Uygulama Mağazaları Gereklilikleri

Uygulama geliştiriciler, uygulamalarını Google Play veya App Store’da yer almasını istediklerinde mağazaların belirlediği kriterleri karşılamaları gerektiği gibi uygulamanın kişisel verilerin korunması mevzuatına uyumlu olması da uygulamaların mağazalara kabul sürecinde önemli bir rol oynamaktadır114_{. Google,}

2017 yılında Gizlilik Politikası bulunmayan uygulamaları, Google Play Store’dan kaldıracaklarını açıklamış115_{, App Store ise 2018 yılında, mağazada yer almak}

isteyen uygulamaların gizlilik politikası sunmalarını, mağazada yer alan mevcut uygulamalar açısından ise gizlilik politikalarını güncellemelerini zorunlu tutmuştur. Apple’ın internet sitesinde, App Store’da yer alan uygulamalara ilişkin gizlilik kriterlerinden birkaçından bahsedilmiştir116_{. Bunlar; gizlilik kurallarının}

114_{Pedro, Filipa Carmo, Privacy in the Smartphone Age A study on the privacy and data protection} risks and violations of mobile applications, Master thesis in Law and Technology, s. 11 http://arno.uvt.nl/show.cgi?fid=142089 Erişim tarihi :05.10.2019

115 _{ENISA, Privacy and data protection in mobile applications A study on the app development} ecosystem and the technical implementation of GDPR, s.19

116 _{Apple, uygulama yazılımcı topluluğu için Apple Developer isimli yeni bir mobil uygulama} ortaya koyarak, uygulamada, etkinlik haberlerinin yanı sıra tasarım ve teknik konular hakkında makaleler, videolar, yazılım haberleri ve güncellemeler gibi önemli kaynaklara da yer verilecek. Bunların yanı sıra uygulamanın, yazılımcıların Apple Developer programına kaydolması ve üyeliğini sürdürmesi için de bir yöntem olarak sunulmuştur.

ihlal edildiği fark edilen bir uygulamada, uygulama geliştiricinin sorunu gidermesinin zorunlu kılındığı, sorun giderilmediği takdirde uygulamanın App Store’dan çıkarıldığı, cihaza yüklenen uygulamaların verilere erişim için izin almasının zorunlu tutulduğu ve bu izinlerin kullanıcı tarafından değiştirilebildiği bir yapının kurulduğu, işletim sisteminin yeni sürümlerinde konum verisine yalnızca uygulamanın kullanıldığı zaman erişilebileceği, uygulamaların cihazda bulunan belli başlı veri türlerine erişilemeyeceği ve her halükarda uygulamanın cihazdaki verilerin tümüne tam erişim istemesinin mümkün olmadığıdır117. Bu noktada uygulama mağazasının gizlilikle ilgili olarak veri erişiminde sadece belli kriterlere sahip uygulamaları mağazasına kabul ettiğini, uygulamaların cihazdaki verilere erişimini kullanıcı iznine tabi tuttuğu ve hiçbir şekilde tüm verilere erişime izin vermediği anlaşılmaktadır.

Apple’ın internet sitesinde uygulama geliştiriciler için teknik gereklilikler, testler118, programlama rehberi, işletim sistemi saklama rehberi, tasarım rehberi, marka ve pazarlama rehberleri gibi geliştiricilerin incelemesine sunulan rehber ve bilgilendirmeler yer almaktadır. Başvurudan önce uygulama geliştiricilerin güvenlik, performans, işletim, tasarım, hukuki başlıklar altında yer alan diğer gereklilikleri de tamamlamaları beklenmektedir119.

Google Play uygulama geliştirici politikasında yer alan gereklilikler ise kullanıcı verisi, izinler, cihaz ve ağ suistimali, kötü niyetli davranış, yanıltıcı davranış, yanlış sunum başlıkları altında yer almaktadır120_.

