Notice: Undefined variable: grid_data in /home/u8284090/sen.av.tr/assets/php/function.php on line 84

Berra Berçik

Beyza Kuver
Notice: Undefined variable: grid_data in /home/u8284090/sen.av.tr/assets/php/function.php on line 84
Notice: Undefined variable: grid_data in /home/u8284090/sen.av.tr/assets/php/function.php on line 84
Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler
05.01.2024 / Av. Berra Berçik- Stj. Av. Beyza Kuver- Stj. Av. Aleyna Zorlu
Kişisel Verileri Koruma Kurumu’nun internet sitesinde 22.12.2023 tarihinde “Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler” başlıklı rehber yayımlanmıştır. Rehberde; mobil uygulamalarda mahremiyetin korunmasına yönelik mevcut ve potansiyel risklerin ele alınması ile akıllı telefonlar ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti bakımından ilgili kişi ve veri sorumlusu niteliğini haiz aktörlere yönelik genel nitelikli tavsiyelerde bulunulmuştur.
İşbu yazımız ile, hayatımızın önemli bir parçasını oluşturan akıllı telefonlar ile tabletlerde kullanılan mobil uygulamalarda dikkat edilmesi gereken hususlar, yayımlanan rehber doğrultusunda ele alınacaktır.
A. Mobil Uygulamalarda İşlenen Kişisel Veriler
Rehberde ilk olarak mobil uygulamalarda işlenen genel nitelikli ve özel nitelikli kişisel verilere yer verilmiştir. Bu doğrultuda, uygulamanın işlevselliğine, tasarımına ve kullanıcının verdiği izinlere göre farklılık arz edecek şekilde, mobil uygulamalar tarafından işlenen kişisel verilere kimlik bilgileri, üyelik bilgileri, iletişim bilgileri, finansal bilgiler, çevrimiçi tanımlayıcılar, kullanıcı etkileşimleri, konum bilgisi, telefon rehberi veya uygulamalardaki arkadaş listeleri, biyometrik veriler, cihazın kamerası ve galerisine erişim izni verilmesiyle toplanan görsel veriler vb. örnek olarak gösterilebilecektir. Rehberde özellikle, özel nitelikli kişisel verilerin daha sıkı şekilde korunması gerektiğine değinilmiştir. Örnek verilmesi gerekirse, ses tanıma uygulamalarında ses izi biyometrisi kullanılması, sağlık uygulamalarında ise doğrudan sağlık verisi toplanmakla birlikte bazı durumlarda fotoğraflar, mesajlar ve kullanıcı girişleri gibi ögeler de özel nitelikli kişisel veri içerebildiği belirtilmiştir.
B. Mobil Uygulamalarda Veri Sorumlusu-Veri İşleyen
Rehberde kişisel verilerin işlenmesi ve korunması süreçlerinde birçok aktöre sorumluluk düştüğü belirtilmiş olup, senaryolar üzerinde örneklerle açıklanmıştır. Buna göre genellikle uygulama sağlayıcısı; kullanıcıların kişisel verilerini kendi amaçları doğrultusunda kullandığı ölçüde, kişisel verilerin işlenmesinde veri sorumlusu olarak kabul edilebilecektir. Ancak mobil uygulamalarda bir araya getirilen kişisel veriler bakımından birden fazla veri sorumlusunun meydana çıkma olasılığı da bulunmaktadır. Buna göre; mobil uygulamanın, üçüncü taraf bir hizmeti uygulamasına entegre ettiği durumda birden fazla veri sorumlusunun ortaya çıkması mümkün olacaktır.
