Mobil uygulama geliştirirken kullanıcı verisini korumak, hem kullanıcı güvenini sürdürmek hem de yasal uyumluluğu sağlamak açısından kritik öneme sahiptir. Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) ile birçok ülkenin benzer düzenlemeleri, uygulama geliştiricilerine veri işleme, saklama, paylaşma ve imha süreçlerinde bir dizi yükümlülük getirir. Türkiye'de KVKK (Kişisel Verileri Koruma Kanunu) gibi yerel düzenlemelerle GDPR arasında önemli paralellikler ve bazı farklar vardır. Bu yazıda, mobil uygulama geliştiricileri için pratik, teknik ve hukuki öneriler sunuyoruz.
GDPR ve KVKK: Temel Kavramlar
GDPR, kişisel verilerin işlenmesi sırasında hukuka uygunluk, şeffaflık, amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırı, bütünlük ve gizlilik ilkelerini öne çıkarır. KVKK da bu prensipleri yansıtır; ancak uygulama ve yaptırımlar bakımından ulusal ayrıntılar içerir. Her iki düzenleme de veri sorumlusu ve veri işleyen ayrımını yapar, aydınlatma yükümlülüğü, ilgili kişilerin hakları (erişim, düzeltme, silme, itiraz, taşınabilirlik) ve veri ihlali bildirimlerini kapsar.
Mobil Uygulamalarda Uyumluluk İçin Temel Adımlar
1. Veri envanteri ve RoPA (Record of Processing Activities)
İlk adım uygulamanın topladığı tüm verilerin envanterini çıkarmaktır: hangi veriler, neden, ne süreyle, kimlerle paylaşılıyor ve hangi yasal dayanakla işleniyor. GDPR kapsamında özellikle işlem kayıtları (RoPA) tutmak gerekir. Bu envanter, veri saklama politikalarının, silme süreçlerinin ve üçüncü taraf anlaşmalarının (DPA) temelini oluşturur.
2. Hukuki Dayanak ve Açık Rıza Yönetimi
Kişisel verilerin işlenmesi için uygun hukuki dayanak belirlenmelidir. Pazarlama, analiz veya hassas veriler için açık ve bilgilendirilmiş rıza alınması genellikle gereklidir. Rızanın kayıt altına alınması, geri çekilmesinin kolay ve etkili olması gerekir. Uygulama içi onay ekranları yalın, anlaşılır ve geri alınabilir olmalıdır. Çocuklara yönelik hizmetlerde yaş doğrulama ve ebeveyn izni kritik öneme sahiptir.
3. Veri Minimization ve Amaç Sınırlaması
Sadece gerekli verileri toplayın. Analitik hedefler için anonimleştirme ya da toplu istatistikler tercih edin. İşlevsellik için gerekmiyorsa hassas verileri talep etmeyin. Amaç dışı kullanım, düzenlemeler karşısında risk oluşturur.
Teknik Güvenlik Tedbirleri
1. Şifreleme ve Güvenli Depolama
Verileri hem iletim sırasında (TLS 1.2/1.3) hem de dinlenme halinde şifreleyin. Mobilde platforma özgü güvenli depolama kullanın: iOS için Keychain, Android için Keystore. Sunucu tarafında disk şifreleme ve veritabanı düzeyinde şifreleme uygulayın. Kriptografik anahtarların yönetimi için güvenli bir KMS (Key Management Service) tercih edin.
2. Pseudonymization ve Anonimleştirme
Pseudonymization, veriyi kimliği doğrudan bağlamadan işlemeyi sağlar ve GDPR açısından riskleri azaltır; ancak tam anonimleştirmeden farklıdır. Anonimleştirilmiş veriler kişisel veri kapsamı dışında kalabilir, fakat geri dönüştürülebilirliğe dikkat edilmelidir. Hash + salt kombinasyonları, tek başına yeterli olmadığında ek önlemlerle desteklenmelidir.
