a Armağan, 21, 2019,ns.73; MADEN, Mehmet: Ceza Hukukunda Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara 2021, s.53,95. 54 ÖZGENÇ, İzzet, Türk Ceza Hukuku Genel Hükümler, 17. Bası, Seçkin Yayıncılık, Ankara, 2021, s.310. Ayrıca bkz. ARTUK, M. Emin/GÖKCEN, Ahmet/ALŞAHİN, M. Emin/ÇAKIR, Kerim: Ceza Hukuku Genel Hükümler, 13. Baskı, Adalet Yayınevi, Ankara 2019, s.486; KOCA/ÜZÜLMEZ, s.81. 55 Yukarıda ele aldığımız uluslararası belgelerle uyumlu olarak bu suçların mağduru ancak gerçek kişiler olabilecektir. Tüzel kişilere ait veriler bu suçun konusunu oluşturmaz, bu nedenle tüzel kişilerin suçtan zarar gören olması da mümkün değildir. Tüzel kişiler bakımından “ticarî sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması suçu” gündeme gelebilecektir. Ayrıntılı bilgi için bkz. KOCA/ÜZÜLMEZ, s.75. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 52 kolaylıktan yararlanmak suretiyle” işlenmesi halleri cezanın artırılmasını gerektiren nitelikli hal olarak düzenlenmiştir. Verileri yok etmeme suçu ise ancak kişisel verileri sistem içinde yok etmekle yükümlü olanlar tarafından işlenebilir. Bu bakımdan suçun faili bir kamu görevlisi olabileceği gibi bir meslek veya sanat sahibi kimse de olabilir56. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâli cezanın artırılmasını gerektiren nitelikli hal olarak düzenlenmiştir. İlgili suçun mağduru da verileri sistemde kayıtlı bulunan kişiler olabilir. Ayrıca ifade etmek gerekir ki, ilgili suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur. TCK’da tüzel kişiler bakımından güvenlik tedbiri uygulanacak suçlar sınırlı sayıda sayılmış olup, günümüzde bir tüzel kişi faaliyeti çerçevesinde bu suçların işlenmesi sıkça karşımıza çıkabilecek bir olasılık olduğundan, bu suçlar için böyle bir düzenlemeye yer verilmesi yerinde olmuştur. Bağlantılı oyuncaklar aracılığıyla kişisel verileri kaydeden, verileri hukuka aykırı olarak veren veya ele geçiren şirketler bakımından ilgili hüküm çerçevesinde güvenlik tedbirleri uygulanabilecektir. Kişisel verilerin kaydedilmesi ile verileri hukuka aykırı olarak verme veya ele geçirme hareketlerinin hukuka uygun olarak gerçekleştirilmesi halinde ilgili suçlar oluşmayacaktır. Anayasa ve KVKK hükümleri birlikte değerlendirildiğinde ilgili suçlar bakımından kanun hükmünü icra, ilgilinin rızası ve hakkın kullanılması hukuka uygunluk nedenleri olarak karşımıza çıkabilir57. Adli Sicil Kanunu, PVSK, CMK, Nüfus Hizmetleri Kanunu kişisel verilere ilişkin düzenleme içeren kanunlara örnek verilebilir. Ayrıca dilekçe, basın yayın, iddia ve savunma hakkının kullanılması da ilgili suçlar bakımından hukuka uygunluk nedeni olacaktır58. Verileri yok etmeme suçu bakımından da ilgilinin rızasının hukuka uygunluk nedeni olabileceği ifade edilmiştir. Ancak belirtilmelidir ki, kanunun bir kamu görevlisine verileri silme yükümlülüğü getirmesi halinde ilgilinin rızasının bir hukuka uygunluk nedeni olması mümkün değildir59. d. Kişisel Verilerin Korunması Kanunu Ülkemizde kişisel verilerin korunmasına ilişkin özel bir düzenleme yapmak amacıyla ilk defa 1989 yılında bir Komisyon oluşturulmuşsa da Komisyon çalışmalarını bitirmeden dağılmıştır. Daha sonra ise 2000 yılında yeni bir Komisyon oluşturulmuş ve ilgili Komisyon kişisel verilere ilişkin bir kanun tasarısı hazırlamıştır. Ancak söz konusu tasarı kanunlaşmamıştır. 2008 yılında çeşitli çalışmalar yapılsa da bunlardan da bir sonuç elde edilememiştir. Ancak 2010 yılında Anayasa’da yapılan değişiklik neticesinde 26 Aralık 2014 tarihinde TBMM Başkanlığına sunulan “Kişisel Verilerin Korunması Kanunu Tasarısı” 24 Mart 2016 tarihinde kanunlaşmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun’la birlikte kişisel veri ve özel nitelikli kişisel verilerin tanımı yapılmış, ilgililerin hakları ve yükümlülükleri, verilerin işlenmesi, saklanması, aktarılması ile veri güvenliğine ilişkin esaslar belirtilmiştir. Ayrıca Kanun’la Kişisel Verileri Koruma Kurumu ile Kişisel Verileri Koruma Kurulu kurulmuş ve Kurula başvuru şartları, kişisel verilere karşı suçlar ve kabahatler düzenlenmiştir. KVKK’nın 17. maddesiyle kişisel verilere karşı gerçekleştirilecek suçlar bakımından TCK’nın ilgili maddelerinin uygulanacağı ifade edilmiştir. Ancak Kanun’un 18. maddesinde belirli fiiller kabahat olarak düzenlenmiştir. Kanun’da düzenlenen kabahatlerden ilki aydınlatma yükümlülüğüne aykırılıktır. Buna göre veri sorumlusu olan gerçek veya özel hukuk tüzel kişilerinin aydınlatma yükümlülüğüne aykırı davranması halinde 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası uygulanacaktır. Bir diğer kabahat de veri güvenliğine ilişkin yükümlülüklere aykırılık