Yeni - Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler

UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER İSİM ŞİFRE : X15CEDA SATIN AL Parola Buy now TAMAM MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER 65 1 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER KVKK Yayınları No: 65 Mart 2025, Ankara KİŞİSEL VERİLERİ KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu 3 İÇİNDEKİLER MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER................................................................................... 7 TANIMLAR............................................................................................................. 7 AMAÇ VE KAPSAM...............................................................................................8 A. MOBİL UYGULAMALARDA İŞLENEN KİŞİSEL VERİLER................... 10 B. MOBİL UYGULAMALARDA VERİ SORUMLUSU-VERİ İŞLEYEN...... 15 C. BİREYLERE YÖNELİK TAVSİYELER........................................................17 1. Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler.......................................................................................17 2. Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler...................................................................................... 18

C. BİREYLERE YÖNELİK TAVSİYELER........................................................17 1. Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler.......................................................................................17 2. Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler...................................................................................... 18 Ç. KİŞİSEL VERİ İŞLEYEN TARAFLARA YÖNELİK TAVSİYELER.............. 21 1. Genel İlkelere Uyumluluk............................................................. 21 a) Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi.... 22 b) Doğru ve Gerektiğinde Güncel Olma İlkesi...................... 24 c) Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri........................................................................................ 26 ç) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi..........28 2. Şeffaflığın Sağlanması...................................................................30 MOBİL UYGULAMALARDA ÇOCUKLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ...........................................................................34 3. Kişisel Verilerin İşlenme Şartlarının Belirlenmesi................ 35 4. Veri Güvenliğinin Sağlanması.....................................................38 KAYNAKLAR........................................................................................................ 41 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER TANIMLAR

4. Veri Güvenliğinin Sağlanması.....................................................38 KAYNAKLAR........................................................................................................ 41 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER TANIMLAR Dokümanda yer alan; İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi, Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu, Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye iliş- kin her türlü bilgiyi, Mobil Uygulama Geliştiricisi: Mobil cihazlar üzerinde kullanıl- mak üzere çeşitli yazılım ve uygulamaları tasarlayan ve geliş- tiren gerçek veya tüzel kişiyi, Mobil Uygulama Sağlayıcısı: Kullanıcılara veya kuruluşlara in- ternet üzerinden mobil uygulamalara ve ilgili mobil hizmetlere erişim imkânı sunan gerçek veya tüzel kişiyi, Sicil: Veri Sorumluları Sicilini, Uygulama Mağazası: Kullanıcıların çeşitli mobil uygulamaları ücretli ya da ücretsiz olarak indirebildikleri çevrim içi uygulama dağıtım platformunu, 7 8 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER VERBİS: Veri Sorumluları Sicil Bilgi Sistemini, Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtala- rını belirleyen, veri kayıt sisteminin kurulmasından ve yönetil- mesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. AMAÇ VE KAPSAM

onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtala- rını belirleyen, veri kayıt sisteminin kurulmasından ve yönetil- mesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. AMAÇ VE KAPSAM Hayatın birçok alanında kolaylık ve erişilebilirlik sağlayan mobil cihazlar modern yaşamın ayrılmaz bir parçası hâline gelmiştir. Taşınabilir olma özelliği ile ön plana çıkan ve kablosuz iletişim teknolojileri aracılığıyla internete veya diğer ağlara bağlanabi- len elektronik aygıtlar olan mobil cihazlar; akıllı telefon, tablet, dizüstü bilgisayar ve giyilebilir teknoloji gibi ürün kategorilerini temsil etmektedir. Bu dokümanda ise akıllı telefonlar ve tablet- lerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerine odaklanılmıştır. Günümüzde gelinen noktada dijital altyapının hızlı bir şekilde büyümesi ve mobil cihazların genel kullanımının artmasıyla birlikte mobil uygulamalar da günlük yaşantımızın vazgeçil- mez unsurları arasına girmiştir. Mobil cihazlarda çalışacak şe- kilde tasarlanmış yazılım programları olarak ifade edilebilecek mobil uygulamalar, hava durumunu kontrol etmekten gerçek zamanlı haber güncellemelerini almaya, bankacılık işlemleri gerçekleştirmekten sağlık durumunun takibine ve sosyal med- 8 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 9 ya kullanımından çevrim içi alışveriş yapmaya kadar akla ge- lebilecek pek çok konuda hizmet sunmakta ve günlük hayatın birçok alanında bireylere çeşitli kolaylıklar sağlamaktadır.

8 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 9 ya kullanımından çevrim içi alışveriş yapmaya kadar akla ge- lebilecek pek çok konuda hizmet sunmakta ve günlük hayatın birçok alanında bireylere çeşitli kolaylıklar sağlamaktadır. İçinde bulunduğumuz çağın teknolojik dinamiklerinde, bi- reyler mobil cihazlarını her daim yanlarında bulundurmakta ve çeşitli kişisel verilerini uzun süreler boyunca cihazlarında muhafaza etme eğilimi göstermektedirler. Günümüzde mobil cihazların mikrofon, kamera, ivmeölçer, GPS, Wi-Fi ve Bluetooth gibi birçok sensöre sahip olduğu, işlemcileri ve yerel depolama kabiliyeti gibi teknik özelliklerinde gelişme sağlandığı, mobil uygulama geliştiricileri tarafından bulut hizmetlerinin yaygın şekilde kullanıldığı ve mobil cihazların kullanıcının neredey- se tüm yaşamının ayrılmaz bir parçası hâline geldiği dikkate alındığında, mobil uygulamalarda bireylerin kişisel verilerinin korunmasının kritik bir öneme sahip olduğu yadsınamaz. Bilindiği üzere, kişisel verilerin korunması bireyin mahremiye- tinin korunmasına hizmet etmektedir. Dolayısıyla kişisel veri- lerin korunması hususunu teknolojik gelişmelerin bir parçası hâline getirmek, bireyin mahremiyetinin korunması bakımın- dan elzemdir. Bu dokümanda, mobil uygulamalarda mahre- miyetin korunmasına yönelik mevcut ve potansiyel risklerin ele alınması ile akıllı telefonlar ve tabletlerde kullanılan mo- bil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından ilgili kişi ve veri sorumlusu niteliğini haiz aktörlere yönelik genel nitelikli tavsiyelerde bulunulması amaçlanmaktadır. 9 10 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER A. MOBİL UYGULAMALARDA İŞLENEN KİŞİSEL VERİLER Bir ülkede yürürlükte olan veri koruma mevzuatının uygulan- masına ilişkin ilk koşul, ilgili faaliyet kapsamında bireylerin “kişisel veri”lerinin işlenmiş olmasıdır.

A. MOBİL UYGULAMALARDA İŞLENEN KİŞİSEL VERİLER Bir ülkede yürürlükte olan veri koruma mevzuatının uygulan- masına ilişkin ilk koşul, ilgili faaliyet kapsamında bireylerin “kişisel veri”lerinin işlenmiş olmasıdır. Ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korun- ması Kanunu’nun (Kanun) 3’üncü maddesinin (1) numaralı fık- rasının (d) bendi uyarınca kişisel veri, “kimliği belirli veya be- lirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi ifade etmekte olup “kişisel verilerin işlenmesi” kavramı ise anılan maddenin (e) bendinde, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kay- dıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden dü- zenlenmesi, açıklanması, aktarılması, devralınması, elde edi- lebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmaktadır. Mobil uygulamalarda, kullanıcı deneyimini zenginleştirmek, iş- levsellik sağlamak, sunulan hizmeti iyileştirmek ve pazarlama stratejileri oluşturmak gibi amaçlar doğrultusunda hem kişisel veriler hem de kişisel veri niteliğini haiz olmayan çeşitli veriler işlenebilmektedir. Bu kapsamda, uygulamanın işlevselliğine, tasarımına ve kullanıcının verdiği izinlere göre değişkenlik gös- terecek şekilde, mobil uygulamalar tarafından işlenen kişisel verilerden bazıları aşağıdaki şekilde örnek gösterilebilir: 10 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 11 Kimlik bilgileri (ad ve soyadı, T.C. kimlik numarası, doğum tarihi vb.), Üyelik bilgileri (kullanıcı adı, parola vb.), İletişim bilgileri (ev adresi, telefon numarası, e-pos- ta adresi vb.), Finansal bilgiler (IBAN, kredi kartı numarası vb.),

Kimlik bilgileri (ad ve soyadı, T.C. kimlik numarası, doğum tarihi vb.), Üyelik bilgileri (kullanıcı adı, parola vb.), İletişim bilgileri (ev adresi, telefon numarası, e-pos- ta adresi vb.), Finansal bilgiler (IBAN, kredi kartı numarası vb.), Çevrim içi tanımlayıcılar (IP adresi1, MAC2 adresi, IMEI3 ve IMSI4 numarası, cihazda yüklü uygulama listesi aracılığıyla parmak izi çıkarılması5 6, vb.), Kullanıcı etkileşimleri (arama geçmişi, uygulama içi satın alımlar vb.), 1  IP Adresi (Internet Protocol Address), cihazların ağ üzerinde birbirleriyle veri alışverişi yapmalarını sağlayan bir protokol olarak tanımlanabilmektedir. 2  MAC Adresi (Media Access Control) / (Tekil Ağ Cihaz Numarası),bir ağ cihazını benzersiz olarak tanımlayan fiziksel adres şeklinde tanımlanabilmektedir. 3  IMEI Numarası (International Mobile Equipment Identity) / (Uluslararası Mobil Cihaz Kodu): Mobil cihazlara ait uluslararası elektronik kimlik bil- gisini gösteren numara. (Elektronik Kimlik Bilgisini Haiz Cihazların Kayıt Altına Alınmasına Dair Yönetmelik, Madde 4 (1)(g). 4  IMSI Numarası (International Mobile Subscriber Identity) / (Uluslararası Mobil Abone Tanımlayıcısı): GSM mobil sistemlerinde SIM kart için tanım- layıcı sayı dizisi. (Elektronik Kimlik Bilgisini Haiz Cihazların Kayıt Altına Alınmasına Dair Yönetmelik, Madde 4 (1)(o). 5  Achara, J.P./Acs, G./Castelluccia, C.: On the Unicity of Smartphone Applica- tions, Proceedings of the 14th ACM Workshop on Privacy in the Electronic Society (2015), (https://api.semanticscholar.org/CorpusID:15723203), s. 2. 6  Pham, A.: Privacy-Enhancing Technologies for Mobile Applications and Services (2019), (https://api.semanticscholar.org/CorpusID:86537250). 11 12 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER Konum bilgisi, Telefon rehberi veya uygulamalardaki arkadaş lis- teleri, Biyometrik veriler (yüz tanıma verisi, parmak izi ve- risi, ses izi biyometrisi vb.), Uygulamanın sağlık ile ilgili olması durumunda sağ- lık verileri (kalp atış hızı, uyku düzeni vb.),

Konum bilgisi, Telefon rehberi veya uygulamalardaki arkadaş lis- teleri, Biyometrik veriler (yüz tanıma verisi, parmak izi ve- risi, ses izi biyometrisi vb.), Uygulamanın sağlık ile ilgili olması durumunda sağ- lık verileri (kalp atış hızı, uyku düzeni vb.), Cihazın kamerası ve galerisine erişim izni verilme- siyle toplanan görsel veriler, Sesli komutlar veya mesajlaşma uygulamaları ara- cılığıyla toplanan işitsel veriler, Mesajlaşma platformlarından toplanan metin veri- leri. Bu kapsamda örneğin, uygulamaların kişinin telefon rehberine veya diğer uygulamalardaki arkadaş listelerine erişimi, bire- yin kendisi ve rehberindeki ya da kullandığı uygulamalardaki arkadaş listelerindeki kişilerin sosyal bağlantıları hakkında bilgi sunabilmektedir. Konum bilgisi ise kullanıcıların etkin- lik kalıplarını ve alışkanlıklarını ortaya çıkarabilmekte ve di- ğer yandan kullanıcıyı tanımlama amacıyla başvurulan çevrim içi tanımlayıcı değerleri ile kullanıcı hakkında detaylı profiller oluşturulabilmektedir. 12 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 13 Kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir veri kategorisi olarak “özel nitelikli (hassas) kişisel veriler” ise başkaları tarafından öğrenildikleri takdirde bireyin mağdur olma- sına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelik- teki veriler olarak kabul edildiğinden, bu tür verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunması gerekmektedir.

başkaları tarafından öğrenildikleri takdirde bireyin mağdur olma- sına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelik- teki veriler olarak kabul edildiğinden, bu tür verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunması gerekmektedir. Bu nedenle Kanun’da bu verilere özel bir önem atfedilmekte ve hangi kişisel verilerin özel nitelikli kişisel veri sıfatını haiz olduğu ve özel nitelikli kişisel verilerin işlenme şartları Ka- nun’da ayrıca düzenlenmektedir. Bu çerçevede Kanun’un 6’ncı maddesinin (1) numaralı fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inanç- ları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, sınırlı sayma yoluyla, özel nitelikli kişisel veriler olarak sayılmaktadır. Bu kapsamda örneğin, ses tanıma uygulamalarında ses izi bi- yometrisi kullanılması suretiyle kişi hakkında biyometrik veri toplanabilmektedir.7 Sağlık uygulamalarında ise doğrudan sağlık verisi toplanmakla birlikte bazı durumlarda fotoğraflar, mesajlar ve kullanıcı girişleri gibi ögeler de özel nitelikli kişisel veri içerebilmektedir. Ayrıca görseller, bazı durumlarda kişilerin etnik kökenini veya ırkını; mesajlar ise kişilerin inancını, siyasi düşüncesini veya sağlık durumunu ortaya çıkarabilmektedir. 7  Office of the Privacy Commissioner of Canada/Office of the Information and Privacy Commissioner of Alberta/Office of the Information&Privacy Commissioner for British Columbia: Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps (2012), https://www.priv.gc.ca/ en/privacy-topics/technology/mobile-and-digital-devices/mobileapps/ gd_app_201210/ ,s.3. 13 14 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER 14 B. MOBİL UYGULAMALARDA VERİ SORUMLUSU-VERİ İŞLEYEN8

