Kişisel Verileri Koruma Kurumu (“Kurum”), mobil uygulamalar üzerinden kullanıcılara iletilen anlık bildirimlere (push notifications) ilişkin benzer nitelikte şikâyetler kapsamında yürütülen incelemeler neticesinde, anlık bildirim süreçlerinin kişisel verilerin korunması mevzuatına uyumu hakkında kamuoyunun bilgilendirilmesine ihtiyaç duyulduğunu belirterek kamuoyu duyurusu yayımladı.
Kurum, mobil uygulama sağlayıcılarının veri sorumlusu sıfatıyla gerçekleştirdiği veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 4. maddesinde düzenlenen genel ilkelere ve 5. maddesinde yer alan işleme şartlarına uygun şekilde yürütülmesinin zorunlu olduğunu hatırlatmıştır. Bu kapsamda duyuruda; kullanıcıya sunulan anlık bildirim izin mekanizmalarının, hangi amaçlarla bildirim gönderileceği ve bu amaçlara bağlı kişisel veri işleme faaliyetleri bakımından şeffaf, belirli ve mevzuata uyumlu şekilde tasarlanması gerektiği vurgulanmaktadır.
Duyurunun merkezinde, uygulama yükleme/ilk kullanım aşamasında kullanıcıdan alınan anlık bildirim onayının, farklı amaçları tek bir onay altında birleştirecek şekilde kurgulanmasının doğurduğu uyum riskleri yer almaktadır. Kurum’un değerlendirmesine göre, operasyonel nitelikteki bildirimler (ör. sipariş/kargo/süreç bilgisi gibi hizmetin ifası için gerekli bildirimler) ile pazarlama amaçlı bildirimlerin (ör. kampanya ve reklam içerikleri) tek bir izin altında sunulması; kullanıcının hizmetten yararlanabilmesi için pazarlama içeriklerini de kabul etmek zorunda bırakılması sonucunu doğurabilmektedir. Bu yaklaşımın, açık rızanın geçerliliği bakımından “özgür irade” unsurunu zedeleyebileceği ifade edilmiştir.
Kurum, açık rızanın geçerli olabilmesi için rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle verilmesi gerektiğine işaret ederek; birden fazla amaç bulunması hâlinde ilgili kişiye her bir amaç için ayrı ve bağımsız tercih sunulmasını gerektiren “parçalı açık rıza (granularity)” ilkesinin önemini vurgulamıştır. Bu doğrultuda, “ya hep ya hiç” biçiminde tasarlanan ve birden çok amaca aynı anda onay alınmasına yol açan mekanizmaların, uygun bir hukuki dayanak oluşturmayabileceği değerlendirilmiştir.
Duyuruda ayrıca, yalnızca hukuki metinlerin değil, uygulamanın teknik mimarisinin de bu ilkeleri destekleyecek şekilde kurgulanması gerektiği belirtilmektedir. Kullanıcıların uygulama içi ayarlar veya cihaz işletim sistemi seçenekleri üzerinden bildirim tercihlerini yönetebilmesi, örneğin operasyonel bildirimleri açık tutarken kampanya/reklam bildirimlerini kapatabilmesi yönünde ayrı ayrı kontrol imkânına sahip olması gerektiği vurgulanmıştır. Bu imkânın sunulmamasının, kullanıcıların kişisel verileri üzerindeki kontrolünü zayıflatabileceği ve KVKK’nın 12. maddesi kapsamında gerekli teknik ve idari tedbirleri alma yükümlülüğü bakımından risk doğurabileceği ifade edilmektedir.
Bu çerçevede Kurum, mobil uygulama sağlayıcılarının anlık bildirim onay/izin süreçlerini “belirlilik” ve “parçalı açık rıza” ilkeleri ışığında gözden geçirmesini; bildirim amaçlarının ayrıştırılarak kullanıcıya tercihlerini yönetme imkânı tanınmasını teminen gerekli tasarım ve mimari güncellemelerin yapılmasını önemle hatırlatmaktadır.
Kişisel Verileri Koruma Kurumu tarafından yayınlanan kamuoyu duyurusunun tam metnine aşağıdaki linkten ulaşabilirsiniz.
Mobil Uygulamalar Üzerinden Gönderilen Anlık Bildirimlere İlişkin Kamuoyu Duyurusu
Konuyla ilgili detaylı bilgi edinmek ve uyum sürecinde profesyonel destek almak için bizimle her zaman iletişime geçebilirsiniz.
İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yaer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.
