Dijital Kişisel Verilerin Korunması Kanunu, 2023 (DPDPA), “çocuk”u 18 yaşın altındaki kişi olarak tanımlamaktadır. 2025 Sayılı Dijital Kişisel Verilerin Korunması Kuralları (DPDP Kuralları) sınırlı istisnalar sağlarken, diğer tüm durumlarda, çocukların kişisel verilerinin işlenmesinden önce doğrulanabilir ebeveyn izninin alınması zorunludur. Bu makale, çocukların kişisel verilerinin işlenmesine yönelik katılım süreçlerini ve izin yönetimi iş akışlarını uyumlu hale getirirken şirketlerin karşılaşabileceği çeşitli yasal belirsizlikleri ve operasyonel engelleri araştırıyor.
Nispeten yüksek yaş sınırı ve kademeli tedavi eksikliği, kendi zorluklarını da beraberinde getiriyor. Örneğin, DPDPA, veri emanetçilerinin, eğitim içeriğine erişen 17 yaşındaki bir çocuğa, bir oyun platformuna erişen 9 yaşındaki bir çocuğa aynı şekilde davranmasını gerektirir. Bu yaklaşım bilişsel gelişim, dijital okuryazarlık ve riske maruz kalma konusundaki farklılıkları göz ardı etmektedir. Bu durum, kişiselleştirilmiş öğrenme ve katılım ölçümlerinin meşru eğitim amaçlarına hizmet etmesine rağmen uyumsuz olduğu eğitim teknolojisi gibi sektörlerde özellikle endişe vericidir. Yaşla ilgili yasal gerekliliklerin olmayışı, kuruluşları, sundukları tekliflerle ilgili risk ve zararlara bakılmaksızın aynı önlemleri almaya zorlayacaktır.
Doğrulanabilir ebeveyn izni almak için veri sorumlularının ebeveyn kimliğini doğrulaması ve çocukla yasal ilişki kurması gerekir. Uyumluluk risklerini en aza indirmek için veri sorumluları, resmi kimlik kartları gibi hassas verilerin işlenmesine başvurabilir. Bu, temel bir paradoks yaratıyor: veri emanetçileri, veri minimizasyonunu temel bir prensip olarak destekleyen bir yasaya uymak için büyük miktarda hassas bilgiyi topluyor ve işliyor.
DPDP kuralları, veri emanetçilerinin kişisel verileri (ebeveyn izni olmadan) yalnızca bir bireyin çocuk olup olmadığını doğrulamak amacıyla işlemesine izin verir. Ebeveynlerin çevrimiçi tekliflerde gezinmek için genellikle çocuklarına güvendiği Hindistan gibi bir ülkede, büyük ölçüde kendi beyanlarına güvenmek ters etki yaratacaktır. Buna ek olarak, Federal Ticaret Komisyonu tarafından aktif olarak incelenen ve güncellenen çeşitli kabul edilebilir yöntemleri listeleyen COPPA'nın (ABD) aksine, DPDP kuralları oldukça belirsiz bir yaklaşım benimsiyor ve kabul edilebilir doğrulama yöntemlerini öngörüyor.
Çocukların davranışlarının izlenmesi ve takip edilmesinin yasaklanması, çevrimiçi platformların ve aracıların çocukları korumak için uygun ve uygun güvenlik önlemleri alma becerisini sınırlayabilir. Bu yükümlülükler ile SSMI'ların içeriği doğrulamak ve etiketleme kontrolleri yapmak için araçlar kullanmasını gerektiren sentetik medyayla ilgili son düzenlemeler arasında da çelişkiler olabilir. Merkezi hükümetin yaş sınırını düşürme ve zorunlu yasakları hafifletme yetkisi varken, bu yetkinin nasıl kullanılacağı henüz bilinmiyor.
Uyumluluğun yüksek maliyeti, büyük miktarlarda çocuklara ait verileri işlemesi gereken genç şirketler üzerinde zararlı bir etkiye sahip olacaktır. Aadhar'ın e-KYC'ye mal olduğu bildiriliyor ₹Çek başına 3. DigiLocker'ı ve diğer resmi kimlik doğrulamalarını kullanmak daha da maliyetli olacaktır.
DPDPA, veri emanetçileriyle ilgili tüm riskleri ve yükümlülükleri üstlenir. Geleneksel B2B teknoloji sözleşmeleri kapsamında, veri işleyicileri kapsamlı tazminat korumasına tabidir ve sorumluluk üst sınırları genellikle yıllık sözleşme değerleriyle sınırlıdır. İşleyicilerin çocukların kişisel verilerini işlemesi durumunda bu sözleşme artık geçerli olmayacaktır ve tam kapsamlı yeniden müzakereler gerekli olabilir.
Çocuk verilerinin korunmasına yönelik DPDPA çerçevesi, küresel standartlardan önemli bir sapmayı temsil etmektedir. Yüksek finansal riskin yanı sıra, ciddi itibar kaybı olasılığı da vardır. Kuruluşların, doğrulama iş akışlarını uygularken, denetim yolları tasarlarken ve çocukların kişisel verilerinin işlenmesi için silolar ve ayrı kanallar oluştururken bu yasal belirsizlikleri dikkatle aşması gerekir.
(İfade edilen görüşler kişiseldir)
Bu makale AP & Partners Ortağı Lagna Panda tarafından yazılmıştır.
Bir yanıt yazın