İçindekiler
Mobil uygulama geliştiricilerinin KVKK kapsamında yerine getirmesi gereken birçok yükümlülüğü bulunmaktadır.
Mobil Uygulama Nedir?
Mobil uygulama akıllı telefonlar ve tablet bilgisayarlar gibi cihazlar için özel olarak kodlanmış ve tasarlanmış uygulamadır.
Teknolojinin gelişmesiyle birlikte mobil teknolojilerin de kullanılabilirliği son yıllarda artmaktadır. Mobil uygulama kullanıcıların deneyimini kolaylaştırmakta, bilgisayar üzerinden gerçekleştirilebilecek neredeyse tüm aktiviteler mobil uygulamalar üzerinden de geliştirilebilmektedir.
Mobil uygulamalar ile bu uygulamalara erişim kolaylaşarak günün her anında ulaşılabilmeyi getirmiştir. Kullanıcılar profesyonel işlerini dahi bu uygulamalar aracılığıyla halledebilmektedir. Bu da zamandan tasarrufu sağlayarak kullanıcılara kolaylık sağlamaktadır.
Mobil uygulamalar alışverişten bankacılığa birçok sektörde kullanılmaktadır. Günümüz teknolojisinde kurye çağırmak, yemek sipariş etmek, bankacılık işlemlerini gerçekleştirmek de dahil olmak üzere birçok iş ve işlem kullanıcıların beğenisine sunulmuştur.
Mobil Uygulama Geliştiricisi Kimdir?
Mobil uygulama geliştiricisi mobil cihazlar için yazılım ve uygulamalar hazırlamaktadır. Geliştiriciler ilgili şirket veya kişinin ilettiği kapsamda yazılım ürünleri ve sistemlerini tasarlamakta, tasarlanan uygulamayı düzenli aralıklarla test etmekte ve hata raporlarıyla ilgilenmekte, teknolojik gelişmeleri yakından takip etmekte ve kullanıcılar için detaylı bir dokümantasyon hazırlığı gerçekleştirmektedir.
Mobil uygulamaların tasarlanması aşamasında yürütülmesi gereken birtakım süreçler bulunmaktadır. Bu süreçler kapsamında öncelikle bir yapılacaklar listesi oluşturulması gerekmektedir. Yapılacaklar listesi içerisinde kullanıcıların yapılmasını istedikleri görevlerin listesi oluşturulmaktadır. Bu liste aracılığıyla mobil uygulamada hangi iş ve işlemlerin gerçekleştirilebileceği teyit edilmektedir. Örnek olarak abonelik iptali, taleplerin gerçekleştirilmesi vb. gösterilebilecektir. Yapılacaklar listesinde ayrıca kişisel verilerin korunması da sağlanmalıdır. Mobil uygulama geliştiricisi kullanıcı yönetim süreçlerini oluşturmalı ve veri güvenliğinin sağlanmasını doğru bir biçimde kurgulamalıdır.
Yürütülmesi gereken süreçlerden bir diğeri ise platform kurulumudur. Yapılacaklar listesi, tüm kullanıcıların listesi ve yapılacaklar kısmının bir bulut veri tabanında depolanması gerekmektedir. Böylelikle kullanıcıların uygulamalar içerisindeki verileri saklanabilmekte, herhangi bir cihaz kaybı sonucunda mobil uygulamanın indirilmesiyle eski veriler geri gelebilecektir.
Mobil uygulamalar çerçevesinde yer verilmesi gereken bir diğer süreç ise kullanıcı yönetimidir. Kullanıcı yönetimi ile kullanıcılar mobil uygulamaya kaydolabilmekte ve oturum açabilmektedir. Kullanıcı yönetimi ile kişiye kişiselleştirilmiş kullanıcı deneyimi sunulmakta ve kişisel verilerini koruyabilmektedir.
Mobil uygulamalar içerisinde yer verilmesi gereken süreçlerin bir diğeri ise API, veri senkronizasyonu ve çevrimdışı hareketlerdir. Mobil uygulamalar üreticilerden ve kullanıcılardan gelmekte olan birçok veri içerdiğinden bu verilerin cihazlar arası senkronizasyonu sağlanmalı, çevrimdışı olunsa dahi kullanıcılar uygulama içerisinde değişiklikler yapabilmelidir.
Mobil uygulamalarda yer alması gereken süreçlerden bir diğeri ise anlık bildirimlerdir. Anlık bildirimler ile kullanıcıların ilgisi canlı tutulmaktadır.
Yukarıda sayılanlar ile yapılacaklar listesinin tamamlanmasıyla mobil uygulamaların uygulama mağazalarına yüklenmesi gerekmektedir. Bu kısım test etme aşamasını gündeme getirecektir. Mobil uygulamaların belirli aralıklarla test edilmesi ve sorunların giderilmesi hem kullanıcıların güvenoyunu alacak hem de kesintisiz hizmet sunulmasını sağlayacaktır.
Mobil Uygulama Geliştiricilerinin KVKK Yükümlülükleri
Mobil uygulama geliştiricilerinin Fikri Mülkiyet Hukuku, Tüketici Hukuku, Ticaret Hukuku gibi birçok alanda hukuki yükümlülükleri bulunmaktadır. Bu başlık altında mobil uygulama geliştiricilerinin KVKK yükümlülükleri açıklanacaktır.
Mobil uygulama içerisinde kullanıcıya ait kişisel veri toplanması durumunda uygulama açılış sayfasında kullanıcılar için kullanıcı/üyelik sözleşmesine yer verilmelidir. Kullanıcı/üyelik sözleşmesinde mobil uygulamanın faaliyet gösterdiği alan, kişisel verilerin korunması, gizlilik, tarafların yükümlülükleri gibi hususlara yer verilmesi gerekmektedir. Kişisel verilerin hukuka aykırı işlenmesini önlemek adına bu sözleşmelerin mobil arayüzde kabul edilmesi ve geçerli sayılmasını takiben kullanıcı için mobil uygulama tarafından kimlik doğrulaması yapılması gerekmektedir. Kişisel Verileri Koruma Kurulu’nun 17/03/2022 tarihli ve 2022/243 sayılı karar özetinde kimlik doğrulaması konusu ele alınmıştır. İlgili karar özetinde aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresi kullanıldığı ve faturanın ilgili kişinin e-posta adresinin kullanılması sebebiyle ilgili kişiye yollandığı belirtilmiştir. Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde yer alan teknik ve idari tedbirlerin alınmadığını göz önüne alarak veri sorumlusu e-ticaret platformuna 100.000 TL idari para cezası uygulamıştır. Kurul değerlendirmesinden hareketle belirtilmelidir ki kimlik doğrulama sistemi ile hareket edilmesi mobil uygulamalarda kullanıcıların belirlenmesi açısından hayati bir önem taşımaktadır, böylece yetkisiz satışlar önlenebilecek, kişisel veri ihlallerinin önüne geçilebilecektir.
Mobil uygulama içerisinde kullanıcı/üyelik sözleşmelerinin yanısıra kullanıcıların kişisel verilerinin toplanması, işlenmesi ve aktarımının söz konusu olduğu hallerde 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca aydınlatma ve açık rıza metinlerine yer verilmesi gerekecektir. Mobil uygulama sahiplerinin kişisel veri işlerken ayrıca KVKK’da yer alan genel ilkeleri de takip etmesi gerekmektedir. Mobil uygulama geliştiricileri mobil uygulama vasıtasıyla veriler toplarken hukuka ve dürüstlük kurallarına uygun davranmalı, doğru ve gerektiğinde güncel kişisel verileri işlemeli, kişisel verileri belirli, açık ve meşru amaçlar için işlemeli, kişisel verileri amaçla bağlantılı sınırlı veya ölçülü olarak işlemeli, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmelidir.
Kullanıcılar için oluşturulacak aydınlatma metni içerisinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca veri sorumlusu ve varsa temsilcisinin kimliği, kullanıcıdan alınacak kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin hakları konularına yer vermelidir. Veri sorumlusu ayrıca mobil uygulamalar kapsamında toplanabilecek kişisel veriler için Kanun’da yer alan kişisel veri işleme şartlarından biri bulunmuyorsa veyahut kişisel verilerin aktarılması söz konusuysa kullanıcıdan açık rıza alması gerekecektir.
Mobil uygulamalar kapsamında kişisel verilerin korunması bakımından önem arz eden bir diğer konu ise elektronik ticari ileti yollanmasıdır. Mobil uygulama geliştiricilerinin uygulamayı elektronik ticari ileti iznini de içine alabilecek bir biçimde oluşturması gerekmektedir. Elektronik ticari ileti izni ile mobil uygulama içerisinde veya diğer iletişim kanalları vasıtasıyla kullanıcıların kişisel verileri işlenmekte ve bu kullanıcılara sesli, yazılı vb. yöntemlerle ticari iletiler gönderilmektedir.
Mobil uygulama içerisinde ayrıca gizlilik ve çerez politikalarına da yer verilmesi gerekmektedir. Gizlilik politikası kullanıcılara kişisel verilerin toplanması, işlenmesi ve aktarılması kapsamında bilgi vermektedir. Mobil uygulama geliştiricilerin mobil uygulamaya yerleştireceği gizlilik politikasında kullanıcılardan toplanan kişisel verilerin ne olduğu, kişisel verilerin hangi yöntemlerle toplandığı, kişisel verilerin işlenme amaçları ve hukuki sebepleri, kişisel verilerin aktarıldığı üçüncü kişilerin kim olduğu ve aktarımın hangi amaçlarla gerçekleştirildiği ile verilerin saklanma süresine yer verilmelidir. Gizlilik politikası içerisinde ayrıca güncellemeler yapıldığında kullanıcıların ne şekilde bilgilendirileceğine dair bilgi de yer almalıdır.
Çerez politikası metni ise mobil uygulamalarda çerezler aracılığıyla kişisel verilerin işlenmesi söz konusu olduğunda hazırlanmalıdır. Çerez politikası içerisinde kullanılan çerezlerin türleri ve hangi amaçla kullanıldığı ile bu çerezlerin kişisel verileri saklama süresi hakkında kullanıcılara bilgi verilmelidir. Çerez politikasında ayrıca çerezler aracılığıyla işlenen kişisel verilerin ne olduğu da açıklanmalıdır. Zorunlu çerezler dışındaki çerezlerin kullanımı kullanıcının takdirine bağlı olduğundan kullanıcının çerezleri silme ve engelleme hakkına da bu politika da yer verilmelidir. Çerezler vasıtasıyla kişisel veriler üçüncü kişilere aktarılıyorsa bu aktarımın kimlere ve hangi amaçlara dayanılarak yapıldığı da açıklanmalıdır.
Yukarıda hukuki açıdan önem ihtiva eden mobil uygulama geliştiricilerinin KVKK kapsamındaki yükümlülükleri konusu genel bir çerçeveyle açıklanmıştır. Mobil uygulama geliştiricilerinin KVKK kapsamındaki yükümlülükleri konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.
