KVKK Uyumunda Mobil Uygulama Güvenliği

KVKK Uyumunda Mobil Uygulama Güvenliği

Mobil uygulamalar hayatımızın vazgeçilmez bir parçası haline gelirken, kişisel verilerin güvenliği de her zamankinden daha kritik hale gelmiştir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve uluslararası uygulamalar, uygulama geliştiricilerin veri güvenliğini sağlamak için hem yasal hem de teknik tedbirler almasını zorunlu kılar. Bu yazıda, mobil uygulama güvenliği ve KVKK uyumu kapsamında dikkat edilmesi gereken tüm noktaları detaylı şekilde ele alıyoruz.

Mobil uygulama geliştirirken, kullanıcı güveni oluşturmak ve yasal riskleri önlemek için hem açık rıza süreçleri hem de teknik önlemler titizlikle uygulanmalıdır. KVKK’nın temel ilkeleri olan şeffaflık, veri minimizasyonu ve güvenlik, uygulama geliştirme süreçlerinin merkezine yerleştirilmelidir.

Mobil Uygulamada Bulunması Gereken Yasal Metinler

Mobil uygulamalar, kullanıcıya kişisel verilerinin nasıl işleneceğini açıkça bildirmek zorundadır. Bu kapsamda aşağıdaki metinler kritik öneme sahiptir:

Aydınlatma Metni

KVKK md.10 uyarınca, kullanıcıya kişisel verilerin işlenme amacı, veri sorumlusu ve iletişim bilgileri bildirilmelidir. Aydınlatma metni, genellikle uygulamanın gizlilik politikası olarak sunulur.

Öne çıkan unsurlar:

• Veri sorumlusunun kimliği ve iletişim bilgileri
• İşlenen verilerin amaçları
• Verilerin kimlere ve hangi amaçla aktarılabileceği
• KVKK md.11 kapsamındaki kullanıcı hakları

Açık Rıza Metni/Formu

KVKK md.5 ve 6’ya göre, istisnalar haricinde, kişisel verilerin işlenmesi için kullanıcının açık rızası gerekir. Açık rıza metinleri, kullanıcıya hangi verilerin işleneceğini net ve anlaşılır şekilde bildirir.

Örnek:
“Konum bilgilerimin size en yakın mağazaları göstermek amacıyla işlenmesine rıza veriyorum.”

Gizlilik Politikası

Aydınlatma metniyle benzer içerik taşır; ancak şirketin genel gizlilik taahhütlerini de kapsar. Kullanıcılar, uygulama ve web sitesi üzerinden bu politika metnine kolayca erişebilmelidir.

Hizmet Kullanım Koşulları

KVKK kapsamında olmasa da, kullanıcı ve şirket arasındaki sözleşmesel yükümlülükleri düzenler. Özellikle veri işleme ile ilgili maddelere yer verilmesi tavsiye edilir.

Yasal Metinlerin Sunulacağı Sayfalar ve Sunum Şekli

Şeffaflık ve erişilebilirlik, KVKK’nın ana prensiplerindendir. Metinler aşağıdaki noktada sunulmalıdır:

İlk Kurulum ve Kayıt: Kullanıcı uygulamayı ilk açtığında, aydınlatma metni özet şekilde gösterilmeli, tam metin bağlantısı sunulmalıdır. Açık rıza gerektiren işlemler için ayrı onay kutuları kullanılmalıdır.

Profil/Ayarlar Bölümü: Kullanıcı dilediğinde gizlilik politikası ve aydınlatma metnini yeniden okuyabilmeli, verdiği rızaları yönetebilmelidir.

Uygulama İçi İzin İstemeleri: Kamera, konum veya rehber izinleri, kullanıcıya amaca uygun açıklama ile sunulmalıdır. Örneğin: “Konumunuzu paylaşarak size en yakın mağazaları gösterebiliriz.”

Güncellemeler ve Değişiklikler: Gizlilik politikası değişikliklerinde kullanıcı bilgilendirilmelidir.

Aydınlatma ve gizlilik politikaları, hem uygulama içinde hem de mağaza sayfalarında erişilebilir olmalıdır.

Kullanıcıdan Rıza Alınması – Süreç ve Dikkat Edilecekler

Açık rıza süreci, KVKK ve uygulama mağazalarının politikalarına göre yürütülmelidir.

Önemli Noktalar:

• Bilgilendirme ve Şeffaflık: Kullanıcı, verilerinin hangi amaçla işleneceğini tam olarak anlamalıdır.
• Özgür İrade: Kullanıcı, rızayı zorunlu hissi olmadan vermelidir. Temel uygulama işlevleri rıza verilmeden de çalışabilmelidir.
• Ayrı Ayrı Onaylar: Her veri işleme amacı için ayrı rıza alınmalıdır.
• Kayıt ve İspat: Tüm rızalar elektronik ortamda tarih ve saat damgasıyla saklanmalıdır.
• Rızanın Geri Alınması: Kullanıcı, verdiği rızayı dilediğinde geri çekebilmelidir.

Özel nitelikli veriler (sağlık, biyometrik, dini inanç vb.) için rıza süreci daha titiz yönetilmelidir.

