Hatırlayacağınız üzere, 8 Ekim 2025 tarihli Bilgi Notumuzda (Bilgi Notu) Reklam Kurulu’nun pazarlama ve bilgilendirme amaçlı anlık bildirimlerde izin alma yöntemlerinin ayrılması gerektiğini belirttiği kararı incelemiştik.
Söz konusu kararında Reklam Kurulu, pazarlama amaçlı anlık bildirimler için telefon ayarlarından alınan izin haricinde ayrı bir izin alınması gerektiği belirtmekteydi.
Ayrıca Reklam Kurulu; bir uygulamanın anlık bildirimlerine telefon ayarlarından izin verilmesi halinde, yalnızca sipariş, kargo, iade vb. bilgilendirmeleri almak isteyen kullanıcıların pazarlama bildirimlerine de katlanmak zorunda bırakıldığına dikkat çekip bu durumu haksız ticari uygulama olarak değerlendirmişti.
Reklam Kurulu, (i) bilgilendirme ve (ii) pazarlama bildirimlerinin ayrı tutulması gerektiğini değerlendirip telefon ayarları yoluyla her iki amaç için de alınan rızayı haksız ticari uygulama saymıştı.
- Kişisel Verileri Koruma Kurulu (Kurul) açısından ise, Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Rehberinde ve nihai versiyonu yayımlanmamış olan Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber taslağında anlık bildirimler için açık rıza alınmasının ve uygulama içi tercih arayüzü sunulmasının arandığına yine aynı Bilgi Notu’nda değinmiştik. Böylece, anlık bildirimlere ilişkin izinlerin Kurul ile beraber artık Reklam Kurulu’nun da radarında olduğunu belirterek mobil uygulama sağlayıcılarının anlık bildirim mekanizmalarını gözden geçirirken iki kurulun da ilkelerini dikkate almalarını önermiştik.
- 14 Ocak’ta yayınlanan ve bu yazıya konu olan Mobil Uygulamalar Üzerinden Gönderilen Anlık Bildirimlere İlişkin Kamuoyu Duyurusu başlıklı yeni Kurul kararı ile (Karar) bu yaklaşımın yerinde olduğu artık perçinlendi.
Kurul Kararı Ne Diyor?
Karar’da, Reklam Kurulu’nun yaklaşımına çok benzer şekilde, anlık bildirimlerin cihaz üzerinden verilen kullanıcı izinlerine ve bu izinlerle gerçekleştirilen kişisel veri işleme faaliyetlerine dayandığı belirtilirken bir mobil uygulamanın yüklenme aşamasında sunulan anlık bildirim onayının birden fazla amaca yönelik tek bir onay olarak kurgulandığının tespit edildiği açıklandı.
Böylece, (i) sipariş durumunu anlık takip etmek ve (ii) kampanyalardan haberdar olmak amaçlarının birleştirildiği ve sipariş takibi gibi hizmetin doğal parçası olan operasyonel bildirimleri alabilmek için kullanıcıların kampanya ve reklam içerikli bildirimleri de kabul etmek zorunda bırakıldığı belirtilmiştir.
Kurul, açık rıza alırken, literatürde ve Kurul değerlendirmelerinde gördüğümüz parçalı açık rıza (granularity) ilkesine dikkat edilmesi gerektiğini vurguluyor. Bu ilke kapsamında, birden fazla veri işleme amacı halinde her bir amaç için ayrı ve bağımsız bir seçim hakkı tanınmalıdır. Birden fazla amaç için tek bir rıza beyanının istenmesi, kullanıcıyı toplu kabul veya toplu redde zorlayan bir battaniye rıza örneği olarak değerlendirilmektedir.
Karar’da ayrıca, mobil uygulamaların bu gereklilikleri sağlayacak şekilde yapılandırılması ve uygulama içi ayarlar ile cihaz işletim sistemi ayarları üzerinden kullanıcılara hangi tür bildirimleri almak istediklerinin sorulması gerekliliklerinin altı çizilirken aksi yönde uygulamaların hukuka aykırı kişisel veri işlemenin önlenmesi amacıyla gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal edeceği ifade ediliyor.
GÖRÜŞÜMÜZ: Mobil cihazların işletim sistemleri tarafından anlık bildirimler (push notification) için ayrı bir onay talep edilmesi, bu konudaki rıza mekanizmasının oluşturulmasını zorlaştırdığı bir gerçek. Fakat bu Karar ile birlikte artık anlık bildirimlere ilişkin rızanın alınması açısından gerek Reklam Kurulu gerek Kişisel Verileri Koruma Kurulu’nun yaklaşımlarının net ve birbirlerine paralel olduklarını; bunlara uyulmamasının uygulama sağlayıcılar için iki kurum nezdinde de risk doğuracağını söyleyebiliriz.