Kişisel Verileri Koruma Kurumu, mobil uygulamalarda mahremiyetin korunmasıyla ilgili mevcut ve potansiyel riskleri ele alarak, ilgili kişilere ve veri sorumlularına genel nitelikli tavsiyeler sunmak amacıyla “MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER” rehberini yayımladı. Rehberde yer alan konular hakkındaki bilgi notumuzu sizinle paylaşıyoruz.
Mobil cihazlar, modern yaşamın ayrılmaz bir parçası haline gelerek birçok alanda kolaylık ve erişilebilirlik sağlamaktadır. Akıllı telefonlar, tabletler ve diğer taşınabilir elektronik aygıtlar aracılığıyla gerçekleştirilen mobil uygulama kullanımı, günlük yaşantımızı şekillendiren önemli bir unsurdur. Bu uygulamalar, hava durumu kontrolünden güncel haber alımına, bankacılık işlemlerinden sağlık takibine ve çevrim içi alışverişe kadar geniş bir hizmet yelpazesi sunmaktadır.
Mobil uygulamalarda, kullanıcı deneyimini geliştirmek, işlevselliği artırmak, sunulan hizmeti optimize etmek ve pazarlama stratejileri oluşturmak gibi hedefler doğrultusunda kişisel veriler işlenebilmektedir. Ancak, kişisel verilerin işlenmesi, bu teknolojik dinamiklerle birlikte bireylerin mobil cihazlarında uzun süreler boyunca kişisel verilerini muhafaza etme eğilimi, veri korumasının kritik bir öneme sahip olduğunu vurgular.
Mobil uygulamalarda kullanılan sensörler, bulut hizmetleri ve cihazların bireyin yaşamının ayrılmaz bir parçası haline gelmesi, kişisel veri işleme faaliyetlerinin dikkatlice ele alınmasını gerektirir. Bu bağlamda, kişisel verilerin korunması, bireyin mahremiyetinin ve güvenliğinin sağlanması açısından hayati öneme sahiptir.
VERİ SORUMLUSU VERİ İŞLEYEN AYRIMI
Mobil uygulamalarda kişisel veri işleme süreçlerinde, sorumluluklar genellikle uygulama sağlayıcısı, geliştirici, reklam ağı, mağaza kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi gibi birçok aktöre düşer. Veri sorumluluğu genellikle uygulama sağlayıcısına aittir, ancak üçüncü taraf hizmetlerin entegrasyonu veya bulut depolama gibi durumlarda birden fazla veri sorumlusu ortaya çıkabilir. Uygulama geliştirici ve sağlayıcısı arasındaki sözleşme ile geliştiricinin teknik rolü güvence altına alınırsa, geliştirici ayrı bir veri işleyen olarak kabul edilebilir. Ayrıca, işletim sistemi sağlayıcısı ve bulut hizmetleri kullanıldığında da veri işleyen niteliği ortaya çıkabilir. Bu kapsamda mobil uygulamalarda veri sorumlusu veri işleyen taraf sıfatlarının belirlenebilmesi için ayrı ayrı değerlendirme yapılmalıdır.
BİREYLERE TAVSİYELER
Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler:
Uygulamanın Güvenli Kaynaktan Alınması:
Uygulamanın kaynağının güvenilirliğinden emin olunmalıdır. Bu, özellikle güvenilen platformlar aracılığıyla, örneğin uygulama mağazalarından cihaza indirilmesini içermektedir. Cihaza zarar verebilecek potansiyel tehlikeleri azaltmak için resmi uygulama mağazaları veya mobil uygulama sağlayıcılarının resmi web siteleri gibi güvenilir kaynaklar tercih edilmelidir.
Uygulama Geliştiricisinin ve İsmi Üzerine Bilgi Alınması:
Uygulama yüklenmeden önce, uygulamanın geliştiricisi hakkında bilgi edinmek ve uygulama adının doğruluğunu kontrol etmek önemlidir. Bu bağlamda, resmi olarak piyasaya sürülen uygulamaların taklitlerinden ve kaynağı belirsiz uygulamalardan kaçınılmalıdır.
Kullanıcı Yorumları ve Puan Kontrolü:
Uygulamanın güvenilirliği ve işlevselliği hakkında bilgi edinmek adına, kullanıcı yorumları ve uygulamanın aldığı puan kontrol edilmelidir. Ancak, yüksek puan ve olumlu yorumların mutlak güvenilirliği garantilemediği akılda tutulmalıdır.
Veri Erişim İzinleri ve Gizlilik Politikası İncelemesi:
Uygulama yüklenmeden önce, hangi verilere erişim izni istendiği detaylı bir şekilde kontrol edilmeli ve uygulamanın gizlilik politikası gözden geçirilmelidir. Kişisel veri talepleri, uygulamanın sunduğu hizmetle ilgisi olmayan durumlarda dikkatlice değerlendirilmeli ve gereksiz veri talepleri durumunda alternatif uygulamalar araştırılmalıdır.