olup ilgili yükümlülükleri yerine getirmeyenler hakkında “15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası” uygulanacaktır. e. Türk Medeni Kanunu ve Türk Borçlar Kanunu Kişisel verilerin, kişilik hakkını oluşturan şahıs varlığı değerleriyle ilişkili olması60 sebebiyle, bunların ihlali halinde Türk Medeni Kanunu’nun ve Türk Borçlar Kanunu’nun kişilik hakkını koruyan hükümleri uyarınca bir koruma sağlanması mümkündür. TMK’nın 23, 24 ve 25. maddeleri kişiliği koruyucu hükümler olmakla beraber TBK’nın haksız fiili düzenleyen 49. maddesi ve manevi tazminatı düzenleyen 58. maddesi de kişiliğin korunmasına hizmet eden hükümlerdendir61. Kişisel verilerin işlenmesi, TMK m.24’teki hukuka uygunluk nedenlerinin varlığı halinde hukuka uygun kabul edilmektedir. Bu sebepler ise rıza, üstün nitelikte özel ve kamusal yarar, kanunun verdiği yetkidir. Dolayısıyla kişisel verileri işlenen kişinin işleme eylemine ilişkin rızası bulunuyorsa, özel bir yararı 56 ÖZBEK, Veli Özer/DOĞAN, K/BACAKSIZ, Pınar: Türk Ceza Hukuku Özel Hükümler, 16. Baskı, Seçkin Yayıncılık, Ankara, 2021, s.596. Ayrıca bkz. MADEN, s.128. 57 KOCA/ÜZÜLMEZ, s.81-82. Ayrıca bkz. HAFIZOĞULLARI, Zeki/ÖZEN, Muharrem: Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar, Ankara Barosu Dergisi, (4), 2009, s.20; YURTCAN, Erdener: Yargıtay Kararları Işığında Özel Hayata Karşı Suçlar, 2. Baskı, Seçkin Yayıncılık, Ankara, 2020, s.149, 351. Öğretide suçların şikâyete tabi suç olmadığı ve burada kamunun menfaatinin korunduğu, bu nedenle mevzuata uygun yapılan kaydetme, verme veya ele geçirme hareketleri bakımından ilgilinin rızasının mümkün olmadığı ancak kanun hükmünü icra hukuka uygunluk nedeninin söz konusu olduğu ifade edilmiştir. Ayrıntılı bilgi için bkz. ÖZBEK/DOĞAN/BACAKSIZ, s.588 vd. 58 ZAFER, s.56-57. 59 Ayrıntılı bilgi için bkz. MADEN, s.143-144. Ayrıca bkz. ÖZBEK/DOĞAN/BACAKSIZ, s.598. 60 Kişisel verilerin hukuki niteliğine ilişkin görüşler için bkz. AKKURT, Sinan Sami: “Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış”, Kişisel Verileri Koruma Dergisi, 2(1), 2020, s.21 vd. 61 ATASOY, Kemal: “Kişilik Hakkı Kapsamında Sosyal Medyada Kişisel Verilerin Korunması ve Veri Sahibinin Rızası”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, 22(3), 2016, s.273 vd. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 53 varsa veya toplumsal bir menfaat karşısında bu kişinin menfaatinin daha az korunması gerekiyorsa veyahut da verilerin işlenmesinde kamusal makamların yasalara dayanan bir yetkisi var ise bu durumlarda verilerin işlenmesinin hukuka uygun olduğu ifade edilebilir62. Bağlantılı oyuncaklar özelinde konuya yaklaşıldığında, TMK m.24’te düzenlenen hukuka uygunluk nedenlerinden rıza, söz konusu işleme eylemini hukuka uygun hale getirmektedir. Üstün nitelikte özel ve kamusal yarar ile kanunun verdiği yetki63 hukuka uygunluk nedenlerinin, söz konusu olaylarda hukuka uygunluk sağlamalarının pratikte karşılaşılmadığını söylemek yanlış olmayacaktır. Kişisel verilerin TMK m.24 hükmünde düzenlenen hukuka uygunluk nedenleri bulunmaksızın işlenmesi halinde, kişilik hakkı saldırıya uğrayan kişi hâkimden koruma talep edebilir. Bu kapsamda TMK m.25’te düzenlenen saldırı tehlikesinin önlenmesi, saldırıya son verilmesi, saldırının hukuka aykırılığının tespit edilmesi ve maddi-manevi tazminat istemlerinde bulunulabilir. Şahıs varlığı değerlerinin ihlal edilmesi sonucunda bir gelir elde edilmiş ise bunun vekâletsiz iş görme hükümlerine göre istenebilmesi de aynı maddenin 3. fıkrası gereğince mümkündür. Bununla birlikte kişisel verileri hukuka aykırı olarak işlenen kimsenin bir zarara uğraması halinde, kusuru ile bu zarara neden olan kişi TBK m.49 kapsamında bu zararı gidermekle yükümlüdür. f. Ürün Güvenliği ve Teknik Düzenlemeler Kanunu 12 Mart 2021 tarihinde yürürlüğe giren Ürün Güvenliği ve Teknik Düzenlemeler Kanunu’nun amacı, Kanun’un 1. maddesinde “ürünlerin, güvenli ve ilgili teknik düzenlemelere uygun olmasını sağlamak; piyasa gözetimi ve denetiminin esasları ile yetkili kuruluşların görevlerini ve iktisadi işletmeciler ile uygunluk değerlendirme kuruluşlarının yükümlülüklerini belirlemek” olarak ifade edilmiştir. Kanun’un amacına bakıldığında, kişisel verilerin korunmasına hizmet edebilecek hükümlerin varlığına rastlanmamaktadır. Kişisel verilerin ihlal edilmesine yol açabilecek ürünler yönünden, olması gereken hukuk açısından üreticiye bir sorumluluk yüklenmesi noktasında Kanun’un kapsamının daha geniş tutulmasının yerinde olacağı doktrinde savunulmaktadır64. Nesnelerin interneti kavramının özel bir görünümü olan bağlantılı oyuncaklar aracılığı ile çocukların kişisel