Veri Koruma Hukuku

Mobil Uygulamalarda Kişisel Verilerin Korunması

Yazar 24 Ekim 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
Mobil Uygulamalarda Kişisel Verilerin Korunması

Mobil uygulamalarda kişisel verilerin korunması ilgili kişiler ve mobil uygulama sahibi veri sorumluları bakımından önem arz etmektedir.

Mobil Uygulamalarda Kişisel Verilerin Korunması Nedir?

Kimliği belirli veyahut belirlenebilir gerçek kişiye ait tüm bilgileri içeren veri kişisel veri olarak tanımlanmaktadır. Mobil uygulamalarda kişisel verilerin korunması kapsamında mobil uygulama işleticileri olası bir kişisel veri ihlalini önlemek adına kişisel verilerin korunması mevzuatına uygun olarak önlemler almalı, politikalar ve metinler hazırlamalıdır.

Mobil uygulamaların ayrıca özel hayatın gizliliğini ihlal edebilecek kişisel verileri topladığı da unutulmamalıdır. Kişisel verilerin hukuka aykırı bir biçimde işlenmesi kişisel veri ihlali ile mobil uygulama üretici ve işleticilerinin hukuki, cezai ve idari sorumluluklarını gündeme getirebilecektir.

Mobil uygulama işleticileri kişisel verilerin korunması mevzuatından ileri gelen sekiz ilkeyi dikkate alarak kişisel veri işlemelidir. Bu ilkeler:

  • Kişisel verilerin hukuka ve dürüstlük kurallarına uygun bir biçimde toplanması ve işlenmesi,
  • Veri minimizasyonunun sağlanması,
  • Kişisel verilerin hukuka uygun bir biçimde önceden belirlenmiş olan amaçlar dahilinde işlenmesi,
  • Belirlenen amaçlar dışında başka bir amaç uyarınca kişisel veri işlenmesinin ancak veri sahibinin rızası veya kişisel veri işleme şartlarının yer alması sonucunda gerçekleştirilmesi,
  • Kişisel verilerin güncel olması,
  • Kişisel verilerin ifşa, değiştirilme yahut yok edilme gibi hukuka aykırı işlemlerden korunması adına teknik ve idari tedbirlerin alınması,
  • İlgili kişiye başvuru hakkı kapsamında haklarının kullandırılması,
  • Veri sorumluları hakkında hukuki, idari ve cezai sorumlulukların işletilmesi

şeklinde sıralanmaktadır. 

Mobil Uygulamalarda Bulunması Gereken KVKK Metinleri

Mobil uygulamalarda kişisel verilerin korunması kapsamında mobil uygulamalarda bulunması gereken KVKK metinlerinin başında aydınlatma metni gelmektedir. Aydınlatma metni 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veri işleyen herkes için bağlayıcıdır. Aydınlatma metni mobil uygulamayı kullanacak ilgili kişi kullanıcıya en geç kişisel verilerinin işlendiği an sunulmalıdır. İlgili kişiyle paylaşılacak metin içeriğinin sade, şeffaf, anlaşılır, uygulama içerisinde kolayca ulaşılabilir yere yerleştirilmiş ve basit bir dille hazırlanmış olması gerekmektedir. Bu gereklilikleri yerine getirmeyen aydınlatma metni açık rızanın bilgilendirmeye dayalı olma şartını ihlal edecektir. 

İlgili kişi kullanıcıya sunulacak aydınlatma metninde toplanan kişisel veriler, bu kişisel verilerin işlenme amacı ile hukuki sebebi, toplanan kişisel verilerin saklama süresi ve imha yöntemi ile kişisel verilerin aktarılıyor olması halinde hangi kişisel verilerin kim/kimlere aktarılacağı belirtilmelidir. Aydınlatma metninde ayrıca ilgili kişinin hakları kapsamında veri sorumlusuna başvuru sürecinin nasıl yürütüleceği de açıklanmalıdır. Yukarıda sayılan asgari hususların belirtilmemesi kişisel verilerin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğüne aykırılığı gündeme getirecektir.

Mobil uygulama işleticilerinin dikkate alması gereken bir başka husus ise uygulamanın güncellenmesi sonucu veri işleme faaliyetinde değişiklik olması halinde bu değişikliğin kullanıcıya bildirilmesidir. Mobil uygulama işleticisi ilgili kişi kullanıcıları kişisel veri işleme faaliyetinin kapsamı değiştiği takdirde gecikmeksizin bilgilendirmeli, aydınlatma metnini revize etmelidir.