Yurt Dışına Veri Aktarımı: Kurallar ve İzinler

KVKK md.9, yurt dışına veri aktarımını özel düzenlemelere tabi tutar.

Ana ilkeler:

• Yeterlilik Kararı: Aktarım yapılacak ülkenin KVKK tarafından yeterli korumaya sahip olup olmadığı kontrol edilir.
• Uygun Güvenceler: Yeterli koruma yoksa, veri sorumlusu ile alıcı arasında standart sözleşmeler veya benzer güvenceler sağlanmalıdır.
• İstisnai Haller: Açık rıza, sözleşmenin ifası veya hayati tehlike gibi durumlarda sınırlı yurt dışı aktarımı yapılabilir.

Aydınlatma metninde, verilerin hangi ülkelere aktarılacağı ve dayanak hukuki sebep belirtilmelidir.

Gerekli Teknik ve İdari Tedbirler

KVKK md.12, veri güvenliği için gerekli teknik ve idari tedbirleri öngörür.

Teknik Tedbirler:

• Şifreleme ve İletişim Güvenliği: HTTPS/TLS kullanımı, cihaz içi veri şifreleme.
• Parola ve Kimlik Doğrulama: Karmaşık parolalar, çok faktörlü kimlik doğrulama, brute-force koruması.
• Güncelleme ve Zayıflık Yönetimi: Düzenli yazılım güncellemeleri, penetrasyon testleri, patch yönetimi.
• Erişim Kontrolü: Rol bazlı veri erişimi, API güvenliği, SQL enjeksiyon önleme.
• Network ve Cihaz Güvenliği: Sunucu güvenlik duvarları, root/jailbreak tespiti, cihaz izin yönetimi.
• Bot ve Kötüye Kullanım Engelleme: CAPTCHA, rate limiting, davranış analizi.
• Loglama ve İzleme: Başarısız girişler, kritik hatalar, şüpheli işlemlerin kayıt altına alınması.
• Yedekleme: Şifreli ve düzenli yedekleme, veri minimizasyonu ilkesi.
• Fiziksel Güvenlik: Sunucu merkezleri, yönetici cihazları için güvenlik önlemleri.

İdari Tedbirler:

• Veri Envanteri ve Politika Dokümantasyonu: İşlenen veriler, işleme amaçları ve saklama süreleri kayıt altına alınmalı.
• Eğitim ve Farkındalık: Çalışanlara düzenli KVKK ve bilgi güvenliği eğitimleri verilmeli.
• Yetki Matrisi: Personel erişimleri sınırlı tutulmalı, görev değişikliklerinde güncellenmeli.
• Üçüncü Taraf Sözleşmeleri: Analitik, push notification veya bulut hizmet sağlayıcıları ile KVKK uyumlu sözleşmeler yapılmalı.
• Denetim ve İzleme: Düzenli KVKK uyum denetimleri, sızma testleri, log incelemeleri yapılmalı.
• Veri İhlali Müdahale Planı: Veri sızıntısı durumunda hızlı müdahale prosedürü oluşturulmalı.
• Veri Minimizasyonu ve Saklama Süreleri: Gereksiz veriler toplanmamalı, saklama süreleri aşılmamalıdır.

Google Play Store ve Apple App Store’un Gizlilik & Veri Güvenliği Şartları

Google Play Store Beklentileri:

• Gizlilik politikası ve veri güvenliği beyanı (Data Safety).
• Hassas izinler için açık rıza ve açıklama.
• Çocuk kullanıcılar için ek gizlilik önlemleri.
• Kötüye kullanım ve yanıltıcı uygulama yasakları.

Apple App Store Beklentileri:

• Gizlilik politikası zorunluluğu.
• App Privacy “Besin Etiketi” ile veri kullanımının kategorik olarak beyan edilmesi.
• Kullanım amacına uygun izin istemeleri.
• Veri minimizasyonu ve gereklilik ilkesi.
• ATT (App Tracking Transparency) uyumu.

KVKK Uyumunda Mobil Uygulama Güvenliği Tablosu

Güvenlik Alanı	Önerilen Uygulama / Tedbirler	KVKK İlgili Maddeler
Veri Şifreleme	HTTPS/TLS, EncryptedSharedPreferences, Keychain	md.12
Parola & Kimlik Doğrulama	Karmaşık şifre, 2FA, brute-force koruması	md.12
Rıza Yönetimi	Ayrı ayrı açık rıza formları, loglama, geri çekme	md.5,6,7,11
Yurt Dışı Veri Aktarımı	Yeterli ülke, standart sözleşme, istisnai durumlar	md.9
Uygulama İzinleri	Amaca uygun açıklamalar, kullanıcı dostu pop-up	md.10
Denetim & Eğitim	KVKK farkındalık eğitimleri, iç/dış denetim, sızma testleri	md.12
Üçüncü Taraf SDK ve Servisler	KVKK uyumlu sözleşmeler, veri işleme denetimi	md.8,9
Güncelleme & Zayıflık Yönetimi	Düzenli patch, güvenlik açık taraması	md.12

Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin

Sık Sorulan Sorular (SSS)