Kişisel Verileri Koruma Kurulu Tarafından Yayınlanan Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Hakkında Bülten
Kişisel Verileri Koruma Kurulu (“Kurul”), akıllı telefonlar ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında dikkat edilmesi gereken hususları içeren Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Hakkında bir Rehber (“Rehber”) yayınlamıştır.
Rehberde mobil uygulama kullanıcılarına yönelik tavsiyeler de bulunmakla birlikte, bültenimizin konusunu mobil uygulamalar aracılığıyla kişisel veri işleyen taraflara (örn. uygulama sağlayıcıları, uygulama geliştiricileri vb.) yönelik olan tavsiyeler oluşturmaktadır.
1. Veri Sorumlusu – Veri İşleyen Kavramları
- Rehberde, mobil uygulamalar kapsamında veri işleme süreçlerinde rol alan aktörlerin veri sorumlusu mu yoksa veri işleyen mi olacağına dair önemli değerlendirmeler yapılmıştır.
- Bu kapsamda; mobil uygulama vasıtasıyla toplanan kişisel verileri kendi amaçları doğrultusunda kullandığı ölçüde, uygulama sağlayıcısının veri sorumlusu olduğu ve üçüncü taraf hizmetlerin uygulamaya entegre edilmesi halinde, söz konusu üçüncü tarafın da veri sorumlusu olarak addedilebileceği belirtilmiştir. Örneğin; kimlik doğrulama hizmeti alınan üçüncü taraf hizmet sağlayıcısı.
- Öte yandan, uygulama geliştiricisinin, uygulama sağlayıcısından ayrı bir kuruluş olup, uygulama sağlayıcısı ile arasındaki sözleşme kapsamında kendi amaçları doğrultusunda kişisel veri işlememeyi taahhüt etmesi durumunda, veri işleyen olarak değerlendirilmesi gerektiği belirtilmiştir.
2. Genel İlkelere Uyumluluk
- Mobil uygulamalar vasıtasıyla gerçekleştirilen veri işleme faaliyetlerinin Kanun’un 4. maddesinde sayılan genel ilkelere[1] uygun olması gerekmektedir.
Bu ilkelere uyum açısından Rehberde dikkat çekici bazı örneklere yer verilmiştir. Örneğin; sesli komut ile çalışabilen mobil uygulamalar açısından, uygulama ilk kullanılmaya başlandığında bu özelliğin açık şekilde gelmesinin, genel ilkelere aykırılık teşkil edeceği belirtilmiştir. Bu noktada, veri işleme faaliyetleri açısından, kullanıcının makul beklentisinin aşılmaması hususunun da altı çizilerek, mikrofon yoluyla veri toplanan bir uygulamada, yalnızca kullanıcının uygulamayı aktif şekilde kullanması esnasında mikrofona erişim sağlanması, diğer durumlarda mikrofon ile veri toplanmaması önerilmiştir.
- İlaveten, genel ilkelere uyum kapsamında, mobil uygulamalar aracılığıyla işlenen kişisel veriler açısından da açıkça tanımlanmış iş ihtiyaçlarına veya yasal yükümlülüklere göre gerekçelendirilmiş saklama ve imha sürelerinin belirlenmesi gerektiği ve bu verilerin gerekli olan süreden daha uzun süre saklanmaması gerektiği hatırlatılmıştır. Bu konuda dikkat çekici bir tavsiye; saklama süreleri tespit edilirken, kullanıcıların aktif ve aktif olmama durumunun gözetilmesidir.
3. Şeffaflığın Sağlanması
- Kanun’un 10. maddesi kapsamında ilgili kişilere karşı aydınlatma yükümlülüğünün mobil uygulamalar aracılığıyla veri işleme faaliyetleri açısından yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma metninin ve eğer ayrıca hazırlanmışsa gizlilik politikasının, mevcut kullanıcıların ve uygulamayı indirmeyi düşünen potansiyel kullanıcıların kolaylıkla erişebilecekleri bir şekilde konumlandırılması gerektiğini belirtilmiştir.
- Kurul, yurt dışında yerleşik sağlayıcıların sundukları mobil uygulamalar açısından önemli bir tespitte bulunmuştur. Türkiye’ye atıfta bulunarak mal ve hizmet sunulması, Türkiye’deki kişilere yönelik hizmetin verildiğini gösteren tanıtıcı açıklamalar yapılması, mal ve hizmet sunulmasında Türkçe dil seçeneği, Türkiye’ye ürün teslimatı seçeneğinin sunulması gibi hususların bulunması, mal ve hizmet sunumunda Türkiye’deki ilgili kişilerin hedeflenmesi yahut davranışsal reklamcılık faaliyeti gerçekleştirilmesi, benzersiz tanımlayıcılar aracılığıyla çevrim içi takip yapılması ve pazarlama amacıyla coğrafi yerelleştirme faaliyetleri yürütülmesi gibi işlemlerin gerçekleştirilmesinin Türkiye’deki ilgili kişilerin davranışlarının izlenmesi anlamına geleceği belirtilmiş olup, bu tür mobil uygulamaların sağlayıcılarının, Kanun’un 16. maddesinde uyarınca Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü de göz önünde bulundurması gerektiği belirtilmiştir.
- Mobil uygulamalar aracılığıyla çocukların kişisel verisi işlenmesi durumunda, kullanıcıların yaşını doğrulayacak sistemlerin kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür takip edilerek gerçekleştirilmesi önerilmiştir.
4. Kişisel Verilerin İşlenme Şartlarının Belirlenmesi
- Mobil uygulamalar vasıtasıyla işlenen kişisel veriler açısından, bu işlemeye dayanak oluşturacak işleme şartlarının belirlenmesi gerekmektedir. Bu kapsamda, veri işleme faaliyetinin Kanun’un 5/2 veya 6/3 maddesindeki hukuki sebeplerden hangisine istinaden gerçekleştirileceği tespit edilmelidir.
- Veri işlemenin açık rızaya istinaden gerçekleşeceği durumlarda, kullanıcının aktif eylemiyle açık rızasının alınmasını sağlayacak mekanizmaların kurulması başta olmak üzere, Kanun’da öngörülen geçerlilik unsurlarını karşılayacak şekilde kullanıcıların açık rızasına başvurulması gerektiği vurgulanmıştır.
5. Veri Güvenliğinin Sağlanması
- Mobil uygulamaların, tasarımdan itibaren mahremiyet (privacy by design) ve başlangıçtan itibaren mahremiyet (privacy by default) ilkeleri ile uyumlu şekilde tasarlanmaları gerekmektedir.
- İlaveten, Rehberde kimlik doğrultama yöntemleri, güçlü parolalar kullanılması, parolaların siber saldırı riskine karşı saklanmaları, yama yönetimi ve yazılım güncellemesi gibi mobil uygulamalarda alınması önerilen bazı önemli tedbirlere de yer verilmiştir.
Rehberin tam metnine aşağıdaki linkten ulaşabilirsiniz:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8ba209bb-fa93-4479-84f0-dd55aac97a0f.pdf
[1] (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve (iv) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.