verilerinin ihlal edilmesi halinde, ürün sorumluluğunun gündeme gelip gelmeyeceği de yakın gelecekte tartışılacak konuların başında gelmektedir. ÜGTDK’da, nesnelerin internetinin doğurabileceği güvenlik açıkları ve meydana gelebilecek zararlardan sorumluluğa ilişkin herhangi bir düzenleme bulunmamaktadır. Ancak ürün sorumluluğuna ilişkin uluslararası düzenlemelere bakıldığında Avrupa Komisyonu’nun (COM) 2020 64 Final Raporu’nda65, yapay zekâ, nesnelerin interneti ve robotik gibi teknolojilerin ortaya çıkması ile başta ürün güvenliği olmak üzere pek çok zorluğun ortaya çıkabileceği, mevcut düzenlemelerin bu konular açısından boşluklar içerdiği, bu nedenle Ürün Sorumluluğu Direktifi’nde ve ulusal sorumluluk düzenlemelerinde söz konusu riskler dikkate alınarak belirlemeler yapılması gerektiği önemle ifade edilmiştir. Bu nedenle doktrinde, henüz yürürlüğe giren ÜGTDK’nın, bu tavsiyeler doğrultusunda, daha kapsayıcı ve güncel bir ürün sorumluluğuna yer vermesinin beklendiği ancak bunun sağlanamadığı haklı olarak ifade edilmektedir66. Sonuç olarak ÜGTDK’ya bakıldığında geleneksel anlamda ürün sorumluluğuna yer verildiği, teknolojik gelişmelerin Kanun kapsamına entegre edilemediği anlaşılmaktadır. Bu nedenle nesnelerin interneti gibi teknolojilerin neden olacağı hukuki sorunlar açısından mevcut durumda, söz konusu Kanun kapsamında herhangi bir sorumluluğun gündeme gelmeyeceğini ifade etmek yanlış olmayacaktır. D. Bağlantılı Oyuncaklar Aracılığıyla Kişisel Verilerin İşlenmesinde Rıza On sekiz yaşını doldurmamış bireyler olarak tanımladığımız çocuklar, kişisel verilerin korunması hakkı da dâhil olmak üzere bireye tanınmış tüm hakların süjesidir. Bununla birlikte, kişisel verilerin korunması çocuklar bakımından daha büyük bir öneme sahiptir. Bunun nedenlerini ise iki grupta toplamak mümkündür: statik ve dinamik. Statik açıdan, çocuk henüz fiziksel ve psikolojik olgunluğa erişmemiş bir kişidir. Dinamik açıdan ise, çocuk bir yetişkin olmak için fiziksel ve zihinsel olarak gelişme sürecindedir. Çocuk hakları ve bu hakların kullanılması -veri koruma dâhil olmak üzere- bu iki bakış açısını da kapsayan 62 TMK m.24’te düzenlenen hukuka uygunluk nedenlerine ilişkin ayrıntılı bilgi için bkz. OĞUZMAN, M. Kemal/SELİÇİ, Özer/OKTAY ÖZDEMİR, Saibe: Kişiler Hukuku, Gözden Geçirilmiş 18. Bası, İstanbul 2019, s.223 vd.; DURAL, Mustafa/ÖĞÜZ, Tufan: Kişiler Hukuku, 20. Baskı, İstanbul 2019, s.153 vd.; BAYGIN, Cem/NAR, Ahmet: Medeni Hukuk Dersleri-I, Başlangıç Hükümleri ve Gerçek Kişiler Hukuku, Ankara 2021, s.557 vd. 63 Bazı kanuni düzenlemeler kapsamında, kişinin rızası bulunmasa dahi kişisel verilerin işlenmesi mümkündür. Hangi verilerin ilgilinin rızası olmaksızın işlenebileceği başta KVKK olmak üzere diğer bazı düzenlemelerde yer almaktadır. Ayrıntılı bilgi için bkz. POLAT, Alperen: Sorumluluk Hukukunda Rıza, On İki Levha Yayıncılık, İstanbul, 2019, s.105-106. Ancak ifade edildiği üzere bağlantılı oyuncaklar özelinde kanunun verdiği yetkiyle, geçerli bir rıza bulunmaksızın kişisel verilerin işlenmesi pratikte mümkün görünmemektedir. 64ATAMER, Yeşim/KURTULAN GÜNER, Gökçe: “Ürün Güvenliği ve Teknik Düzenlemeler Kanunu ile İmalatçının Sorumluluğu Konusu Türk Hukuku Açısından Çözülmüş Müdür?”, AÜHFD, 70(2), 2021, s.556-557. Benzer yönde bkz. KANIŞLI, Erdal: “Ürün Güvenliği ve Teknik Düzenlemeler Kanunu (ÜGTDK) Uyarınca Üreticinin Sorumluluğu”, İstanbul Hukuk Mecmuası, 78(3), 2020, s.1425. 65 Report From The Commission To The European Parliament, The Council And The European Economic And Social Committee, Report on the Safety and Liability Implications of Artificial Intelligence, the Internet of Things and robotics, Brussels, 19.2.2020, COM(2020) 64 final. https://eur-lex.europa.eu/legal-content/en/TXT/?qid=1*** *** ****83&uri=CELEX%3A52020DC0064 (Erişim: 28.06.2022) 66 ATAMER/KURTULAN GÜNER, s.557. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 54 bir şekilde değerlendirilmelidir67. Bu nedenlerle pek çok durumda çocukların, haklarını kullanabilmeleri için yasal temsile ihtiyaçları bulunmaktadır. Ancak söz konusu durum, yasal temsilcinin statüsünün çocuğunkinden mutlak veya koşulsuz bir önceliğe sahip olduğu anlamına gelmez; çünkü çocuğun üstün yararı, bazen onlara ebeveynlerin veya diğer yasal temsilcilerin isteklerini geçersiz kılabilecek veri korumasına ilişkin haklar verebilir68. İşte fiziksel ve psikolojik olgunluğa erişmemiş ancak gelişme sürecinde olan bireylerin, “çocukların”, kişisel verilerinin korunabilmesi için, bazı temel kriterlerin belirlenmesi gerekmektedir. Zira her geçen gün, gelişen teknolojinin de etkisiyle çocuklar kullandıkları her platformda