Practices for Developing Mobile Apps (2012), https://www.priv.gc.ca/ en/privacy-topics/technology/mobile-and-digital-devices/mobileapps/ gd_app_201210/ ,s.3. 13 14 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER 14 B. MOBİL UYGULAMALARDA VERİ SORUMLUSU-VERİ İŞLEYEN8 Mobil uygulamalar söz konusu olduğunda, kişisel verilerin iş- lenmesi ve korunması süreçlerinde; uygulama sağlayıcısı, uy- gulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üre- ticisi başta olmak üzere birçok aktöre sorumluluk düşmektedir. Genellikle uygulama sağlayıcısı, kullanıcıların kişisel verilerini kendi amaçları doğrultusunda kullandığı ölçüde, kişisel veri- lerin işlenmesinde Kanun kapsamında veri sorumlusu olarak kabul edilecektir. Ancak mobil uygulamalarda toplanan kişisel veriler bakımından birden fazla veri sorumlusu ortaya çıkması ihtimali de bulunmaktadır. Bu kapsamda mobil uygulamanın, üçüncü taraf bir hizmeti uygulamasına entegre ettiği durumda (örneğin, dolandırıcılığın önlenmesi amacıyla iki faktörlü kim- lik doğrulama yapmak üzere üçüncü taraf hizmet sağlayıcının mobil uygulamaya dahil olması ya da mobil uygulamada yer alan reklam ağları) birden fazla veri sorumlusu ortaya çıka- 8  Bu bölümde yer verilen senaryolar örnek niteliğindedir. Kişisel Verileri Ko- ruma Kurulu, kendisine intikal ettirilen şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen yapacağı incelemede, mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından somut olayın özelliklerini göz önünde bulundurarak değerlendirmesini yapacaktır. 15 16 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından somut olayın özelliklerini göz önünde bulundurarak değerlendirmesini yapacaktır. 15 16 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER bilecektir. Cihazda yüklü uygulamalar kullanıldığında, işletim sistemi sağlayıcısı verileri bir araya getirebilir9 ve kullanıcının cihazındaki uygulamalardan topladığı kişisel verileri kendi amaçları doğrultusunda kullanabilir. Böyle bir durumda, işle- tim sistemi sağlayıcısının veri sorumlusu olması ihtimali gün- deme gelecektir. Uygulama sağlayıcısı ve geliştiricisinin ayrı kuruluşlar olduğu bir durumda, uygulama sağlayıcısı ile geliştiricisi arasındaki sözleşmeye göre, uygulama geliştiricisinin kişisel veri işleme- de yalnızca teknik bir rol üstlenmesi ve kendi amaçları doğ- rultusunda kişisel veri işlememesinin güvence altına alınması hâlinde, uygulama geliştiricisi veri işleyen olarak nitelendi- rilebilecektir. Diğer yandan, mobil uygulamalardan toplanan kişisel veriler genellikle bulutta depolanmakta olup uygulama geliştiricisi tarafından kullanılan bulut hizmetleri söz konusu olduğunda da veri işleyen sıfatının ortaya çıkması ihtimali gün- deme gelebilecektir. 9  The European Union Agency for Network and Information Security (ENI- SA): Privacy and Data Protection in Mobile Applications: A Study on the App Development Ecosystem and the Technical Implementation of GDPR (2017), https:// www.enisa.europa.eu/publications/privacy-and-da- ta-protection-in-mobile-applications ,s.16. 16 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 17 C. BİREYLERE YÖNELİK TAVSİYELER 1. Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gere- kenler

ta-protection-in-mobile-applications ,s.16. 16 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 17 C. BİREYLERE YÖNELİK TAVSİYELER 1. Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gere- kenler Uygulamanın güvenilir bir kaynaktan geldiğinden emin olunmalı ve uygulama, güvenilir olduğu değer- lendirilen platformlar (örneğin, uygulama mağaza- ları) üzerinden cihaza indirilmelidir. Zira cihazın üreticisi veya işletim sistemi tarafından sağlanan resmi uygulama mağazaları veya mobil uygulama sağlayıcısının resmi internet sitesi gibi daha güvenilir kaynakların kullanılması, tehlikeli olabilecek uygulamaların cihaza yüklenmesi riskini azaltabilecektir. Bir uygulama yüklenmeden önce uygulamanın ge- liştiricisi hakkında bilgi edinilmeli ve uygulama adı- nın doğruluğundan emin olunmalıdır. Bu çerçevede, resmi olarak yayımlanan uygulamaları taklit eden ve kaynağı bilinmeyen uygulamalardan uzak durulmalıdır. Uygulamanın işlevselliği ile güvenilirliği hakkında fikir edinmek için uygulamaya yönelik kullanıcı yo- rumlarının ve uygulamanın kullanıcılardan aldığı puanın kontrol edilmesi faydalı olacaktır. Bununla birlikte yük- sek uygulama puanının ve olumlu yorumların bir uygulamayı mutlak surette güvenilir hâle getirmediği de unutulmamalıdır. Uygulama yüklenmeden önce hangi verilere erişim izni isten- diği kontrol edilmeli ve uygulamanın gizlilik politikası gözden 17 18 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER geçirilmelidir. Uygulamanın sunduğu hizmet ile her- hangi bir ilişkisi bulunmayan kişisel veri taleplerine karşı dikkatli olunmalıdır. Hizmetin sunulması için gerekli olandan daha fazla kişisel veri talep edilmesi duru- munda, bu uygulamaya gerçekten ihtiyaç duyulup duyulma- dığı değerlendirilmeli ve gerekiyorsa alternatif uygulamalar araştırılmalıdır. 2. Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler

gerekli olandan daha fazla kişisel veri talep edilmesi duru- munda, bu uygulamaya gerçekten ihtiyaç duyulup duyulma- dığı değerlendirilmeli ve gerekiyorsa alternatif uygulamalar araştırılmalıdır. 2. Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler • Uygulamanın kullanımı sırasında talep edilen izinler konu- sunda da dikkatli olunmalıdır. Örneğin; bir navigasyon uy- gulamasında kullanıcıya doğru yön ve konum bilgilerinin sağlanabilmesi için kullanıcının “anlık konumunu” kullanma izni istenmesi veya bir fotoğraf düzenleme uygulamasında, fotoğraflara erişim izni istenmesi olağan bir durum olarak kabul edilmektedir. Ancak bazı uygulamalarda, uygulamanın belirli bir işlevselliği için ihtiyaç duyulmayan verilere erişim için ilave izinler de istenebilmektedir. Kullanım sırasında uygulama tarafından talep edilen izinler konusunda, mah- remiyetin korunmasına yönelik endişe duyulması hâlinde erişim isteklerinin reddedilmesi ve alternatif bir uygulama araştırılması hususunun değerlendirilmesi faydalı olacaktır. • Konum, ses ve görüntü verileri elde eden mobil cihaz araçla- rına sürekli erişilmesine ilişkin izinlerin, söz konusu verilerin kullanım amaçları dikkate alınarak değerlendirilmesi uygun olacaktır. 18 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 19 Her zaman izin ver Yalnızca uygulama kullanırken izin ver Reddet • Uygulamalara giriş yapmak için sosyal medya hesaplarının kullanılmasından kaçınılmalıdır. Zira bir uygulamada kulla- nıcının sosyal ağ hesabına ilişkin bilgiler ile oturum açılması, kimi durumlarda uygulamanın ilgili sosyal ağ hesabından bilgi toplamasına olanak tanıyabilmekte ve hesapları teh- ditlere karşı daha savunmasız hâle getirebilmektedir.

