HUKUK & DANIŞMANLIK
Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler
Kişisel Verilerin Korunması Kurulu (Kurul), mobil uygulamalar kullanılırken kişisel verilerin etkili korunması adına 22.12.2023 tarihinde Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler isimi bir rehber yayımladı. Rehberde yer alan tavsiyelerin özeti ile tavsiyelerimizi aşağıda belirtiyoruz.
Bu rehberde öncelikle mobil uygulamalarda işlenen kişisel veriler anlatılmakta ve veri işlemeye ilişkin temel kural olan “ilgili faaliyet kapsamında” kişisel verilerin işlenmesinin önemi vurgulanmış bulunmaktadır.
Mobil uygulamalarda kullanıcı deneyimini zenginleştirmek, işlevselliği sağlamak ve artırmak, sunulan hizmeti iyileştirmek ve pazarlama stratejileri oluşturmak gibi amaçlarla kişisel veri niteliğindeki verilerin ve ayrıca kişisel veri niteliğini haiz bulunmayan farklı verilerin de işlendiği belirtilmiştir.
Mobil uygulamalarda işlenen veriler örneklendirilmiş olup; işlenen verilerin bir kısmı aşağıdaki şekilde sayılmıştır.
- Kimlik bilgileri,
- Üyelik bilgileri (parola, kullanıcı adı)
- İletişim bilgileri,
- Finansal bilgiler,
- Çevrim içi tanımlayıcılar (MAC adresi, IP adresi, IMEI, IMSI numaraları, cihazda yüklü uygulama listesi aracılığıyla parmak izi çıkarılması),
- Kullanıcı etkileşimleri,
- Konum bilgisi,
- Telefon rehberi ve uygulamalardaki arkadaş listeleri,
- Biyometrik veriler (yüz tanıma, parmak izi, ses izi),
- Sağlık verisi (sağlık uygulamalarında),
- Cihazın kamerası ve galerisine erişim izni verilmesi halinde kullanıcının telefon galerisinde yer alan görsel veriler,
- Sesli komutlar veya mesajlaşma uygulamaları (WhatsApp, navigasyon uygulamaları gibi) aracılığıyla toplanan işitsel veriler,
- Mesajlaşma platformlarından toplanan metin verileri.
Bu açıklamalarla birlikte, özel nitelikli kişisel verilere ayrı bir parantez açılmış ve bu verilerin işlenmesinde mahremiyete daha dikkat edilmesi belirtilerek daha sıkı tedbirler alınması tavsiye edilmiştir.
Örneğin, sosyal medya ve basın organlarında da haber yapıldığı biyometrik veriler arasında yer alan ses tanıma uygulamalarında ses izi biyometrisi kullanılması suretiyle kişi hakkında biyometrik veri toplanabildiği belirtilerek bu veri işleme faaliyetinin regülasyona uygun olarak yapılması gerektiği ifade edilmiştir.
Veriye işleme faaliyetlerine ilişkin yapılan açıklamaların ardından mobil uygulamalar bazında veri sorumlusu ve veri işleyen aktörlerine değinilen tavsiye metninde mobil uygulamalar bakımından uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi başta olmak üzere birçok aktöre sorumluluk düştüğü irdelenmiştir.
KVKK tarafından şikayetlerde yer alan senaryolar üzerinden yola çıkarak genelde veri sorumlusunun uygulama sağlayıcı olduğunu, ancak mobil uygulamalar için birden fazla veri sorumlusunun da ortaya çıkabileceğini belirtmiştir.
Kurul bunu dolandırıcılık üzerinden örneklendirmiş olup; buna göre dolandırıcılığın önlenmesi amacıyla doğru ve isabetli olarak çoğu ilke kararlarında olduğu gibi iki faktörlü kimlik doğrulama (2FA) yapmak üzere üçüncü taraf hizmet sağlayıcının mobil uygulamaya dahil olması ya da mobil uygulamalarda yer alan reklam ağları beraberinde birden fazla veri sorumlusunu getirmektedir.
Tavsiye metninde “Mobil Uygulama Geliştiricisi”, “Mobil Uygulama Sağlayıcısı” ve “Uygulama Mağazası” gibi kavramların da tanımları yapılmış; günümüzün teknolojik altyapısının birçok işlemin mobil olarak yapılmasına elverişli hale gelmesiyle birlikte aynı doğrultuda kişisel verilere ilişkin tehlikelerin de büyüdüğü belirtilmiştir.
İlgili rehberin amacının da bu yönde kamuyu bilinçlendirmek olduğu ifade edilmiştir. Rehber’de hem kişisel veri sahibi bireylere hem de kişisel veri işleyen taraflara tavsiyeler yer almaktadır. Bireylere yönelik sunulan tavsiyelerde;
- Mobil uygulamaların cihaza yüklenmesinden evvel bu uygulamanın güvenilir bir kaynak ürünü olmasına dikkat edilmesi mümkünse cihazdaki “uygulama mağazasından” (örneğin; AppStore veya GooglePlay) uygulamaların cihaza yüklenmesi gerektiği,
- Uygulamanın geliştirici hakkında bilgi edinilmesi, uygulama isminin doğru bir şekilde saptanması gerektiği belirtilerek; bu tedbirin kopyalanan taklit içeriklerden zarar görmenin önüne geçeceği,
- Uygulamanın talep ettiği kişisel verilerin uygulamayla ilgisinin saptanması, mümkünse gizlilik sözleşmelerinin gözden geçirilmesi gerekliliği ile uygulamanın kullanılabilmesi için talep olunan kişisel veriler yönünden “ölçülülük” ilkesine vurgu yaparak uygulamanın kullanılması için gereken kişisel verileri aşan kişisel veri elde etme taleplerine karşı duyarlı olunması gerektiği,
- Verilen izinlere dikkat edilmesi gerektiği ve güçlü parola tavsiyelerinde bulunuldu.
Bu noktada, Kurul istediği nokta ölçülülük ilkesinin sınırlarını zorlayan ve hatta aşan veri işleme faaliyetlerine karşı bireylerin bilinçlendirilmesi amaçlanmaktadır. Bir uygulamayı kullanmak için biyometrik veriye dahi erişilmesi veri işleme faaliyetinde KVKK’nın 4. maddesinde sayılan amaçla ölçülülük ve sınırlılık ve bağlantılı olma ilkelerini ihlal ettiği ifade edilmiştir.
Bireylerin bilinçlenmesi de ihlallerin varlığından haberdar olunabilmesi ve denetimi ile veri işleme ilkelerini ihlal eden sorumluları cezalandırmak adına önemlidir. Bu doğrultuda, Kurul, uygulamaların kullanımı sırasında uygulama tarafından talep edilen izinler konusunda mahremiyetin korunmasına yönelik endişe duyulması hâlinde erişim isteklerinin reddedilmesi ve alternatif bir uygulama araştırılması hususunun değerlendirilmesinin faydalı olacağını vurgulayarak; veri işleme faaliyetinin ilgili kişileri, bireyleri bilinçlendirmeyi hedeflemiştir.
Konuyu örneklendirilecek olursak; konum verisine erişerek faaliyet yürüten bir uygulamada kullanıcıdan konum verisine erişim adına izin alan uygulamanın genellikle sunduğu üç seçenek bulunmaktadır. Bunlar; “her zaman izin ver”, “yalnızca uygulamayı kullanırken izin ver”, “reddet” seçenekleridir. Kullanıcıların uygulamayı kullanma amaçları doğrultusunda bu üç seçenekten en uygun olanı seçmelidirler. Uygulamanın devamlı kullanılmayacağı ihtimalde “her zaman izin ver” seçeneği doğru bir tercih olmayacaktır.