kişisel verilerini bilinçli ya da bilinçsiz paylaşabilmektedirler. Markets and Markets tarafından yapılan bir araştırmaya göre69, küresel ölçekte bağlantılı oyuncak piyasası büyüklüğünün 2019 yılından 2024 yılına kadar yaklaşık olarak %200 artması beklenmektedir ki bu da işlenecek olan kişisel verilerin boyutunun ve bu verilerin ihlali ihtimalinin de bir o kadar artacağına işaret etmektedir. Kişisel verilerin ihlali noktasında ise ilk ve en önemli problem hiç şüphesiz rızadır. Hemen hemen bütün bağlantılı oyuncaklar, verilerin işlenmesinde rıza esasına dayanır. Zira bağlantılı oyuncaklar açısından rıza, veri sorumlusu ve işleyiciler yönünden, kişisel verilerin işlenmesinin yasal zeminini oluşturur. Rıza ise, açıklamaya ehil kişilerce verildiği takdirde geçerli olarak kabul edilmektedir. Peki, bağlantılı oyuncaklar aracılığı ile verilerin işlenmesine rıza kim tarafından, nasıl ve ne zaman gösterilmelidir? Bu sorulara verilecek cevaplar, bağlantılı oyuncaklar aracılığıyla verilerin işlenmesinin hukuka uygunluğu açısından önem arz etmektedir. İlgilinin rızası kişisel verilerin işlenmesi ve aktarılmasını hukuka uygun hale getireceği için kişisel verilere karşı işlenen suçlar da oluşmayacaktır. TCK’nın 26. maddesinde ilgilinin rızası hukuka uygunluk nedeni olarak düzenlenmiş olup geçerli bir hukuka uygunluk nedeninden bahsedebilmek için kişinin üzerinde mutlak surette tasarruf edebileceği bir hak, rızaya ehliyet ve rızanın açıklanması şartlarının gerçekleşmesi gerekir. Suçun mağduru olarak çocuk söz konusu olduğunda kural olarak ceza hukukunda, rıza bağlamında herhangi bir yaş sınırı getirilmemiş olup her somut olayda rızanın geçerliliğinin ayrıca değerlendirilmesi gerekmektedir. KVKK’da ise kişisel verilerin işlenmesi, aktarılması ve yurtdışına aktarılmasının, Kanun’da sayılan istisnalar dışında, ancak açık rızanın varlığı halinde mümkün olduğu ifade edilmiştir. Açık rıza ise KVKK’da “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Bağlantılı oyuncakların hedef kitlesine bakıldığında, bu oyuncakların 1 yaşından 18 yaşına kadar tüm çocuklara hitap ettiği görülmektedir. Gerçekten de üreticilerin, tasarladıkları oyuncakları tavsiye ettiği yaş grupları 2-5, 6-8, 9-12 ve 13-18 gibi birçok yaş grubunu kapsamaktadır70. Hedef kitlenin yaş aralığının oldukça geniş olmasından dolayı, bağlantılı oyuncaklar aracılığıyla verilerin işlenmesine rıza gösterilmesinde tek bir kriter belirleyebilmek mümkün değildir. Zira belirtilen yaş gruplarının fiziksel ve zihinsel gelişim aşamaları birbirinden farklıdır. Bu nedenle rıza söz konusu olduğunda çözüm, yalnızca çocuğa danışılmasından, çocuğun ve yasal temsilcisinin paralel rızasına ve hatta çocuk zaten yeterince olgunsa çocuğun tek başına rıza göstermesine kadar ilerleyebilir71. GDPR’a bakıldığında, üye devletlerin 13 yaşından küçük olmamak kaydıyla çocuğun kişisel verilerinin işlenmesinde, üye devletlere asgari bir yaş sınırı belirleme yetkisi verdiği görülmektedir. Ancak devletlerin bu konuda bir mutabakata vardığını söylemek oldukça güçtür. Üstelik ülkemizde olduğu gibi çocuğun kişisel verilerinin işlenmesinde rızaya ilişkin olarak herhangi bir düzenlemeye yer vermeyen birçok ülke de bulunmaktadır72. Bir çocuğun kişisel verilerinin işlenmesi halinde hangi sonuçlarla karşılaşacağını gerçekten bildiğinin kabul edilmesi halinde, rızasını yasal temsilcisinden bağımsız olarak özgürce açıklayabilmesi, pek tabii en ideal yoldur. Ancak pratikte, bir yapay zekâ aracılığıyla yapılacak doğrulama sonucunda kullanıcının rıza açıklamaya ehil olduğunun belirlenmesi ve bunun sonucunda rızanın elde edilmesi ne derece gerçeği yansıtacaktır? İşte bir çocuğun kendisini etkileyebilecek bir kararın sorumluluğunu alıp alamayacağını belirlemenin getirdiği zorluk, devletleri rıza noktasında bir yaş belirleme zorunluluğuna sevk etmektedir73. 67 Article 29 Data Protection Working Party, Opinion 2/2009 on the protection of children's personal data (General Guidelines and the special case of schools), https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2009/wp160_en.pdf, s.3. (Erişim: 28.06.2022) 68 Article 29 Data Protection Working Party, Opinion 2/2009 on the protection of children's personal data (General Guidelines and the special case of schools), s.5. 69https://www.marketsandmarkets.com/Market-Reports/connected-toys-market-38031230.html (Erişim: 20.03.2022) 70https://www.marketsandmarkets.com/Market-Reports/connected-toys-market-38031230.html, (Erişim: 20.03.2022) 71 Article 29 Data Protection Working Party, Opinion 2/2009 on the protection of children's personal data (General Guidelines and the special case of schools), s.6. 