Ayrıca rehberde gidilen örneklerle, her durumda uygulama sağlayıcısının veri sorumlusu olarak kabul edilemeyeceği, bazı durumlarda veri işleyen sıfatını haiz olabileceği de belirtilmiştir. Örnek verilmesi gerekirse;, uygulama sağlayıcısı ve geliştiricisinin ayrı kuruluşlar olduğu bir durumda, uygulama sağlayıcısı ile geliştiricisi arasındaki sözleşmeye göre, uygulama geliştiricisinin kişisel veri işlemede yalnızca teknik bir rol üstlenmesi ve kendi amaçları doğrultusunda kişisel veri işlememesinin güvence altına alınması halinde, uygulama geliştiricisi veri işleyen olarak nitelendirilebilecektir.
Son olarak, mobil uygulamalardan toplanan kişisel veriler genellikle bulutta depolanmakta olup uygulama geliştiricisi tarafından kullanılan bulut hizmetleri söz konusu olduğunda da veri işleyen sıfatının ortaya çıkması ihtimali gündeme gelebileceği belirtilmiştir.
C. Bireylere Yönelik Tavsiyeler
Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler
Kurum tarafından yayımlanan rehber yalnızca kişisel veri işleyen taraflara yönelik olmayıp, kişisel verilerini mobil uygulamalar üzerinde paylaşan kişilere yönelik de bazı tavsiyelerde bulunulmuştur. Rehberde alınması gereken önlemler iki ayrı başlık altında değerlendirilmiştir;
1. Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler:
- Uygulama indirilirken güvenilir bir kaynaktan geldiğinden emin olunmalı ve güvenilir olduğu varsayılan yerler üzerinden indirilmelidir.
- Mobil uygulama cihaza yüklenmeden önce uygulamanın geliştiricisi hakkında bilgi edinilmeli ve uygulama adının doğruluğu teyit edilmelidir.
- Uygulamanın işlevselliği ile güvenilirliği hakkında bilgi edinmek amacıyla uygulamaya ilişkin kullanıcı yorumlarının ve uygulamanın kullanıcılardan aldığı puanın kontrol edilmesi de yararlı olacaktır. Buna ek olarak; mobil uygulamaya ilişkin verilmiş yüksek puanların ve olumlu yorumların bir uygulamayı mutlak biçimde güvenilir hale getirmediği de unutulmamalıdır.
- Cihaza indirilecek uygulamanın gizlilik politikası gözden geçirilmeli, hangi verilere erişim izni istediği de kontrol edilmelidir. Aynı zamanda uygulamanın sağlamış olduğu hizmet ile herhangi bir ilişkisi bulunmayan kişisel veri taleplerine de dikkat edilmelidir. Hizmetin sunulması amacıyla gerekenden fazla kişisel veri talep edilmesi durumunda, bu uygulamaya gerçekten ihtiyaç duyulup duyulmadığı değerlendirilmelidir.
2. Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler
- Kullanım sırasında uygulama tarafından talep edilen izinlerde (konum, ses, görüntü vb.) mahremiyetin korunmasına ilişkin endişe duyulması halinde erişim isteklerinin reddedilmesi ve alternatif bir uygulama araştırılması hususunun değerlendirilmesi önem arz etmektedir.
- Uygulamalara giriş yaparken kullanılacak şifreler oluşturulurken, kişisel bilgilere ilişkin ve kolay şekilde tahmin edilebilecek rakam ya da harfler kullanmak yerine mümkün olduğunca büyük-küçük harf, rakam ve sembolleri içeren güçlü kombinasyonlar tercih edilmelidir. Tüm bunlara ek olarak; şifre oluştururken her hesap için farklı şifre oluşturulmalı ve çift faktörlü doğrulama etkin hale getirilmelidir.
- Mobil uygulamalara giriş yaparken sosyal medya hesaplarının kullanılmasından kaçınılması yerinde olacaktır. Zira bir uygulamada kullanıcının sosyal medya hesabına ilişkin bilgiler ile oturum açılması, bazı durumlarda uygulamanın ilgili sosyal ağ hesabından bilgi toplanmasına olanak tanıyabilmekte dolayısıyla da hesapları olası tehditlere karşı daha açık hale getirebilmektedir.
- Kullanımına ihtiyaç duyulmayan uygulamaların mobil cihazlarda bulundurulmaması gerekmektedir.
- Güncel olmayan yazılımlara sahip mobil uygulamalar, saldırıya uğrama tehlikesiyle daha fazla karşı karşıya kalabileceğinden uygulamaların güncel tutulmasında fayda vardır.
Ç. Kişisel Veri İşleyen Taraflara Yönelik Tavsiyeler
Rehberde asıl olarak önem arz eden başlık ise kanaatimizce, kişisel verileri işleyen tarafın, kişisel verileri işlerken dikkat etmesi gereken tedbirlere ilişkin (Ç) başlığıdır. Zira aşağıda detaylı şekilde yer verileceği üzere, Kurum tarafından yayımlanan rehber doğrultusunda işbu tedbirlere aykırı şekilde hareket edecek olan veri işleyen tarafın, olası bir ihlal neticesinde idari para cezası ile de karşı karşıya kalma ihtimali daha yüksek olacaktır.
1- Genel İlkelere Uyumluluk
Rehberde ilk olarak, kişisel veriler işlenirken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesi uyarınca genel ilkelere dikkat edilmesi gerektiğine dikkat çekilmiştir. Kurul sözkonusu ilkeleri örneklerle somutlaştırmıştır. Buna göre;
a) Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kurallarına uygun olma ilkesi uyarınca; veri sorumlusu, hedeflerine ulaşmaya çalışırken, ilgili kişilerin menfaatlerini ve makul beklentilerini de göz ardı etmemelidir. Buna ek olarak; ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf biçimde gerçekleştirilmesinin sağlanması ve bilgilendirme yükümlülüğüne uygun hareket edilmesi gerektiği açıktır. Örneklerle somutlaştırmak gerekirse:
- Mobil cihazlar, ses kontrol asistanları tarafından desteklenerek sesli komut ile çalışabilmekte ve bu asistanlar aktive edildiğinde tüm sözlü iletişime erişebilmektedirler.
(X) Mobil uygulama ilk kullanıma başlandığında, bu özelliğin cihazda kural olarak açık şekilde gelmesi, hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebilecektir.
(✓) Cep telefonu masanın üzerinde dururken yahut kişinin cebinde veya çantasında iken mikrofona erişim sağlanması yerine, kullanıcı cihazı aktif bir şekilde kullanırken mikrofona erişim sağlanması gibi önlemlerle, kişisel verilerin işlenmesinde kullanıcının makul beklentisi karşılanabilecektir.
- Adım sayarak ve uyku düzeni ile beslenme alışkanlıklarını izleyerek bireylerin fiziksel aktivite seviyelerini takip eden bir mobil uygulamanın, elde ettiği bu verilere ilişkin istatistiki bilgiler oluşturmanın yanında, kullanıcılara egzersiz yapmalarını hatırlatmak suretiyle de söz konusu verileri işlemesinin mobil uygulamanın kullanım amacıyla uyumlu olduğu söylenebilecektir
(X) Mobil uygulama sağlayıcısının sağlık sigortası hizmeti sunması ve mobil uygulama üzerinden topladığı kişisel verilerden sigorta primi hesaplamada yararlanması, kullanıcının makul beklentisinin aşılması nedeniyle, dürüstlük kuralına aykırılık teşkil edebilecektir.
b) Doğru ve Gerektiğinde Güncel Olma İlkesi
Sözkonusu ilke mobil uygulamalar bakımından değerlendirildiğinde, kullanıcılara kişisel verilerini düzeltme imkanı tanınmalı ve aynı zamanda uygulamanın tasarımı aşamasında bu hususun göz önünde bulundurulması suretiyle uygulama içerisinde uygun metodlarla bu imkanın kullanılması sağlanmalıdır. Örneklerle somutlaştırmak gerekirse:
- Bir mobil uygulamaya üye olunması esnasında kullanıcı tarafından e-posta ve telefon numarası bilgilerinin girildiği ancak söz konusu mobil uygulamada bu bilgiler için herhangi bir doğrulama yapılmadığı ve kullanıcılara uygulama içinden bu bilgileri güncelleme fırsatı sunulmadığı bir durumda;
(X) kullanıcı, üyelik esnasında e-posta adresini sehven hatalı girmiş ve mobil uygulama üzerinden gerçekleştirdiği alışverişe ilişkin sipariş bilgileri bu e-posta adresine gönderilmişse kişisel verilerin üçüncü bir kişiye ifşa olması ihtimali gündeme gelebilecektir.
