Duyurular

KVKK Tarafından Hazırlanan Mobil Uygulamalarda Kişisel Verilerin Korunmasına Yönelik Tavsiye Rehberi

Kişisel Verilerin Korunması Hukuku

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Kurum’un internet sitesinde paylaşılan Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Rehberi (“Rehber”) ile hava durumunu kontrol etmekten gerçek zamanlı haber güncellemelerini almaya, bankacılık işlemleri gerçekleştirmekten sağlık durumunun takibine ve sosyal medya kullanımından çevrim içi alışveriş yapmaya kadar mobil uygulamaların tasarımdan itibaren mahremiyet (‘privacy by design’) ve başlangıçtan itibaren mahremiyet (‘privacy by default’) ilkeleri ile uyumlu şekilde tasarlanması ve kişisel verilerin en üst seviyede korunmasına yönelik tavsiyeler verilmiştir.

Söz konusu Rehber ile;

  1. Mobil uygulamalar tarafından işlenen kişisel verilere örnek olarak;
  • kimlik bilgileri (ad ve soyadı, T.C. kimlik numarası, doğum tarihi vb.),
  • üyelik bilgileri (kullanıcı adı, parola vb.),
  • iletişim bilgileri (ev adresi, telefon numarası, e-posta adresi vb.),
  • finansal bilgiler (IBAN, kredi kartı numarası vb.),
  • çevrim içi tanımlayıcılar (IP adresi, MAC adresi, IMEI ve IMSI numarası, cihazda yüklü uygulama listesi aracılığıyla parmak izi çıkarılması vb.),
  • kullanıcı etkileşimleri (arama geçmişi, uygulama içi satın alımlar vb.),
  • konum bilgisi,
  • telefon rehberi veya uygulamalardaki arkadaş listeleri,
  • biyometrik veriler (yüz tanıma verisi, parmak izi verisi, ses izi biyometrisi vb.),
  • uygulamanın sağlık ile ilgili olması durumunda sağlık verileri (kalp atış hızı, uyku düzeni vb.),
  • cihazın kamerası ve galerisine erişim izni verilmesiyle toplanan görsel veriler,
  • sesli komutlar veya mesajlaşma uygulamaları aracılığıyla toplanan işitsel veriler,
  • mesajlaşma platformlarından toplanan metin verileri

sayılmıştır.

  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) sayılan özel nitelikli kişisel veriler açısından ise ses tanıma uygulamalarında ses izi biyometrisinin kullanılması, sağlık uygulamalarında sağlık verilerinin toplanması veya mesajlarda kişilerin inancının, siyasi düşüncesinin ortaya çıkarılması örnek olarak verilmiştir.
  2. Kişisel verilerin işlenmesi ve korunmasında; uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi gibi aktörler sorumlu tutulmuştur.
  3. Uygulama sağlayıcısı, kullanıcıların kişisel verilerini kullanması bakımından veri sorumlusu kabul edilirken uygulama sağlayıcısı ve geliştiricisinin ayrı kuruluşlar olduğu bir durumda aralarındaki sözleşmeye göre uygulama geliştiricisinin kişisel veri işlemede yalnızca teknik bir rol üstlenmesi ve kendi amaçları doğrultusunda kişisel veri işlememesinin güvence altına alınması hâlinde veri işleyen sayılacaktır.
  4. Kurum tarafından mobil cihazları kullanan bireylere yönelik;
  • Mobil uygulamayı yüklemeden önce;
  • Uygulamanın güvenilir bir kaynaktan gelmesi,
  • Uygulama mağazaları gibi güvenilir platformlar üzerinden indirilmesi,
  • Geliştiricisine dikkat edilmesi ve adının doğruluğundan emin olunması,
  • Kullanıcı yorumlarına ve puanına bakılması,
  • Yüksek puanlı her uygulamanın mutlak anlamda güvenilir olarak anlaşılmaması,
  • Hizmetin sunulmasından daha fazla kişisel veri talep eden uygulamalar yerine alternatifinin tercih edilmesi,
  • Mobil uygulamayı kullanırken;
  • Uygulamanın kullanımıyla alakasız erişim izinlerine izin verilmemesi,
  • Konum, ses ve görüntü verileri elde eden mobil cihaz araçlarına sürekli erişilmesine ilişkin izinlerin, söz konusu verilerin kullanım amaçları dikkate alınarak “yalnızca uygulama kullanılırken izin ver” seçeneğinin tercih edilmesi,
  • Uygulamalara giriş için sosyal medya hesaplarının kullanılmaması,
  • Uygulama girişlerinde kullanılacak parolaların kişisel bilgilerle ilişkili ve kolay şekilde tahmin edilebilecek rakam ya da harf dizileri yerine büyük-küçük harf, rakam ve sembolleri içerecek şekilde güçlü kombinasyonlarla oluşturulması ve çok faktörlü kimlik doğrulamanın etkinleştirilmesi,
  • Güncel olmayan yazılımların saldırı tehlikesinden dolayı uygulamaların güncel tutulması ve güncellemeden sonra gizlilik ayarlarının kontrol edilmesi,
  • Kullanılmayan uygulamaların mobil cihazlardan kaldırılması

tavsiyeleri verilmiştir.

  1. Kurum tarafından ‘veri sorumlusu’ veya ‘veri işleyen’ sıfatı bulunan taraflara yönelik;
  1. Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi kapsamında; uygulama geliştirici ve sağlayıcılarına veri işlemeden önce işlemenin hukuki sebebini sorgulamaları, mobil uygulamalarda işlenen kişisel veriler konusunda dürüst ve şeffaf olmaları, hakların kullanımını destekleyen süreç ve tasarımları uygulamaya koymaları önerilirken mobil uygulama ilk kez kullanıldığında sesli komut özelliğinin cihazda açık olarak gelmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırı olduğu tespit edilmiştir.
    • Bu aykırılığa istinaden Kurum tarafından cep telefonu masanın üzerinde dururken yahut kişinin cebinde veya çantasında iken mikrofona erişim sağlanması yerine, kullanıcının cihazı aktif bir şekilde kullanırken mikrofona erişim sağlanması gibi önlemler tavsiye edilmiştir.
    • Yine Kurum tarafından adım sayarak ve uyku düzeni ile beslenme alışkanlıklarını izleyerek bireylerin fiziksel aktivite seviyelerini takip eden bir mobil uygulama sağlayıcısının sağlık sigortası hizmeti sunması ve mobil uygulama üzerinden topladığı kişisel verilerden sigorta primi hesaplamada yararlanması dürüstlük kuralına aykırı kabul edilmiştir.
    • Doğru ve Gerektiğinde Güncel Olma İlkesi kapsamında; kullanıcılara kişisel verilerini düzeltme imkânının ve uygulama içerisinde uygun yöntemlerle bu imkânın kullanılmasının sağlanması gerektiği belirtilirken güncelliğini yitirmiş kişisel verilerin kimlik hırsızlığı riski ortaya çıkarabileceği hatırlatılmıştır.
  • Örnek olarak kullanıcının belli bir süre sonra telefon numarasını değiştirmesi ve mobil uygulamasının parolasını unuttuğu için mobil uygulama aracılığıyla parola sıfırlama talebinde bulunması durumunda, kullanıcının parola sıfırlaması esnasında daha önce girmiş olduğu ve artık kullanmadığı telefon numarasına kod gönderilmesi durumunda, kodun üçüncü bir kişiye mesaj olarak iletilmesi riski verilmiştir.
    1. Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri kapsamında; mobil uygulama tarafından elde edilen kişisel verilerin bireylerin uygulamayı kullanım amacını aşar nitelikte işleme faaliyetlerine konu edilmemesi gerektiği belirtilmiştir.
      • Rehber’de yer alan örneğe göre bulaşıcı hastalıklarla mücadele amacıyla temas takibinde kullanılmak üzere hazırlanan bir mobil uygulamanın kullanıcılarının tam konumunu ve hareketlerini izlemesi, kullanıcının bulaşıcı hastalığa sahip başka bir kullanıcıyla yakın temasta bulunduğunun tespit edilebilmesi amacı bakımından gereksiz olup bu nitelikteki bir işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil etmektedir.
    2. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi gereği; kişisel veriler açısından da açıkça tanımlanmış iş ihtiyaçlarına veya yasal yükümlülüklere göre gerekçelendirilmiş saklama ve imha süreleri belirlenmeli ve bu veriler gerekli olan süreden daha uzun süre saklanmamalıdır.
      • Örneğin, elektronik posta hizmeti sunan bir mobil uygulamanın kullanıcısının, belirli bir süre boyunca uygulamaya giriş yapmaması durumunda statüsünün aktif olmayan kullanıcıya dönüştürülmesi ve aktif kullanıcılara kıyasla kişisel verilerinin saklanma süresinin daha kısa olması (yasal yükümlülükler hariç olmak üzere) gerekmektedir.
  1. Kanun’un 16 ncı maddesi uyarınca yurt dışında yerleşik sağlayıcıların sundukları mobil uygulamalarda; Türkiye’ye atıfta bulunarak mal ve hizmet sunulması, Türkiye’deki kişilere yönelik hizmetin verildiğini gösteren tanıtıcı açıklamalar yapılması, mal ve hizmet sunulmasında Türkçe dil seçeneği, Türkiye’ye ürün teslimatı seçeneğinin sunulması gibi hususların bulunması, mal ve hizmet sunumunda Türkiye’deki ilgili kişilerin hedeflenmesi hallerinde bu veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünün de yerine getirilmesi gerekmektedir.
  2. Mobil uygulamaların çocuklar tarafından da sıklıkla kullanıldığı dikkate alınarak çocukların kişisel verilerin işlenmesine yönelik; özellikle çocuklara yönelen veya çocuklar tarafından yaygın olarak kullanıldığı bilinen uygulamalar açısından, kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür takip edilerek gerçekleştirilmesi önerilirken Kurum tarafından “Çocukların Kişisel Verilerinin Korunması-Ürün ve Hizmet Geliştirenler Tarafından Dikkat Edilmesi Gerekenler” başlıklı doküman sunulmuştur.
  3. Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayısı sınırlandırılması, bot saldırılarına bir önlem olarak kullanıcı girişi olan sayfalarda CAPTCHA, dört işlem vb. gibi yöntemlerin tercih edilmesi önerilmiştir.

Söz konusu Rehber’in tam metnine buradan ulaşabilirsiniz.

Söz konusu “Çocukların Kişisel Verilerinin Korunması-Ürün ve Hizmet Geliştirenler Tarafından Dikkat Edilmesi Gerekenler” başlıklı dokümana buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr