- Tümünü Gör
- Altyapı Projeleri & Proje Finansmanı
- Birleşme & Devralmalar
- Banka & Finans
- Enerji & Doğal Kaynaklar
- Gayrimenkul Hukuku
- Rekabet Hukuku
- Uluslararası Ticaret ve Gümrük
- Kişisel Verilerin Korunması
- Genel Şirketler Hukuku
- Uyuşmazlık Çözümü
- Sermaye Piyasaları
- Beyaz Yaka Suçları & Yolsuzlukla Mücadele
- Varlık ve Servet Yönetimi
Kişisel Verilerin Korunması Kurumu (“Kurum”), 14 Ocak 2026 Tarihli Kamuoyu Duyurusu’nda (“Duyuru”) anlık bildirim gönderimine dair değerlendirmelerde bulundu.
Kurum tarafından yayımlanan kamuoyu duyurusu ile mobil uygulamalar aracılığıyla kullanıcılara gönderilen anlık bildirimlere (push notifications) ilişkin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında nasıl değerlendirilmesi gerektiğine dair önemli tespit ve değerlendirmelere yer veriliyor. Duyuru, Kuruma intikal eden benzer nitelikteki şikâyetler üzerine yürütülen incelemeler sonucunda kamuoyunun bilgilendirilmesi amacıyla yayımlanmıştır.
Kurum, mobil uygulama sağlayıcılarının veri sorumlusu sıfatıyla gönderdikleri anlık bildirimler açısından, bu bildirimlerin teknik olarak kullanıcıdan alınan izinlere dayanmasına karşın, bu izinlerin hukuken geçerli bir açık rıza teşkil edip etmediğinin ayrıca değerlendirilmesi gerektiğini belirtiyor.
Kamuoyu duyurusunda, Kurul uygulamaları ve doktrinde kabul gören “parçalı açık rıza” (granularity) ilkesine özellikle dikkat çekiliyor. Bu ilke uyarınca, birden fazla amaca hizmet eden tek bir rıza beyanı, hukuka uygun bir açık rıza olarak kabul edilmemekte.
Kurum bu doğrultuda kullanıcılardan alınan anlık bildirim onayının, birden fazla amacı kapsayacak şekilde tek bir rıza beyanı olarak alınmaması gerektiğini açıkça belirtiyor. Bu doğrultuda, “sipariş durumunun anlık takibi” gibi hizmetin doğal bir parçası olan operasyonel bildirimler ile “kampanya ve pazarlama bildirimleri”nin aynı onay kapsamında alınmaması gerekiyor.
Bu kapsamda, uygulama içi ayarlar veya cihaz işletim sistemi ayarları üzerinden kullanıcılara; hangi tür bildirimleri almak istediklerini (örneğin yalnızca operasyonel bildirimler veya yalnızca pazarlama bildirimleri) ayrı ayrı seçebilme imkânı tanınması gerektiği ifade ediliyor.
Bu tür bir özelleştirme imkânının sunulmaması da Duyuru uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünün ihlali sonucunu doğurarak idari yaptırıma yol açabilecek.
Yazarlar: