MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER REHBERİ

  1. GİRİŞ

Dijital çağ ile birlikte insan hayatının yapıtaşlarından biri haline gelen mobil cihazlar akıllı telefon, tablet, dizüstü bilgisayar, giyilebilir teknoloji gibi birçok kategoriye ayrılmaktadır.  Bu cihazlarda kullanıma sunulan mobil uygulamalar aracılığıyla bireylerin kişisel verileri farklı amaç ve şekillerde işlenmektedir.

Kişisel Verileri Koruma Kurumu (“Kurum”), 22.12.2023 tarihinde yayımladığı Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Rehberi (“Rehber”) ile mobil uygulamalarda mahremiyetin korunması ve potansiyel riskleri değerlendirilerek akıllı telefon ve tabletlerde kullanılan mobil uygulamalar vasıtasıyla gerçekleşen kişisel veri işleme faaliyeti kapsamında ilgili kişilere ve veri sorumlularına yol göstermeyi hedeflemektedir.

  1. MOBİL UYGULAMALARDA İŞLENEN KİŞİSEL VERİLER

Mobil uygulamalarda kişisel veriler ile kişisel veri niteliğini haiz olmayan birçok veri, kullanıcı deneyimini zenginleştirmek, işlevsellik sağlamak, sunulan hizmeti iyileştirmek ve pazarlama stratejileri oluşturmak gibi amaçlarla işlenmektedir. Uygulamanın niteliğine göre farklılık arz eden kişisel verilere aşağıda sayılan veriler örnek verilebilir:

  • Kimlik bilgileri (ad ve soyad, T.C. Kimlik bilgisi, doğum tarihi vb.)
  • Üyelik bilgileri (kullanıcı adı, parola vb.)
  • İletişim bilgileri (ev adresi, telefon numarası, e-posta adresi vb.)
  • Finansal bilgiler (IBAN, kredi kartı numarası vb.)
  • Çevrimiçi tanımlayıcılar (IP adresi, MAC adresi, IMEI ve IMSI numarası, cihazda yüklü uygulama listesi aracılığıyla parmak izi çıkarılması vb.)
  • Kullanıcı etkileşimleri (arama geçmişi, uygulama içi satın alımlar vb.)
  • Konum bilgisi,
  • Telefon rehberi veya uygulamalardaki arkadaş listeleri,
  • Biyometrik veriler (yüz tanıma verisi, parmak izi verisi, ses izi biyometrisi vb.)
  • Uygulamanın sağlık ile ilgili olması durumunda sağlık verileri (kalp atış hızı, uyku düzeni vb.)
  • Cihazın kamerası ve galerisine erişim izni verilmesiyle toplanan görsel veriler
  • Sesli komutlar veya mesajlaşma uygulamaları aracılığıyla toplanan işitsel veriler
  • Mesajlaşma platformlarından toplanan metin verileri

İşlenen veriler kapsamında, uygulamaların kullanıcıların telefon rehberlerine, diğer uygulamalardaki arkadaş listelerine erişimi ile bu kullanıcıların sosyal bağlantıları hakkında bilgi edinebilmekte ve konum bilgisi ile kullanıcıların alışkanlıklarını ortaya koyarak profilleme yapabilmektedir. Bununla birlikte Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6’ncı maddesinde belirtilen özel nitelikli kişisel verilerin başkaları tarafından öğrenilmesi halinde kişinin mağduriyetine ya da ayrımcılığa uğramasına sebebiyet verebilecek veri kategorisi olması nedeniyle sıkı koruma tedbirleri alınması gerekmektedir. Örneğin ses tanıma uygulamalarında ses izi biyometrisi kullanılması, sağlık uygulamalarında sağlık verilerinin işlenmesi, görsellerin etnik köken, ırk belirtebilmesi, mesajların inanç, siyasi düşünce, sağlık durumu belirtebilmesi nedeniyle kişilerin özel nitelikli verilerini toplamaktadır. Bu kapsamda bu verileri işleme faaliyeti, Kanun’da belirtilen şartlar çerçevesinde gerçekleştirilmelidir.

  1. MOBİL UYGULAMALAR KAPSAMINDA VERİ SORUMLUSU – VERİ İŞLEYEN KAVRAMLARI

Rehber ile daha önce mevzuatımızda tanımı yapılmayan mobil uygulama geliştiricisi, mobil uygulama sağlayıcısı ve uygulama mağazası kavramlarının tanımı yapılmıştır. Bu kapsamda;

Mobil Uygulama Geliştiricisi: Mobil cihazlar üzerinde kullanılmak üzere çeşitli yazılım ve uygulamaları tasarlayan ve geliştiren gerçek veya tüzel kişi,

Mobil Uygulama Sağlayıcısı: Kullanıcılara veya kuruluşlara internet üzerinden mobil uygulamalara ve ilgili mobil hizmetlere erişim imkânı sunan gerçek veya tüzel kişi,

Uygulama Mağazası: Kullanıcıların çeşitli mobil uygulamaları ücretli ya da ücretsiz olarak indirebildikleri çevrim içi uygulama dağıtım platformu, olarak ifade edilmiştir.