Uygulama geliştirici, bir uygulama yazılımı tasarlamadan önce verinin nerede saklanacağı kararını vermelidir. Bazı durumlarda kullanıcının verisi mobil cihazda saklanmakta iken bazı durumlarda veriler başka bir sunucuda da

https://webrazzi.com/2019/11/19/apple-yazilimci-toplulugu-icin-yeni-bir-mobil-uygulama- yayinladi/ Erişim Tarihi : 08.12.2019

117 _{https://www.apple.com/tr/privacy/features/ Erişim Tarihi : 08.02.2020} 118 _{https://developer.apple.com/app-store/review/guidelines/#before-you-submit} Erişim Tarihi : 08.02.2020

119_{https://developer.apple.com/app-store/review/guidelines Erişim Tarihi : 08.02.2020} 120 _{https://developer.apple.com/app-store/review/guidelines/#data-collection-and-storage} Erişim Tarihi : 08.02.2020

saklanabilmektedir. Bu durumda kişisel veriler, hizmet sağlayıcının sistemine aktarılıyor veya kopyalanıyordur. Cihaz üzerinde depolama ve işleme, son kullanıcının verisini kontrol etmesi açısında büyük bir avantaj sağladığı gibi cihaz dışında veri depolanması ise cihazın çalınması veya kayıp olması halinde bilgilerin geri getirilmesi bakımında önemli olmaktadır121_.

Uygulama geliştirici, her iki mağazanın kriterlerinden de anlaşılacağı gibi, kişisel veri korunması ihlalleri konusunda mevzuatla uyumlu gerekliliklere uygun hareket etmeli ve kullanıcıları uyarıcı tedbirleri aktif bir şekilde almalıdır. Madde 29 Çalışma Grubu’nun 02/2013 sayılı görüşünde uygulama geliştiricilerin kişisel verilerin korunması bakımından hangi tedbirleri alarak nasıl hareket etmesi gerektiğine ilişkin yönlendirmeler yer almaktadır. Bunlardan bazıları; kötü niyetli uygulamaların yayılmasını engelleyici, uygulamanın kolaylıkla cihaza yüklenmesi veya kaldırılmasının yapılabileceği güvenlik dostu platformlar tasarlamak122_,

verinin istem dışı transferlerine ilişkin uygulama kontrollerini yapmak, etkin güvenlik yama yönetimi stratejisi belirlemek, düzenli güvenlik sistemi denetimleri yapmak, uygulamanın sadece kullanıcıya düzgün bir şekilde ulaşmasına yardımcı olarak kadar veriye erişime izin vermek, varsayılan ayarlarla veri koruması ilkesini prensip olarak belirlemek, kişisel verilere yetkisiz erişimi hem aktarım hem de saklama aşamasında koruyacak önlemleri almaktır.

Bu noktada uygulama geliştiricilerin, kullanıcı kimliği tespiti ve doğrulama onayına ilişkin kullanacakları metotları dikkatli bir şekilde seçmeleri gerekir. Cihaza endeksli belirleyiciler yerine geçici cihaz belirleyici kullanarak mobil uygulama tasarım aşamasında IMEI ve MAC adresleri gibi bir kişiye belirlenebilir özel belirleyiciler yerine rastgele GUI123 _{belirleyiciler üretmeli ve bu GUI belirleyiciler}

ile de herhangi bir cihazla ililişkilendirilme sağlanmamalıdır124. Uygulama

121 _{Madde 29 Çalışma Grubu‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”} hakkındaki görüşü

122 _{Madde 29 Çalışma Grubu‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”} hakkındaki görüş

123_{Graphical User Interface.}

124_{Mangset, Peder Lind Mangset, Analysis of Mobile Application's Compliance with the General} Data Protection Regulation (GDPR), 2018, s.15,

geliştiriciler kullanıcı doğrulaması yapılırken kullanıcı adı ve şifre yönetimine özel önem vermeli ve gizlilik dostu kullanıcı doğrulama mekanizmaları dikkate almalıdır.