Mobil Uygulamalarda Veri Toplama ve İşlemenin Yasal Boyutu

 

kişisel veriler
kişisel veri

Kişisel Veriler’in Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlandı ve 7 Ekim 2016 tarihi itibariyle tüm hükümleri yürürlüğe girdi. Kişisel veriler’in gizliliği 2010 yılından beri T.C. Anayasası ile korunan bir anayasal hak, daha açık bir ifadeyle bir temel insan hakkı niteliğini taşımaktadır. Bu sebeple Kanun ve beraberinde getirdiği yükümlülükler bir temel hakkın değerlendirmesi olduğu için hepimizi çok ilgilendiriyor ve veri işleyen şirketlere önemli sorumluluklar yüklüyor. Ben de bu yazıda Kanun kapsamında kişisel veriler ve bu verilerin işlenmesi için benimsenen bir temel ilkeyi mobil uygulamalar üzerinden ele alacağım.

Gerçek kişilere ilişkin kişisel veriler’i işlerken temel alınması gereken bu ilke “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi olarak Kanun’da düzenlenmektedir. Bu ilkeyi detaylı incelemeden önce kişisel veriyi “gerçek kişiyi” belirleyen ya da belirlenebilir kılan her türlü veri olarak tanımlamak gerekir. Kişisel veri işlemek ise ya kişisel veriler’i herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ya da tam veya yarı otomatik yollarla yapılabilir. Kişisel veriler’in işlenmesi; elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma veya kullanılmasını engelleme anlamlarına da gelmektedir.

Toplanan veriler amaca uygun mu?

Söz konusu ilkeyi detaylı inceleyecek olursak; kişisel veriler’i işlerken ölçülü davranma prensibinin önemli bir kriter gerektiğini görmekteyiz. Bu da kişisel veriler’in işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kuran ve yöneten kişinin dikkatle seçilmesini gerektirir. Ayrıca bir kişisel veri işleniyorsa, bu verinin toplanma amacına uygun, meşru ve kabul edilebilir bir bağlantısı olması gerekmektedir.

Somutlaştırmak adına bir örnek verelim; ücretsiz yemek tarifleri veren bir mobil uygulamanın, bu uygulamayı akıllı telefonuna yükleyen bir kişinin konum bilgisine, rehberindeki kişilere, kamera görüntülerine veya SMS yazışmalarına ulaştığı ve bu verileri işlediğini varsayalım. Bu verileri işlemenin, uygulamanın amacı ve işlevi olan yemek tarifi sunma ile meşru bir bağının olduğunu ve ölçülü olduğunu söylemek tutarlı bir açıklamaya ihtiyaç duyar. Diğer taraftan kişinin bulunduğu yerdeki restoranların menülerindeki yemekleri veya yemek tariflerini sunan konum tabanlı bir uygulama için kişinin konum bilgisine ulaşmanın ve bu veriyi işlemenin uygulamanın amacıyla bağlantılı ve ölçülü olduğunu kabul etmek mümkündür.

1 milyon TL’ye varan cezalar gelebilir

Bu noktada mevcut Kanun’un bize kısık bir sesle de olsa “ihtiyacın olmayan veriyi işleme!” mesajını verdiğinin ve muhafazakâr yorumlar yapmaya neden olduğunu belirtebilirim. Kanun kapsamında kurulacak olan Veri Koruma Kurumu’na başvuruda bulunulması ve yapılacak bir denetimle uygulama geliştiren şirketin hukuka aykırı veri işlediğine hükmedilmesi sonucunda 1 milyon TL’ye varan para cezaları ile muhatap olunması kanımca çok uzak bir ihtimal değildir. Prensipte değerlendirdiğimizde veri işlerken muhafazakâr yorumlar yapmaya neden olan hükümlerin, uygulamada nasıl karşılık bulacağını ise elbette ilerleyen zamanda daha net göreceğiz.

Özel bir örnekle ele aldığım bu konu; elbette sigortadan sağlığa, e-ticaretten bankacılığa, her sektörde veri işleyen veri sorumlularının kendi veri işleme operasyonları için değerlendirmesi gereken bir konudur. Ekim’den itibaren Veri Koruma Kurumu‘nun kurulmasıyla veri işleme noktasında birçok soru gündeme gelecek ve şirketler kişisel veri işleme prosedürlerini yeni baştan gözden geçirmek ve yenilemek zorunda kalacaklar. Şimdiden rahatlıkla yapabileceğimiz yorum ise şirketler ciddi idari para cezaları ile karşılaşmak istemiyorlarsa veri işleme süreçlerinin hukuka uygunluk denetimi geciktirmeden yapmaları yararlı olacaktır.

Bu yazı Webrazzi’de yayınlanmıştır. Kişisel verilerin işlenmesi ile ilgili Kişisel Verilerin Korunması Kanunu’nun getirdiği yükümlülükler hakkında bilgi edinmek için bu yazımızda yayınlanan videoyu da inceleyebilirsiniz.