Mobil uygulamaların yapısı ele alındığında kişisel verileri işleme faaliyeti bazında uygulama sağlayıcısı ve geliştiricisi, reklam ağı, işletim sistemi sağlayıcısı, uygulama mağazası kuruluşu, kütüphane sağlayıcısı ve cihaz üreticisi öncelikli olarak karşımıza çıkmakla birlikte sorumluluk atfedilebilecek birçok kurum bulunmaktadır. Kurum, mobil uygulamalar aracılığıyla kişisel veri işleme faaliyetleri bakımından somut olay kapsamında inceleme yaparak veri işleyen-veri sorumlusu değerlendirmesi yapacaktır.

Mobil cihazlarda çalışacak şekilde tasarlanmış yazılım programları olarak ifade edilen mobil uygulamalar vasıtasıyla, veri işleme faaliyeti nezdindeki ilgili bünyeler örnekler ile değerlendirildiğinde;

  • Kullanıcıların kişisel verilerini kendi amaçları doğrultusunda kullandığı ölçüde genellikle veri sorumlusu olarak uygulama sağlayıcısı kabul edilecektir.
  • Mobil uygulamanın üçüncü bir taraf hizmeti uygulamaya entegre ettiği durumlarda birden fazla veri sorumlusu söz konusudur.
  • Cihazda yüklü uygulamaların kullanılması suretiyle işletim sistemi sağlayıcısının verileri bir araya getirerek kullanıcının cihazındaki uygulamalardan topladığı kişisel verileri kendi amacı dahilinde kullanması halinde veri sorumlusu işletim sistemi sağlayıcısı olarak kabul edilebilir.
  • Uygulama sağlayıcısı ile uygulama geliştiricisinin ayrı kuruluşlar olması halinde bu kuruluşların arasındaki sözleşme uyarınca, uygulama geliştiricisi yalnızca teknik bir rol üstlenerek kendi amaçları doğrultusunda kişisel veri işleme faaliyeti gerçekleştirmiyor ise uygulama geliştiricisi veri işleyen olarak kabul edilebilecektir. Fakat mobil uygulamalardan elde edilen kişisel verilerin genellikle bulutta depolandığı gözetildiğinde, uygulama geliştiricisinin bulut hizmeti kullanması söz konusu ise veri işleyen sıfatının ortaya çıkması muhtemeldir.
  1. BİREYLERE YÖNELİK TAVSİYELER

    Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler

  • Uygulamanın kaynağının güvenilir olduğundan emin olunmalı ve güvenilir olduğu değerlendirilen platformlar üzerinden cihaza indirilmelidir.
    Mobil uygulama cihaza indirilirken cihazın üreticisi veya işletim sistemi tarafından sağlanan resmi uygulama mağazaları ya da mobil uygulama sağlayıcısının resmi internet sistemi kullanılmalıdır, böylece tehlike arz eden uygulamaların cihaza yüklenmesi riski azaltılabilecektir.
  • Mobil uygulama yüklenmeden önce uygulamanın geliştiricisi hakkında bilgi edinilerek uygulama adından emin olunmalıdır. Kaynağı bilinmeyen taklit uygulamalardan kaçınılmalıdır.
  • Mobil uygulamanın kullanıcı yorumları ve puanları dikkate alınmalıdır.

Her ne kadar yüksek puanlama ve olumlu yorumlar uygulamaya mutlak güvenirlik sağlamasa da uygulamanın güvenirliği ve işlevselliği bakımından fikir edinmek amacıyla kullanıcı yorumları ve puanları kontrol edilmelidir. Nitekim uygulama puanları çok yüksek olmasına rağmen dünya genelinde milyonlarca kullanıcısı olan Meta, X ve TikTok her geçen gün yeni bir veri ihlali haberiyle gündeme gelmektedir.

  • Mobil uygulama cihaza yüklenmeden önce gizlilik politikası incelenmeli ve hangi verilere erişim talebinde bulunduğu kontrol edilmelidir.

Uygulamanın erişim talebinde bulunduğu verilerin uygulamanın işlevselliği ve sunduğu hizmet ile ilişkisi değerlendirilmelidir. Eğer uygulama hizmet ilişkisi kapsamını aşan bir erişim talebinde bulunuyor ise kişi uygulamaya gerçekten ihtiyacı olup olmadığını değerlendirmeli ve gerekli ise alternatif uygulama seçeneklerini gözden geçirmelidir.