kullanılmasından kaçınılmalıdır. Zira bir uygulamada kulla- nıcının sosyal ağ hesabına ilişkin bilgiler ile oturum açılması, kimi durumlarda uygulamanın ilgili sosyal ağ hesabından bilgi toplamasına olanak tanıyabilmekte ve hesapları teh- ditlere karşı daha savunmasız hâle getirebilmektedir. • Uygulamalara giriş yapmak için kullanılacak parolalar oluş- turulurken, kişisel bilgilerle ilişkili ve kolay şekilde tahmin edi- lebilecek rakam ya da harf dizileri yerine büyük-küçük harf, rakam ve sembolleri içerecek şekilde güçlü kombinasyonlar tercih edilmelidir. Mümkün olduğu durumlarda her hesap için farklı parola oluşturulmalı ve çok faktörlü doğrulama etkin hâle getirilmelidir. GÜÇLÜ PAROLA ÖRNEKLERİ 19 20 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER 70% Jun 2 Jun 3 Jun 4 Jun 5 Jun 6 Jun 7 Jun 8 Jun 9 Sign in • Güncel olmayan yazılımlara sahip uygulamalar, saldırıya uğ- rama riskiyle daha fazla karşı karşıya kalabileceğinden uygu- lamalar güncel tutulmalıdır. Ayarların ve yapılandırmaların değişmediğinden emin olmak için güncelleme yapıldıktan sonra gizlilik ayarları kontrol edilmelidir. • İhtiyaç duyulmayan ve kullanılmayan uygulamalar mobil ci- hazlarda bulundurulmamalıdır. 20 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 21 Ç. KİŞİSEL VERİ İŞLEYEN TARAFLARA YÖNELİK TAVSİYELER Mobil uygulamaların geliştirilmesi, kullanıma sunulması ve il- gili kişiler tarafından kullanılması süreçlerinde farklı paydaş- ların veri sorumlusu veya veri işleyen olma statüleri kişisel veri işleme faaliyetine başlanmadan önce belirlenmelidir. Bu kapsamda, her bir paydaşın veri koruma mevzuatı bağlamın- daki sorumluluğu ve paydaşlar arasındaki hukuki ilişki netleş- tirilerek Kanun ve ikincil mevzuata uyum sağlanmalıdır. 1. Genel İlkelere Uyumluluk

veri işleme faaliyetine başlanmadan önce belirlenmelidir. Bu kapsamda, her bir paydaşın veri koruma mevzuatı bağlamın- daki sorumluluğu ve paydaşlar arasındaki hukuki ilişki netleş- tirilerek Kanun ve ikincil mevzuata uyum sağlanmalıdır. 1. Genel İlkelere Uyumluluk 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Genel İlke- ler” başlıklı 4’üncü maddesinde kişisel verilerin ancak bu Ka- nun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için ge- rekli olan süre kadar muhafaza edilme şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzen- lenmektedir. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hâl ve şartta Kanun’un 21 22 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER 4’üncü maddesinde sayılan ilkelere uyulması hukuki bir gerek- lilik olup mobil uygulamalar vasıtasıyla işlenen kişisel veriler de Kanun’un bahse konu maddesinde düzenlenen ilkelere uy- gun şekilde işlenmelidir. a) Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi

4’üncü maddesinde sayılan ilkelere uyulması hukuki bir gerek- lilik olup mobil uygulamalar vasıtasıyla işlenen kişisel veriler de Kanun’un bahse konu maddesinde düzenlenen ilkelere uy- gun şekilde işlenmelidir. a) Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi Hukuka ve dürüstlük kuralına uygun olma ilkesi, kişisel verile- rin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalı- dır. Diğer bir ifade ile, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerekmektedir. Ayrıca ilke uyarınca, ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olmasının sağlan- ması ve bilgilendirme yükümlülüğüne uygun hareket edilmesi gerekmektedir. Bu kapsamda uygulama geliştiricileri ile sağlayıcılarının kişisel veri işlemeye başlamadan önce işlemenin bir hukuki sebebinin olup olmadığını sorgulamaları, mobil uygulamalarda işlenen kişisel veriler konusunda dürüst ve şeffaf olmaları, bireylerin haklarını kullanabilmelerine imkân sağlamaları ve bu hakların kullanımını destekleyen süreç ve tasarımları uygulamaya koy- maları beklenmektedir. Mobil ortamda karşılaşılan en önemli sorunlardan birisi, izin mimarilerinin uygulamaya ve uygulamaya entegre üçüncü 22 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 23

maları beklenmektedir. Mobil ortamda karşılaşılan en önemli sorunlardan birisi, izin mimarilerinin uygulamaya ve uygulamaya entegre üçüncü 22 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 23 taraflara ayrı ayrı izin verme imkânı sağlamamasıdır.10 Bazen bir uygulama, yalnızca üçüncü bir taraf belirli bir veri türüne erişmek istediği veya bu veriye ihtiyaç duyduğu için cihazdaki bu veri türüne erişim talebinde bulunabilir. Uygulamada fay- dalanılan üçüncü taraf işlemeleri hakkında şeffaf olunması ve uygulamaya entegre edilen üçüncü taraf hizmet aracılığıyla ki- şisel veri işlenmesinde hukuki bir sebep bulunmadığı takdirde bu hizmetin uygulamada kullanılmaması önem taşımaktadır. Örnek -1- Günümüzde mobil cihazlar, ses kontrol asistanları tarafından desteklenerek sesli komut ile çalışabilmekte ve bu asistanlar aktive edildiğinde tüm sözlü iletişime erişebilmek- tedirler. Bu kapsamda, işlenen kişisel veriler hakkında şeffaf- lık sağlanması gerekmektedir. Diğer taraftan, mobil uygulama ilk kullanıma başlandığında, bu özelliğin cihazda kural olarak açık şekilde gelmesi, hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebilecektir. Öte yandan örne- ğin, cep telefonu masanın üzerinde dururken yahut kişinin cebinde veya çantasında iken mikrofona erişim sağlanması yerine, kullanıcı cihazı aktif bir şekilde kullanırken mikrofona erişim sağlanması gibi önlemlerle, kişisel verilerin işlenme- sinde kullanıcının makul beklentisi karşılanabilecektir. Örnek-2- Adım sayarak ve uyku düzeni ile beslenme alış- kanlıklarını izleyerek bireylerin fiziksel aktivite seviyelerini takip eden bir mobil uygulamanın, elde ettiği bu verilere ilişkin istatistiki bilgiler oluşturmanın yanında, kullanıcılara 10  ENISA, a.g.e., s.20. 23 24 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

