Veri Koruma Hukuku

Mobil Oyunlarda Kişisel Verilerin Korunması

Yazar 25 Ekim 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
Mobil Oyunlarda Kişisel Verilerin Korunması

Mobil oyun sektöründe son yıllarda gerçekleşen önemli gelişmeler kişisel verilerin korunması açısından büyük bir soru işareti yaratmıştır. Mobil oyunlarda gerçekleştirilen işlemler aracılığıyla kişisel veriler kolaylıkla işlenebilmekte, yeterli teknik ve idari tedbirler alınmadığı takdirde kişisel veri ihlallerini gündeme getirebilmektedir. 

Mobil oyun üreticisi ve işleticilerinin mobil oyunlarda kişisel verilerin korunması kapsamında alması gereken birçok tedbir ve hazırlaması gereken birçok hukuki doküman bulunmaktadır. Mobil oyunlara özellikle küçük yaşta çocuklar tarafından rağbet gösterilmesi sebebiyle çocukların kişisel verilerinin korunması da önemli bir konudur. 

Mobil oyunlara kayıt sırasında hesap açılması veya oyun ağına başka sosyal medya platformları aracılığıyla girilebilmesi ile oyun şirketleri, mobil oyun kullanıcısı ilgili kişilerin adı soyadı, iletişim adresi, konum bilgisi, IP adresleri, kişiselleştirilmiş profilleri, fotoğrafları gibi kişisel verilerine ulaşabilmektedir. Mobil oyunun belli başlı kısımlarının veya tamamının ücretli olması halinde kredi kartı vb. ödeme bilgileri de mobil oyun şirketi tarafından elde edilmektedir.

Mobil oyun üreticisi ve işleticilerinin yukarıda toplanan ve işlenen kişisel verileri ve başkaca kişisel verilerin işlenebileceği senaryolarını dikkate alarak oyun geliştirmeleri ve işletmeleri gerekmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca genel ilkelere uyumlu bir şekilde veri toplamayan, işlemeyen veyahut aktarmayan; aydınlatma ve açık rıza yükümlülüğünü gereğince yerine getirmeyen, ilgili kişilerden kişisel verilerin aktarılmasına ilişkin açık rıza almadan kişisel verileri aktaran veri sorumlusu mobil oyun sahipleri kişisel veri ihlalleri ile karşı karşıya kalabilecektir.

Mobil Oyunlarda Bulunması Gereken KVKK Metinleri

Mobil oyunlarda bulunması gereken KVKK metinleri sırasıyla aydınlatma ve açık rıza metinleri, gizlilik politikası, çerez politikası ve ilgili kişi başvuru formu olarak sıralanabilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. Maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca veri sorumlusu mobil oyun sahipleri, mobil oyun kullanıcıları ilgili kişilere karşı aydınlatma yükümlülüğünü yerine getirmelidir. Veri sorumlusu aydınlatma yükümlülüğünü yerine getirirken;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca hakları

hakkında bilgi vermelidir. Veri sorumlusu veya yetkilendirdiği kişi aydınlatma yükümlülüğünü mobil uygulamada görünür bir biçimde aydınlatma metnine yer vererek veyahut üyelik kaydı yapılması sırasında pop-up veya banner gibi araçlar kullanarak yerine getirebilecektir. Aydınlatma metninin sunulması ilgili kişinin talebine bağlı değildir ve yerine getirildiğinin ispat yükü veri sorumlusu üzerinde olacaktır.

Kullanıcıya sunulacak aydınlatma metni içerisinde kişisel veri işleme amacının açık, belirli ve meşru olması gerekmektedir. Aydınlatma yükümlülüğü yerine getirilirken muğlak ve belirsiz ifadeler kullanmaktan kaçınılmalıdır. Kişisel Verileri Koruma Kurulu kararları ve kişisel verilerin korunması mevzuatı uyarınca muğlak ve belirsiz ifadelere yer veren bir aydınlatma metni hazırlanması aydınlatma yükümlülüğünün gereğince yerine getirilmediğine işaret etmektedir.

Mobil oyunlarda bulunması gereken KVKK metinlerinden bir diğeri ise açık rıza metnidir. 6698 sayılı Kişisel Verilerin Korunması Kanununun ilgili maddelerinde kişisel verilerin ve özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceği kayıt altına alınmıştır. Ancak Kanun’da gösterilen kişisel veri işleme şartlarının varlığı halinde mobil oyun kullanıcısı ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilecektir. Kişisel verilerin kullanıcı sözleşmesinin kurulması kapsamında işlenmesi kişisel veri işleme şartlarına örnek gösterilebilecektir. Kişisel veriler ve özel nitelikli kişisel veriler için kişisel veri işleme şartları bulunmadığı takdirde mobil oyun kullanıcısı ilgili kişiden açık rıza alınması gerekecektir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma ve açık rıza alınması işlemleri veri sorumlusu tarafından ayrı ayrı yerine getirilmelidir.