Örneğin 2023 Temmuz ayında yayımlanan habere göre, X’e rakip olarak Meta tarafından yaratılan Threads’in uygulama mağazasında sağlık ve fitness bilgileri, finansal bilgiler, konum ve tarama geçmişi gibi hassas verilerin de yer alabildiği belirtilmiş idi. Ayrıca Threads’in gizlilik politikasının Meta’nın sahip olduğu diğer platformlarla aynı olduğu tespit edilmiş idi. Meta’nın gizlilik politikalarındaki geçmişi düşünüldüğünde Threads tarafından toplanan veriler şüphe uyandırmaktadır. İlgili haberin detaylarına “Dünyada Neler Oluyor?” serimizin 13’üncü sayısında ulaşabilirsiniz.

Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler

  • Uygulamanın kullanılması sırasında talep edilen bilgilere dikkat edilmelidir. Konum, ses ve görüntü elde edilen mobil uygulamalarda sürekli erişim izinleri, uygulamalarda kullanılan verilerin amaçlarına yönelik değerlendirme yapılarak verilmelidir.
    Mobil uygulamalar, kullanım esnasında uygulamanın işlevselliği kapsamında ihtiyaç duyulmayan verilere erişim için izin talep edebilmektedir. Örneğin bir fotoğraf düzenleme uygulamasının fotoğraflara erişim talebi ya da bir navigasyon uygulamasının kullanıcıya doğru yön ve konum bilgisi sunmak için anlık konum kullanma talebi olağan bir durum olarak kabul edilecektir.
  • Mobil uygulamalara giriş yapılırken sosyal medya hesaplarının kullanılmasından kaçınılmalıdır.
    Sosyal medya hesapları ile giriş yapılan mobil uygulamalar, kişinin sosyal medya hesabı üzerinden bilgi toplanmasına imkân verebilmekte ve bu hesapları tehditlere karşı daha korunaksız hale getirebilmektedir.
  • Mobil uygulamaya giriş şifreleri güçlü kombinasyonlardan oluşmalı, şifrelerde kolayca tahmin edilebilecek kişisel bilgilerden oluşan rakam ya da harf dizimlerine yer verilmemelidir. Uygulamanın imkân tanıması halinde her hesap için farklı şifre oluşturulmalı ve çok faktörlü doğrulama etkinleştirilmelidir.

Çok faktörlü kimlik doğrulama aşamasında birçok uygulama biyometrik veri ile doğrulama yöntemi kullanmaktadır. Bu noktada çok faktörlü uygulama esnasında işlenen özel nitelikli kişisel verilen amaca uygunluğu değerlendirilmeli, SMS ile doğrulama vb. seçenek var ise bu yöntemler tercih edilmelidir.

Ayrıca mobil uygulama giriş bilgilerinin bağlantılı tek bir hesap üzerinden kaydedilmesi de risk içerebilmektedir. Örneğin uygulamalara giriş sağlanan e-posta adresi ve şifre internet tarayıcısına kaydedilebilmektedir. Kullanıcının internet tarayıcısı hesabının ele geçirilmesi halinde söz konusu tarayıcı ile bağlı olan uygulamalardaki verilere de erişim sağlanabilmesi yüksek ihtimal dahilindedir. Kanaatimizce, bu örnek gibi muhtelif senaryoların Rehber ile ele alınmaması, Rehber’in günümüz teknolojik gelişmelerine ve uygulamalarına yanıt verebilecek nitelikte olup olmadığına yönelik soru işaretleri barındırmaktadır.

  • Uygulamaların güncel sürümleri kullanılmalıdır. Uygulama güncellemeleri sonrasında gizlilik ayarları kontrol edilmelidir.
  • Finans bilgilerinin kaydedilmesinden sakınılmalıdır.
  • Kullanılmayan ve ihtiyaç duyulmayan mobil uygulamalar cihazdan silinmelidir.
  1. KİŞİSEL VERİ İŞLEYEN TARAFLARA YÖNELİK TAVSİYELER

    Genel İlkelere Uyumluluk

Kanun’un 4’üncü madde hükmünde, kişisel verilerin ancak bu Kanun ve diğer kanunlarda öngörülen usul ve esaslara dayanılarak işlenebileceği belirtilerek veri sorumlularına aynı madde hükmünde sayılan genel ilkelere uyma yükümlülüğü getirilmiştir.  

Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi

Hukuka ve dürüstlük kuralına uygunluk ilkesi, kişisel verileri işleme faaliyeti gerçekleştirilirken kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket etme yükümlülüğüdür. Bu ilke çerçevesinde veri sorumlusu, veri işleme faaliyeti ile hedeflerine ulaşmaya çalışırken ilgili kişinin çıkarlarını ve makul beklentilerini gözeterek faaliyetin şeffaflığını sağlamalı ve bilgilendirme yükümlülüğüne uygun hareket etmelidir.

