Mobil Uygulamalarda Aydınlatma Yükümlülüğü

Veri Sorumlusunun 6698 Sayılı Kanun kapsamında düzenlenen yükümlülüklerinden biri de aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğü, 10.03.2018 tarihli resmi gazetede yayınlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında

189_{Madde 29 Çalışma Grubu ‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”} hakkındaki görüşü,s.20

190_{Madde 29 Çalışma Grubu ‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”} hakkındaki görüşü, s.10

Tebliğ ile ayrıntılı olarak düzenlenmiştir. Aynı şekilde GVKT’nün 14. maddesinde de aydınlatma yükümlüğünün kullanıcının talebine bağlı olmadığı ve veri sorumlusunun kişisel veri toplama esnasında verisi toplanan kişiye karşı gerekli bilgilendirmeyi yapma zorunluluğu yer almaktadır. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı da veri sorumlusuna yükletilmiştir. Kullanıcı tarafından fark edilmeyen erişimlerde örneğin bazı mobil uygulamaların cihazın sensörlerine ve veri yapılarına erişimi olduğu düşünüldüğünde bu bildirimin varlığı daha da önemli hale gelmektedir.

Gerekli aydınlatma yükümlülüğünün yerine getirimesi, özellikle kişisel verisi işlenen kişinin veri işleme sırasında hukuka uygunluk nedeni olan açık rızasını vermesi aşamasında önem arz etmektedir. Rızanın geçerliliği de kişinin verilerinin işlenmesi konusunda önceden bilgilendirilmiş olmasına bağlı olmaktadır. Bu bilgilendirme, mobil uygulama tarafında da veri işleme faaliyetine başlamadan önce yapılmalıdır. GVKT’de kişisel veri işleme faaliyetinin açık rıza alınması şartına bağlı olarak gerçekleştirildiği durumlarda aydınlatma yükümlüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Veri işleme faaliyeti, rıza dışında başka bir hukuka uygunluk sebebine dayanırsa bu sebebin ne olduğuna aydınlatma metninde yer verilmesi gerekir. Örneğin, bir e- ticaret mobil uygulamasında kullanıcı ile mesafeli satış sözleşmesi kurulmuşsa burada yer alan veri işleme faaliyetinin sözleşme ilişkisine dayandığı aydınlatma metninde yer almalıdır.

Aydınlatma bildiriminde; kullanıcılara kişisel verilerinin kim tarafından hangi amaçla işlendiği, işlenen verilerin kimlere hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi, veri sorumlusunun kim olduğu, veri sorumlusu ile nasıl iletişime geçileceği ve ilgili kişinin haklarına ilişkin bilgiler yer almalıdır. Mobil uygulama sektöründe yer alan birden fazla aktör düşünüldüğünde mobil cihazda veri sorumlusu, işletim sisteminde veri sorumlusu ve mobil uygulamada veri sorumlusu kimlikleri açıkça belirtilmeli uygulama geliştiriciler ile veri işleyen diğer kişiler arasındaki ilişkiyi araştırma işi son kullanıcıya bırakılmamalıdır.

Veri işleme amacı değiştiğinde her yeni amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir. Veri Sorumlusu, veri sorumluluları siciline kayıtla yükümlüyse aydınlatma metninin sicile de uyumlu olması gerekmektedir191_.

Uygulama mağazaları veya şirketin teknik departmanı tarafından şirket adına oluşturulan mobil uygulamalarda veri sorumlusu olan şirket, mobil uygulamada bu bilginin ulaşılabilir ve kolayca erişilebilir olduğundan emin olmalıdır.

Yukarıda belirtilenlere ek olarak veri sorumlusunun kullanıcılara mutlaka, cihazda hangi tür verinin toplandığı veya hangi verilere erişildiği, verinin muhafaza süresi, veri sorumlusu tarafından uygulanan güvenlik tedbirleri bilgilerini vermesi gerekmektedir.

Bir müzik çalar uygulamasının geliştiricisi, cihaz bir telefon araması aldığında veya telefon görüşmesi yaptığında uygulamanın müzik çalmayı duraklatmasını istediği takdirde bunu sağlamak için, uygulamanın gelen veya giden çağrıların durumunu izlemesi gerekir. Bu izleme faaliyet için erişim izni istediğinde “bir telefon araması aldığınızda veya bir telefon görüşmesi yaptığınızda müzik çalmayı duraklatmak için uygulamanın telefon işlevlerine erişmesi gerekir" şeklinde bir aydınlatma yapması gerekir. Aksi takdirde uygulama geliştiricisinin, uygulamanın orijinal amacı için kesinlikle gerekli olmayan örneğin çağrıları dinleme veya kaydetme izni gibi işlevlere veya cihazdaki verilere potansiyel olarak erişebileceği anlamına gelir192.

3.9.5.1. Aydınlatmanın şekli

6698 sayılı Kanun ve ilgili yönetmelik ile GVKT’de aydınlatmanın ne şekilde olacağı belirtilmemekle birlikte söz konusu aydınlatma, mobil cihaz ekranından direkt olarak görünebilmeli ve kullanıcı tarafından kolayca erişilebilir olmalıdır. Mobil cihazların küçük ekranlarına sığamayacak ayrıntıları mutlaka kullanıcının daha ayrıntılı açıklamaya ulaşmasına imkân verecek şekilde ulaşılabilirlik

191 _{Baysal, s.50}

192 _{ICO, Privacy in mobile apps Guidance for App Developers, s.15 https://ico.org.uk/media/for-}

sağlanmalıdır. Örneğin gizlilik politikasında mutlaka uygulamanın kişisel veriyi nasıl kullandığı, veri sorumlusunun kim olduğu ve kullanıcının haklarını nerde kullanacağının bilgisi verilmelidir. Bu yaklaşım, ikon kullanımı, resim, video ve ses kullanımı ile desteklenmeli uygulama adres defterine veya fotoğraflara eriştiğinde içeriksel gerçek zamanlı bildirim kullanılmalıdır. Bu ikonlar anlamlı, açık, tereddüte mahal vermeyecek şekilde olmalı.

Uygulama geliştiriciler, küçük ekranlar için programlama ve karışık arayüzler tasarlamada uzman olduklarından Madde 29 Çalışma grubu bu endüstrideki kişilere kullanıcılara etkili bildirimde bulunmak konusunda daha yaratıcı çözümler sunmaya davet etmektedir. Bu bilginin teknik ve hukuki altyapısı olmayan insanlar için gerçekten anlaşılabilir olup olmadığından emin olmak için çalışma grubu seçili strateji için test yapmayı tavsiye etmektedir.