72 Türk hukukunda, kişisel verilerin korunması mevzuatında bir güncelleme yapılarak, belirli yaş grupları bakımından GDPR’da olduğu gibi bir yaş sınırı düzenlemesinin yapılması gerektiği yönünde bkz. DÜLGER, Murat Volkan/KAHRAMAN, Cansu Ceren/YALÇIN, Simay: “GDPR ve KVKK Bakımından Çocukların Kişisel Verilerinin Korunması ve Konuya İlişkin Kurul Kararının Değerlendirilmesi”, s.10. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3792410 (Erişim: 31.07.2022); UÇAK, s.58. 73 İskoçya’da 12 yaş ve üzeri çocuklar, aksi kanıtlanmadıkça, kişisel verilerinin işlenmesine rıza gösterme noktasında yeterli kabul edilmektedir. Avusturya’da bu sınır 14 yaş olarak belirlenmiştir. Bkz. DÜLGER/KAHRAMAN/YALÇIN, s.3-4. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 55 Gerçekten de, her somut olayda çocuğun o durum için ayırt etme gücünün var olup olmadığının belirlenmesi pratik gerçekliğe çok uygun değildir74. Bağlantılı oyuncaklar özelinde, çocuklar için en iyi korumayı sağlamak ve aynı zamanda onların çevrimiçi haklarını engellememek amacıyla, farklı yaş sınırlarının benimsenmesi daha uygun bir alternatiftir. Örneğin 2-5 veya 6-8 yaş grubunu hedefleyen bağlantılı oyuncaklar açısından kişisel verilerin işlenmesi için yasal temsilcinin rızası gerekli ve yeterli kabul edilebilirken; 13-18 yaş grubunu hedefleyen bir oyuncak için çocuğun rızasını dışlayarak sadece yasal temsilcinin rızasını aramak, Çocuk Haklarına Dair Sözleşme’nin 12. maddesindeki “Görüşlerini oluşturma yeteneğine sahip çocuğun kendini ilgilendiren her konuda görüşlerini serbestçe ifade etme hakkını bu görüşlere çocuğun yaşı ve olgunluk derecesine uygun olarak, gereken özen gösterilmek suretiyle tanırlar.” ifadesinde de kendisine yer bulan, “çocuğun korunmasının yanında güçlendirilmesi” anlayışı ile ters düşebilir. Bununla birlikte bağlantılı oyuncağın hangi tür kişisel verileri işlediği de rıza açıklamasında yaş sınırının belirlenmesi noktasında bir kriter olarak dikkate alınmalıdır. Örneğin özel nitelikli kişisel verileri (parmak izi, retina gibi) işleyen robotik türdeki bir bağlantılı oyuncağın daha fazla bir korumayı gerektirdiğini söylemek yanlış olmayacaktır. Bu verilerin işlenmesi açısından normal nitelikteki bir kişisel veri için belirlenen asgari yaş sınırından daha yüksek bir sınır belirlenebilir. Rızanın hukuka uygunluğunun sağlanmasındaki bir diğer husus, rıza açıklayacak kişinin/kişilerin neye, ne için rıza gösterdiğini bilmeleridir. Bu ise veri işleyicileri tarafından rıza açıklayacak olan kişilerin hangi verilerinin, ne boyutta, hangi amaçlarla ve araçlarla işleneceği noktasında aydınlatılmaları ile mümkün hale gelir75. Ancak bağlantılı oyuncaklar için aydınlatma genellikle bir web sayfasının ziyaret edilmesi ile mümkün olmaktadır. Kullanıcı, söz konusu web sayfasına girerek gizlilik politikasına ulaşabilmektedir76. Bu ise kullanıcının, çoğu zaman neye rıza göstereceğini incelemeden rızasını açıklaması sonucunu doğurmaktadır. Bu nedenle verilere ilişkin aydınlatma metninin ulaşılabilir olması oldukça önemlidir. Aydınlatma metninin ulaşılabilirliğinin sağlanmasından sonraki aşamada ise oyuncak üreticilerinin, her bir oyuncağı doğru tanımlaması ve işlenecek olan verileri hassas bir şekilde kategorize etmesi gerekmektedir. Bu noktada üreticilerin muhtemel bir ihlal ile karşı karşıya kalmaması için, verilerin kategorize edilmesinden sonra, her bir kategori için farklı şartları araması gibi bir yönteme de başvurulabilir. Örneğin 13-15 yaş grubuna hitap eden bir oyuncakta veri işlenmesi noktasında rıza elde edilirken sadece çocuğun rızası yeterli görülebilirken, özel nitelikteki veriler aynı yaş aralığı için yasal temsilcinin rızası gerekli görülebilir. Ayrıca işlenecek her bir verinin, ne amaçla kullanılacağı noktasında, rıza açıklamaya ehil kişinin anlama kapasitesi de dikkate alınarak bir aydınlatmada bulunulmalıdır. Sonuç olarak, veri korumasının en temel ilkelerinden birinin bildirim olduğunu kabul edersek; oyuncak üreticilerinin şeffaf ve dürüst olması gerekmektedir. Bu ise verilerin işlenmesi noktasında yeterli ve zamanında bilgilendirme ile mümkün olacaktır. Pek tabii bilgilendirmenin yanında etkili bir doğrulama mekanizması ve güçlü güvenlik önlemlerinin varlığı da çocukların bağlantılı oyuncaklar yoluyla kişisel verilerinin hukuka aykırı işlenmesinin önüne geçilmesinde önem arz edecektir. IV. SONUÇ Teknoloji alanındaki gelişmeler, hayatımıza önceden hayal etmesi zor birçok imkân sunmaktadır. Örneğin günlük hayatımızın her alanında yer alan sıradan cihazlardan yararlanma şeklimiz, nesnelerin internetinin hayatımıza girmesi ile değişmeye