Bu ilkenin mobil uygulamalara yansımasında ise uygulama geliştiricileri ile uygulama sağlayıcılarından, kişisel veri işleme faaliyetine başlamadan önce hukuki sebebin varlığının tespiti, faaliyet kapsamında işlenen kişisel veriler hususunda dürüst ve şeffaf olmaları, ilgili kişilerin haklarını kullanabilmelerine imkân tanımaları ve bu hakların kullanımını destekleyen süreç ve tasarımları uygulamaya koymaları beklenmektedir.

Mobil ortamlarda ortaya çıkan en büyük sorun izin mekanizmasının uygulamaya ve uygulamaya entegre üçüncü taraflara ayrı ayrı izin verme imkânı tanımamasıdır. Mobil uygulamalar yalnızca üçüncü bir taraf bir veriye erişmek istediği veya ihtiyaç duyduğu için bu veriye erişim talebinde bulunabilmektedir.  Bu noktada önemle belirtilmelidir ki, uygulamada yararlanılan üçüncü taraf işlemeleri hakkında şeffaflık sağlanmalı ve uygulamaya entegre edilen üçüncü tarafın hizmet aracılığıyla kişisel veri işleme faaliyetinde hukuki sebep yok ise bu hizmetin uygulamada kullanılmaması gerekmektedir.

Örneğin, ses kontrol asistanları tarafından desteklenerek sesli komut ile çalışan mobil cihazlarda ses kontrol asistanlarının aktifleştirilmesi halinde tüm sözlü iletişim erişime açık hale gelmektedir. Bu kapsamda işlenecek veriler hakkında şeffaflık sağlanması gerekir. Bununla birlikte uygulamanın ilk kez kullanımında cihazda bu özelliğin kural olarak aktif halde bulunması hukuka ve dürüstlük kuralına aykırılık teşkil edebilecektir. Ancak örneğin, cep telefonu aktif kullanılmazken mikrofona erişim sağlanması yerine kullanıcının cihazı aktif kullanırken mikrofona erişim sağlanması gibi önlemler alınarak kişisel verilerin işlenmesinde kullanıcının makul beklentisi karşılanabilecektir.

Adım sayarak ve uyku düzeni ile beslenme alışkanlıklarını izleyerek bireylerin fiziksel aktivite seviyelerini takip eden bir mobil uygulama örneğinde ise uygulamanın elde ettiği verilerle oluşturduğu istatistiklerin yanı sıra kullanıcılara egzersiz yapmalarını hatırlatmak suretiyle bu verileri işlemesi uygulamanın kullanım amacına uygun kabul edilebilecektir. Bu durum kullanıcılar tarafından makul görülüp memnuniyetle karşılanabilecektir. Ancak, bu uygulama sağlayıcısının sağlık sigortası hizmeti sunması ve mobil uygulama üzerinden topladığı kişisel verilerden sigorta primi hesaplamada yararlanması halinde kullanıcının makul beklentisinin aşılması sebebiyle dürüstlük kuralına aykırılık hali doğabilecektir.

Doğru ve Gerektiğinde Güncel Olma İlkesi

Doğru ve gerektiğinde güncel olma ilkesi, Kanun’da ilgili kişiye tanınan verilerinin düzeltilmesini talep etme hakkı ile bağlantılıdır. Bu kapsamda, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğruluğunu ve güncelliğini temin edecek kanalları açık tutması gerekmekle birlikte aktif özen yükümlülüğü, bu verilere dayalı olarak ilgili kişiye yönelik bir sonuç ortaya koyması halinde bulunmaktadır.

Bu ilkenin mobil uygulamalara yansımasında, uygulama içerisinde uygun yöntemlerle kullanıcılara kişisel verilerini düzeltme imkanının tanınması beklenmektedir. Güncelliğini yitirmiş kişisel veriler, kimlik hırsızlığı riski doğurmaktadır.

Örneğin, telefon numarası ve e-posta bilgilerinin doğrulaması yapılmadan üye olunan uygulamanın kullanıcılara bu bilgileri uygulama içinden güncelleme fırsatı sunmadığı bir senaryoda, kişi e-posta adresini yanılarak yanlış girmiş ve mobil uygulama üzerinden gerçekleştirdiği alışverişe yönelik bilgiler bu e-posta adresine gönderilmiş ise kişisel verilerin üçüncü kişiye ifşası söz konusu olabilir. Bu halde uygulamanın e-posta adresini doğrulamamış olması bu ilkeye aykırılık oluşturmaktadır.

