24 Eylül 2024’te Fransız Veri Koruma Otoritesi CNIL, gizlilik dostu mobil uygulamaların tasarlanmasına yardımcı olmak için öneriler yayınlamıştır. Bu yazıda, mobil uygulamalardaki izinlerin kritik rolü incelenmektedir. Mobil uygulamalarda kişisel veri işlenen süreçler mevcuttur: Bu veriler kullanıcılar tarafından sağlanabilir veya doğrudan uygulama tarafından toplanabilir. Uygulamalar tarafından toplanan kişisel veriler de, işletim sistemleri tarafından sağlanan bir mekanizma ile izinler aracılığıyla kullanıcıdan onay istenir. Erişim izinleri (yetkilendirmeler), mobil cihaz işletim sistemlerinde yer alan mekanizmalardır ve kullanıcıya uygulamaların hangi fonksiyonlara ve verilere erişebileceğini seçme hakkı verir. Bu mekanizmalar sayesinde kullanıcılar, sensörlere (ivmeölçer, konum, parlaklık, kamera, mikrofon vb.) veya hafızaya (dosya, fotoğraf, video, ses, kişi listesi, geçmişler vb.) erişim verilip verilmeyeceğini belirleyebilir.

Teknik İzinler ve Kullanıcı Gizliliği

Belirli kaynaklara teknik erişimi sağlamak veya engellemek için tasarlanan izinlere "teknik izinler" denir ve CNIL'in önerileri bu tür izinleri kapsar. Teknik izinler gizliliğin korunmasında önemli bir rol oynar. Kullanıcılara belirli verilere erişimi teknik olarak engelleme imkanı sunarak bilgilerin gizliliğini korumaya yardımcı olur. Bu mekanizma, kullanıcı gizliliğini sağlamanın basit ve doğrudan bir yoludur. Ancak, bu izinler yalnızca korumalı kaynaklara erişim sağlamak veya engellemek için vardır ve uygulama yayıncısının amaçlarını düzenlemez. İşletim sistemi sağlayıcıları, yalnızca izin talebinin gerekçesini açıklamalarını önerir. Örneğin, bir navigasyon uygulaması için konum erişimi kullanıcının rızasına tabi değildir çünkü bu veri, hizmetin çalışması için zorunludur. Ancak işletim sistemi sağlayıcısı, uygulamanın bu verilere erişim izni istemesini şart koşar. Bununla birlikte, bir izin istemek her zaman GDPR veya Veri Koruma Yasası'na uygun olarak özgür, belirli, bilgilendirilmiş ve açık bir rıza sağlamak için yeterli değildir. Çoğu durumda, izin talebine ek olarak bir Rıza Yönetim Platformu (CMP) kullanılmalıdır. Kullanıcılar izinleri kabul ederken veya reddederken hangi verileri paylaştıklarını anlamalıdır. Bu sayede, örneğin yalnızca bir el feneri işlevi gören bir uygulamanın kişi listesine erişim istemesi orantılı olmayacaktır.

CNIL’in izinler konusundaki önerilerinden öne çıkanlar aşağıdaki gibidir.

CNIL'in önerileri, mobil uygulamalarda veri erişiminin ve kullanıcı rızasının nasıl ele alınması gerektiğine dair önemli rehberler sunar. İşletim sistemleri, izin taleplerini daha ayrıntılı ve şeffaf hale getirmelidir. Geliştiriciler, kullanıcıların gereksiz veri taleplerini fark etmelerine yardımcı olacak uygulamalar tasarlamalıdır. Rıza ve teknik izinler birlikte ele alınmalı, ancak gereksiz karmaşıklık yaratmamalıdır.

İşletim Sistemi Sağlayıcıları İçin En İyi Uygulamalar:

- Verilerin sağlandığı hassasiyet derecesi (örneğin, yaklaşık veya kesin konum gibi)

- İzin kapsamı (örneğin, sadece seçili fotoğraflara erişim yerine tüm medya galerisine erişim)

- İznin süresi (örneğin, tek seferlik kullanım mı, belirli bir süre mi?)

CNIL’in Önerdiği En İyi Uygulamalar:

1. İşletim sistemi sağlayıcılarının izin sistemlerini, izin kapsamını mümkün olduğunca ayrıntılı şekilde belirleyebilecek şekilde tasarlaması önerilir.

2. En az müdahaleci izin seçeneğini sunmak iyi bir uygulamadır.

3. İzin taleplerinin, uygulamanın kullanım bağlamına uygun şekilde gösterilmesi önerilir.

İzinler ve Kullanıcı Rızasının Birlikte Kullanımı

Hem bir CMP hem de izin isteği aynı anda kullanılıyorsa, bu iki sürecin kullanıcıyı gereksiz yere karmaşaya sürüklememesi gerekir. Rıza, izin isteğinden önce veya sonra alınabilir. Ancak CNIL, geliştiricilerin ve veri sorumlularının, kullanıcıların süreci net bir şekilde anlamasını sağlamasını tavsiye eder. İzinler ve rıza toplama sürecinin nasıl olması gerektiğine dair bir infografik CNIL tarafından sağlanmıştır. Veri sorumlusu, veri işlemlerini gerçekleştirebilmek için hem teknik erişim iznine hem de GDPR’ye uygun bir rıza alabilmelidir. Bu iki izinden biri eksikse, CNIL gereksiz izin taleplerinden kaçınılmasını önerir. Bu şema, yalnızca teknik izinler ile Rıza Yönetim Platformu (CMP) arasındaki ilişkiyi açıklamaktadır. Belirli amaçlara yönelik izinleri kapsamaz.

Kaynak: https://media.licdn.com/dms/document/media/v2/D4D1FAQEmA8yueaKSIw/feedshare-document-pdf-analyzed/B4DZR5jZtvHEAY-/0/1737206113315?e=1740614400&v=beta&t=oEzxzQa_nx4nmHLLWz0Lf_dIsshED3vyNhpcc_Io2DA