Uygulama Kullanılırken Dikkat Edilmesi Gerekenler:
Uygulama İzinleri ve Gizlilik:
Uygulama kullanımı sırasında talep edilen izinlere özen göstermek önemlidir. Örneğin, bir harita uygulamasının “anlık konum” izni talebi anlaşılır bir durumken, gereksiz verilere erişim izni taleplerinde bulunan uygulamaların erişim talepleri reddedilmeli ve alternatif uygulamalar incelenmelidir.
Sosyal Medya Hesapları ile Uygulama Girişi:
Uygulamalara sosyal medya hesaplarıyla giriş yapmaktan kaçınılmalıdır. Bu tür girişler, uygulamanın sosyal medya hesaplarından bilgi toplama olasılığına neden olabilir, bu da hesapları güvenlik tehditlerine karşı daha hassas hale getirebilir.
Konum, Ses ve Görüntü İzinleri:
Uygulama kullanımı için talep edilen konum, ses ve görüntü verisi izinleri, veri kullanım amacına dikkatlice değerlendirilmelidir. Gereksiz izin talepleri reddedilmeli ve taleplerin kullanım amacına uygunluğu değerlendirilerek alternatif uygulamalar gözden geçirilmelidir.
Güçlü Parolalar ve Yazılım Güncellemeleri:
Uygulama girişleri için oluşturulan parolalar, güçlü kombinasyonları içermelidir. Her hesap için farklı parolalar oluşturulmalı ve çok faktörlü doğrulama kullanılmalıdır. Yazılımların düzenli olarak güncellenmesi ve gizlilik ayarlarının kontrol edilmesi, cihaz güvenliğini sağlamak açısından önemlidir.
Kullanılmayan Uygulamalar:
İhtiyaç duyulmayan uygulamalar cihazlarda tutulmamalıdır. İhtiyaç duyulmayan uygulamalar, potansiyel güvenlik risklerine neden olabilir. Bu uygulamalar, kötü amaçlı yazılımlar, veri ihlalleri veya diğer siber tehditlere maruz kalma riskini artırabilir.
KİŞİSEL VERİ İŞLEYENLERE TAVSİYELER
Mobil uygulamalarda kişisel veri işleyen taraflar için öncelikle veri koruma mevzuatlarına göre veri sorumlusu mu yoksa veri işleyen mi oldukları belirlenmelidir ve bu belirleme sonrasında tarafların veri koruma yasalarına gerekli uyum işlemleri gerçekleştirilmelidir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.4’e Uyum
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde belirtilen genel ilkeler, kişisel verilerin yasal düzenlemelere ve belirlenen usul ve esaslara uygun olarak işlenmesini şart koşmaktadır. Bu genel ilkeler şunlardır:
a) Hukuka ve dürüstlük kurallarına uygun olma:
Uygulama geliştiricileri ve sağlayıcılarının, kişisel veri işleme sürecine geçmeden önce mevcut bir hukuki sebep olup olmadığını değerlendirmeleri gerekmektedir. Bu değerlendirme sürecinde, mobil uygulamalarda işlenen kişisel veriler konusunda şeffaf ve dürüst bir yaklaşım benimsemeleri, bireylerin haklarını kullanabilmeleri için uygun imkanları sağlamaları ve bu hakların kullanımını destekleyen süreçleri uygulamaya koymaları önem arz etmektedir.
Mobil ortamda sıkça karşılaşılan sorunlardan biri, izin mimarilerinin uygulamaya ve entegre üçüncü taraflara ayrı ayrı izin verme olanağı sağlamamasıdır. Örneğin, bir uygulama sadece belirli bir veri türüne erişim talep eden üçüncü bir tarafı entegre etmek isteyebilir. Bu durumda, uygulama geliştiricilerinin şeffaf bir şekilde bu üçüncü taraf işlemleri hakkında bilgi vermesi ve hukuki bir sebep olmadan kişisel veri işlenmesini engellemeleri kritik bir öneme sahiptir. Örneğin, bir konum paylaşım uygulamasının, kullanıcının izni olmadan konum verilerini üçüncü bir tarafın reklam hizmetine iletimine izin vermemesi gerekmektedir.
b) Doğru ve gerektiğinde güncel olma:
Mobil uygulamalar bağlamında, kullanıcıların kişisel verilerini düzeltme imkanı sunulmalı ve uygulama tasarımında bu imkan göz önünde bulundurularak kullanıcılara uygun yöntemlerle bu imkanı kullanma olanağı sağlanmalıdır.
