Mobil Uygulama Rehberi Işığında Mobil Uygulamalarda KVK Uyumu

Jan 09, 2024

Kişisel Verileri Koruma Kurumu tarafından, 2023 yılı Aralık ayında yayımlanan “Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler”[1] adlı rehberde (“Rehber”), mobil uygulama geliştirici ve sağlayıcıların kişisel verilerin korunması yönünden dikkat etmesi gereken hususlara yönelik açıklamalar yapılmıştır.

Aşağıda ayrıntılı olarak açıklayacağımız üzere rehberde özetle:

• Mobil uygulamalar aracılığıyla yürütülen kişisel veri işleme süreçlerinde rol alan veri sorumlusu ve veri işleyenlerin tespiti için tanımlamalar yapılmış,
• Veri sorumlusu ve veri işleyenlerin mobil uygulamalar özelinde dikkat etmesi gereken bilgi güvenliği kural ve kriterleri açıklanmış,
• Kişisel verilerin korunması alanındaki temel kavramların uygulamadaki karşılıkları örneklendirilmiş,
• Çocukların sıklıkla kullanabileceği mobil uygulamalarda yaş kontrolü ve çocukların anlayabileceği şekilde aydınlatma ve izin modülü oluşturulması gerektiği belirtilmiştir.

1. Mobil Uygulamalarda Veri Sorumlusu ve Veri İşleyen

Mobil uygulamaların 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) kişisel verilerin korunması mevzuatına uyumu değerlendirilirken,

• mobil uygulama ile kimlik, üyelik, iletişim, finansal bilgiler hangi türdeki kişisel verilerin işlendiğinin,
• mobil uygulama özelinde veri işleme süreçlerinde görev alan gerçek veya tüzel kişilerin Kanun kapsamında veri sorumlusu mu yoksa veri işleyen mi olarak adlandırılacağının

tespiti önem arz etmektedir. Bu kapsamda, Rehber uyarınca şöyle bir sınıflandırmaya gidilebilecektir:

Tür	Veri İşleme Yöntemi	Nitelik	Örnek
Mobil uygulama sağlayıcı	Kullanıcı verilerini kendi amaçları için kullanıyorsa	Veri sorumlusu	App Store’un, kullanıcı değerlendirmeleri ve geri bildirimler gibi verileri kendi kontrol ve yönetimi altında işlemesi
	Yalnızca teknik bir rol üstlenir ve kendi amaçları doğrultusunda kişisel veri işlemezse	Veri İşleyen	App Store’un, güvenlik kontrolleri yapma amacıyla kullanıcıların indirdiği uygulamalar hakkında bilgi toplaması
İşletim sistemi sağlayıcı	Cihazda yüklü uygulamalardan topladığı verileri kendi amaçları doğrultusunda kullanırsa	Veri Sorumlusu	Android işletim sisteminin, cihaz ayarları, kullanıcı hesap bilgileri ve güvenlik ayarları gibi kullanıcıya özgü verileri işlemesi
	Veri topluyor ancak kendi amaçları doğrultusunda kullanmıyorsa	Veri İşleyen	Android işletim sisteminin, uygulama güncellemeleri, cihaz performansı ve güvenlik güncellemeleri gibi amaçlarla bilgi toplaması
Uygulama geliştiricisi	Kullanıcı verilerini kendi amaçları için kullanıyorsa	Veri Sorumlusu	Microsoft’un, kullanıcıların Microsoft hesapları üzerinden oturum açtığı bir durumda ve bu hesap üzerinden kişisel bilgileri toplayarak hizmetlerini kişiselleştirmesi
	Bulut hizmeti kullanıyorsa	Veri İşleyen	Microsoft bulut hizmeti (Azure gibi) kullanılarak depolanan veriler
Bulut hizmet sağlayıcı	Kuruluşlar, toplanan verilerin saklanması için bulut hizmeti kullanıyorsa	Veri İşleyen	Müşterilerin Amazon Web Services (AWS) üzerinde barındırdıkları uygulamaların veya veri tabanlarının performansını izlemesi veya depolanan verilere erişmesi durumunda AWS’in, müşterilerinin verilerini müşterinin belirlediği amaçlar doğrultusunda işlemesi

Bu bilgiler ışığında, veri sorumlusunun aydınlatma, izin alma gibi yükümlülükleri ile veri güvenliğine ilişkin ortak yükümlülüklerin sınırı çizilebilecek ve taraflar arasında akdedilmesini önerdiğimiz veri aktarım taahhütnamelerine yansıtılabilecektir.

2. Mobil Uygulamalarda Mahremiyetin Korunması İçin Veri İşleyen ve Veri Sorumlularına Yönelik Tavsiyeler

Verilerin yetkisiz kişilerin eline geçmesi veya kötü niyetli amaçlar için kullanılması gibi ciddi güvenlik sorunlarının önlenmesini sağlamak üzere, kişisel verilerin toplanması ve işlenmesi süreçlerinin detaylı bir şekilde incelenmesi, güvenlik protokollerinin güçlendirilmesi ve kullanıcıları bilinçlendirmeye yönelik etkili önlemlerin alınması önem arz etmektedir.

Rehber’de, veri güvenliği önlemleri değerlendirildiğinde, uygulama kullanıcılarının da uygulamayı doğru kaynaktan indirmek, yazılımlarını güncellemek, güçlü parola kullanmayı tercih etmek gibi önlemler alabileceğine değinilmiştir.

Kanun’un 12. maddesi uyarınca veri güvenliğine ilişkin yükümlülükler veri sorumluları ile veri işleyenlerin müşterek sorumluluğunda olduğundan Rehber’de değinilen aşağıda önlemlerin her iki taraf için de uygulama alanı bulacaktır:

1. 1. Genel İlkelere Uyumluluk

Her kişisel veri işleme faaliyetinde olduğu gibi, mobil uygulamalar vasıtasıyla elde edilen verilerin işlenmesinde de Kanun’un 4. maddesinde sayılan ilkelere uyulması gerekmektedir.

1. Hukuka ve dürüstlük kurallarına uygun olma

Kişisel verilerin işlenmesinde yürürlükteki kanunlar ve diğer hukuksal düzenlemelere uyulması zorunludur. Dürüstlük kuralı gereğince veri işlenirken kişilerin çıkarları ve makul beklentileri göz önünde bulundurulmalıdır. Veri işleme faaliyetinin şeffaf olması sağlanmalı ve bilgilendirme yükümlülüğüne uygun hareket edilmelidir.

• İyi uygulama önerisi: Mobil uygulama ilk kullanıma başlandığında, sesli komut ile çalışma veya sözlü iletişime erişme imkanının cihazda kural olarak açık şekilde gelmesi, hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebilecektir. Kullanıcı tarafından cihaz aktif bir şekilde kullanılırken mikrofona erişim sağlanması önerilebilir.

2. Doğru ve gerektiğinde güncel olma

Veri sorumlusu ve veri işleyenlerin; kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından aktif özen yükümlülüğü bulunmaktadır. Verilerin doğru ve güncel olmasını temin edecek kanallar her zaman açık tutulmalıdır.

• İyi uygulama önerisi: Mobil uygulamaya üye olunurken girilen e-posta adresi ve telefon gibi bilgiler bakımından doğrulama yöntemi uygulanabilir. Üye olunduktan belli bir süre sonra bilgilerinin değişmesi halinde ise güncelleme ve değişiklik yapma imkanı sunulması önerilebilir.

3. Belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Mobil uygulama tarafından elde edilen kişisel veriler, bireylerin uygulamayı kullanım amacını aşar nitelikte işleme faaliyetlerine konu edilmemelidir.

• İyi uygulama önerisi: Mobil uygulamanın sunduğu hizmetlerle ilgili işlemlerin, sadece kullanılan cihazın yerel depolama alanında saklanacak kişisel verilerle yürütülmesi mümkün ise bu verilerin mobil uygulama sağlayıcısının kayıt sistemlerine iletilmemesi önerilebilir.

4. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

• İyi uygulama önerisi: Mobil uygulamanın kullanıcısının, belirli bir süre boyunca uygulamaya giriş yapmaması durumunda statüsünün aktif olmayan (pasif) kullanıcıya dönüştürülmesi ve aktif kullanıcılara kıyasla kişisel verilerinin saklanma süresinin daha kısa olması önerilebilir.

1. 2. Hesap verebilirlik ve Şeffaflık

Mobil uygulama geliştirici ve sağlayıcılar, kullanıcıları hangi veri işlemlerinin gerçekleştirileceği konusunda bilgilendirmelidir. Kanun’un 10. maddesinde aydınlatma yükümlülüğü düzenlenmiştir.

Kurul tarafından yayımlanan "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" kapsamında bir aydınlatma metni ve tabi olunan düzenlemeler gereği gerekiyorsa gizlilik politikası hazırlanmalı ve mevcut ve potansiyel kullanıcıların kolaylıkla erişebileceği bir şekilde sunulmalıdır.

Uygulama ile ilgili güncellemelerde, kullanıcılara sadece uygulama ile ilgili değil, kişisel verilerini etkileyen değişiklikler hakkında da bilgi verilmelidir. Kullanıcılar, uygulamanın varsayılan gizlilik ayarları hakkında bilgilendirilmeli ve gizliliklerini yönetmelerine yardımcı olacak kullanıcı dostu ara yüzler sunulmalıdır.

1. 3. Güvenlik

Mobil uygulamalar, mahremiyet ilkelerine uyumlu şekilde tasarlanmalı ve kullanıma sunulmalıdır.  Kullanım öncesinde ve kullanım sırasında veri güvenliğine ilişkin önlemler alınmış olmalıdır.

• İyi uygulama önerileri:

Mobil uygulamalara erişimlerde kullanıcılar tarafından güçlü parolalar oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesi sağlanarak uygun bir parola güvenliği politikası işletilmelidir. Parolalar, yeterli güvenlik önlemleri alınarak saklanmalıdır.  

Kullanıcıların mobil uygulamalara başarısız giriş yapma sayısı sınırlandırılmalıdır.

Düzenli olarak yazılım güncellemesi yapılmalıdır.

Geliştirilen mobil uygulamalar yayımlanmadan önce yazılım testleri uygun şekilde gerçekleştirilmelidir.

Bot saldırılarına bir önlem olarak kullanıcı girişi olan sayfalarda CAPTCHA, dört işlem gibi yöntemler tercih edilmelidir.

Uygulamalar yayımlanmadan önce hedeflenen işletim sistemlerinin veri koruma ve güvenlik özellikleri dikkate alınmalıdır. Bu kapsamda, risk değerlendirmesi yapılmalıdır.

Kişisel verilerin mobil cihazlarda muhafaza edildiği durumlarda, kişisel verilerin etkili bir şekilde şifrelenmesi yoluyla kişisel veri güvenliğinin sağlandığından emin olunmalıdır.

Bu açıklamalar 15.02.2022 tarihli Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu[2] ile paralel niteliktedir.

1. 4. Çocukların Mobil Uygulamalarda Mahremiyetinin Korunması

Akıllı cihazların yaygınlaşmasıyla birlikte, çocuklar da mobil uygulamaları sıkça kullanmaktadır. Çocuklara yönelik veya onlar tarafından sıkça kullanılan uygulamalarda, çocukların kişisel verilerinin işlenmesi söz konusu ise, 6698 sayılı Kanuna tam uyum sağlanmalı ve aşağıdaki önlemler titizlikle alınmalıdır:

Ürün ve hizmetlerde çocukların kişisel verilerinin işlenmesi gerekiyorsa, veri minimizasyonu ilkesine uygun olarak veri işleme faaliyeti ve miktarı en az seviyede tutulmalıdır.

Aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanmalıdır. Gerekirse resim ve görsel efektlerle desteklenen anlaşılır, sade ve açık bir dil kullanılmalıdır.

Mevcut teknoloji göz önünde bulundurularak çocuğun yaşını doğrulayacak sistemler benimsemelidir.

• İyi uygulama önerisi: Rızayı kontrol etmek ve yaş doğrulaması yapmak için sadece o yaşlardaki bir çocuğun cevaplayabileceği sorular (örneğin; “Doğum günün ne zaman?”, “Kaçıncı sınıfa gidiyorsun?”) sorulur. Daha sonra velayet/vesayet hakkı sahiplerinin doğrulanmış iletişim bilgilerine (Telefon numaraları veya e-posta adreslerine) bilgilendirme ve açık rıza onay metinleri gönderilir.

Teknik ve idari tedbirler en üst seviyede alınmalıdır. Bu, veri güvenliği konusunda hassas bir yaklaşım benimsemeyi içermelidir.

Çocukların haklarını bilmelerini ve kullanabilmelerini sağlayacak uygun politika ve mekanizmalar geliştirilmelidir. Bu sayede, çocukların kişisel verileri üzerinde daha fazla kontrol sahibi olmaları ve gizlilik haklarını kullanmaları sağlanacaktır.

3. Sonuç

Rehber ile kişisel verilerin korunması alanındaki temel ilkeler, mevzuat ve Kurul rehberleri ışığında mobil uygulama kullanıcıları, veri sorumluları ve veri işleyenlere düşen sorumluluklar özetlenmiştir.

Veri sorumlularının mobil uygulama kapsamında yürüttüğü kişisel veri işleme faaliyetlerine kişisel veri envanterlerine ayrı bir süreç olarak yansıtması, bu kapsamda, işlenen veri türlerini, amaçlarını, aktarım yerlerini, hizmet alınan iş ortaklarını, alınan teknik ve idari güvenlik tedbirlerini ve çocuk haklarının korunması gibi tabi olunan bağlantılı hukuki düzenlemelere uyum için atılan adımları kayıt altına almasının önemi bir kez daha vurgulanmıştır.

Bu vesileyle, 2024 yılı için aydınlatma yükümlülüğünün usulüne uygun yerine getirilmemesi halinde 47.303 – 946.308 TL, veri güvenliği önlemleri doğru alınmaması veya uygulanmaması halinde ise 141.934 – 9.463.213 TL idari para cezası riski doğabileceğini belirtiriz.

 

Özay Hukuk Bürosu
Av. Y. Sinem Gençay

 

---