(✓) Bu uygulama, eğer kullanıcının e-posta adresini doğrulamış olsaydı bu tür bir ifşa ortaya çıkmayacak ve söz konusu ilkeye uygun hareket edilmiş olacaktı.
- Kullanıcının belli bir süre sonra telefon numarasını değiştirmesi ve mobil uygulamasının parolasını unuttuğu için mobil uygulama aracılığıyla parola sıfırlama talebinde bulunması durumunda,
(X) kullanıcının parola sıfırlaması esnasında daha önce girmiş olduğu ve artık kullanmadığı telefon numarasına kod gönderilmesi durumunda, kodun üçüncü bir kişiye mesaj olarak iletilmesi riski ortaya çıkabilecektir.
(✓) Kullanıcıya uygulama içinde telefon numarasını kontrol etme ve güncelleme fırsatı sunulmuş olsaydı, kullanıcı da güncel olmayan telefon numarasını kontrol ederek değiştirme fırsatı bulabilecek ve söz konusu ilkenin gereği yerine getirilmiş olacaktı.
c) Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri
Mobil uygulamalar aracılığıyla işlenen kişisel veriler açısından da işleme faaliyetinin amacının ortaya konulmasının ardından, söz konusu amacı gerçekleştirebilmek için hangi kişisel veri kategorilerine ihtiyaç duyulduğu belirlenmelidir. Bu belirleme yapılırken, mümkün olan en az çeşit ve sayıda kişisel veri toplanması hedeflenerek, kişisel verilerin işlenmesi bağlamında bireylerin temel hak ve özgürlüklerinin en üst düzeyde korunmasını sağlayacak bir yaklaşım benimsenmelidir Ayrıca, mobil uygulama üzerinden gerçekleştirilen işlemenin amaçla bağlantılı, sınırlı ve ölçülü olması, kullanıcılar bakımından öngörülebilirliğin sağlanması açısından da önem taşımaktadır.
- Bulaşıcı hastalıklarla mücadele amacıyla temas takibinde kullanılmak üzere hazırlanan bir mobil uygulama, yalnızca bireylerin yakınlık verisini (Bluetooth teknolojisi vasıtasıyla toplanan ve kişilerin birbirlerine hangi süre zarfında ne kadar yakın olduğunu gösterir bilgi) işlemek suretiyle kullanım amacını gerçekleştirebilecektir.
(X) Mobil uygulamanın kullanıcılarının tam konumunu ve hareketlerini izlemesi, kullanıcının bulaşıcı hastalığa sahip başka bir kullanıcıyla yakın temasta bulunduğunun tespit edilebilmesi amacı bakımından gereksiz olup bu nitelikteki bir işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil edebilecektir.
(✓) Mobil uygulamanın verdiği hizmet kapsamında gerçekleştirilecek işleme faaliyetlerinin, yalnızca mobil uygulamanın kullanıldığı cihazın yerel depolama alanında tutulacak kişisel veriler ile yürütülebilmesinin mümkün olduğu hallerde, söz konusu kişisel verilerin mobil uygulama sağlayıcısının veri kayıt sistemlerine iletilmemesi “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olacaktır.