takip eden bir mobil uygulamanın, elde ettiği bu verilere ilişkin istatistiki bilgiler oluşturmanın yanında, kullanıcılara 10  ENISA, a.g.e., s.20. 23 24 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER egzersiz yapmalarını hatırlatmak suretiyle de söz konusu verileri işlemesinin mobil uygulamanın kullanım amacıyla uyumlu olduğu söylenebilecektir. Aynı doğrultuda, kullanı- cılar da bu durumu memnuniyetle karşılayabilirler. Ancak, bahse konu mobil uygulama sağlayıcısının sağlık sigortası hizmeti sunması ve mobil uygulama üzerinden topladığı kişisel verilerden sigorta primi hesaplamada yararlanması, kullanıcının makul beklentisinin aşılması nedeniyle, dürüst- lük kuralına aykırılık teşkil edebilecektir.11 b) Doğru ve Gerektiğinde Güncel Olma İlkesi Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgu- layan “doğru ve gerektiğinde güncel olma” ilkesi ile 6698 sa- yılı Kanun’da öngörülen ilgili kişinin verilerinin düzeltilmesini talep etme hakkı uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun ol- duğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlü- lüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerlidir. Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. 11  World Intellectual Property Organization (WIPO): A Guide to Data Pro- tection in Mobile Applications (2021), (https://www.wipo.int/export/ sites/www/ip-development/en/agenda/docs/wipo-guidedata- protecti- on-mobile-apps.pdf), s. 24. 24 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 25

11  World Intellectual Property Organization (WIPO): A Guide to Data Pro- tection in Mobile Applications (2021), (https://www.wipo.int/export/ sites/www/ip-development/en/agenda/docs/wipo-guidedata- protecti- on-mobile-apps.pdf), s. 24. 24 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 25 Söz konusu ilke mobil uygulamalar bağlamında değerlendi- rildiğinde, kullanıcılara kişisel verilerini düzeltme imkânı ta- nınmalı ve uygulamanın tasarımı sürecinde bu hususun göz önünde bulundurulması suretiyle uygulama içerisinde uygun yöntemlerle bu imkânın kullanılması sağlanmalıdır. Diğer yan- dan, güncelliğini yitirmiş kişisel verilerin kimlik hırsızlığı riski ortaya çıkarabileceği unutulmamalıdır.12 Örnek-3- Bir mobil uygulamaya üye olunması esnasında kullanıcı tarafından e-posta ve telefon numarası bilgilerinin girildiği ancak söz konusu mobil uygulamada bu bilgiler için herhangi bir doğrulama yapılmadığı ve kullanıcılara uygu- lama içinden bu bilgileri güncelleme fırsatı sunulmadığı bir durumda; kullanıcı, üyelik esnasında e-posta adresini seh- ven hatalı girmiş ve mobil uygulama üzerinden gerçekleş- tirdiği alışverişe ilişkin sipariş bilgileri bu e-posta adresine gönderilmişse kişisel verilerin üçüncü bir kişiye ifşa olması ihtimali gündeme gelebilecektir. Dolayısıyla bu uygulama, eğer kullanıcının e-posta adresini doğrulamış olsaydı bu tür bir ifşa ortaya çıkmayacak ve söz konusu ilkeye uygun hareket edilmiş olacaktı. Benzer şekilde, kullanıcının belli bir süre sonra telefon numa- rasını değiştirmesi ve mobil uygulamasının parolasını unuttu- ğu için mobil uygulama aracılığıyla parola sıfırlama talebinde 12  ENISA, a.g.e, s.22. 25 26 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

Benzer şekilde, kullanıcının belli bir süre sonra telefon numa- rasını değiştirmesi ve mobil uygulamasının parolasını unuttu- ğu için mobil uygulama aracılığıyla parola sıfırlama talebinde 12  ENISA, a.g.e, s.22. 25 26 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER bulunması durumunda, kullanıcının parola sıfırlaması esna- sında daha önce girmiş olduğu ve artık kullanmadığı telefon numarasına kod gönderilmesi durumunda, kodun üçüncü bir kişiye mesaj olarak iletilmesi riski ortaya çıkabilecektir. Eğer kullanıcıya uygulama içinde telefon numarasını kontrol etme ve güncelleme fırsatı sunulmuş olsaydı, kullanıcı da güncel olmayan telefon numarasını kontrol ederek değiştirme fırsa- tı bulabilecek ve söz konusu ilkenin gereği yerine getirilmiş olacaktı. c) Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri Kanun’da düzenlenen ilkelerden bir diğeri olan, kişisel veri- lerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi ise, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve bu faaliyetin ger- çekleştirilme amacının belirliliği sağlayacak detayda ortaya ko- nulmasını sağlar. Amacın meşru olması, veri sorumlusunun iş- lediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınır- lı ve ölçülü olma” ilkesine göre ise, işlenen veriler belirlenen amaçların gerçekleştirilebilmesine elverişli olmalıdır. Amacın 26 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 27

lı ve ölçülü olma” ilkesine göre ise, işlenen veriler belirlenen amaçların gerçekleştirilebilmesine elverişli olmalıdır. Amacın 26 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 27 gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çık- ması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi ve amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Ölçü- lülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Diğer bir ifadeyle, veri işlemenin amacı gerçekleştirecek ölçüde olmasını ifade etmektedir. Mobil uygulamalar aracılığıyla işlenen kişisel veriler açısından da işleme faaliyetinin amacının ortaya konulmasının ardından, söz konusu amacı gerçekleştirebilmek için hangi kişisel veri kategorilerine ihtiyaç duyulduğu belirlenmelidir. Bu belirleme yapılırken, mümkün olan en az çeşit ve sayıda kişisel veri top- lanması hedeflenerek, kişisel verilerin işlenmesi bağlamında bireylerin temel hak ve özgürlüklerinin en üst düzeyde korun- masını sağlayacak bir yaklaşım benimsenmelidir. Bu doğrultu- da, eğer bir kişisel verinin uygulama aracılığıyla sunulan işlev veya faaliyetlerle nasıl ilişkili olduğu açıklanamıyorsa, bu ve- riler toplanmamalıdır. Diğer taraftan mobil uygulama üzerinden gerçekleştirilen iş- lemenin amaçla bağlantılı, sınırlı ve ölçülü olması, kullanıcılar bakımından öngörülebilirliğin sağlanması açısından da önem taşımaktadır. Bu çerçevede, mobil uygulama tarafından elde edilen kişisel veriler, bireylerin uygulamayı kullanım amacını aşar nitelikte işleme faaliyetlerine konu edilmemelidir. 27 28 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

taşımaktadır. Bu çerçevede, mobil uygulama tarafından elde edilen kişisel veriler, bireylerin uygulamayı kullanım amacını aşar nitelikte işleme faaliyetlerine konu edilmemelidir. 27 28 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER Örnek-4- Bulaşıcı hastalıklarla mücadele amacıyla temas takibinde kullanılmak üzere hazırlanan bir mobil uygulama, yalnızca bireylerin yakınlık verisini (Bluetooth teknolojisi vasıtasıyla toplanan ve kişilerin birbirlerine hangi süre zar- fında ne kadar yakın olduğunu gösterir bilgi) işlemek sure- tiyle kullanım amacını gerçekleştirebilecektir. Dolayısıyla, bu mobil uygulamanın kullanıcılarının tam konumunu ve hareketlerini izlemesi, kullanıcının bulaşıcı hastalığa sahip başka bir kullanıcıyla yakın temasta bulunduğunun tespit edilebilmesi amacı bakımından gereksiz olup bu nitelikteki bir işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil edebilecektir.13 Örnek-5- Mobil uygulamanın verdiği hizmet kapsamında gerçekleştirilecek işleme faaliyetlerinin, yalnızca mobil uygulamanın kullanıldığı cihazın yerel depolama alanında tutulacak kişisel veriler ile yürütülebilmesinin mümkün ol- duğu hâllerde, söz konusu kişisel verilerin mobil uygulama sağlayıcısının veri kayıt sistemlerine iletilmemesi “işlendik- leri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olacaktır. ç) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi uyarınca, kişisel ve- 13  WIPO, a.g.e., s.25. 28 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 29

“İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesi uyarınca, kişisel ve- 13  WIPO, a.g.e., s.25. 28 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 29 rilerin, “amaçla sınırlılık ilkesi”nin de bir gereği olarak, işlen- dikleri amaç için gerekli olan süreye uygun şekilde muhafaza edilmeleri gerekmektedir. Bu konuda veri sorumlusu, gerekli teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin saklanmasında amaçla sınırlılık ilkesi uyarınca veri sorumlusu tarafından belirlenen saklama sürelerinin yanı sıra, veri so- rumlusunun tabi olduğu ilgili mevzuat kapsamında da belir- lenmiş saklama süreleri mevcuttur. Buna göre veri sorumluları, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye uyacak; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklaya- bileceklerdir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması hâlinde, o veri silinecek, yok edilecek veya anonim hâle getirilecektir. İleride tekrar kullanılabileceği dü- şünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir. Mobil uygulamalar aracılığıyla işlenen kişisel veriler açısın- dan da açıkça tanımlanmış iş ihtiyaçlarına veya yasal yüküm- lülüklere göre gerekçelendirilmiş saklama ve imha14 süreleri belirlenmeli ve bu veriler gerekli olan süreden daha uzun süre saklanmamalıdır. Bu çerçevede örneğin, bir mobil uygulama geliştiricisinin bu- lutta depoladığı kişisel veriler açısından saklama süresi, mobil 14  28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanan “Kişisel Ve- rilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yö- netmelik”in 4’üncü maddesinin (1) numaralı fıkrasının (c) bendi uyarınca imha, “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getiril- mesi” anlamına gelmektedir. 29

rilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yö- netmelik”in 4’üncü maddesinin (1) numaralı fıkrasının (c) bendi uyarınca imha, “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getiril- mesi” anlamına gelmektedir. 29 30 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER uygulamanın kullanıldığı sektöre özel mevzuatta öngörülen aza- mi bir saklama süresi varsa bu süre göz önünde bulundurularak belirlenmeli; eğer bu şekilde bir azami saklama süresi bulunmu- yorsa bu verilerin işlendikleri amaçla bağlantılı bir saklama sü- resi belirlenmelidir. Ayrıca, saklama süresi dolan kişisel verile- rin, bu verilerin imhasına ilişkin gerekli her türlü teknik ve idari tedbir alınarak imha edilmesinin beklendiği de belirtilmelidir. Örnek-6- Mobil uygulama üzerinden sunulacak hizmetin niteliğine göre sınıflandırılacak aktif ve aktif olmayan kul- lanıcıların kişisel verilerinin saklanma süreleri söz konusu statülere göre belirlenmelidir. Bu anlamda, elektronik posta hizmeti sunan bir mobil uygulamanın kullanıcısının, belirli bir süre boyunca uygulamaya giriş yapmaması durumunda statüsünün aktif olmayan kullanıcıya dönüştürülmesi ve aktif kullanıcılara kıyasla kişisel verilerinin saklanma sü- resinin daha kısa olması (yasal yükümlülükler hariç olmak üzere) bu hususta iyi uygulama örneği teşkil edebilecektir. 2. Şeffaflığın Sağlanması Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” baş- lıklı 10’uncu maddesinde, kişisel verilerin elde edilmesi sıra- sında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarı- labileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11’inci maddede sayılan diğer hakları 30 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 31

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarı- labileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11’inci maddede sayılan diğer hakları 30 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 31 konularında bilgi vermekle yükümlü olduğu düzenlenmiştir. Bu kapsamda, Kanun’un 10’uncu maddesinde yer alan aydınlatma yükümlülüğü, Kurul tarafından çıkartılan “Aydınlatma Yüküm- lülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hak- kında Tebliğ” hükümlerine uygun olarak yerine getirilmelidir. Diğer yandan, aydınlatma metni ve eğer ayrıca hazırlanmışsa gizlilik politikası, mevcut kullanıcıların ve uygulamayı indirme- yi düşünen potansiyel kullanıcıların kolaylıkla erişebilecekleri bir şekilde konumlandırılmalıdır. Uygulamaya ilişkin güncellemeler konusunda kullanıcılar ha- berdar edilirken, kişisel verilerinin işlenmesini ilgilendiren de- ğişiklikler konusunda da kullanıcılar bilgilendirilmelidir. Kullanıcıların bir uygulamanın varsayılan gizlilik ayarlarından haberdar olmaları sağlanmalı ve gizliliklerini yönetmelerine yardımcı olacak anlaşılması kolay mekanizmalar, kullanıcı dos- tu bir arayüz ile sunulmalıdır. Kullanıcıların bir uygulamanın kullanılması konusunda bilinç- li kararlar verebilmelerini sağlamak üzere, Kanun’un 10’uncu maddesine uygun olarak bilgilendirme yapılmalıdır. Zira kişisel verilerin korunmasını isteme hakkının bir gereği olarak, birey- lerin kişisel verileri üzerinde en üst düzeyde kontrole sahip olabilmeleri için, uygulamalar vasıtasıyla gerçekleştirilen kişi- sel veri işleme faaliyetlerinde şeffaflığın ve öngörülebilirliğin sağlanması önem taşımaktadır. Kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesi- ne yönelik olarak Kanun’un 16’ncı maddesinde öngörülen Veri 31 32 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

sağlanması önem taşımaktadır. Kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesi- ne yönelik olarak Kanun’un 16’ncı maddesinde öngörülen Veri 31 32 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER Sorumluları Siciline/ VERBİS’e kayıt ve bildirim yükümlülüğü ile ilgili kişilerin kişisel verileri üzerinde üst düzeyde kontrole sahip olabilmeleri amaçlanmaktadır. Mobil uygulamalar, uygulama mağazaları aracılığıyla dünya genelinde kullanıcıların hizmetine sunulmaktadır. Yurt dışında yerleşik sağlayıcıların sundukları mobil uygulamalar aracılığıyla Türkiye’deki kullanıcıların kişisel verilerinin işlenmesine sıklıkla rastlanmakta olup kullanıcıların kişisel verilerinin işlenmesinde bir şeffaflık mekanizması olan Veri Sorumluları Siciline kayıt yükümlülüğünün de yerine getirilmesi önem arz etmektedir. Yurt dışında yerleşik sağlayıcıların sundukları mobil uygula- malarda; Türkiye’ye atıfta bulunarak mal ve hizmet sunulma- sı, Türkiye’deki kişilere yönelik hizmetin verildiğini gösteren tanıtıcı açıklamalar yapılması, mal ve hizmet sunulmasında Türkçe dil seçeneği, Türkiye’ye ürün teslimatı seçeneğinin su- nulması gibi hususların bulunması, mal ve hizmet sunumun- da Türkiye’deki ilgili kişilerin hedeflenmesi; yahut davranışsal reklamcılık faaliyeti gerçekleştirilmesi, benzersiz tanımlayıcılar aracılığıyla çevrim içi takip yapılması ve pazarlama amacıyla coğrafi yerelleştirme faaliyetleri yürütülmesi gibi işlemler ger- çekleştirilmesi Türkiye’deki ilgili kişilerin davranışlarının izlen- mesi anlamına gelecektir. Mobil uygulamalarda Türkiye’deki kullanıcıların hedeflenmesi veya davranışlarının izlenmesi söz konusu olduğunda, mobil uygulama aracılığıyla işlenen kişisel veriler bakımından Kanun’un 16’ncı maddesinde yer alan Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün de göz önünde bulundurulması önem taşımaktadır. 32 @ 33 34 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

