Kişisel Verilerin Korunması Kanunu Mobil Uygulama

Mobil uygulamalar üzerinden kullanıcılara iletilen anlık bildirimlere ilişkin olarak Kişisel Verileri
Koruma Kurumu’na (“Kurum”) iletilen şikayetler neticesinde, Kurum tarafından söz konusu
uygulamaya ilişkin değerlendirmeler yapılmış ve mobil uygulamalar tarafından sunulan anlık bildirim
gönderme hizmetinin kişisel verilerin korunması mevzuatına uyumu konusunda 14 Ocak 2026 tarihinde
kamuoyu bilgilendirmesi yayımlanmıştır.
Bilindiği üzere, mobil uygulamalar tarafından güncellemelerin ve bildirimlerin takip edilebilmesini
sağlamak amacıyla kullanıcılardan izin alınarak anlık bildirim gönderme hizmeti sunulmaktadır.
Kullanıcıların vermiş oldukları izin kapsamında ise kişisel veri işleme faaliyetleri gerçekleştirildiğinden,
alınan izin açık rıza niteliği taşımaktadır.
Kurum, yaptığı incelemeler sonucunda bir veri sorumlusu tarafından sunulan onay mekanizmasının
“kampanyalardan haberdar olmak” ve “sipariş durumunu anlık takip etmek” amaçlarının birleştirilerek
kurgulandığını; kullanıcıların anlık bildirim hizmetinden faydalanabilmeleri için kampanya ve reklam
içerikli bildirimleri de kabul etmek zorunda bırakıldığını tespit etmiştir.
Kişisel verilerin korunması mevzuatı uyarınca bir açık rızanın geçerli olabilmesi için belirli bir konuya
ilişkin olması, bilgilendirmeye dayanması ve özgür irade ile açıklanması gerekmektedir. Bir hizmetin
sunulmasının, o hizmetle doğrudan ilgili olmayan farklı ve ayrı bir veri işleme amacına rıza gösterilmesi
koşuluna bağlanması, kişisel verileri işlenen kullanıcıların özgür iradesini zedelemektedir. Örneğin,
sipariş durumunu takip etmek isteyen bir kullanıcının bu hizmetten yararlanabilmesi için pazarlama
bildirimlerini de kabul etmeye mecbur bırakılması, açık rızanın özgür irade unsurunu ortadan
kaldırmaktadır. Ayrıca söz konusu hukuka aykırı uygulamanın “parçalı açık rıza” (granularity) ilkesine
de aykırılık teşkil ettiğini; birden fazla veri işleme amacının mevcut olduğu durumlarda, ilgili kişiden
her bir amaç için ayrıca açık rıza alınması gerekmektedir.
Bu tespitler doğrultusunda Kurum, mobil uygulamaların ilgili mekanizmalarını belirtilen hukuki
gerekliliklere uygun şekilde yapılandırmaları ve kullanıcılara almak istedikleri bildirimleri özelleştirme
imkânı tanımaları gerektiğini; aksi halde bu gereklilikleri sağlamayan uygulamaların, Kişisel Verilerin
Korunması Kanunu’nun 12. maddesinde düzenlenen “kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek amacıyla gerekli teknik ve idari tedbirleri alma” yükümlülüğünü ihlal etmiş sayılacağını ifade
etmiştir.

Saygılarımızla, 15.01.2026
Balioğlu Hukuk Bürosu
Av. Dilek Balioğlu
Sermaye Piyasaları Uzmanı İlknur KAYA