Mobil Uygulamalarda Mahremiyetin Korunmasın Yönelik Tavsiyeler Rehberi Yayımlandı

Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Rehberi mobil uygulamalarda söz konusu olan kişisel veri işleme faaliyetlerine ilişkin mevcut ve potansiyel risklere dair tavsiyeler   bulunmaktadır.

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından internet sitesinde yayımlanmış olan Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Rehberi (“Rehber”) ile  mobil uygulamaların, kullanıcı deneyimini artırmak ve işlevselliği optimize etmek amacıyla kişisel verileri işlediği belirtilmiştir. Bu süreçte, bireylerin kişisel verilerini koruyabilmesi için birçok öneri sunulmuştur.

Rehber’de bulunan önemli satır başlıkları aşağıdaki gibidir:

• Kişisel Verilerin Korunması Kanunu, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamakta ve mobil uygulamalarda işlenen çeşitli kişisel veri örneklerini açıklamaktadır. Bu veriler arasında kimlik bilgileri, iletişim bilgileri, finansal bilgiler, çevrim içi tanımlayıcılar ve biyometrik veriler bulunmaktadır. Özellikle özel nitelikli kişisel veriler, bireyin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte olduğu için daha sıkı korunmaktadır.
• Mobil uygulamalarda, kullanıcı deneyimini artırmak, işlevselliği güçlendirmek, sunulan hizmeti geliştirmek ve pazarlama stratejileri oluşturmak amacıyla kişisel veriler ve kişisel veri niteliğini taşımayan çeşitli veriler işlenebilmektedir. İşlenen kişisel veriler, uygulamanın işlevine, tasarımına, kullanıcı tarafından verilen izinlere göre değişkenlik göstermektedir.
• Mobil uygulamanın güvenilir olduğunu doğrulamak için resmi uygulama mağazaları veya mobil uygulama sağlayıcısının resmi internet sitesi gibi güvenilir kaynaklardan indirilmesi önem arz etmektedir. Mobil uygulama yüklenirken kaynağı belirsiz uygulamalardan uzak durulmalı ve uygulamanın adının doğruluğundan emin olunmalıdır.
• Mobil uygulama hakkında bilgi alabilmek için kesin olarak bir güven teşkil etmemekle birlikte kullanıcı yorumları ve kullanıcılar tarafından verilen puanlar faydalıdır.
• Uygulama yüklemeden önce erişim izinleri kontrol edilmeli, uygulamanın gizlilik politikası incelenmeli ve kişisel veri talepleri dikkatlice değerlendirilmelidir; özellikle hizmetle ilişkisi olmayan kişisel veri taleplerine karşı dikkatli olunmalı ve gerektiğinde alternatif uygulamalar araştırılmalıdır.
• Sosyal medya hesaplarının uygulamalara giriş için kullanılmasından kaçınılmalıdır, çünkü bu yöntem, uygulamanın ilgili sosyal ağ hesabından bilgi toplamasına ve hesapları tehditlere karşı daha savunmasız hâle getirmesine neden olabilir.
• Uygulamalara giriş yaparken kullanılacak parolaların güçlü kombinasyonlar oluşturması önemlidir; bu kombinasyonlar büyük-küçük harf, rakam ve semboller içermelidir. Her hesap için mümkünse farklı parolalar kullanılmalı ve çok faktörlü doğrulama etkinleştirilmelidir.
• Uygulamaların güncel tutulması önemlidir, güncel olmayan yazılımlar saldırıya daha açık hale gelebilir; güncellemeler yapıldıktan sonra gizlilik ayarları kontrol edilmelidir.
• Mobil uygulamalar vasıtasıyla işlenmekte olan kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Genel İlkeler” başlıklı 4’üncü maddesinde belirtilen usul ve esaslara uygun olarak işlenmelidir.
• Bu kapsamda, uygulama geliştiricileri ve sağlayıcıları kişisel veri işlemeye başlamadan önce bir hukuki sebebin olup olmadığını dürüstlük kuralına uygun bir şekilde sorgulamalıdır.
• Mobil uygulamalardaki temel sorun, izin mimarilerinin üçüncü taraflara ayrı izin verme imkanı sağlamamasıdır. Bu durum, uygulamaların belirli verilere erişim taleplerini yönetmekte zorlanmalarına ve üçüncü taraf hizmetlerin şeffaf olmamasına neden olabilir.
• Mobil cihazlar, ses kontrol asistanları aracılığıyla sesli komut ile çalışarak tüm sözlü iletişime erişebilmekte; bu durumda işlenen kişisel verilerin şeffaf bir şekilde açıklanması önemlidir. Uygulama kullanılmaya başlandığında, ses kontrol özelliğinin kural olarak olarak açık olması hukuki ve dürüstlük kurallarına aykırılık teşkil etmektedir. Mikrofona erişim sağlamak için kullanıcı cihazı aktif bir şekilde kullanılırken mikrofona erişim sağlanması gibi önlemlerin alınması gerekmektedir.
