Mobil uygulamada tanıtım bildirimleri varsayılan olarak “açık” olabilir mi?

Kurul’un 2021/361 sayılı kararında, Android kullanıcıları için tanıtım iletisi alma seçeneğinin varsayılan onaylı (opt-out) olması mevzuata uygun bulunmamış; tanıtım iletileri için açık rızanın usulüne uygun şekilde alınması ve varsayılan ayarın “tanıtım iletisi almama” şeklinde sunulması gerektiği belirtilmiştir.

Push bildirimleri 6563 kapsamına girer mi?

Kararda, mobil uygulamalar üzerinden gönderilen “push bildirim” niteliğindeki tanıtım iletilerinin alıcının onayına tabi olması gerektiği yaklaşımı benimsenmiş; varsayılan onayın 6563 sayılı Kanun’un onay mekanizmasıyla çeliştiği değerlendirilmiştir.

KVKK açısından hangi maddeler öne çıkıyor?

Kararda KVKK m.4 (genel ilkeler), m.5 (işleme şartları – açık rıza), m.12 (veri güvenliği – teknik/idari tedbir) çerçevesinde değerlendirme yapılmış; usulüne uygun açık rıza olmaksızın tanıtım iletisi gönderilmesinin hukuka aykırı olduğu ve veri güvenliği tedbirlerinin yetersiz kaldığı kanaatiyle idari para cezası ve düzeltme talimatı verilmiştir.

KVKK Karar Özeti 2021/361: Bankanın Mobil Uygulamada Rıza Dışı Tanıtım Bildirimleri

KVKK Karar Özeti · 2021/361 · Mobil Uygulama · Push Bildirim · Açık Rıza

KVKK 2021/361 Kararı Bankanın Mobil Uygulamalardan Rıza Dışı Tanıtım İletileri Göndermesi

Karar Tarihi: 13/04/2021 · Karar No: 2021/361 · Konu: Bankanın mobil uygulamalar üzerinden ilgili kişiye usulüne uygun açık rıza olmaksızın tanıtım (push) iletileri göndermesi.

Karar Özetini Oku Kurul Değerlendirmesi Uyum Önerileri

İçindekiler 1. Olayın Özeti 2. Veri Sorumlusunun Savunması 3. İlgili Mevzuat 4. Kurul Değerlendirmesi 5. Karar ve Sonuç 6. Uyum (Compliance) Yol Haritası 7. SSS 8. Kaynak

Hızlı Sonuç

Kurul; Android kullanıcıları için mobil uygulamada tanıtım iletisi alma seçeneğinin varsayılan onaylı (opt-out) olmasını mevzuata uygun bulmamış; tanıtım iletilerinde usulüne uygun açık rıza alınması gerektiğini, ayrıca varsayılan ayarın tanıtım iletisi almama biçiminde sunulmasını istemiştir.

KVKK m.4 KVKK m.5 KVKK m.12 6563 sayılı Kanun Opt-in Varsayılan Kapalı

Kritik çıkarım: “Tanıtım bildirimleri” için rızanın, kullanıcı tarafından aktif bir seçimle verilmesi; önceden seçili/varsayılan açık seçeneklerin kullanılmaması gerekir.

1. Olayın Özeti

İlgili kişi, maaş müşterisi olduğu bankanın sunduğu iki mobil uygulama üzerinden cep telefonuna tanıtım iletileri (push bildirim) gönderildiğini; bu iletiler için 6563 sayılı Kanun ve KVKK kapsamında açık rızasına başvurulmadığını iddia etmiştir.

İlgili kişi, rahatsızlığını bankaya yazılı başvuruyla iletmiş; ayrıca çağrı merkezi üzerinden tanıtım iletilerine konu kişisel verilerinin silinmesini talep etmiştir. Başvurular sonrasında ilgili kişinin bankadaki hesabı ve kredi kartları iptal edilmiş; ilgili kişi bu iptalin KVKK kapsamındaki talebinden kaynaklandığının kendisine bildirildiğini, bu durumun maddi/manevi zarara yol açtığını ileri sürmüştür.

Şikâyetin odak noktaları:

Tanıtım iletileri için açık rıza alınmaması
Varsayılan ayarların kullanıcı iradesi dışında “onaylı” kurgulanması
Başvuruların yönetimi ve silme talebine karşılık verilen işlemlerin ölçülülüğü

2. Veri Sorumlusunun Savunması

Banka savunmasında özetle; mobil uygulamaların pazarlama amaçlı bir iletişim kanalı olarak kullanıldığını, uygulama ayarlarında ileti almamaya ilişkin tercih hakkı bulunduğunu ve kullanıcıların bildirimleri en başta reddetme veya sonradan kapatma haklarının bulunduğunu belirtmiştir.