Mobil uygulamalarda aydınlatma yükümlülüğünün yerine getirilmesi çeşitli şekillerde mümkün olabilmektedir. Mobil uygulamanın türüne göre yazılı metin, görsel şema veya sesli mesaj gibi yollar tercih edilebilecektir. Kişisel verilerin korunması mevzuatı uyarınca açık rızaya dayalı bir kişisel veri işleme faaliyetinin varlığı halinde mobil uygulama işleticisinin ayrıca aydınlatma ve açık rıza yükümlülüğünü ayrı ayrı yerine getirmesi gerekecektir.

Mobil uygulamalar açısından önem arz eden bir başka KVKK metni ise açık rıza metni olarak gösterilmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinde açık rıza tanımı yapılmıştır. Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza, açık rızayı ifade etmektedir. Kişisel verilerin korunması mevzuatı rıza için belirli bir şekil şartı öngörmemiştir. Ancak rızanın alındığının ispatı veri sorumlusu mobil uygulama işleticisinde olacaktır. Açık rıza ilgili kişilerin rıza beyanlarını diledikleri zaman geri alabilecekleri bir biçimde düzenlemelidir. Buna ek olarak açık rızanın kişisel veri işleme faaliyetine başlamadan önce alınmış olması gerekmektedir. Belirli bir konuya ilişkin olmayan muğlak, bilgilendirmeye dayanmayan ve özgür iradeyle verilmemiş açık rıza kişisel verilerin hukuka aykırı bir biçimde işlenmesini gündeme getirecektir. 

Mobil uygulamalarda bulunması gereken KVKK metinlerinden bir diğeri ilgili kişi başvuru formudur. İlgili kişi başvuru formu aracılığıyla veri sorumlusuna taleplerini iletebilecek ve makul bir süre içerisinde veri sorumlusu tarafından bilgilendirilebilecektir. İlgili kişi 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca; 

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesi,

taleplerinde bulunabilecektir.

Mobil Uygulamalarda Gizlilik Politikası

Mobil uygulamalarda kişisel verilerin korunması adına yer verilmesi gereken bir başka önemli metin gizlilik politikasıdır. Mobil uygulamalarda gizlilik politikası ile mobil uygulama kullanıcısı mobil uygulamanın işleticisi tarafından bilgilendirmelidir. Gizlilik politikası metni ile işlenen kişisel verilerin neler olduğu, kişisel verilerin işlenme amaçları, kişisel verilerin korunması için uygulanan güvenlik önlemlerinin ne olduğu ile kişisel verilerin saklanma süresi, üçüncü kişilere kişisel veri aktarımı varsa hangi verilerin kim ya da kimlere aktarıldığı, gizlilik politikasında yapılan değişiklikler sonucu kullanıcılara bilgilendirmenin ne şekilde yapılacağı konuları hakkında bilgi verilmektedir.

Mobil Uygulamalar İçin KVKK ve GDPR Kararları

Avrupa Birliği Veri Koruma Tüzüğü uyarınca Fransız Veri Koruma Kurumu (CNIL), GDPR içerisinde yer alan genel ilkelerden şeffaflık ilkesine riayet etmemesi ve kullanıcılara sunulan aydınlatma metninin uygulama üzerinde kolay ulaşılabilir bir kısmında yer almaması sebebiyle Google hakkında 50.000.000 € para cezası uygulamıştır. 

Türkiye’de ise mobil uygulamalar hakkında son dönemlerin en büyük kişisel veri ihlalleri WhatsApp ve Yemeksepeti üzerinde gerçekleşmiştir.

WhatsApp nezdinde yürütülen inceleme sonucu WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurt dışında bulunan üçüncü taraflara aktarılmasına açık rıza verilmesini içerecek şekilde hizmet koşulları ve gizlilik ilkesini güncellemiş, bu kapsamda açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair bilgilendirme iletmiştir. Veri sorumlusu WhatsApp için Kişisel Verileri Koruma Kurulu tarafından 1.950.000 TL idari para cezası uygulanmıştır.

Yemeksepeti nezdinde yürütülen incelemede ise uygulamaya kimliği tespit edilemeyen şahıs/şahıslar tarafından erişilmiş, kişisel veriler taşınmış ve ihlal sonrasında fark edilmiştir. Kişisel Verileri Koruma Kurulu yeterli teknik ve idari tedbirleri almadığı değerlendirmesi sonucu Yemeksepeti’ne 1.900.000 TL idari para cezası uygulamıştır.

Yukarıda hukuki açıdan önem ihtiva eden mobil uygulamalarda kişisel verilerin korunması konusu genel bir çerçeve ile açıklanmıştır. Mobil uygulamalarda kişisel verilerin korunması konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code