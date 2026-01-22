Kişisel Verileri Koruma Kurumu, mobil uygulamalarda kullanıcı onaylarını tek bir rıza ile birleştirmenin, kişisel verilerin korunmasına aykırı olduğunu tekrar hatırlatmıştır ve "parçalı açık rıza" ilkesine göre...

Kişisel Verileri Koruma Kurumu, mobil uygulamalarda kullanıcı onaylarını tek bir rıza ile birleştirmenin, kişisel verilerin korunmasına aykırı olduğunu tekrar hatırlatmıştır ve "parçalı açık rıza" ilkesine göre, her veri işleme amacı için ayrı onay alınması gerektiğini vurgulamıştır. Ayrıca mobil uygulamalar tasarlanırken, tasarımdan itibaren veri koruma ilkesine (privacy by design) uygun yapılması gerektiği de unutulmamalıdır.

Kişisel Verileri Koruma Kurumu (“Kurum”) 14 Ocak 2026 Çarşamba günü “push bildirim” olarak da bilinen, mobil uygulamalar üzerinden kullanıcılara iletilen anlık bildirimlere ilişkin bir kamuoyu duyurusu yayımladı.1

Duyurunun İçeriği

Kurum, yayımladığı duyuruda öncelikle mobil uygulama sağlayıcılarının gerçekleştirdiği veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu'na (“Kanun”) uygun olması gerektiğini hatırlattı. Bu doğrultuda somut bir olay örneği paylaşarak uygulama bildirimlerinin cihazlar üzerinden verilen izinler kapsamında gönderildiğini ve bir uygulamanın yüklenirken birden fazla amacı aynı anda kapsayacak şekilde "tek bir onay" olarak kurgulandığı tespit ettiğini belirtti.

Kurum'un paylaştığı örnekte, hem "kampanyalardan haberdar olmak" hem de "sipariş durumunu anlık takip etmek" için kişiler kampanya ve reklam içerikli bildirimleri de kabul etmek zorunda bırakıldı. Kurum, bu konuyu hukuki açıdan değerlendirerek açık rızanın şartlarından "özgür iradeyle açıklanma” şartına vurgu yaptı ve ilgisi olmayan başka bir amaca rıza gösterildiğinde ilgili kişinin özgür iradesinin ve verilen açık rızanın geçerliliğinin zedelendiğini belirtti. Böylelikle Kurum, mevzuatta yer almayan "parçalı açık rıza" (granularity) ilkesini ilk defa bu kamuoyu duyurusunda kullandı. Parçalı açık rıza uyarınca “birden fazla veri işleme amacının bulunduğu durumlarda, ilgili kişiye her bir amaç için ayrı ve bağımsız bir seçim hakkı sunulmasını zorunlu kılması” gerektiğini belirtti. Mobil uygulamalar tasarlanırken, tasarımdan itibaren veri koruma (privacy by design) ilkesine riayet edilmesinin öneminin de altı çizildi.

Önceki Değerlendirmeler

Bu konu daha öncesinde de Kişisel Verileri Koruma Kurulu'nun (“Kurul”) gündeminde yer almıştı. Zira, Kurul, veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulaması üzerinden kullanıcılara gönderilen bu tarz bildirimlerin mobil uygulamaların varsayılan ayarlarında onaylı olarak bulunmasının hem 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ile çeliştiği hem de açık rıza şartını ihlal ettiği sonucuna varmıştı. Benzer şekilde Kurum, Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler2 isimli rehberinde de bu konuya ilişkin olarak kişilerin aktif eylemiyle açık rızasının alınmasını sağlayacak mekanizmaların kurulmasının önemini vurgulamıştı. Ayrıca Reklam Kurulu'nun da gündeminde olan bu konuya ilişkin, Reklam Kurulu'nun önceki bir kararında da mobil uygulamada reklam bildirimlerini kapatma seçeneği sunulmayarak tüketicilerin tercihlerine karar verme ve seçim yapma iradelerine etki edildiği ve haksız ticari uygulamada bulunulduğuna karar verilmişti.3

Sonuç

Bu çerçevede, mobil uygulama tasarlayıcılarının, kullanıcılara bildirim tercihlerini belirleme imkânı tanıyacak şekilde tasarım yapmalarının önemi bir kere daha Kurum'un yayımladığı duyuru ile gündeme geldi. Bu doğrultuda bildirim türleri arasında herhangi bir ayrım yapılmaksızın kullanıcıya tek tip bildirim sunulması, Kanun'un 12. maddesinde düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğü ile tüketici hukuku hükümlerinin ihlali niteliğini taşıyabilecektir.