İlgili kişinin, uygulama ayarlarını bildirim almaya izin verecek şekilde düzenlemesi nedeniyle iletilerin gittiği
Silme/yok etme talebi üzerine, KVKK m.7 çerçevesinde işlem yapılabilmesi için hesap ve kartların kapatıldığı
Sonrasında ilgili kişi tekrar başvurunca hesabın yeniden açıldığı
Hesap kapatmanın ilgili kişi açısından bir zarar doğurmadığının tespit edildiği

Uygulamadaki kritik tartışma: “Uygulama ayarlarında kapatma var” argümanı, varsayılan ayarın “onaylı” kurulmasının açık rıza standardını tek başına karşılayıp karşılamadığı sorusunu ortadan kaldırmaz.

3. İlgili Mevzuat Çerçevesi

Kararda öne çıkan düzenlemeler, hem KVKK hem de elektronik iletilere ilişkin 6563 sayılı Kanun yaklaşımı üzerinden kurulmuştur.

Düzenleme	Başlık	Karar Bağlamında Rolü
KVKK m.4	Genel İlkeler	Hukuka uygunluk, amaçla sınırlılık, ölçülülük, güncellik, gerekli süre kadar muhafaza ilkeleri.
KVKK m.5	İşleme Şartları	Tanıtım iletileri kapsamında kişisel veri işleme için açık rızanın şart olup olmadığı ve rızanın usulü.
KVKK m.12	Veri Güvenliği	Hukuka aykırı işlemeyi önleyecek teknik ve idari tedbirlerin yeterliliği.
6563 sayılı Kanun	Elektronik İleti Onayı	Tanıtım/pazarlama içerikli iletilerin alıcı onayına tabi olması yaklaşımı.

Pratik not: Mobil uygulama “push bildirimleri”, kullanıcıya iletilen tanıtım/pazarlama içerikleriyle birleştiğinde hem 6563 çerçevesindeki onay beklentisini hem de KVKK kapsamında açık rıza ve şeffaflık gereksinimini gündeme getirir.

4. Kurulun Değerlendirmesi

Kurul, somut olayda özellikle Android işletim sistemi kullanan müşteriler bakımından, mobil uygulamadaki tanıtım iletisi alma tercihinin varsayılan olarak onaylı olmasını problemli bulmuştur.

Varsayılan ayar sorunu (Opt-out) Tanıtım iletisi seçeneğinin varsayılan “onaylı” olması; kullanıcı değiştirmedikçe onayın geçerli sayılması, mevzuata uygun görülmemiştir.

Açık rıza standardı Tanıtım iletisi göndermeye dayanak olacak rıza, KVKK’daki açık rızanın unsurlarını taşıyacak şekilde alınmalıdır (aktif seçim, bilgilendirme, özgür irade).

Veri güvenliği riski Bu tasarımın geniş müşteri kitlesinde yaygın hukuka aykırı işlemeye yol açabileceği ve veri güvenliği riskini artırdığı değerlendirilmiştir.

4.1. Kurulun özellikle altını çizdiği noktalar

Push bildirimlerin varsayılan onaylı olmasının, elektronik iletilerin alıcı onayına tabi olması yaklaşımıyla çelişmesi
Varsayılan onayın, KVKK m.5’teki açık rıza şartını ihlal edebilmesi
Uygulama süreçlerinin, açık rıza alınabilecek şekilde yeniden tasarlanması gerekliliği
Uygun teknik/idari tedbirlerin (KVKK m.12) alınmadığını gösteren bir zafiyet işareti olması

Özlü çıkarım: “Ayarlardan kapatılabiliyor” tek başına yeterli değildir. Uyumlu tasarımda, tanıtım iletileri için rıza opt-in (varsayılan kapalı) olarak kurgulanmalıdır.

5. Karar ve Sonuç

Kurul; veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rıza olmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesini hukuka aykırı bulmuş; KVKK m.12 kapsamında gerekli teknik ve idari tedbirlerin alınmadığı kanaatine varmıştır.

Başlık	Kurul Sonucu
Hukuka aykırılık	Usulüne uygun açık rıza olmaksızın tanıtım iletileri göndermek suretiyle kişisel veri işlenmesi hukuka aykırı kabul edilmiştir.
İdari yaptırım	KVKK m.18/1-b uyarınca veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
Düzeltici talimat	Mobil uygulama süreçlerinin, usulüne uygun açık rıza alınabilecek şekilde düzenlenmesi ve sonucundan Kurula bilgi verilmesi istenmiştir.

Bu kararın mesajı: Tanıtım/pazarlama iletişimlerinde “varsayılan onay” yaklaşımı, özellikle geniş kullanıcı kitlesine yayılıyorsa, hem KVKK hem de elektronik ileti onayı perspektifinde yüksek risk üretir.

6. Uyum (Compliance) Yol Haritası: Mobil Push Bildirimleri Nasıl Düzenlenmeli?

Aşağıdaki adımlar, karardaki yaklaşımı “operasyonel” hale getirmeniz için pratik bir kontrol listesi sunar.

6.1. Tasarım (UX) İlkeleri

Varsayılan kapalı (opt-in): Tanıtım/pazarlama push bildirimleri başlangıçta kapalı olmalı.
Aktif seçim: Kullanıcı, “Kabul ediyorum” benzeri bir eylemle onay vermeli.
Katmanlı bilgilendirme: Kısa aydınlatma + detay sayfası (amaçlar, veri kategorileri, saklama, geri alma).
Kolay geri alma: Uygulama içinde 2 tıkla kapatma ve “tercih geçmişi” görünürlüğü.

6.2. Teknik ve İdari Tedbirler (KVKK m.12 perspektifi)

Rıza kayıtlarının ispatlanabilir şekilde tutulması (zaman damgası, kanal, sürüm, metin).
Uygulama sürüm güncellemelerinde varsayılanların yanlışlıkla “açık”a dönmemesi için kontrol mekanizması.
Yetkilendirme/rol yönetimi: kampanya tanımlayan ekiplerin veri minimizasyonu ve hedefleme sınırları.
Şikâyet ve başvuru süreçlerinde ölçülülük: silme talebine yanıt verirken gereksiz “ürün kapatma” risklerinin yönetimi.

Önerilen metin kurgusu (kısa): “Tanıtım bildirimleri almak ister misiniz? Tercihinizi dilediğiniz an Ayarlar > Bildirimler bölümünden değiştirebilirsiniz.” (Varsayılan: Kapalı)

7. Sık Sorulan Sorular

Tanıtım bildirimi ile “yasal bilgilendirme” bildirimi aynı mı?

Hayır. Tanıtım/pazarlama içerikleri, genellikle alıcı onayı/açık rıza tartışmasını doğurur. Yasal bilgilendirme niteliğindeki mesajlar ise farklı bir hukuki zeminde değerlendirilebilir. Bu kararın konusu özellikle tanıtım iletileridir.

Uygulama ayarlarında kapatma seçeneği varsa sorun kalmaz mı?

Kurul yaklaşımı, “kapatma imkânı”nın varlığından bağımsız olarak, tanıtım iletisi seçeneğinin varsayılan “onaylı” kurulmasının açık rıza standardı açısından sorunlu olabileceğini göstermektedir. Sağlıklı yaklaşım: varsayılan kapalı + aktif onay.

Kurul ne tür bir düzeltme bekliyor?

Sürecin usulüne uygun açık rıza alınabilecek şekilde yeniden düzenlenmesi ve uygulamanın varsayılan ayarlarının tanıtım iletisi almama biçiminde kullanıma sunulması.

8. Kaynak

KVKK – 2021/361 içerik sayfası: https://www.kvkk.gov.tr/Icerik/7109/2021-361

SEO notu: Sayfa içinde “2021/361”, “mobil uygulama”, “push bildirim”, “açık rıza”, “opt-in/opt-out”, “KVKK m.12 idari para cezası” gibi anahtar kelimeler doğal akışta dağıtılmıştır.

KVKK 2021/361 Kararı Bankanın Mobil Uygulamalardan Rıza Dışı Tanıtım İletileri Göndermesi

1. Olayın Özeti

2. Veri Sorumlusunun Savunması

3. İlgili Mevzuat Çerçevesi

4. Kurulun Değerlendirmesi

4.1. Kurulun özellikle altını çizdiği noktalar

5. Karar ve Sonuç

6. Uyum (Compliance) Yol Haritası: Mobil Push Bildirimleri Nasıl Düzenlenmeli?

6.1. Tasarım (UX) İlkeleri

6.2. Teknik ve İdari Tedbirler (KVKK m.12 perspektifi)

7. Sık Sorulan Sorular

Tanıtım bildirimi ile “yasal bilgilendirme” bildirimi aynı mı?

Uygulama ayarlarında kapatma seçeneği varsa sorun kalmaz mı?

Kurul ne tür bir düzeltme bekliyor?

8. Kaynak

Author: Nisa Orman

Related Posts