veriler bakımından Kanun’un 16’ncı maddesinde yer alan Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün de göz önünde bulundurulması önem taşımaktadır. 32 @ 33 34 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER MOBİL UYGULAMALARDA ÇOCUKLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ Akıllı cihazların yaygınlaşarak kolay ulaşılabilir ürünler hâline gelmesi ile birlikte mobil uygulamaların çocuklar tarafından da sıklıkla kullanılmaya başlandığı dikkate alındığında, çocukların bilinç düzeyinin ve çocuklara ilişkin kişisel verilerin öneminin göz önünde bulundurulması suretiyle çocukların kişisel veri- lerine yönelik işleme faaliyetlerinin, diğer işleme faaliyetle- rinden ayrı bir şekilde ele alınmasında fayda görülmektedir. Bu nedenle, özellikle çocuklara yönelen veya çocuklar tarafın- dan yaygın olarak kullanıldığı bilinen uygulamalar açısından, kullanıcıların yaşını doğrulayacak sistemler kurulması ve ço- cuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prose- dür takip edilerek gerçekleştirilmesi önerilmektedir. Konu ile ilgili olarak Kurumumuz “Ürün ve Hizmet Geliştirenler” tarafından hazırlanmış olan “Ço- Tarafından Dikkat Edilmesi Gerekenler cukların Kişisel Verilerinin Korun- ması-Ürün ve Hizmet Geliştiren- ler Tarafından Dikkat Edilmesi Gerekenler” başlıklı dokümanın https://www.kvkk.gov.tr/Sha- redFolderServer/CMSFiles/db- 0b3f30-c636-4fcb-930a-bf8f2e- 524de8.pdf incelenmesinde fayda bulunmaktadır. 34 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 35

Gerekenler” başlıklı dokümanın https://www.kvkk.gov.tr/Sha- redFolderServer/CMSFiles/db- 0b3f30-c636-4fcb-930a-bf8f2e- 524de8.pdf incelenmesinde fayda bulunmaktadır. 34 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 35 3. Kişisel Verilerin İşlenme Şartlarının Belirlenmesi Kişisel verilerin işlenme şartları Kanun’un 5’inci maddesinde sayılmış olup buna göre maddede sayılan hâllerden en az bi- rinin bulunması durumunda bireylerin kişisel verilerinin işlen- mesi mümkündür. Bu çerçevede, anılan maddenin (1) numaralı fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmekte ve devamındaki fıkrada; a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak du- rumda bulunan veya rızasına hukuki geçerlilik tanınma- yan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğ- ruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (ç) Veri sorumlusunun hukuki yükümlülüğünü yerine geti- rebilmesi için zorunlu olması, (d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, (e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, 35 36 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenme- sinin mümkün olduğu düzenlenmektedir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanun’un 6’ncı maddesinde hükme bağlanmıştır. Anılan madde hükmünde, özel nitelikli kişisel verilerin işlenmesinin yasak olduğu, ancak bu verilerin işlenmesinin;

sinin mümkün olduğu düzenlenmektedir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanun’un 6’ncı maddesinde hükme bağlanmıştır. Anılan madde hükmünde, özel nitelikli kişisel verilerin işlenmesinin yasak olduğu, ancak bu verilerin işlenmesinin; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak du- rumda bulunan veya rızasına hukuki geçerlilik tanınma- yan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve aleni- leştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorun- lu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korun- ması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin plan- lanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yüküm- lülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da olu- 36 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 37 şumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişile- re açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkün olacağı düzenlenmektedir.

olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişile- re açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkün olacağı düzenlenmektedir. Mobil uygulamalar vasıtasıyla işlenen kişisel veriler açısından değerlendirildiğinde ise bu işlemeye dayanak oluşturacak iş- leme şartlarının belirlenmesi ve bu durumun gerekçeleri ile ortaya konulması beklenmektedir. İşlemeye dayanak oluştura- cak şartların belirlenmesi, şeffaflığın sağlanması konusundaki yükümlülüğün yerine getirilebilmesi açısından da bir ön koşul niteliği taşımaktadır. Konu ile ilgili olarak “Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65 sayılı Kararı- nın (https://www.kvkk.gov.tr/Icerik/6717/2020-65) incelenmesi faydalı olacaktır. “Açık rıza” kişisel veri işleme şartlarından birisi olup veri işle- me faaliyetinin gerçekleştirilmesinde, veri sorumlusu tarafın- dan öncelikle diğer veri işleme şartlarından birisine dayanılıp dayanılamayacağı değerlendirilmeli ve bunlardan herhangi birisi bulunmuyorsa ilgili kişinin açık rızasının alınması yolu- na gidilmelidir. Kanun’un 3’üncü maddesinde açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. 37 38 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

na gidilmelidir. Kanun’un 3’üncü maddesinde açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. 37 38 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER Mobil uygulamalar üzerinden gerçekleştirilecek kişisel veri işle- me faaliyetlerinde, uygulamanın asıl işlevinin yerine getirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesi durumunda kullanıcının açık rızasının alınması gerekliliği ortaya çıkabilecek- tir. Örneğin, bir kullanıcı tarafından talep edilen bir uygulama- nın herhangi bir özelliği veya işlevi için kullanıcının konumuna erişilmesi gerekmeyen durumlarda, kullanıcı açık rıza vermediği sürece hedefli reklamcılık amaçları doğrultusunda kullanıcının konum verisi toplanmamalıdır. Benzer şekilde kullanıcılar, uygu- lamanın mikrofonlarına veya konumlarına erişim sağlaması gibi isteğe bağlı olan ve uygulamanın fonksiyonelliği açısından ge- rekli bulunmayan işlevlere yönelik izinleri devre dışı bırakmayı seçseler dahi uygulamanın kullanılabilmesine izin verilmelidir. Diğer taraftan, kullanıcının aktif eylemiyle açık rızasının alın- masını sağlayacak mekanizmaların kurulması başta olmak üze- re, Kanun’da öngörülen geçerlilik unsurlarını karşılayacak şe- kilde kullanıcıların açık rızasına başvurulması uygun olacaktır. Konu ile ilgili olarak “Bir bankanın mobil uygulamalar üze- rinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 ta- rih ve 2021/361 sayılı Kararının (https://www.kvkk.gov.tr/Ice- rik/7109/2021-361) incelenmesinde fayda bulunmaktadır. 4. Veri Güvenliğinin Sağlanması • Uygulamalar, tasarımdan itibaren mahremiyet (privacy by design) ve başlangıçtan itibaren mahremiyet (privacy by de- fault) ilkeleri ile uyumlu şekilde tasarlanmalı ve kişisel veri- 38 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 39

