Birleşik Krallık’ta ICO’nun Reddit’e verdiği ceza, kullanıcı gizliliği, güvenliği ve yetkililer tarafından dayatılan yaş doğrulama prosedürlerinin sınırları üzerine tartışmaları yeniden alevlendirdi.
Summary
GDPR ihlalleri için 14,47 milyon sterlinlik ceza
Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), 24 Şubat 2026 tarihinde Reddit’e GDPR ihlalleri nedeniyle 14,47 milyon sterlin (yaklaşık 19,6 milyon dolar) ceza verdiğini duyurdu.
Düzenleyiciye göre, sosyal ağ, 13 yaş altı kullanıcıların kişisel verilerini işlemek için geçerli bir yasal dayanak olmaksızın “güçlü” yaş doğrulama önlemleri almadı.
Ayrıca, Reddit, Ocak 2025’ten önce çocuklar için riskleri analiz etmek ve hafifletmek amacıyla bir veri koruma etki değerlendirmesi (DPIA) yapmadı ve bu, Avrupa düzenleyici çerçevesine aykırıydı.
Çocuklar risk altında ve etki değerlendirmesi eksikliği
ICO, cezanın büyüklüğünün, siteyi kullanan yüksek sayıda çocuk, potansiyel zarar seviyesi, eksikliklerin süresi ve Reddit‘in küresel cirosu dikkate alınarak belirlendiğini açıkladı.
Bilgi komiseri John Edwards, 13 yaş altı çocukların verilerinin, anlamadıkları, kabul edemedikleri veya kontrol edemedikleri şekillerde toplandığını ve uygunsuz içeriklere maruz kaldıklarını belirtti.
Edwards, çocuklara erişilebilir çevrimiçi hizmet sağlayıcılarının kullanıcıların yaşını bilmesi ve kullanım şartlarındaki basit bir uyarının ötesine geçen uygun yaş doğrulama önlemleri uygulaması gerektiğini hatırlattı.
Reddit’in önlemleri ve yaş doğrulama sınırları
Reddit, Temmuz 2025‘te “olgun” içeriklere erişim için yaş doğrulaması getirdi ve şu anda kullanıcıların hizmete kaydolurken yaşlarını beyan etmelerini istiyor.
Bununla birlikte, ICO, bu öz beyan yönteminin özellikle gençler tarafından kolayca aşılabileceğini ve etkili bir teknik koruma önlemi olarak kabul edilemeyeceğini vurguladı.
Bir savunma notunda, şirket, kullanıcıların kimlik bilgilerini yaşlarına bakılmaksızın talep etmediğini belirterek, topluluğunun gizliliği ve güvenliği konusunda “derin bir bağlılık” içinde olduğunu savundu.
Yaş doğrulama yöntemlerine yönelik eleştiriler
Bazı gizlilik uzmanları, Reddit’in konumuna anlayış göstererek, yetkililer tarafından teşvik edilen ve yetişkin içerik siteleri için öngörülenlere benzer daha müdahaleci yaş doğrulama modellerini eleştirdi.
Comparitech tüketici gizliliği savunucusu Paul Bischoff, kimlik doğrulama zorunluluğuna karşı uyarıda bulunarak, bunun herhangi bir yasa dışı davranıştan şüphelenilmeyen kullanıcıların çoğunluğuna haksız bir yük getirdiğini belirtti.
Bischoff’a göre, bu tür gereklilikler, ilan edilen hedeflere kıyasla etkili olduğuna dair ikna edici kanıtlar olmaksızın bireysel özgürlükler üzerinde caydırıcı bir etki yaratabilirken, ebeveynlerin çevrimiçi çocukları koruma konusunda daha fazla sorumluluk üstlenmesi gerektiğini belirtti.
Yaş kontrol sistemlerinde gizlilik riskleri
Malwarebytes kıdemli araştırmacısı Pieter Arntz, yaş doğrulama yaklaşımlarının kullanıcı verilerinin güvenliği ve gizliliği için yeni riskler oluşturabileceğini vurguladı.