Benzer bir şekilde kullanıcının telefon numarasını değiştirmesi ve mobil uygulamanın parolasını unuttuğu için şifre yenileme talebinde bulunması ile sistemde önceden kayıtlı ve artık kullanmadığı telefon numarasına kod gönderilmesi senaryosunda kodun üçüncü bir kişiye gönderilmesi riski söz konusu olacaktır. Bu halde kullanıcıya uygulama içinde telefon numarasını kontrol etme ve güncelleme imkânı tanınmamış olması bu ilkeye aykırılık oluşturmaktadır.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri

Kanunda düzenlenen bu ilke, veri minimizasyonu ilkesinin yansımasıdır. Mobil uygulamalar aracılığıyla işlenen kişisel veriler açısından, işleme faaliyetinin amacının ortaya konulmasının ardından, söz konusu amacı gerçekleştirebilmek için hangi kişisel veri kategorilerine ihtiyaç duyulduğu belirlenmelidir. Ek olarak, mobil uygulama üzerinden gerçekleştirilen işlemenin amaçla bağlantılı, sınırlı ve ölçülü olması, kullanıcılar bakımından öngörülebilirliğin sağlanması açısından da önem taşımaktadır.

Örnek olarak; bulaşıcı hastalıklarla mücadele amacıyla temas takibinde kullanılmak üzere hazırlanan bir mobil uygulama, yalnızca bireylerin yakınlık verisini (Bluetooth teknolojisi vasıtasıyla toplanan ve kişilerin birbirlerine hangi süre zarfında ne kadar yakın olduğunu gösterir bilgi) işlemek suretiyle kullanım amacını gerçekleştirebilecektir. Dolayısıyla, bu mobil uygulamanın kullanıcılarının tam konumunu ve hareketlerini izlemesi, kullanıcının bulaşıcı hastalığa sahip başka bir kullanıcıyla yakın temasta bulunduğunun tespit edilebilmesi amacı bakımından gereksiz olup bu nitelikteki bir işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil edebilecektir.

Diğer bir örnek ise; mobil uygulamanın verdiği hizmet kapsamında gerçekleştirilecek işleme faaliyetlerinin, yalnızca mobil uygulamanın kullanıldığı cihazın yerel depolama alanında tutulacak kişisel veriler ile yürütülebilmesinin mümkün olduğu hâllerde, söz konusu kişisel verilerin mobil uygulama sağlayıcısının veri kayıt sistemlerine iletilmemesi “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olacaktır.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza  Edilmesi İlkesi

Kanunda düzenlenen bu ilke, veri minimizasyonu ilkesinin zamansal bir görünüm biçimi olup, ayrı bir ilke olarak düzenlenmesi, kanun koyucunun bu ilkeye özel bir önem vermesinden kaynaklanmaktadır. Bu kapsamda, kişisel verilerin, işlendikleri amaç için gerekli olan süreye uygun şekilde muhafaza edilmeleri gerekmektedir. Mobil uygulamalar aracılığıyla işlenen kişisel veriler açısından, açıkça tanımlanmış iş ihtiyaçlarına veya yasal yükümlülüklere göre gerekçelendirilmiş saklama ve imha süreleri belirlenmeli ve bu veriler gerekli olan süreden daha uzun süre saklanmamalıdır.

Örnek olarak; bir mobil uygulama geliştiricisinin bulutta depoladığı kişisel verileri saklama süresi, mobil uygulamanın kullanıldığı sektöre özel mevzuatta düzenlenen azami bir saklama süresi varsa bu süre esas alınmalıdır, eğer bu şekilde bir saklama süresi bulunmuyorsa bu verilerin işlendikleri amaçla bağlantılı saklama süresi belirlenmelidir. Kanun ile veri sorumlusuna, ilgili kişiyi saklama süresine ilişkin olarak bilgilendirme yükümlülüğü getirilmemiştir fakat Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in m. 6/1/g hükmünde, kişisel veri saklama ve imha politikasında saklama ve imha sürelerini gösteren tabloya yer verilmesi gerektiği düzenlenmiştir.

Ayrıca, saklama süresi dolan kişisel verilerin, bu verilerin imhasına ilişkin her türlü teknik ve idari tedbir alınarak imha edilmesi gerekmektedir. Farklı bir örnek ise; mobil uygulama üzerinden sunulacak hizmetin niteliğine göre sınıflandırma yapıldığında, aktif olmayan kullanıcıların, aktif kullanıcılara kıyasla kişisel verilerinin saklanma süresinin daha kısa olması doğru bir uygulama olacaktır. Bu noktada, Rehber ile aktif veya aktif olmayan kullanıcıların belirlenmesinde kriterlerin ne olacağına açıklık getirilmemesi belirlilik açısından eleştirilmesi gereken bir husustur. Kanaatimizce, ilgililerine yönelik yol gösterici bir nitelik taşımayı hedefleyen Rehber içeriğinde daha net ve belirli ifadelere yer verilmesi sağlıklı olacaktır.

Şeffaflığın Sağlanması

  • Kanun’un 10’uncu maddesinde yer alan aydınlatma yükümlülüğü, Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından çıkartılan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümlerine uygun olarak yerine getirilmelidir.
  • Ek olarak, aydınlatma metni ve eğer hazırlanmışsa gizlilik politikası, mevcut kullanıcıların ve potansiyel kullanıcıların kolaylıkla erişebilecekleri bir şekilde konumlandırılmalıdır.
    Rehber’de belirtilen bu hususu değerlendirmek gerekirse; Kurul’un 17/03/2022 tarihli ve 2022/249 sayılı Kararında, “Kanun’da ve ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülüğün yer almadığı, ilgili kişilerin kişisel verilerinin işlenmesiyle ilgili bilgilendirilmesi hususunda veri sorumlularının asli sorumluluğunun; kişisel verilerin ilgili kişiden elde edildiği durumlarda kural olarak kişisel veri işleme faaliyetinden önce aydınlatma yükümlülüğünün yerine getirilmesi olduğu” belirtilmiştir. İlgili karardan ve mevzuatımızdan hareketle, veri sorumluları açısından gizlilik politikası hazırlama yükümlülüğü bulunmamakla beraber ilgili kişilere karşı aydınlatma yükümlülüğü bulunmaktadır. Bununla birlikte, Türkiye’de yerleşik veri sorumluları, örneğin AB vatandaşlarının kişisel verilerini işlemeleri halinde, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne tabi olacaklardır. Bu kapsamda, KVKK gereğince aydınlatma yükümlülüğü başta olmak üzere bir gizlilik politikası hazırlama yükümlülükleri de doğabilecektir. Rehber’in işbu maddesinde geçen ‘eğer hazırlanmışsa gizlilik politikası’ ibaresi yukarıda açıklanan sebeplerle bu şekilde ifade edilmiş ise de dünyanın dört bir yanından vatandaşlara ait kişisel verilerin işlenmesine olanak tanıyan mobil uygulamalara ilişkin Rehber’de ilgili hususa ilişkin detaylı bir açıklama yapılmasının veri sorumlularına yönelik daha iyi bir yönlendirme sağlayabileceği kanaatindeyiz.
  • Kullanıcıların bir uygulamanın varsayılan gizlilik ayarlarından haberdar olmaları sağlanmalı ve gizliliklerini yönetmelerine yardımcı olacak kolay mekanizmalar, kullanıcı dostu bir arayüz ile sunulmalıdır.
  • Kullanıcıların bir uygulamanın kullanılması konusunda bilinçli kararlar verebilmelerini sağlamak amacıyla Kanun’un 10’uncu maddesine uygun olarak bilgilendirme yapılmalıdır.
  • Yurt dışında yerleşik olan sağlayıcıların sundukları mobil uygulamalar aracılığıyla Türkiye’deki kullanıcıların kişisel verilerinin sıklıkla işlenmesi ve mobil uygulamalarda Türkiye’deki kullanıcıların hedeflenmesi/davranışlarının izlenmesi söz konusu olması nedeniyle; kullanıcıların kişisel verileri üzerinde en üst düzeyde kontrole sahip olabilmeleri için, Kanun’un 16’ncı maddesinde düzenlenen Veri Sorumluları Siciline (VERBİS)’e kayıt ve bildirim yükümlülüğü önem arz etmektedir. Bu konuda Kurul’un 23/07/2019 tarih ve 2019/225 sayılı Kararında, Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kaydolmalarının gerektiği belirtilmektedir.

Mobil uygulamalar vasıtasıyla işlenen kişisel veriler açısından, şeffaflığın sağlanması amacıyla bu işlemeye dayanak oluşturacak işleme şartlarının belirlenmesi ve bu durumun gerekçeleri ile ortaya konulması gerekmektedir. Konu ile ilgili olarak “Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında” Kurul’un 27/01/2020 tarih ve 2020/65 sayılı Kararı’nın incelenmesi önem arz etmektedir. İlgili kararda; puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun Kanunun 5’inci maddesi kapsamında uygun bir veri işleme şartı belirlemesi ve buna istinaden aydınlatma metnini güncellemesi gerektiğine karar verilmiştir.

Mobil uygulamalar açısından açık rızanın gerekliliğine örnek olarak, bir kullanıcı tarafından talep edilen bir uygulamanın herhangi bir özelliği veya işlevi için kullanıcının konumuna erişilmesi gerekmeyen durumlarda, kullanıcı açık rıza vermediği sürece hedefli reklamcılık amaçları doğrultusunda kullanıcının konum verisi toplanmamalıdır. Bu noktada, “Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi” hakkında Kurul’un 13/04/2021 tarih ve 2021/361 sayılı Kararı’nın incelenmesi önem arz etmektedir. İlgili kararda; veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın, tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğuna karar verilmiş ve veri sorumlusunun gerekli teknik ve idari tedbirleri almadığı kanaatiyle idari para cezasına hükmedilmiştir.