4. Veri Güvenliğinin Sağlanması • Uygulamalar, tasarımdan itibaren mahremiyet (privacy by design) ve başlangıçtan itibaren mahremiyet (privacy by de- fault) ilkeleri ile uyumlu şekilde tasarlanmalı ve kişisel veri- 38 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 39 lerin korunmasını en üst düzeyde sağlayacak şekilde kulla- nıma sunulmalıdır. Zira bireyler tarafından gerçekleştirilecek ilave bir eyleme gerek duyulmaksızın mobil uygulamaların ilk kullanımında mahremiyet odaklı ayarların açık olması, hem kişisel verilerin işlenmesinde dürüstlük kuralına uyul- ması hem de kullanıcıda güven tesis edilmesi bakımından büyük önem arz etmektedir. • Mobil uygulamaların kullanıldığı cihazlara yetkisiz erişimler gerçekleştirilmesini önlemek adına cihazlarda kimlik doğ- rulama yöntemlerinin kullanılması sağlanmalıdır. Bununla birlikte, aynı anda farklı cihazlardan oturum açılması bakı- mından kullanıcılara yönelik kontrol mekanizmaları oluştu- rulmasında fayda bulunmaktadır. • Kullanıcılar, mümkünse çok faktörlü kimlik doğrulama yön- temlerinin kullanılmasına teşvik edilmelidir. • Mobil uygulamalara erişimlerde kullanıcılar tarafından güçlü parolalar oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesi sağlanarak uygun bir parola güven- liği politikası işletilmelidir. Kullanıcılar tarafından yeni pa- rola oluşturulurken daha önce kullandıkları eski parolaların yeniden kullanılmasının önüne geçilmesi faydalı olacaktır. • Parolalar, yeterli güvenlik önlemleri alınarak saklanmalıdır. Siber saldırı riskine karşı parolaların güncel “özet/karma (hashing)”15 fonksiyonlarından geçirilerek muhafaza edil- mesi önerilmektedir. 15  Özet/Karma (hashing) algoritmalar, değişken uzunluktaki verileri okun- maz hâle getirerek sabit uzunluktaki verilere haritalayan algoritmalar olarak tanımlanabilmektedir. 39 40 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER

mesi önerilmektedir. 15  Özet/Karma (hashing) algoritmalar, değişken uzunluktaki verileri okun- maz hâle getirerek sabit uzunluktaki verilere haritalayan algoritmalar olarak tanımlanabilmektedir. 39 40 | MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER • Düzenli olarak yama yönetimi ve yazılım güncellemesi süreç- leri gerçekleştirilmelidir. Mobil uygulamalardaki açıkların ve zafiyetleri kapatılması adına yazılımların güncel tutulması uygulama güvenliğinin sağlanmasına yardımcı olacaktır. • Geliştirilen mobil uygulamaların yayımlanmasından önce yazılım testlerinin uygun şekilde gerçekleştirildiğinden emin olunmalıdır. Bu kapsamda, geliştirilen uygulamaların ilk kul- lanımına çıkılmasından önce yazılım testlerinden eksiksiz ve başarılı bir şekilde geçildiği güvence altına alınmalıdır. • Uygulama güvenliğinin, tasarım aşamasında başladığının bilincinde olunmalı ve güvenli yazılım geliştirme stratejileri yürütülmelidir. • Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayısı sınırlandırılmalıdır. Bot saldırılarına bir önlem olarak kullanıcı girişi olan sayfalarda CAPTCHA, dört işlem vb. gibi yöntemler tercih edilmelidir. • Uygulamalar yayımlanmadan önce hedeflenen işletim sis- temlerinin veri koruma ve güvenlik özellikleri dikkate alın- malıdır. Bu kapsamda, risk değerlendirmesi yapılmasında fayda görülmektedir. • Mobil uygulamalarda kişisel verilerin depolanması ve akta- rımı sırasında veri güvenliğinin sağlanması kapsamında, ağ iletişiminde uygun şekilde yapılandırılmış yeterli bir şifrele- me katmanı ve ilgili şifreleme anahtarlarının güvenli yöneti- mi aracılığıyla koruma için şifreleme kullanılmalıdır. Kişisel verilerin mobil cihazlarda muhafaza edildiği durumlarda, kişisel verilerin etkili bir şekilde şifrelenmesi yoluyla kişisel veri güvenliğinin sağlandığından emin olunmalıdır. 40 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 41

verilerin mobil cihazlarda muhafaza edildiği durumlarda, kişisel verilerin etkili bir şekilde şifrelenmesi yoluyla kişisel veri güvenliğinin sağlandığından emin olunmalıdır. 40 MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER | 41 KAYNAKLAR • Achara, J.P./Acs, G./Castelluccia, C.: On the Unicity of Smartp- hone Applications, Proceedings of the 14th ACM Workshop on Privacy in the Electronic Society, 2015, https://api.semantics- cholar.org/CorpusID:15723203. • European Union Agency for Network and Information Security (ENISA): Privacy and Data Protection in Mobile Applications: A Study on the App Development Ecosystem and the Technical Imp- lementation of GDPR, 2017, https://www.enisa.europa.eu/pub- lications/privacyand- data-protection-in-mobile-applications • Office of the Privacy Commissioner of Canada/Office of the Information and Privacy Commissioner of Alberta/ Office of the Information&Privacy Commissioner for British Columbia: Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps, 2012, https://www.priv.gc.ca/en/privacy-topi- cs/technology/mobileand-digital-devices/mobileapps/gd_ app_201210/. • Pham, A.: Privacy-Enhancing Technologies for Mobile App- lications and Services, 2019, https://www.semanticscholar. org/paper/Privacy-Enhancing-Technologies-for-Mobile-and- Pham/8be301a85c445ef365a03857ca473e254922cfec • World Intellectual Property Organization (WIPO): A Guide to Data Protection in Mobile Applications, 2021, https://www. wipo.int/export/sites/www/ip-development/ en/agenda/ docs/wipo-guide-data-protection-mobileapps. pdf 41 Lorem ipsum Lorem ipsum Lorem ipsum Lorem ipsum UI/UX design Lorem ipsum 75% Lorem ipsum dolor sit UI/UX 75% Lorem ipsum design dolor sit 75% cLoLonroseemrceteipmtusuemri.pdsoulomr sit0a1met, Lorem ipsum 01 Lorem ipsum 02 Lorem ipsum 03 50% Lorem ipsum dolor sit amet, in home Lorem ipsum dolor sit amet, in Lorem ipsum dolor sit amet, in consectetuer. home consectetuer. home consectetuer. 75% in home cLoLonroseemrceteipmtusuemri.pdsoulomr si5t0a02m%et, 65% 65% in home cLoLonroseemrceteipmtusuemri.pdsoulomr sit0a3met, 75% in home Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu