[owasp-tr mobil güvenlik Çalıştayı 2015] sertel Şıracı - mobil uygulama güvenligi ve hukuk
TRANSCRIPT
Veri Koruma Hukuku Açısından Mobil Uygulamalar• Kural olarak rıza olmadan veri işlenemez.• Toplanan veri uygulama için gerekli mi?• Saklama süreniz var mı?• Irk, etnik unsur, sağlık bilgileri hassas veridir. İşlenmesi için açık rıza gerekir.• Kullanıcının hakları: Bilgi edinme hakkı, verilerin
düzeltilmesi – silinmesi, ilgilinin itiraz hakkı
LOKASYON BİLGİLERİNİN TOPLANMASI• Uygulamadan beklenen faydanın gerçekleşmesi için lokasyon verisi
önemli mi?• Lokasyon verisi alınması gerektiğinde kullanıcı bilgilendiriliyor mu?• Lokasyon verisinin toplanacağını, paylaşılacağını, işleneceğini kullanıcı
onayladı mı?• Uygulama Toplanan lokasyon bilgileri anonim mi?• Lokasyon ile birlikte toplanan veriler kişinin tespitine neden oluyor mu?• Çocuklarla ilgili önlemleriniz var mı?
LOKASYON BİLGİLERİNİN TİCARİ KULLANIMI• Toplanan veri reklam ajansları ile paylaşılacak mı?• Foursquare doğası gereği kapalı da olsa konum
bilginizi istiyor, peki Fruit Ninja neden istiyor?• Nokta atışı reklam = Daha çok para• Bazen sorun kullanılan kütüphanelerden kaynaklanıyor. • Uygulama konum almıyor olabilir ama reklam için
kullanılan reklam ağı bu verileri topluyor.
iBeacon ve Hukuk• iBeacon ile reklam iletmek için izin gerekiyor
mu?• Uygulama mı? Mekan mı sorumlu? Markaya ait
uygulamayı indirirken bu izni alıyor mu?• Saldırgan reklam olarak kabul edilir mi?• Tüketiciyi yanıltıcı kabul edilir mi?• Fiziken toplanan lokasyon verisine dikkat.
Hukuka Uygun Bir Uygulama İçin Sorulması Gereken Sorular1. Uygulama daha önce belirtilmeyen sürpriz bir
ödeme talep ediyor mu? 2. Uygulama hangi kullanıcı verilerini topluyor,
kiminle paylaşıyor, topladığı veriler hassas mı, gerekli mi?
3. Bütün bunlar için kullanıcı rızası açık şekilde alınmış mı?
Toplandığınız Veriler Hakkında Sorulması Gereken Sorular1. Uygulamanın topladığı veriler kullanıcının adını,
telefon numarasını, kişi listesini içeriyor mu?2. Uygulama kullanıcının lokasyonunu, kimlik
bilgilerini, yüklendiği cihaza ait benzersiz numaraları topluyor mu?
3. Toplanan veriler ile ilgili süre var mı ve uzun mu?4. Toplanan verileri üçüncü şahıslarla paylaşmanız
gerekiyor mu? Üçüncü şahıslar aldıkları veri ile kullanıcının kimliğini tespit edebilirler mi?
5. Kullanıcı kendi verilerini yönetebiliyor mu?
Verinin Sahibi kim?Devlet - Şirket - Kullanıcı
Bu bilgilere sahip olmak için devletlerin neler yaptığını hatırlayın
Veri, artık paraya benziyor.Nesnelerin interneti ile toplanan verilere paha biçilemez.
Şirketler, devletlerden daha çok kişisel veriye, ticari sırra sahipler. Sağlık, lokasyon, davranış, tercihlerimiz.Şirketlerin sözleşmeleri anayasalardan, yerel mevzuattan daha üstün
Sektör verisi toplanan kişi lehine düzenlenmeliDepolamayı şirketler, bankalar değil, veri sahibinin yönetiminde depolanmalı
Şirketler, kullanıcı ile şeffaf bir anlaşma yapmalı, kurallara uymalı ve güven inşaa etmeli, gelecekte bu şirketler kazanacak.İnsanlar daha çok veri paylaşacak.
Uygulamalarda Açık Tespit Etmenin Hukuksal Değerlendirmesi1. Responsible Disclosure2. Limited Disclosure3. Full Disclosure4. No Disclosure
Uygulamalarda Açık Tespit Etmenin Hukuksal Değerlendirmesi•Ülkemizde ifşa modellerinin kabul edildiğine dair düzenleme yoktur. •Haksız rekabet davası ile karşılaşabilirsiniz.•TCK 243 gereği yargılanabilirsiniz. •Kullanıcı sözleşmesine aykırılık da gündeme getirilebilir. FSEK devreye girebilir.•Rakip bir şirketse daha da sıkıntılı olacaktır. •Bedel istenmesi halinde şantaj gündeme gelecektir.