Gizlilik politikası mobil oyunlarda bulunması gereken KVKK metinlerinden bir diğeridir. Bu metin içerisinde kişisel verileri işlenen mobil oyun kullanıcıları ilgili kişilere kişisel verilerin korunması kapsamında bilgi sağlanmaktadır. Gizlilik politikası sırasıyla kişisel veri işleyen veri sorumlusunun unvanı, kişisel verilerin ne şekilde işleneceği, kişisel verilerin toplanması ve hangi kişisel verilerin toplandığı, kişisel verilerin hangi amaçlarla işlendiği ve kullanıldığı, kişisel verilerin saklanma süresi ve imhasının ne şekilde gerçekleştirileceği, kişisel verilerin hangi amaçlarla kim veya kimlere (üçüncü taraf olarak) aktarıldığı ile ilgili kişi mobil oyun kullanıcılarının 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında sahip olduğu haklar hakkında bilgi sağlamaktadır. Gizlilik politikası mobil oyun platformunun kolayca erişilebilir bir kısmına eklenmelidir. Mobil arayüzde görünmeyecek bir yere eklenen, uzun çabalarla bulunabilecek bir gizlilik politikası, kişisel verilerin korunması bakımından etkili sayılmayacaktır.

Çerez politikası mobil oyunlarda kullanılan çerezler aracılığıyla kişisel veri toplandığı takdirde yer verilmesi gereken bir diğer KVKK metnidir. Çerez politikası çerezler aracılığıyla kişisel veri toplanması hallerinde mobil oyun kullanıcısı ilgili kişiye sunulmaktadır. Çerez politikası sırasıyla hangi çerezler aracılığıyla hangi kişisel verilerin toplandığı, bu çerezlerin kullanım alanları ve kullanım sürelerinin ne olduğu, çerezler aracılığıyla toplanan kişisel verilerin üçüncü bir tarafla paylaşılması halinde bu üçüncü tarafların kim/kimler olduğu ve aktarım amacı ile hukuki sebebin neler olduğu, çerez ayarlarının nasıl değiştirileceği hakkında bilgi sağlamaktadır. Mobil oyun kullanıcısı ilgili kişiye veri sorumlusu tarafından sunulan çerez politikasında özellikle çerezler hakkında uygun aydınlatmanın yapılması gerekmektedir. Aydınlatma yükümlülüğü kapsamında yukarıda da belirtildiği üzere veri sorumlusu veya yetkilendirdiği kişi kişisel verilerin en geç elde edilmesi sırasında veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar hakkında kullanıcılar aydınlatılmalıdır. Çerezler hakkında veri sorumlusu tarafından mobil oyun kullanıcısı ilgili kişiye kişisel veri toplayan çerezleri her zaman reddedileceği bir mekanizma tasarlanmalıdır.

Kişisel verilerin korunması açısından önem ihtiva eden son metin ise ilgili kişi başvuru formudur. İlgili kişi hakları 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. Maddesinde sayılmaktadır. İlgili kişi başvuru formu ile veri sorumlusuna başvuru süreci yürütülebilecek, ilgili kişiye karşı kişisel verilerin korunması mevzuatından kaynaklanan başvuruda bulunabilme yükümlülüğü yerine getirilmiş olacaktır. İlgili kişi başvuru formu içerisinde başvuru kapsamında iletilecek talep hakkında bilgi verilecektir.

Mobil Oyunlar İçin KVKK ve GDPR Kapsamında Dikkate Alınması Gereken Noktalar

Avrupa Birliği Veri Koruma Tüzüğü (GDPR) kapsamına girecek şekilde Avrupa Birliği vatandaşlarına da hizmet sunacak olan mobil oyunlarda oluşturulacak metinlerde çocuğun rızası kapsamı da değerlendirilmelidir. KVKK’da henüz böyle bir özel hüküm bulunmasa da GDPR kapsamında 13-18 yaş arası çocuklar kendi rızalarını kullanarak onam verebilecektir. 13 yaş altı çocuklar üzerinden gerçekleştirilecek kişisel verilerin işlenmesi faaliyetinde ise rıza veli ya da vasi tarafından verilmelidir. GDPR uyarınca ayrıca politika ile aydınlatma ve açık rıza metinlerinde Veri Koruma Görevlisi – Data Protection Officer (DPO) unvanına da yer verilmelidir. 

Yukarıda hukuki açıdan önem ihtiva eden mobil oyunlar ve KVKK konusu genel bir çerçeveyle açıklanmıştır. Mobil oyunlar ve KVKK konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code