(ç) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Mobil uygulamalar vasıtasıyla işlenen kişisel veriler bakımından da açıkça tanımlanmış iş ihtiyaçlarına ya da yasal yükümlülüklerine göre gerekçelendirilmiş saklama süreleri belirlenmelidir. Örneğin:
(✓) Mobil uygulama vasıtasıyla elektronik posta hizmeti alan bir kullanıcının belirli süre zarfında uygulamayı hiç kullanmaması ve pasif kullanıcıya dönüştürülmesi, kişisel verilerinin saklama süresinin aktif kullanıcılarınkine oranla daha kısa düzenlenmesi (yasal yükümlülükler hariç) bahsi geçen konu bakımından iyi bir örnek olabilecektir.
2. Şeffaflığın Sağlanması
Rehberde veri işleyenlere yönelik tavsiyelerin ikinci başlığında ise, veri işlenirken şeffaflığın sağlanması gerekliliğidir. Rehbere göre;
- Mobil uygulamalar; aydınlatma metni ve var ise gizlilik politikası kullanıcıların kolayca erişebileceği bir şekilde düzenlenmiş olmalıdır.
- Mobil uygulamaya ilişkin bir güncelleme mevcutsa kullanıcılara haber verilmeli ve kullanıcılar kişisel verilerin işlenmesi ile ilgili değişiklikler bakımından bilgilendirilmelidir.
- Aynı şekilde mobil uygulamanın varsayılan gizlik ayarları bakımından kullanıcı haberdar edilmeli, kullanıcıya anlayacağı şekilde kullanıcı dostu bir arayüz sunulmalıdır.
- Yurtdışında yerleşik sağlayıcıların sundukları mobil uygulamalar aracılığıyla Türkiye’deki kullanıcıların kişisel verilerinin işlenmesi sıkça rastlanılan bir durum olup şeffaflık açısından kullanıcıların Veri Sorumlular Siciline kayıt yükümlülüğünün de yerine getirilmesi önem arz etmektedir. Zira böyle bir durumda Türkiye’ye atıfta bulunarak mal ve hizmet sunulması ve bu sunumda Türkiye’deki ilgili kişilerin hedeflenmesi, Türkçe dil seçeneği veya benzersiz tanımlayıcılar aracılığıyla çevrimiçi takip yapılması gibi işlemler Türkiye’deki ilgili kişilerin izlenmesi anlamına gelip böyle bir durumda Kanun’un 16’ncı maddesindeki Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirilmelidir.
D. Mobil Uygulamalarda Çocukların Kişisel Verilerinin İşlenmesi
Rehberde ayrıca bir başlıkla gelişen teknoloji ile beraber akıllı cihazların çocuklar tarafından da kullanılabileceği göz önünde bulundurarak çocukların kişisel verilerine yönelik işleme faaliyetlerinin ayrı bir şekilde ele alınmasının çocuğun yararına olacağı belirtilmiştir. Bu sebeple, konu ile ilgili olarak “Çocukların Kişisel Verilerinin Korunması-Ürün ve Hizmet Geliştirenler Tarafından Dikkat Edilmesi Gerekenler” başlıklı dokümana atıfta bulunularak kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür takip edilerek gerçekleştirilmesi önerilmektedir.
E. Kişisel Verilerin İşlenme Şartlarının Belirlenmesi
Mobil uygulamalar aracılığıyla işlenen kişisel veriler bakımından değerlendirildiğinde işlemeye temel oluşturacak işleme koşullarının belirlenmesi ve gerekçeleri ile ortaya konulması beklenmektedir. İşlemeye dayanak oluşturacak şartların belirlenmesi, şeffaflığın sağlanması konusundaki yükümlülüğün yerine getirilebilmesi açısından da bir ön koşul niteliği taşımaktadır.
Mobil uygulamalar üzerinden gerçekleştirilecek kişisel veri işleme faaliyetlerinde, uygulamanın asıl işlevinin yerine getirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesi durumunda kullanıcının açık rızasının alınması gerekliliği ortaya çıkabilecektir. Örneğin;
(X) Bir kullanıcı tarafından talep edilen bir uygulamanın herhangi bir özelliği veya işlevi için kullanıcının konumuna erişilmesi gerekmeyen durumlarda, kullanıcı açık rıza vermediği sürece hedefli reklamcılık amaçları doğrultusunda kullanıcının konum verisi toplanmamalıdır.
(✓) Kullanıcılar, uygulamanın mikrofonlarına veya konumlarına erişim sağlaması gibi isteğe bağlı olan ve uygulamanın fonksiyonelliği açısından gerekli bulunmayan işlevlere yönelik izinleri devre dışı bırakmayı seçseler dahi uygulamanın kullanılabilmesine izin verilmelidir.
F. Kişisel Verilerin İşlenme Şartlarının Belirlenmesi
- Mobil uygulamaların ilk kullanımında mahremiyet odaklı ayarların açık olması hem kişisel verilerin işlenmesinde dürüstlük kuralına uyulması bakımından hem de kullanıcıların güvenini kazanmak bakımından önemlidir.
- Mobil uygulamaların olduğu cihazlara yetkisiz erişimleri engellemek için cihazlarda kimlik doğrulama sistemi kullanılmalı olup kullanıcılar mümkünse çok faktörlü kimlik doğrulamasına teşvik edilmelidir.
- Bir diğer husus mobil uygulamalardaki parolaların güçlü oluşturulması ve belirli periyotlarla değiştirilmesi sağlanarak güvenli bir yol takip edilmeli, kullanıcının eski parolasının kullanılmasının önüne geçilmelidir.
- Parolaların siber saldırı riskine nazaran güncel fonksiyonlardan geçirilerek saklanması önerilir. Ve düzenli bir şekilde yama yöntemi ve yazılım güncellemesi yapılmalıdır.
- Mobil uygulamalar sürülmeden önce yazılım testlerinin yapıldığından emil olunmalı, uygulama güvence altına alınmalıdır.
- Güvenlik, uygulamalarda tasarım aşamasında başladığından. Güvenli yazılım geliştirme stratejileri uygulanmalıdır.
- Başarısız hesap girişine karşılık bir sınırlandırma konulmalı, bot saldırılarını önlemek amaçlı CAPTHCA, dört işlem vb. yöntemler kullanılmalıdır.
- Uygulamanın yayınlanmasından önce risk değerlendirilmesinin yapılmasında fayda vardır.
- Mobil uygulamalardaki kişisel verilerin depolanması ve aktarılması halinde veri güvenliği sağlanması bakımından yeterli bir şifreleme katmanı oluşturulmalıdır. Böylelikle kişisel verileri etkili bir şekilde şifreleyerek veri güvenliği korunmalıdır.
Sonuç
Yukarıda yer verilen ve rehberde yer alan tavsiyelerde görüleceği üzere; veri işleyenler özellikle Kanun’da yer alan ilkelere uyumlu hareket etmeli, gerekli teknik ve idari tedbirleri almalıdır. Zira mobil uygulamalar üzerinden genel nitelikli kişisel veriler ile birlikte özel nitelikli kişisel verilerin de işlendiği, bu doğrultuda “özel nitelikli (hassas) kişisel veriler” başkaları tarafından öğrenildikleri takdirde bireyin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler olarak kabul edildiğinden, bu tür verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunması gerekmektedir.
Rehberde belirtilen tüm tavsiyeler ışığında, mobil uygulamalarda mahremiyetin korunmasında yalnızca veri işleyen tarafın değil, ilgili kişilerin de gerekli önlemleri alması ve dikkat etmesi gereken hususların yer aldığı görülmektedir. Bu doğrultuda, her ne kadar ilgili kişilerin gerekli önlemi almadığı hallerde idari para cezasıyla karşı karşıya kalma ihtimali bulunmasa da, rehberde yayımlanan tedbirlere uyumlu bir şekilde gerekli önlemleri alarak hareket etmesinde fayda bulunmaktadır.