Aralık 2023 Tarihli 46 Numaralı Kisişel Verileri Koruma Kurumu “Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyler” Yayını
Veri Sorumlusu – Veri İşleyenlere Tavsiyeler Notu
Tanımlar
Uygulama Sağlayıcısı : Kullanıcılara veya kuruluşlara internet üzerinden mobil uygulamalara ve ilgili mobil hizmetlere erişim imkânı sunan gerçek veya tüzel kişi.
Uygulama Geliştiricisi : Mobil cihazlar üzerinde kullanılmak üzere çeşitli yazılım ve uygulamaları tasarlayan veya geliştiren gerçek ve tüzel kişi.
İşletim Sistemi Sağlayıcısı : Mobil cihaz üzerinde çalışan, donanım kaynaklarını yöneten ve çeşitli uygulama yazılımları için ortak hizmetler sağlayan yazılımların sağlayıcısı olan gerçek veya tüzel kişi.
Mobil Uygulamalarda Veri Sorumlusu – Veri İşleyen
Mobil uygulamalarda kişisel verilerin işlenmesi ve korunması süreçlerinde, sorumluluğu birçok aktör paylaşır. Başlıca aktörler; uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı ve cihaz üreticisidir.
Uygulama sağlayıcısı, kullanıcıların kişisel verilerini uygulama amaçları doğrultusunda kullandığı ölçüde, kişisel verilerin işlenmesinde kanun kapsamında veri sorumlusu olarak kabul edilir. Ancak uygulama sağlayıcısı üçüncü taraf bir hizmeti uygulamasına entegre ettiği durumda birden fazla veri sorumlusu ortaya çıkabilmektedir. Uygulamanın kullanıldığı cihazda, işletim sistemi sağlayıcısı verileri bir araya getirebilir ve cihazdaki uygulamalardan topladığı kişisel verileri kendi amaçları doğrultusunda kullanabilir. Bu durumda, işletim sistemi sağlayıcısı da veri sorumlusu olacaktır.
Uygulama sağlayıcısı ve geliştiricisinin farklı kuruluşlar olduğu durumda, aralarındaki sözleşmeye göre, geliştiricinin kişisel veri işlemede yalnızca teknik bir rol üstlenmesi ve kendi çıkarları doğrultusunda kişisel veri işlememesinin güvence altına alınması halinde, uygulama geliştiricisi veri işleyen olarak nitelendirilebilecektir. Mobil uygulamalarda toplanan veriler genellikle bulutta depolanmaktadır. Uygulama geliştiricisinin kullandığı bulut hizmetleri söz konusu olduğunda da veri işleyen sıfatı ortaya çıkabilmektedir.
Genel İlkeler Kapsamında Dikkat Edilmesi Gerekenler
1.Hukuka ve Dürüstlük Kuralına Uygun Olma İlkesi Kapsamında Dikkat Edilmesi Gerekenler
Uygulama geliştiricileri ile sağlayıcılarının kişisel veri işlemeye başlamadan önce işlemenin hukuki sebebinin varlığını sorgulamaları gerekir. Mobil uygulamalarda işlenen kişisel veriler konusunda dürüst ve şeffaf olmaları, kullanıcıların haklarını kullanabilmelerine imkan sağlamaları ve bu hakların kullanımını destekleyen süreç ve tasarımları uygulamaya koymaları gerekir.
Mobil cihazlarda karşılaşılan en önemli sorunlardan birisi, izin mimarilerinin çalışma şekli ile yakından ilgilidir. Bazen uygulama ile bütünleşmiş üçüncü bir taraf yazılım belirli bir veri türüne erişmek istediği veya bu veriye ihtiyaç duyduğu için cihazdaki bu veri türüne erişim talep edebilir. İzin mimarilerindeki sorun burada ortaya çıkmaktadır, mobil cihazlardaki mevcut izin mimarileri uygulamaya ve uygulamaya entegre üçüncü taraflara ayrı ayrı izin verme imkânı sağlamamaktadır. Uygulamada bulunan üçüncü taraf işlemleri hakkında şeffaf olunması ve uygulama ile bütünleşen üçüncü taraf hizmet aracılığıyla kişisel veri işlenmesinde hukuki bir sebep bulunmadığı durumlarda bu hizmetin uygulamada kullanılmaması önem taşımaktadır.
2.Doğru ve Gerektiğinde Güncel Olma İlkesi Kapsamında Dikkat Edilmesi Gerekenler
Kullanıcıların kişisel verilerini düzeltme imkânı tanınmalı ve uygulamanın tasarımı sürecinde bu hususun göz önünde bulundurulması gerekmektedir. Güncelliğini yitirmiş kişisel veriler kimlik hırsızlığı riski ortaya çıkarabilecektir. Bu sebeple kişisel verilerin doğru ve güncel kalmasını sağlamak için uygun yöntemler kullanıcılara sunulmalıdır.
3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri Dikkat Edilmesi Gerekenler
İşleme faaliyetinin amacının saptanması ve ilgili saptama yapıldıktan sonra mevcut faaliyeti gerçekleştirebilmek için ihtiyaç duyulan kişisel veri kategorileri belirlenmelidir. Mümkün olan en az çeşit ve sayıda kişisel veri toplanması hedeflenerek kişisel verilerin işlenmesi bağlamında bireylerin temel hak ve özgürlüklerinin en üst düzeyde korunmasını sağlayacak bir yaklaşım benimsenmelidir.
Diğer taraftan gerçekleştirilen işlemenin amaç ile bağlantılı, sınırlı ve ölçülü olması, kullanıcılar açısından da önem taşımaktadır. Bu sebeple, elde edilen kişisel veriler kullanım amacını aşar nitelikte olmamalıdır.
4.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi Kapsamında Dikkat Edilmesi Gerekenler
Bir mobil uygulama geliştiricisinin bulutta depoladığı kişisel verilerin saklama süresi, mobil uygulamanın kullanıldığı sektöre özel mevzuatta öngörülen azami bir saklama suresi varsa bu sure göz önünde bulundurularak belirlenmelidir.
Ayrıca, saklama süresi dolan kişisel verilerin, bu verilerin imhasına ilişkin gerekli her türlü teknik ve idari tedbir alınarak imha edilmesinin beklendiği de belirtilmelidir.
5. Şeffaflık İlkesi Kapsamında Dikkat Edilmesi Gerekenler
Kişisel verilerin işlenmesiyle ilgili her hususta şeffaflık, kullanıcının bilgilendirilmesi ciddi bir önem taşımaktadır. Kullanıcılar, uygulamaya ilişkin güncellemeler ile ilgili haber edildikleri gibi kişisel verilerin işlenmesini ilgilendiren değişiklikler konusunda da bilgilendirilmelidir.
Kullanıcıların uygulamanın gizlilik ayarları hakkında bilgi sahibi olması sağlanmalı ve gizliliklerini yönetmelerine yardımcı olacak anlaşılması kolay mekanizmalar, kullanıcı dostu arayüz ile sunulmalıdır.
Yurt dışında yerleşik sağlayıcıların sundukları mobil uygulamalar aracılığıyla Türkiye’deki kullanıcıların kişisel verilerinin işlenmesine sıklıkla rastlanmaktadır. Kişisel verilerin işlenmesinde bir şeffaflık mekanizması olan Veri Sorumluları Siciline kayıt yükümlülüğünün de yerine getirilmesi önem arz etmektedir.
(Erişim Linki : https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8ba209bb-fa93-4479-84f0-dd55aac97a0f.pdf)
