Mobil Uygulamalar Üzerinden Gönderilen Anlık Bildirimlere İlişkin Kamuoyu Duyurusu
[vc_row][vc_column][vc_message message_box_color=”success”] KVKK’nın kamuoyu duyurusuna göre, push bildirim izninin kampanya ve reklam içerikleriyle operasyonel bildirimleri tek bir onay altında toplaması, açık rızanın “özgür irade” unsurunu ortadan kaldırıyor. Kurum, “parçalı açık rıza” ve “belirlilik” ilkeleri doğrultusunda bildirim türlerinin ayrıştırılmasını, uygulama/cihaz ayarlarından kullanıcıya ayrı ve bağımsız tercih imkânı tanınmasını istedi. [/vc_message][vc_column_text]
Mobil uygulamalar üzerinden kullanıcılara iletilen anlık bildirimlere (push notifications) ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal ettirilen benzer nitelikteki şikayetler kapsamında yürütülen incelemeler sonucunda ulaşılan tespitler ve yapılan değerlendirmeler neticesinde, mobil uygulamalar üzerinden gönderilen anlık bildirimlerin kişisel verilerin korunması mevzuatına uyumu konusunda kamuoyunun bilgilendirilmesine ihtiyaç duyulmuştur.
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Bu kapsamda, veri sorumlusu sıfatını haiz olan mobil uygulama sağlayıcılarının gerçekleştirdiği veri işleme faaliyetlerinin, Kanun’un 4 üncü maddesinde yer alan genel ilkelere ve 5 inci maddesinde belirtilen işleme şartlarına uygun olması yasal bir zorunluluktur.
Günümüzde mobil cihazlar üzerinden sunulan anlık bildirimler, kullanıcıların gerçek zamanlı bilgiye hızlı erişimini sağlayan, etkileşimi artıran önemli araçlar olarak karşımıza çıkmaktadır. Ancak bu bildirimlerin gönderilmesi süreci, teknik olarak kullanıcıların cihazları üzerinden verdikleri izinlere ve bu izinler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerine dayanmaktadır. Kurumumuza intikal eden somut bir olayda, bir mobil uygulamanın yüklenme aşamasında kullanıcılara sunulan anlık bildirim onayının, birden fazla amacı aynı anda kapsayacak şekilde “tek bir onay” olarak kurgulandığı tespit edilmiştir. İlgili veri sorumlusu tarafından sunulan onay mekanizmasında, “kampanyalardan haberdar olmak” ile “sipariş durumunu anlık takip etmek” amaçlarının birleştirildiği, kullanıcının sipariş takibi gibi hizmetin doğal bir parçası olan operasyonel bildirimleri alabilmek için kampanya ve reklam içerikli bildirimleri de kabul etmek zorunda bırakıldığı görülmüştür.
Hukuki açıdan değerlendirildiğinde, bir açık rızanın geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve en önemlisi “özgür iradeyle” açıklanması gerekmektedir. Bir ürün veya hizmetin sunulmasının, o hizmetle doğrudan ilgisi olmayan başka bir veri işleme amacına rıza gösterilmesi şartına bağlanması, ilgili kişinin özgür iradesini zedelemektedir. Bu bağlamda sipariş durumunu takip etmek isteyen bir kullanıcının, bu ihtiyacını karşılayabilmek için mecburen pazarlama bildirimlerini de kabul etmesi, açık rızanın özgür irade unsurunu ortadan kaldırmaktadır. Bu durum literatürde ve Kurul uygulamalarında “parçalı açık rıza” (granularity) ilkesi ile açıklanmaktadır. Parçalı açık rıza ilkesi, birden fazla veri işleme amacının bulunduğu durumlarda, ilgili kişiye her bir amaç için ayrı ve bağımsız bir seçim hakkı sunulmasını zorunlu kılar. Tek bir rıza beyanının bölünemez bir biçimde birden fazla amaca hizmet etmesi, kullanıcıyı ya hepsini kabul etmeye ya da hepsini reddetmeye zorladığı için hukuka uygun bir veri işleme şartı oluşturmamaktadır.
Mobil uygulamaların teknik mimarileri de bu hukuki gereklilikleri destekleyecek şekilde yapılandırılmalıdır. Uygulama içi ayarlar veya cihazın işletim sistemi ayarları üzerinden kullanıcılara, hangi tür bildirimleri almak istediklerini (örneğin sadece kargo bilgisi olsun ama kampanya duyurusu olmasın şeklinde) özelleştirme imkânı tanınmalıdır. Bu seçeneklerin sunulmaması, kullanıcının kişisel verileri üzerindeki kontrol hakkını elinden almakta ve Kanun’un 12. maddesinde düzenlenen “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri alma” yükümlülüğünün ihlali anlamına gelmektedir.
Bu çerçevede, veri sorumlularınca mobil uygulamalar üzerinden anlık bildirimlerin gönderilmesi yönünde onay alım süreçlerinin “parçalı açık rıza” ve “belirlilik” ilkeleri ışığında yeniden gözden geçirilmesi ve bu minvalde bildirim amaçlarının ayrıştırılarak kullanıcılara tercihlerini yönetme imkanı tanınmasını teminen uygulama mimarisinde gerekli değişikliklerin yapılması önem arz etmektedir.
Kamuoyuna saygıyla duyurulur.
Kaynak: KVKK