• Bireylerin fiziksel aktivite seviyelerini izleyen bir mobil uygulama, kullanıcıların adım sayıları ve uyku düzenleri gibi verileri kullanarak istatistiksel bilgiler oluşturur ve egzersiz yapmalarını hatırlatarak bu verileri işler; ancak aynı uygulama sağlayıcısının sağlık sigortası hizmeti sunması ve bu verileri kullanarak sigorta primi hesaplaması, kullanıcının makul beklentisini aşarak dürüstlük kuralına aykırılık teşkil edebilir.
• Kişisel veriler doğru ve gerektiğinde güncel olmalıdır. Mobil uygulamalarda “doğru ve gerektiğinde güncel olma” ilkesi çerçevesinde, kullanıcılara kişisel verilerini düzeltme imkanı sunulmalı ve uygulamanın tasarım sürecinde bu özellik göz önünde bulundurularak uygun yöntemlerle kullanılabilir hale getirilmelidir; aynı zamanda, güncelliğini yitirmiş kişisel verilerin kimlik hırsızlığı riskine neden olabileceği unutulmamalıdır.
• Mobil uygulamalar aracılığıyla işlenen kişisel verilerin amacı belirli olmalıdır. Bu amaç doğrultusunda, hangi kişisel veri kategorilerine ihtiyaç duyulduğu belirlenirken mümkün olduğunca az çeşit ve sayıda kişisel veri toplanması hedeflenmeli, böylece bireylerin temel hak ve özgürlükleri korunmalıdır.
• Kişisel verilerin “amaçla sınırlılık ilkesi” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesine uygun olarak işlendikleri amaç için gereken süreyle sınırlı olarak muhafaza edilmesi gerektiği belirtilmiştir.
• Çocukların kişisel verilerine yönelik işleme faaliyetlerinin diğer işleme faaliyetlerinden ayrı ele alınması gerektiği, özellikle çocuklara yönelik uygulamalarda yaş doğrulama sistemleri kurulmasını ve çocuklara yönelik işlemlerin ayrı bir politika ve prosedürle gerçekleştirilmesi gerektiğini belirtilmektedir.
• Mobil uygulamalarda kişisel veri işlemleri için şeffaflık ve işleme şartlarının belirlenmesi, gizliliği sağlamak ve şeffaflığı sağlamak adına önemlidir.
• Mobil uygulamalarda, uygulamanın asıl işlevi için gerekli olmayan kişisel verilerin işlenmesi durumunda kullanıcının açık rızası alınmalıdır. Konum verisinin hedefli reklamcılık için toplanması durumlarında, kullanıcı açık rıza vermedikçe bu veriler toplanmamalıdır. Ek olarak, isteğe bağlı ve asıl işlev için gerekli olmayan özelliklere ilişkin izinlerin kullanıcı tarafından devre dışı bırakılması durumunda uygulamanın kullanılmasına izin verilmelidir.
• Mobil uygulamalar, mahremiyet ilkelerine uygun olarak tasarlanmalı ve kullanıcıların ilk kullanımda mahremiyet odaklı ayarları kullanmalarını sağlamak önemlidir.
• Yetkisiz erişimleri önlemek için kimlik doğrulama yöntemleri ve kullanıcı kontrol mekanizmaları kullanılmalıdır.
• Güçlü parola kullanımı, çok faktörlü kimlik doğrulama teşviki, düzenli parola değişimi gibi güvenlik politikaları uygulanmalıdır.
• Parolalar güvenli bir şekilde saklanmalı ve yazılımlar düzenli olarak güncellenmelidir. Yazılım testleri eksiksiz bir şekilde geçilmeli, uygulama güvenliği tasarım aşamasından itibaren düşünülmelidir.
• Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayıları sınırlandırılmalı, CAPTCHA gibi yöntemler tercih edilmelidir.
• Veri güvenliği için şifreleme kullanımına özen gösterilmeli, özellikle mobil cihazlarda kişisel verilerin etkili bir şekilde şifrelenmesi sağlanmalıdır.
• Parolalar güvenli bir şekilde saklanmalı ve yazılımlar düzenli olarak güncellenmelidir.
• Yazılım testleri eksiksiz bir şekilde geçilmeli, uygulama güvenliği tasarım aşamasından itibaren düşünülmelidir.
• Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayıları sınırlandırılmalı, CAPTCHA gibi yöntemler tercih edilmelidir.
• Veri güvenliği için şifreleme kullanımına özen gösterilmeli, özellikle mobil cihazlarda kişisel verilerin etkili bir şekilde şifrelenmesi sağlanmalıdır.

Rehber’in tam metnine bu bağlantıdan erişebilirsiniz.