3. Güvenli İletişim ve Sertifika Yönetimi
Tüm API çağrıları HTTPS üzerinden yapılmalı, HSTS uygulanmalı ve mümkünse certificate pinning kullanılarak MITM saldırılarına karşı koruma sağlanmalıdır. JWT kullanırken token ömrünü kısa tutun, refresh token yönetimini güvenli biçimde uygulayın ve hassas verileri tokenler içinde saklamayın.
4. Güvenli Kodlama ve Logging
Girdi doğrulama, SQL enjeksiyonuna karşı ORM kullanımı, XSS koruması ve gereksiz izinlerin sınırlanması şarttır. Loglarda kullanıcıya ait hassas bilgiler (kimlik numarası, tam kredi kartı numarası, sağlık bilgileri vb.) asla kaydedilmemelidir. Hatalar ve istisnalar için kontrollü anonim loglama tercih edin.
Üçüncü Taraf SDK'lar ve API'ler
Üçüncü taraf SDK'lar (analitik, reklam, izleme) veri sızıntısı riski taşır. Her SDK için veri akışını, depolama lokasyonunu ve alt işleyen rollerini inceleyin. GDPR/KVKK uyumlu sağlayıcılarla çalışın, gerekli ise Data Processing Agreement (DPA) imzalayın. SDK'ların gerektirdiği izinleri sorgulayın ve gereksiz izin talebinden kaçının.
Veri İhlali Yönetimi ve Bildirimler
Veri ihlallerine karşı bir olay müdahale planı oluşturun: tespit, sınıflama, izleme, düzeltme ve bildirim adımları net olmalıdır. GDPR'e göre ciddi ihlallerin 72 saat içinde ilgili denetleyici otoriteye bildirilmesi gerekir; KVKK'da da benzer bildirim yükümlülükleri vardır. Kullanıcı bildirimleri, ihlalin boyutuna göre hazırlanmalı ve şeffaf olmalıdır.
Veri Hakları ve Kullanıcı Arayüzleri
Kullanıcıların erişim, düzeltilme, silinme, işlem kısıtlama ve taşınabilirlik haklarını kolayca kullanabilmesi için uygulama içi araçlar sunun. Rıza yönetimi panelleri, izleme izinlerini açıkça gösteren ayarlar ve anonim mod seçenekleri kullanıcı deneyimini ve uyumluluğu artırır. Rızanın geri çekilmesi sonrası gerekli veri akışlarını durdurmak ve silme süreçlerini başlatmak otomatik olmalıdır.
Uluslararası Veri Aktarımları
Veriler AB dışına aktarılıyorsa GDPR kapsamında uygun garantilerin sağlanması gerekir: adequacy decision, Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR) gibi mekanizmalar kullanılabilir. KVKK da veri aktarımı konusunda belirli şartlar öngörür ve üçüncü ülke veri aktarımı açısından dikkat gerektirir.
İzleme, Test ve Sürekli İyileştirme
Düzenli güvenlik testleri (pen-test, kod incelemesi), veri koruma etki değerlendirmeleri (DPIA) ve uyumluluk denetimleri planlayın. Uygulama güncellemelerinde gizlilik kontrollerini gözden geçirmek için bir check-list oluşturun. Eğitimlerle geliştirici ve ürün ekiplerinin veri koruma farkındalığını artırın.
Özet: Uyum Kültürünü İnşa Etmek
Sadece bir defalık uyum çalışması yeterli değildir; veri koruma bir kültürdür. Privacy by Design ve Privacy by Default prensipleri proje başından itibaren uygulanmalı, veri minimizasyonu, şeffaflık ve güçlü teknik önlemler birleşerek hem yasal yükümlülükleri karşılar hem de kullanıcı güvenini güçlendirir. Sen Ekolsoft gibi teknoloji firmaları için uygulama geliştirme sürecine bu yaklaşımları entegre etmek uzun vadede riskleri azaltır ve marka değerini yükseltir.
Kontrol listesi: veri envanteri, RoPA, veri işleme dayanağı, açık rıza ve yönetimi, Keychain/Keystore kullanımı, TLS + certificate pinning, SDK değerlendirmesi, DPA imzalanması, DPIA ve periyodik güvenlik testleri. Bu adımlarla mobil uygulamanız GDPR ve yerel düzenlemelere uyumlu hale gelebilir.
