Hayatın birçok alanında kolaylık ve erişilebilirlik sağlayan mobil cihazlar modern yaşamın ayrılmaz bir parçası hâline gelmiştir. Taşınabilir olma özelliği ile ön plana çıkan ve kablosuz iletişim teknolojileri aracılığıyla internete veya diğer ağlara bağlanabilen elektronik aygıtlar olan mobil cihazlar; akıllı telefon, tablet, dizüstü bilgisayar ve giyilebilir teknoloji gibi ürün kategorilerini temsil etmektedir. Bu dokümanda ise akıllı telefonlar ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerine odaklanılmıştır.
Mobil uygulamalar söz konusu olduğunda, kişisel verilerin işlenmesi ve korunması süreçlerinde; uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi başta olmak üzere birçok aktöre sorumluluk düşmektedir. Genellikle uygulama sağlayıcısı, kullanıcıların kişisel verilerini kendi amaçları doğrultusunda kullandığı ölçüde, kişisel verilerin işlenmesinde Kanun kapsamında veri sorumlusu olarak kabul edilecektir. Ancak mobil uygulamalarda toplanan kişisel veriler bakımından birden fazla veri sorumlusu ortaya çıkması ihtimali de bulunmaktadır. Bu kapsamda mobil uygulamanın, üçüncü taraf bir hizmeti uygulamasına entegre ettiği durumda (örneğin, dolandırıcılığın önlenmesi amacıyla iki faktörlü kimlik doğrulama yapmak üzere üçüncü taraf hizmet sağlayıcının mobil uygulamaya dahil olması ya da mobil uygulamada yer alan reklam ağları) birden fazla veri sorumlusu ortaya çıkabilecektir.
Cihazda yüklü uygulamalar kullanıldığında, işletim sistemi sağlayıcısı verileri bir araya getirebilir ve kullanıcının cihazındaki uygulamalardan topladığı kişisel verileri kendi amaçları doğrultusunda kullanabilir. Böyle bir durumda, işletim sistemi sağlayıcısının veri sorumlusu olması ihtimali gündeme gelecektir. Uygulama sağlayıcısı ve geliştiricisinin ayrı kuruluşlar olduğu bir durumda, uygulama sağlayıcısı ile geliştiricisi arasındaki sözleşmeye göre, uygulama geliştiricisinin kişisel veri işlemede yalnızca teknik bir rol üstlenmesi ve kendi amaçları doğrultusunda kişisel veri işlememesinin güvence altına alınması hâlinde, uygulama geliştiricisi veri işleyen olarak nitelendirilebilecektir. Diğer yandan, mobil uygulamalardan toplanan kişisel veriler genellikle bulutta depolanmakta olup uygulama geliştiricisi tarafından kullanılan bulut hizmetleri söz konusu olduğunda da veri işleyen sıfatının ortaya çıkması ihtimali gündeme gelebilecektir.
Kaynak: MOBİL UYGULAMALARDA MAHREMİYETİN KORUNMASINA YÖNELİK TAVSİYELER