Kişisel veri işleyen taraflara ise genel ilkeler olan dürüstlük, güncellik, amaçla bağlantılı olma, ölçülü olma ve verilerin kanuni muhafaza sürelerine uyulması gibi ilkeler örneklerle detaylı olarak izah edilmiştir.
Bu ilkeler doğrultusunda uygulama geliştirici ve sağlayıcılara şeffaflık kapsamında aydınlatma yükümlülüğüne uyulması, kullanıcıların menfaatlerinin de bu faaliyet kapsamında gözetilmesi tavsiye edilirken gizlilik ayarları ve güncellemeler konusunda kullanıcı dostu arayüz kullanılması tavsiyesi verildi.
Tavsiye metninde dikkat çeken ve önem arz eden bir konu da kullanıcı ilgili kişilerden izinlerin alınması esnasında uygulamaya ve uygulamaya entegre üçüncü taraflara ayrı ayrı izin verme imkanının sağlanmamasıdır.
Bu noktada, izinler alınırken uygulamada faydalanılan üçüncü taraf işlemlerine ilişkin şeffaf olunması ve de uygulamaya entegre edilen üçüncü taraf hizmet aracılığıyla kişisel veri işlenmesinde hukuki bir sebep bulunmadığı takdirde bu hizmetin uygulamada kullanılmaması gerektiği belirtilmiştir.
Güncelliğin sağlanması ve güncelliğini yitiren kişisel veriler yönünden kimlik hırsızlığının önüne geçilebilmesi adına kullanıcılara kişisel verilerin düzeltilmesi imkanı tanınması gerektiği vurgulanmıştır.
Elbette veri işleme faaliyetinde en temel kurallardan biri olan işlenen amaçla sınırlı, bağlantılı ve ölçülü olunması da önem arz etmekte olup, bu doğrultuda tavsiye edilen ve Kanun’un da gerektirdiği; öncelikle amacın gerçekleşmesi için minimum düzeyde veri işlenmesinin ilke edinilmesi ve işlev veya faaliyetlerle nasıl ilişkili olduğu açıklanamayan verilerin toplanmaması gerektiğidir.
Tüm bunlarla beraber, işlenen kişisel veriler açısından da açıkça tanımlanmış iş ihtiyaçlarına veya yasal yükümlülüklere göre gerekçelendirilmiş saklama ve imha süreleri belirlenerek bu veriler gerekli olan süreden daha uzun süre saklanmamalıdır.
Yurt dışı merkezli uygulamaların Türkiye’de ulaşılabilir olması halinde VERBİS’e kaydolma zorunluluğu hatırlatılan diğer önemli noktalardan biri olurken “açık rıza” ve veri işleme şartlarının da üzerinde duruldu. Açık rızanın önemi veri sorumluları tarafından tam olarak anlaşılamamakta ve bu noktada mevzuata ve ilke kararlara aykırı uygulamalar yapıldığı görülmektedir.
Açık rızanın tamamen hür iradeye dayalı olması, şarta bağlı olmaması ve bunlarla birlikte istenildiği zaman geri alınabilir olması gerekmektedir. Kurulun da örneklendirdiği gibi, bir kullanıcı tarafından talep edilen bir uygulamanın herhangi bir özelliği veya işlevi için kullanıcının konumuna erişilmesi gerekmeyen durumlarda, kullanıcı açık rıza vermediği sürece hedefli reklamcılık amaçları doğrultusunda kullanıcının konum verisi toplanmamalıdır.
Temelde kullanıcıları çok faktörlü kimlik doğrulama yöntemlerinin kullanılmasına teşvik etmek, periyodik yazılım güncellemelerinin yapılması, bot saldırılarının önlenmesi adına CAPTCHA ya da dört işlem gibi yöntemlerin tercih edilmesi de tavsiye metninde vurgulanan diğer önemli anekdotlardandır.
İlginizi Çekebilir: Yapay Zekâ Teknolojisinde Kişisel Verilerin Korunması: Neden Önemli ve Nasıl Başarılı Olunabilir?