Kurul, mobil uygulamalarda mahremiyetin korunmasına yönelik mevcut ve potansiyel risklerin ele alınması ile akıllı telefonlar ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından ilgili kişi ve veri sorumlusu niteliğini haiz aktörlere yönelik genel nitelikli tavsiyelerde bulunma amacıyla Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Rehberini (“Rehber”) yayınlamıştır.

Rehber’de mobil uygulamaların kimlik bilgilerinden sağlık verilerine çeşitli kişisel verileri topladığına değinilmiş ve uygulamanın erişim sağladığı verilerin özel nitelikli kişisel veri niteliğinde olabileceğine dikkat çekilmiştir.

Ayrıca, Rehber’de mobil uygulamalarda veri sorumlusu ve veri işleyen ayrımına değinilmiştir. Buna göre, mobil uygulama sağlayıcısı, kullanıcıların kişisel verilerini kendi amaçları doğrultusunda kullandığı ölçüde veri sorumlusu kabul edilecektir. Üçüncü taraf hizmetlerinin uygulamaya entegre edilmesi durumunda ya da işletim sistemi sağlayıcısının cihazda yüklü uygulamaları bir araya getirmesi suretiyle birden fazla veri sorumlusu oluşabilecektir. Mobil uygulama sağlayıcısı ve mobil uygulama geliştiricisinin ayrı kuruluşlar olması halinde, geliştiricinin kişisel verileri kendi amaçları doğrultusunda işlemediğinin açık olduğu hallerde geliştirici sadece veri işleyen olarak nitelendirilebilecektir.

Rehber’de KVKK m. 4 uyarınca sayılan genel ilkelere uyumun önemi tekrarlanmış ve örneklerle desteklenmiş, m. 10 uyarınca düzenlenen şeffaflığın sağlanmasına ilişkin koşulların yerine getirilmesi gerektiği hatırlatılmıştır. Bu bağlamda, aydınlatma metni, gizlilik politikası, işlemeye ilişkin değişiklikler gibi hususların bilgilendirmeye konu olması ve kolay erişilebilir olması tavsiye edilmektedir.

Rehber’de Türkiye’ye atıfta bulunarak mal ve hizmet sunulması, Türkiye’deki kişilere yönelik hizmetin verildiğini gösteren tanıtıcı açıklamalar yapılması, mal ve hizmet sunulmasında Türkçe dil seçeneği, Türkiye’ye ürün teslimatı seçeneğinin sunulması gibi hususların bulunması, mal ve hizmet sunumunda Türkiye’deki ilgili kişilerin hedeflenmesi; yahut davranışsal reklamcılık faaliyeti gerçekleştirilmesi, benzersiz tanımlayıcılar aracılığıyla çevrim içi takip yapılması ve pazarlama amacıyla coğrafi yerelleştirme faaliyetleri yürütülmesi faaliyetlerinde bulunan mobil uygulama sağlayıcılarının VERBİS yükümlülüğünü nazara alması gerektiği ifade edilmiştir.

Mobil uygulamaların çocuklar tarafından da sıklıkla kullanıldığı gözetilerek çocuklara yönelen veya çocuklar tarafından yaygın olarak kullanıldığı bilinen uygulamalar açısından kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür takip edilerek gerçekleştirilmesi önerilmektedir.