info@srp-legal.com
Şakayıklı Sokak No:10 | Levent 34330 | İstanbul | Türkiye
 

Güncel BilgilerKişisel Verileri Koruma Kurumu Tarafından Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Metni Yayımlandı

25 Aralık 2023

 

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 22 Aralık’ta Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler (“Tavsiye Metni”) yayımlandı.

Tavsiyeler Metni’nde yer verilen önemli hususları aşağıda ilgili başlıklar altında özetliyoruz:

  1. Amaç ve Kapsam

Tavsiye Metninin kapsamının akıllı telefonlar ile tabletlerde kullanılan uygulamalar olduğu, amacının ise 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında “mobil uygulamalarda mahremiyetin korunmasına yönelik mevcut ve potansiyel risklerin ele alınması ile akıllı telefonlar ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından ilgili kişi ve veri sorumlusu niteliğini haiz aktörlere yönelik genel nitelikli tavsiyelerde bulunulması” olarak belirlemektedir.

  1. Veri Sorumlusu-Veri İşleyen Ayrımı

Tavsiye Metni, mobil uygulamalarda, uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi başta olmak üzere birçok aktörün verilerin işlenmesi ve korunmasına ilişkin süreçlerde veri sorumlusu veya veri işleyen rolüne sahip olabileceği örnekler sunuyor.

  1. Bireylere Tavsiyeler

Tavsiye Metni, uygulamanın yüklenmesinden önce ve kullanımı sırasında bireylerin dikkat etmesi gereken hususlar şeklinde bir ayrıma yer veriyor.

 a. Yüklemeden önce

Tavsiye Metni, uygulamanın yüklenmesinden önce uygulamanın güvenilir bir kaynaktan geldiğinin, uygulama geliştiricisinin, uygulama adının doğruluğunun ve taklit olup olmadığının, uygulamaya kullanıcı yorum ve puanlarının, uygulamanın talep ettiği verilerin ve gizlilik politikasının kontrol edilmesini öneriyor.

b. Kullanım sırasında

Tavsiye Metni, uygulamanın amacıyla bağdaşmayan/gerekli olmayan veri işleme taleplerine dikkat edilmesi, uygulamalara giriş yapmak için sosyal medya hesaplarının kullanılmasından kaçınılması, uygulamalara giriş yapmak için güçlü parola oluşturulması ve çok faktörlü doğrulama kullanılması, uygulamanın düzenli güncellenmesi ve ihtiyaç duyulmayan/kullanılmayan uygulamaların cihazdan kaldırılmasını önermektedir.

  4. Veri İşleyen Taraflara Tavsiyeler

a. Hukuka ve dürüstlük kurallarına uygun olma ilkesi: Kanun ve ikincil düzenlemelere uyumun sağlanması, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket edilmesi, veri işleme faaliyetlerine ilişkin şeffaflığın sağlanarak gerekli aydınlatmanın yapılması (özellikle üçüncü kişi hizmet sağlayıcılara ilişkin) gerekliliği belirtilmektedir.

b. Doğru ve gerektiğinde güncel olma ilkesi: Mobil uygulamalar açısından, kullanıcılara kişisel verilerini düzeltme imkânı tanınması gerekliliğini belirten Metin, güncelliğini yitirmiş kişisel verilerin kimlik hırsızlığı riski doğurabileceğini de vurgulamaktadır.

c. Belirli, açık ve meşru amaçlar için işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri: Bu ilke kapsamında mobil uygulamalar aracılığıyla işlenen kişisel verilerin işleme amacı ve amacı gerçekleştirmek için gereken veri kategorilerinin belirlenmesi, bu belirleme yapılırken veri minimizasyonunun sağlanması, elde edilen verilerin bireylerin uygulamayı kullanım amacını aşar nitelikte işleme faaliyetlerine konu edilmemesi gerekliliklerine vurgu yapılmaktadır.

d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi: Bu ilke kapsamında ileride tekrar kullanılabileceği düşünülerek verilerin saklanmaması gerektiği özellikle vurgulanmakta, açıkça tanımlanmış iş ihtiyaçlarına veya yasal yükümlülüklere göre gerekçelendirilmiş saklama ve imha süreleri belirlenerek ve saklama süresi dolan kişisel verilerin, bu verilerin imhasına ilişkin gerekli her türlü teknik ve idari tedbir alınarak imha edilmesi gerektiği belirtilmektedir.

 e. Şeffaflığın sağlanması: Bu ilke kapsamında aydınlatma tebliğinde belirtilen asgari bilgilerin sağlanması sağlanmalı, aydınlatma metni/gizlilik politikasının kullanıcının ulaşabileceği bir yerde saklanması, gerektiğinde VERBİS kaydı yapılmış olması, uygulamaya ilişkin güncellemelerde kişisel veri işleme faaliyetlerine ilişkin güncellemelerin kullanıcılara bildirilmesi, uygulamanın gizlilik ayar ve yönetimine ilişkin kullanıcıya gerekli açıklama ve imkanlar sunulması gibi gereklilikler ifade edilmektedir. Özellikle yurt dışı merkezli veri sorumlularının Türkiye’deki kullanıcıları hedeflemesi halinde Kanun’a uygun şekilde VERBİS kaydının yapılması gerekliliği Metin’de vurgulanmaktadır.

f. Çocukların kişisel verilerinin işlenmesi: Bu başlık altında özellikle çocuklara yönelen / çocuklar tarafından yaygın olarak kullanılan uygulamalarda, kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür ile gerçekleştirilmesi önerilmektedir.

g. Kişisel verilerin işlenme şartlarının belirlenmesi: Mobil uygulamalar vasıtasıyla işlenen kişisel veriler için işlemeye dayanak olacak şartlarının belirlenmesi, uygulamanın asıl işlevinin yerine getirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesi durumunda kullanıcının açık rızasının alınması ve bu kapsamda açık rıza mekanizmalarının kurulması gereklilikleri vurgulanmaktadır.

h. Veri güvenliğinin sağlanması: Bu başlık altında yer verilen temel öneriler aşağıda özetlenmiştir:

  • Uygulamaların, tasarımdan itibaren mahremiyet (privacy by design) ve başlangıçtan itibaren mahremiyet (privacy by default) ilkeleri ile uyumlu şekilde tasarlanması gerektiği,
  • Mobil uygulamaların kullanıldığı cihazlara yetkisiz erişimler gerçekleştirilmesini önlemek adına cihazlarda kimlik doğrulama yöntemlerinin (özellikle çok faktörlü kimlik doğrulama) kullanışması gerektiği,
  • Kullanıcılar tarafından güçlü parolalar oluşturulması ve belirli aralıklarla değiştirilmesi sağlanarak uygun bir parola güvenliği politikası işletilmesi, bu parolaların siber saldırı riskine karşı güncel “özet/karma(hashing)” fonksiyonlarından geçirilerek muhafaza edilmesi gerektiği,
  • Düzenli olarak yama yönetimi ve yazılım güncellemesi süreçleri gerçekleştirilmesi gerektiği,
  • Uygulamaların yayımlanmasından önce yazılım testlerinin uygun şekilde gerçekleştirilmesi gerektiği,
  • Güvenli yazılım geliştirme stratejileri yürütülmesi gerektiği,
  • Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayısı sınırlandırılması, bot saldırılarına bir önlem olarak kullanıcı girişi olan sayfalarda CAPTCHA, dört işlem vb. gibi yöntemler tercih edilmesi gerektiği,
  • Uygulamalar yayımlanmadan önce hedeflenen işletim sistemlerinin veri koruma ve güvenlik özelliklerinin dikkate alınması ve risk değerlendirmesi yapılması gerektiği,
  • Uygulamada kişisel verilerin depolanması / aktarımı sırasında, ağ iletişiminde uygun şekilde yapılandırılmış yeterli bir şifreleme katmanı ve ilgili şifreleme anahtarlarının güvenli yönetimi aracılığıyla koruma için şifreleme kullanılması gerektiği,
  • Kişisel verilerin mobil cihazlarda muhafaza edildiği durumlarda, kişisel verilerin etkili bir şekilde şifrelenmesi yoluyla kişisel veri güvenliğinin sağlandığından emin olunması gerektiği.

Tavsiye Metninin tamamına aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8ba209bb-fa93-4479-84f0-dd55aac97a0f.pdf

 

<<<
Perakende Ticarette Uygulanacak İlke ve Kurallar Hakkında Yönetmelik’te Değişiklik Yapıldı
>>>
Rekabet Kurumu Tarafından “Kartellerin Ortaya Çıkarılması Amacıyla İşbirliği Yapılmasına Dair Yönetmelik” 16 Aralık 2023 tarihli ve 32401 sayılı Resmi Gazete’de Yayımlandı.