başlamıştır. İnternetle bağlantılı hale gelen bu cihazlar artık çok daha fazla işlevi yerine getirerek hayatımızı kolaylaştırmakta ve hatta yakın bir arkadaş olma noktasına doğru ilerlemektedir. Bu teknolojinin, 7’den 70’e her insanın hayatında yer almasına rağmen çocukların hayatına çok daha fazla etki ettiği söylenebilir. Eğlence, eğitim, sağlık ve daha birçok amaç için kullanılan bağlantılı oyuncakların iki yönü bulunmaktadır. Bir yönden, bu oyuncaklar eğitimsel bir değere sahip olmasından dolayı çocukların gelişimine katkı sağlamakta, bunun yanı sıra ebeveynlerin de hayatlarını kolaylaştırmaktadır; diğer yönden ise bu oyuncaklar, içine gömülü halde bulunan binlerce sensör aracılığıyla verileri işlemek amacıyla tasarlandığı için birtakım riskler ve tehditler barındırmaktadır. Bağlantılı oyuncakların verileri işleme yetenekleri, yazılımlarından kaynaklanır ve doğal olarak bu da işlenen verilerin güvenliği noktasında riskleri gündeme getirir. Siber riskler bir yana, verilerin, veri toplayıcısı tarafından işlenmesinin hukuka uygunluğunun sağlanması da gündeme gelebilecek başlıca problemlerden birisidir. Yazılımdan kaynaklanan güvenlik açıkları ve bunun beraberinde getirdiği riskler, konunun daha ziyade teknik boyutunu oluşturmakla birlikte hukuki açıdan, bağlantılı oyuncaklar aracılığıyla hukuka uygun veri işlemenin sağlanması açısından “rıza” hususu oldukça önemlidir. Kişisel verilerin korunmasına ilişkin gerek uluslararası gerekse ulusal düzenlemelere bakıldığında, bu düzenlemelerin nesnelerin interneti özelinde yeterli olmadığı ifade edilebilirse de, bu düzenlemelerde genel olarak kişisel verilerin işlenmesinde rıza hususuna değinildiği ve rızanın verilerin işlenmesinde bir hukuka uygunluk aracı olarak kabul edildiği görülmektedir. Ancak nihayetinde, düzenlemelerin yetersizliği ve söz konusu cihazların sadece üretilen ülke 74 DÜLGER/KAHRAMAN/YALÇIN, s.10. 75 UÇAK, Murat: “Kişisel Verilerin Hukuka Uygun İşlenmesinde Çocuğun Rızası”, Kişisel Verileri Koruma Dergisi, 3(1), 2020, s.49. 76 PEPPET, s.140. Inonu University Law Review – InULR 14(1): 43-57 (2023) Nurten ÖZTÜRK & Elif Rumeysa GÜRBÜZ 56 içinde kalmadığı, tüm dünyaya dağıtıldığı düşünülecek olursa rızanın alınması noktasında hangi hukuki düzenlemeye tabi olunacağı, rızanın alınma usulü gibi birçok problem gündeme gelebilecektir. Bağlantılı oyuncak kullanıcıları, oyuncak üreticileri tarafından yeterli ve zamanında bilgilendirilmeli, bu bilgilendirme verilerin hangi amaçla işleneceği, işlenecek verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve sebebi gibi hususları içermelidir. Bilgilendirmenin ardından geçerli bir rıza elde edilmelidir. Bağlantılı oyuncak kullanıcılarının, çocuklar olması dolayısıyla rızanın alınmasında, ya tek başına çocuğun rızası yeterli görülmeli ya da yasal temsilcinin rızası da aranmalıdır. Bu ise çocuğun, verilerin işlenmesi noktasında ayırt etme gücünün yeterli olup olmadığının belirlenmesinin yanı sıra işlenecek olan verilerin türüne göre bir kategorizasyon yapılması ile tespit edilmelidir. Güvenli bağlantılı oyuncaklar fikri, günümüz teknoloji çağında oldukça zor görünse de imkansız değildir. Aşırı veri işleyen, çocukların mahremiyetine karşı hassas olmayan ve şeffaflık konusunda yetersiz olan oyuncaklar açısından ortalama bir standart belirlenmelidir. Bunun sağlanması için ise çocukların nasıl korunacağını daha açıklayıcı bir şekilde tanımlayan düzenlemelere ihtiyacın olduğu açıktır. Pek tabii düzenlemelerin başarı düzeyi de tek taraflı olarak hükümetlerce hazırlanması ile değil konuyla ilişkili sektör paydaşları ile müzakere edilerek hazırlanması ile ilgilidir. Nihayet iç hukukumuzda da genel olarak nesnelerin internetine ve çocukların kişisel verilerinin korunmasına ilişkin hükümlere yer verilmesi ile konunun yasal bir zemine kavuşması sağlanabilir. Yazar Beyanı | Author's Declaration Mali Destek | Atıf Şekli: Yazarlar Nurten ÖZTÜRK ve Elif Rumeysa GÜRBÜZ, bu çalışmanın araştırılması, yazarlığı veya yayınlanması için herhangi bir finansal destek almamıştır. | Nurten ÖZTÜRK and Elif Rumeysa GÜRBÜZ who are the authors, have not received any financial support for the research, authorship, or publication of this study. Yazarların Katkıları | Authors’s Contributions: Bu makale yazarlar tarafından birlikte hazırlanmıştır. | This article has been co-writed by the authors. Çıkar Çatışması/Ortak Çıkar Beyanı | The Declaration of Conflict of Interest/Common Interest: Yazarlar tarafından herhangi bir çıkar çatışması veya ortak çıkar beyan edilmemiştir. | No conflict of interest or common interest has been declared by the authors. Etik Kurul Onayı Beyanı | The