c) Belirli, açık ve meşru amaçlar için işlenme:
Bu ilke, kişisel veri işleme faaliyetlerinin açık bir şekilde anlaşılabilir olmasını, işlemin hangi hukuki işleme şartına dayandığının belirlenmesini ve işleme faaliyetinin amacının net bir şekilde ortaya konmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yaptığı iş veya sunduğu hizmetle bağlantılı ve bu amaçlar için gerekli olması gerektiği anlamına gelir.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:
Kişisel veri işleme sürecinde, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi ve amaç için gerekli olmayan veri işlemlerinden kaçınılması önemlidir. Ölçülülük ilkesi, veri işleme faaliyetinin amacı ile makul bir denge kurulması gerektiğini ifade eder. Mobil uygulamalar bağlamında somut bir örnek düşünelim; Bir sağlık uygulaması, kullanıcının sağlık verilerini işlemekte ve bu verileri sağlık durumunu takip etmek amacıyla kullanmaktadır. Bu durumda, uygulama kullanıcılardan sadece sağlık durumuyla ilgili gerekli bilgileri toplamalıdır. Örneğin, uygulama, kullanıcının yaş, kilo, tansiyon gibi sağlık durumuyla doğrudan ilgili olan verilerini işleyebilir. Böyle bir veri işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olacaktır.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme:
Kişisel verilerin saklama-imha süreçleri/prosedürleri belirlenmelidir. Mobil uygulamalar işledikleri kişisel verileri, ilgili mevzuat tarafından öngörülen veya işlendikleri belirli bir amaç için gerekli olan süre boyunca muhafaza etmelidirler. Bu sürenin bitiminde kişisel veriler Saklama ve İmha Politikasına uygun olarak imha edilmelidir.
Şeffaflık
Mobil uygulamalarda şeffaflığın sağlanması, kullanıcı güvenliği ve veri mahremiyeti açısından kritik bir öneme sahiptir. İlk olarak, veri sorumluları, kullanıcıların kişisel verilerinin nasıl işlendiği konusunda açık ve anlaşılır bilgiler sunmalı, kişisel veriler ile ilgili kullanıcılara Aydınlatma Metinleri hazırlamalıdır. Aydınlatma Metinleri mobil uygulamalarda erişebilir bir alana konumlandırılmalıdır.
Çocukların Kişisel Verilerinin İşlenmesi
Çocukların kişisel verilerine yönelik işleme faaliyetlerinin diğer kullanıcı gruplarından ayrı bir şekilde ele alınması önemlidir. Bu bağlamda, özellikle çocuklara yönelik veya çocuklar tarafından sıkça kullanılan uygulamalarda, kullanıcı yaşını doğrulayan sistemlerin kurulması ve çocuklara özgü işleme faaliyetlerinin ayrı bir politika ve prosedür izlenerek gerçekleştirilmesi önerilmektedir. Şeffaflığın sağlanmasında yine aydınlatma yükümlülüğü çocukların anlayabileceği şekilde yerine getirilmelidir.
Kişisel Verilerin İşlenme Şartlarının Belirlenmesi
Kişisel verilerin işlenme şartları her bir kişisel veri işleme faaliyetinin amacının KVKK bakımından hukuki dayanağını oluşturmaktadır. Bu şartlara KVKK’nın 5 ve 6. Maddesinde yer verilmiştir. Bu kapsamda mobil uygulamalarda işlenecek kişisel veri işleme faaliyetleri için veri işleme şartlarının belirlenmesi zorunludur.
Veri Güvenliğinin Sağlanması
Mobil uygulamalarda veri güvenliğini sağlamak, kullanıcı mahremiyetini korumak ve güvenli bir deneyim sunmak için önemli bir gerekliliktir. Mobil uygulamalarda alınması gereken bazı güvenlik önlemleri Rehber’de şu şekilde sıralanmıştır:
- Mobil uygulamalar privacy by design ve privacy by default ilkeleri ile uyumlu şekilde tasarlanmalıdır.
- Yetkisiz erişimleri önlemek adına kimlik doğrulama yöntemleri kullanılmalıdır.
- Kullanıcıları çok faktörlü kimlik doğrulama yöntemlerini kullanmaya teşvik etmek önemlidir.
- Mobil uygulamalara erişimlerde güçlü parolalar oluşturulması ve belirli aralıklarla parola değişikliği yapılması için uygun bir parola güvenliği politikası benimsenmelidir.
- Yama yönetimi ve yazılım güncellemesi süreçleri gerçekleştirilmelidir.
- Geliştirilen mobil uygulamaların yayımlanmadan önce eksiksiz ve başarılı yazılım testlerinden geçirilmesi gerekmektedir
- Uygulama güvenliği, tasarım aşamasında başlamalı ve güvenli yazılım geliştirme stratejileriyle desteklenmelidir.
- Kullanıcıların mobil uygulamalara başarısız giriş sayısı sınırlandırılmalıdır.
- Uygulamaların yayımlanmadan önce hedeflenen işletim sistemlerinin veri koruma ve güvenlik özellikleri göz önünde bulundurulmalı, risk değerlendirmesi yapılmalıdır.
- Mobil uygulamalarda kişisel verilerin depolanması ve aktarımı sırasında uygun şifreleme kullanılmalıdır.
Bu bilgi notu Av. Ayça Köken tarafından hazırlanmıştır.