“Dünyada Neler Oluyor?” serimizin 11’inci sayısında ele aldığımız “Apple x CNIL” haberinde Apple’ın kullanıcılarına hedefli reklam amaçları için üçüncü şahıslar tarafından çevrimiçi olarak izlenmek için kullanıcılardan onaylarını isteyen bir özellik olan Uygulama İzleme Şeffaflığı’nı kullanıma sunduğuna yer vermiştik. Apple tarafından üretilen cihazların milyonlarca insan tarafından kullanıldığı göz önüne alındığında atılan bu adımın şeffaflığın sağlanması adına iyi bir örnek olduğu düşünülmektedir. Bu özellik sayesinde kullanıcıların kişisel verileri üzerinde kontrole sahip olmaları sağlanmaktadır.

Mobil Uygulamalarda Çocukların Kişisel Verilerinin İşlenmesi

Akıllı cihaz kullanımının yaygınlaşması ile birlikte, mobil uygulamaların çocuklar tarafından sıklıkla kullanılmaya başlandığı gözlemlenmektedir. Çocuklara ilişkin kişisel verilerin hassasiyeti göz önünde bulundurulması ile; çocukların kişisel verilerine yönelik işleme faaliyetlerinin, ayrı bir şekilde ele alınması gereklidir. Bu noktada, özellikle çocuklar tarafından sıklıkla kullanıldığı bilinen uygulamalar açısından, kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür uygulanarak gerçekleştirilmesi gereklidir. Bu konuda Kurum tarafından hazırlanmış olan “Çocukların Kişisel Verilerinin Korunması-Ürün ve Hizmet Geliştirenler Tarafından Dikkat Edilmesi Gerekenler” başlıklı dokümanın çocukların kişisel verilerinin korunması açısından yetersiz bir düzenleme olduğunu düşünmekteyiz.

Çocukların kişisel verilerinin işlenmesinde oluşan ihlallerin dünyadaki örneklerinde Meta’nın sık sık karşımıza çıktığını gözlemlemekteyiz. Meta’nın yıllardır, 13 yaşın altındaki çocuklara ait hesapların aktif kalmasına bilerek izin verme ve ebeveynlerinin izni olmadan kişisel bilgilerini toplamakla suçlandığını görülmektedir. Avrupa Birliği Genel Veri Koruma Tüzüğü, mevzuatımızdan farklı olarak çocukların kişisel verilerinin korunması ile ilgili ayrı bir düzenleme getirmekte ve ihlallere yönelik ağır yaptırımlar uygulamaktadır. Bu düzenlemeye göre, çocuklar 16 yaşından küçük olanlar ve 16 yaşında veya daha büyük olanlar olarak ikiye ayrılmıştır. Bir çocuğun kişisel verisinin işlenebilmesi için en az 16 yaşında olması, henüz 16 yaşında olmayan çocukların kişisel verisinin işlenebilmesi için veli/vasisinin rızası olması gereklidir. Rıza verilmesinde dahi bu faaliyetin sınırları, yine veli/vasi tarafından belirlenmektedir. Bu noktada, mevzuatımızda çocuklara yönelik özel bir hüküm veya rehber bulunmaması hususu tekrar gündeme gelmelidir. Kurum tarafından çalışmalarına başlanmış olan çocuklara yönelik Rehber’in, uygulamaya yol gösterebilecek nitelikte açık ve belirleyici düzenlemeler getirmesini, çocukların temel hak ve özgürlükleri korunması adına daha sıkı tedbirler öngöreceğini temenni etmekteyiz.

Veri Güvenliğinin Sağlanması

  • Uygulamalar, tasarımdan itibaren mahremiyet (“privacy by design”) ve başlangıçtan itibaren mahremiyet (“privacy by default”) ilkeleri ile uyumlu şekilde tasarlanmalı ve uygulamaya sunulmalıdır. Bu kapsamda, tasarımdan itibaren mahremiyet ilkesi gereğince gizlilik korumalarının, bir güvenlik olayı veya kişisel veri ihlali sonucunda sonradan akla gelen bir düşünce olarak aşılamak yerine, tüm faaliyetlerin ve işlemelerin operasyonel aşamasına organik olarak entegre edilmesi gerekmektedir ve böylece veri gizliliğinin korunması sağlanacaktır. Başlangıçtan itibaren mahremiyet ilkesi gereğince ise, kuruluşların varsayılan olarak mevcut en katı gizlilik odaklı ayarları uygulaması gerekmektedir; böylece veri minimizasyonunu sağlanabilir, yalnızca belirli ve yasal amaçlara ulaşmak için kesinlikle gerekli olduğu düşünülen işlemler gerçekleştirilmektedir. Uygulamadan örnek vermek gerekirse, bir sosyal medya platformunun varsayılan olarak bir kullanıcının profilinin erişilebilirliğini belirsiz sayıda kişiyle sınırlandırabilmesidir.
  • Mobil uygulamaların ilk kullanımında mahremiyet odaklı ayarların açık olması, kişisel verilerin işlenmesinde dürüstlük kuralına uyulması açısından önem arz etmektedir.
  • Mobil uygulamaların kullanıldığı cihazlara yetkisiz erişimler gerçekleştirilmesini önlemek amacıyla cihazlarda kimlik doğrulama yöntemlerinin kullanılması sağlanmalıdır.
  • Kullanıcılar, çok faktörlü kimlik doğrulama yöntemlerinin kullanılmasına teşvik edilmelidir.
  • Mobil uygulamalarda kullanıcılar tarafından güçlü parolalar oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesi sağlanarak uygun bir parola güvenliği politikası işletilmelidir. Parolalar, yeterli güvenlik önlemleri alınarak saklanmalıdır.
  • Siber saldırı riskine karşı parolaların güncel “özet/karma(hashing)” fonksiyonlarından geçirilerek muhafaza edilmesi önerilmektedir.
  • Düzenli olarak yama yönetimi ve yazılım güncellemesi süreçleri gerçekleştirilmelidir.
  • Geliştirilen mobil uygulamaların yayımlanmasından önce yazılım testlerinin uygun şekilde gerçekleştirildiğinden emin olunmalı ve güvenli yazılım geliştirme stratejileri yürütülmelidir.
  • Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayısı sınırlandırılmalıdır. Bot saldırılarına bir önlem olarak kullanıcı girişi olan sayfalarda CAPTCHA, dört işlem vb. gibi yöntemler tercih edilmelidir.
  • Uygulamalar yayımlanmadan önce, risk değerlendirilmesi yapılarak hedeflenen işletim sistemlerinin veri koruma ve güvenlik özellikleri dikkate alınmalıdır.
  • Kişisel verilerin mobil cihazlarda muhafaza edildiği durumlarda, kişisel verilerin etkili bir şekilde şifrelenmesi yoluyla kişisel veri güvenliğinin sağlandığından emin olunmalıdır.

GRC LEGAL YORUMU 

Dijitalleşen dünya dinamiklerinde; akıllı telefon ve tablet kullanımının artması ve buna bağlı olarak kullanılan mobil uygulamaların artması nedeniyle, mobil uygulamalar özelinde gerçekleştirilen kişisel veri işleme faaliyetleri kapsamında bireylerin mahremiyetinin korunması hususu gündeme gelmektedir.

Rehber’de; mobil uygulamalar aracılığıyla işlenen veriler kapsamında, veri sorumlusu ve ilgili kişilere yönelik mevcut ve potansiyel riskler ele alınarak mahremiyetin korunması amacıyla tavsiyelere yer verilmiştir. Bu kapsamda; mobil uygulamaların kullanımında mahremiyet odaklı ayarların işletilmesi, mobil uygulama kullanılan cihazlarda kimlik doğrulama yöntemlerinin kullanılması, kullanıcılar tarafından güçlü parolalar oluşturulmasına teşvik edilmesi, mobil uygulamalarda güvenli yazılım testlerinin işletilmesi, veri güvenliği sağlanması noktasında önemli bir adım olarak olası risklerin azalmasına sebep olacaktır.

Bireyler, Rehber’de yapılan yönlendirmeler kapsamında mobil uygulamaları gerek kullanım öncesi gerekse kullanım sonrası süreçlerde alacağı önlemler ile kişisel verilerini güvence altına almalıdır. İlk adım olarak kullanıcıların puan ve yorumları kapsamında yapılan değerlendirme ile uygulama güvenilir bir kaynaktan indirilmelidir. Uygulamanın kullanımı esnasında ise kullanım amaçları ve uygulamanın veri işleme amaçlarına uygunluk kapsamı değerlendirilerek verilere erişim taleplerine izin verilmeli, ölçüsüz kalan izin talepleri reddedilmelidir. Kullanım esnasında yaşanabilecek tehditlere karşı güçlü bir parola koyulmalı ve çift faktörlü kimlik doğrulama aktifleştirilmelidir. Ancak burada çift faktörlü kimlik doğrulamasının biyometrik veri ile sağlanmasından kaçınılmalı, mümkünse SMS doğrulaması vb. yöntemler tercih edilmelidir.

Aynı zamanda Rehber içerisinde, çocukların kullandığı mobil uygulamalarda yaş doğrulama sistemlerinin kurulması için tavsiyelerde bulunulmuştur. Bu noktada, Kurul’un çocukların mahremiyetine yönelik hassasiyetinin artması ve çocukların veri işleme faaliyetleri kapsamında ayrı bir prosedür izlenmesi gerektiğinin vurgulanması önemli bir adımdır.