Yüz tanıma yoluyla yaş tahmini gibi biyometrik verilere dayanan yöntemler, finansal veriler üzerinde açık bankacılık kontrolleri, dijital kimlik cüzdanları ve son derece hassas bilgileri bir araya getiren foto-ID eşleştirme sistemleri gibi yöntemlere dikkat çekti.
Kredi kartı doğrulaması, e-posta analizi veya mobil ağ üzerinden yapılan kontroller gibi daha basit görünen çözümler bile dışlama, profilleme veya sonuçların güvenilirliği sorunlarına yol açabilir.
“Double-blind” doğrulama önerisi
Arntz’a göre, ICO’nun “double-blind” doğrulama modeline desteği, bu tür sorunları önemli ölçüde azaltabilir ve kişisel veri korumasını iyileştirebilir.
Bu şemada, güvenilir bir üçüncü taraf, kullanıcının yaşını doğrular ve kontrolü talep eden siteye “18+” gibi basit bir token verir, kullanıcının kimliğini veya eriştiği hizmeti ifşa etmez.
Ayrıca, bu model veri maruziyetini sınırlayacak, farklı hizmetler arasında çapraz izlemeyi azaltacak ve yine de düzenleyici gereksinimlere yanıt verirken yeni hassas bilgi “honeypot”larının oluşumunu önleyecektir.
DPIA eksikliği üzerine sert eleştiriler
Bununla birlikte, tüm analistler platformun lehine bir duruş sergilemedi. Bazıları, çocuklarla ilgili veriler işlendiğinde DPIA‘nın zorunlu doğasına vurgu yaptı.
Bridewell veri gizliliği müdür yardımcısı Chris Linnell, etki değerlendirmesini, kuruluşları zarar meydana gelmeden önce riskleri değerlendirmeye, belgelemeye ve hafifletmeye zorlayan temel bir yasal gereklilik olarak tanımladı.
Ona göre, sağlam bir DPIA’nın yokluğu, çocuklar için tehlikelerin başlangıçtan itibaren yeterince tanımlanmadığını veya ele alınmadığını gösteriyor.
Reddit’e verilen ICO cezası sektör için bir uyarı
Linnell, 13 yaş altı için kullanım yasağını şartlar ve koşullara eklemenin, kuralı uygulamak için etkili teknik veya operasyonel kontroller yoksa koruyucu bir önlem oluşturmadığını ekledi.
Uyumluluğun yalnızca sözleşme maddelerine dayanamayacağını, özellikle gerçek veya potansiyel hedef kitlenin önemli bir kısmını çocukların oluşturduğu durumlarda, pratik ve doğrulanabilir korumalarla sonuçlanması gerektiğini belirtti.
Reddit’e verilen ceza, Imgur’un ana şirketi MediaLab‘e, platformunda çocukların bilgilerini yasadışı kullanımı nedeniyle verilen 247.000 sterlin‘den fazla cezanın ardından birkaç hafta sonra geldi.
Çevrimiçi platformlar için uyum dersleri
Genel olarak, ICO’nun son eylemleri, dolaylı olarak bile olsa, çocuk kullanıcılarla ilgili verileri işleyen tüm dijital hizmet sağlayıcıları için bir uyarı niteliğindedir.
Linnell, platformları, çocukların hizmetlere erişme olasılığının yüksek olduğu yerleri belirlemeye ve her yüksek riskli işlem için düzenli olarak DPIA yapmaya çağırıyor.
Ayrıca, kuruluşlar, çocukların verilerini işlemek için net bir yasal dayanak tanımlamalı ve yalnızca politika beyanlarının ötesine geçerek orantılı ve etkili kontroller uygulamalıdır.
Reddit olayı, çocuklar üzerindeki GDPR yükümlülüklerinin, etki değerlendirmelerinin ve yaş doğrulama mekanizmalarının çevrimiçi platformların uyumu için önemli bir test alanı haline geleceğini gösteriyor.