Declaration of Ethics Committee Approval: Çalışmanın herhangi bir etik kurul onayı veya özel bir izne ihtiyacı yoktur. | The study doesn’t need any ethics committee approval or any special permission. Araştırma ve Yayın Etiği Bildirgesi | The Declaration of Research and Publication Ethics: Yazarlar, makalenin tüm süreçlerinde İnÜHFD'nin bilimsel, etik ve alıntı kurallarına uyduğunu ve verilerde herhangi bir tahrifat yapmadığını, karşılaşılacak tüm etik ihlallerde İnÜHFD’nin ve editör kurulunun hiçbir sorumluluğunun olmadığını ve bu çalışmanın İnÜHFD’den başka hiçbir akademik yayın ortamında değerlendirilmediğini beyan etmektedir. | The authors declare that they complies with the scientific, ethical, and quotation rules of InULR in all processes of the paper and that they do not make any falsification of the data collected. In addition, they declare that Inonu University Law Review and its editorial board have no responsibility for any ethical violations that may be encountered, and that this study has not been evaluated or published in any academic publication environment other than Inonu University Law Review. KAYNAKÇA Kitap ve Makaleler AKİNCE, Bora: “Nesnelerin İnterneti, Güvenlik ve Gizlilik, İnsan Hakları Bağlamında Bir Değerlendirme”, International Journal of Social Inquiry, 14(1), 2021, s.53-80. AKKURT, Sinan Sami: “Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış”, Kişisel Verileri Koruma Dergisi, 2(1), 2020, s.20-32. ARTUK, M. Emin/GÖKCEN, Ahmet/ALŞAHİN, M. Emin/ÇAKIR, Kerim: Ceza Hukuku Genel Hükümler, 13. Baskı, Adalet Yayınevi, Ankara, 2019. ATAMER, Yeşim/KURTULAN GÜNER, Gökçe: “Ürün Güvenliği ve Teknik Düzenlemeler Kanunu ile İmalatçının Sorumluluğu Konusu Türk Hukuku Açısından Çözülmüş Müdür?”, AÜHFD, 70(2), 2021, s.543-588. ATASOY, Kemal: “Kişilik Hakkı Kapsamında Sosyal Medyada Kişisel Verilerin Korunması ve Veri Sahibinin Rızası”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, 22(3), 2016, s.269-301. BAYGIN, Cem/NAR, Ahmet: Medeni Hukuk Dersleri-I, Başlangıç Hükümleri ve Gerçek Kişiler Hukuku, Yetkin Yayınları, Ankara, 2021. BOZKURT YÜKSEL, Armağan Ebru: “Nesnelerin İnternetinin Hukuki Yönden İncelenmesi”, DEÜHFD, 17(2), 2016, s.113-139. CHOWDHURY, Wahida: “Toys That Talk to Strangers: A Look at the Privacy Policies of Connected Toys”, Proceedings of the Future Technologies Conference (FTC), 2018, s.152-158. CUSTERS, Bart/SEARS, Alan M./DECHESNE, Francien/GEORGIEVA, Ilina/TANI, Tommaso/VAN DER HOF, Simone: EU Personal Data Protection in Policy and Practice, Springer-Verlag GmbH, 2019. DÜLGER, Murat Volkan/KAHRAMAN, Cansu Ceren/YALÇIN, Simay: “GDPR ve KVKK Bakımından Çocukların Kişisel Verilerinin Korunması ve Konuya İlişkin Kurul Kararının Değerlendirilmesi”, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3792410 (Erişim: 31.07.2022). DURAL, Mustafa/ÖĞÜZ, Tufan: Kişiler Hukuku, 20. Baskı, Filiz Kitabevi, İstanbul, 2019. ERDAL, Erdal/ERGÜZEN, Atilla: “Nesnelerin İnterneti (IoT)”, UMAGD, 12(3), 2020, s.24-34. GONZALES FUSTER, Gloria: The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer International Publishing, Switzerland, 2014. GREENGARD, Samuel: The Internet of Things, MIT Press, Revised and Update Edition, 2021. HAFIZOĞULLARI, Zeki/ÖZEN, Muharrem: Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar, Ankara Barosu Dergisi, (4), 2009, s.9-22. KANIŞLI, Erdal: “Ürün Güvenliği ve Teknik Düzenlemeler Kanunu (ÜGTDK) Uyarınca Üreticinin Sorumluluğu”, İstanbul Hukuk Mecmuası, 78(3), 2020, s.1413-1468. KILINÇ, Doğan: “5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un 9/A Maddesi Çerçevesinde Özel Hayatın Korunması”, GÜHFD, 20(2), 2016, s.577-624. İnönü Üniversitesi Hukuk Fakültesi Dergisi – İnÜHFD 14(1): 43-57 (2023) Bağlantılı Oyuncaklar Özelinde Çocuğun Kişisel Verilerinin Cezai ve Hukuki Olarak Korunması 57 KOCA, Mahmut/ÜZÜLMEZ, İlhan: Kişisel Verilerin Kaydedilmesi Suçu, DEÜHFD, Prof. Dr. Durmuş TEZCAN’a Armağan, 21, 2019, s.69-93. KRAMP, Throsten/VAN KRANENBURG, Rob/SEBASTIAN, Lange: “Introduction to the Internet of Things”, Enabling Things to Talk, Bassi vd. (ed.), Springer, Berlin, 2013, https://link.springer.com/chapter/10.1007/978-3-642-40403-0_1#citeas (Erişim: 12.03.2022). KÜZECİ, Elif: Kişisel Verilerin Korunması, 4. Baskı, On İki Levha Yayıncılık, İstanbul, 2020. MAALOUFAALOUF, Melissa A.: “This Is Not Child’s Play The Regulation Of Connected Toys In The EU And U.S.”, Archives de philosophie du droit, 59(1), 2017, s.221-236. MADEN, Mehmet: Ceza Hukukunda Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara, 2021. NANSEN, Bjorn/NICOLL, Benjamin/APPERLEY, Thomas: “Postdigitality