Bir mobil uygulama sağlayıcısının, uygulamanın asıl işlevi için gerekli olmayan kişisel verileri (örneğin, hedefli reklamcılık için konum verisi) işlemesi, KVKK'da yer alan hangi genel ilkeye ve hangi işleme şartına aykırılık teşkil edebilir? Bu tür bir işleme için veri sorumlusunun alması gereken hukuki önlem nedir?

Bu durum, öncelikle 6698 sayılı KVKK'nın 4. maddesinde sayılan genel ilkelerden 'işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma' (veri minimizasyonu) ve 'belirli, açık ve meşru amaçlar için işlenme' ilkelerine aykırılık teşkil eder. Bir uygulamanın temel fonksiyonunu yerine getirmek için konum verisine ihtiyaç yoksa, bu verinin hedefli reklamcılık gibi ikincil bir amaçla toplanması, ölçülülük ve amaçla bağlılık ilkelerini ihlal eder. Bu tür bir işleme faaliyeti, KVKK m. 5'te sayılan kanuni işleme şartlarından hiçbirine (kanunda öngörülme, sözleşmenin ifası, hukuki yükümlülük vb.) dayanmaz. Dolayısıyla, veri sorumlusunun bu veriyi işleyebilmesi için alması gereken tek hukuki önlem, KVKK m. 5/1 uyarınca kullanıcıdan 'açık rıza' almaktır. Bu açık rızanın da, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir rıza olması; yani kullanıcının, konum verisinin tam olarak hangi amaçla kullanılacağını anladıktan sonra ve bu rızayı vermemesi halinde uygulamanın temel fonksiyonlarından mahrum kalmayacağını bilerek rıza göstermesi gerekir. Rehberde belirtildiği gibi, kullanıcı bu tür isteğe bağlı izinleri reddettiğinde dahi uygulamanın temel işlevlerini kullanabilmelidir. (Kaynak: sen.av.tr/tr/makale/mobil-uygulamalarda-mahremiyetin-korunmasina-yonelik-tavsiyeler)