in Children’s Crossmedia Play: A Case Study of Nintendo’s Amiibo Figurines”, in Mascheroni, Giovanna/Holloway, Donell (ed.), The Internet of Toys, Practices, Affordances and the Political Economy of Children’s Smart Play, Springer Nature, Switzerland, 2019, s.89-108. NELSON, Bill: Children’s Connected Toys: Data Security and Privacy Concerns, Offıce of Oversight and Investigations Minority Staff Report, December 14, 2016. OĞUZMAN, M. Kemal/SELİÇİ, Özer/OKTAY-ÖZDEMİR, Saibe: Kişiler Hukuku, Gözden Geçirilmiş 18. Bası, Filiz Kitabevi, İstanbul, 2019. ÖZBEK, Veli Özer/DOĞAN, Koray/BACAKSIZ, Pınar: Türk Ceza Hukuku Özel Hükümler, 16. Baskı, Ankara, Seçkin Yayıncılık, 2021. ÖZGENÇ, İzzet: Türk Ceza Hukuku Genel Hükümler, 17. Bası, Seçkin Yayıncılık, Ankara, 2021. PEPPET, Scott R.: “Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent”, Texas Law Review, 85, 2014, s.85-176. PETER, Jochen/KÜHNE, Rinaldo/BARCO, Alex/JONG, De Chiara/VAN STRATEN, Caroline L.: “Asking Today the Crucial Questions of Tomorrow: Social Robots and the Internet of Toys”, in Mascheronı, Giovanna/Holloway, Donell (ed.), The Internet of Toys, Practices, Affordances and the Political Economy of Children’s Smart Play, Springer Nature, Switzerland, 2019, s.25-47. POLAT, Alperen: Sorumluluk Hukukunda Rıza, On İki Levha Yayıncılık, İstanbul, 2019. SOLMAZ, Eren: “Avrupa İnsan Hakları Mahkemesi Kararları’nın “Kişisel Verilerin Korunması”na Katkısı”, İdare Hukuku ve İlimleri Dergisi, 18(1), 2019, s.61-78. THOMAS, Casey: “Learning to Share (Personal Information) with My Friend Cayla”, AELJ Blog, 162, 2017, s.1-5. https://larc.cardozo.yu.edu/aelj-blog/162 (Erişim: 25.06.2022). UÇAK, Murat: “Kişisel Verilerin Hukuka Uygun İşlenmesinde Çocuğun Rızası”, Kişisel Verileri Koruma Dergisi, 3(1), 2020, s.41-60. VAN HOOF, Ben: Protecting Personal Data in the Age of the Internet of Toys, Master Thesis, Tilburg University, 2020. http://arno.uvt.nl/show.cgi?fid=150358 (Erişim: 13.03.2022). WEBER, Wolf H./WEBER, Romana: Internet of Things Legal Perspectives, Springer, Berlin, 2010. YURTCAN, Erdener: Yargıtay Kararları Işığında Özel Hayata Karşı Suçlar, 2. Baskı, Seçkin Yayıncılık, Ankara, 2020. ZAFER, Hamide: “Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Suçu”, Duruşma Arası Dergisi, (4), 2020, s.38-63. Raporlar ve Görüşler Report From The Commission To The European Parliament, The Council And The European Economic And Social Committee, Report on the Safety and Liability Implications of Artificial Intelligence, the Internet of Things and robotics, Brussels, 19.2.2020, COM(2020) 64 final. https://eur- lex.europa.eu/legal-content/en/TXT/?qid=1*** *** ****83&uri=CELEX%3A52020DC0064 (Erişim: 28.06.2022). FOSI Report: Kids and the Connected Home, 2016. https://fpf.org/wp-content/uploads/2016/11/Kids-The-Connected- Home-Privacy-in-the-Age-of-Connected-Dolls-Talking-Dinosaurs-and-Battling-Robots.pdf (Erişim: 22.07.2022). Internet of Things, Privacy & Security in a Connected World, FTC Staff Report, 2015, https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report- november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf Erişim:14.03.2022). Article 29 Data Protection Working Party, Opinion 2/2009 on the protection of children's personal data (General Guidelines and the special case of schools). https://ec.europa.eu/justice/article- 29/documentation/opinion-recommendation/files/2009/wp160_en.pdf, s.3. (Erişim: 28.06.2022). Article 29 Data Protection Working Party, Opinion 8/2014 on the on Recent Developments on the Internet of Things, Brüksel, 2014. https://ec.europa.eu/justice/article-29/documentation/ (Erişim: 12.03.2022). İnternet Kaynakları https://laughingsquid.com/the-huggable-a-plush-interactive-robotic-companion-that-provides-comfort-to-young- cancer-patients/ (Erişim: 15.03.2022). https://www.marketsandmarkets.com/Market-Reports/connected-toys-market-38031230.html (Erişim: 20.03.2022). https://dijitalmedyavecocuk.bilgi.edu.tr/2016/12/26/ag-baglantili-oyuncaklar-dunyanin-gundeminde/ (Erişim: 13.03.2022). https://www.mbkaya.com/hukuk/unutulmahakki.pdf (Erişim: 12.03.2022). http://arno.uvt.nl/show.cgi?fid=150358 (Erişim:13.03.2022). https://sozluk.gov.tr/ (Erişim: 06.06.2022).

• Akademik (DergiPark) · DergiPark · CC-BY-NC · K.https://doi.org/10.21492/inuhfd.188617527.03.2026
• Akademik (DergiPark) · DergiPark · CC-BY-NC · K.https://doi.org/10.54699/andhd.179185813.02.2026
• Akademik (DergiPark) · DergiPark · CC-BY-NC · K.https://doi.org/10.34246/ahbvuhfd.178035827.01.2026
• Akademik (DergiPark) · DergiPark · CC-BY-NC · K.https://doi.org/10.59933/tauhfd.185184630.12.2025