Kişisel Verileri Koruma Kurumu (“Kurum”), mobil uygulamalar üzerinden kullanıcılara gönderilen anlık bildirimlere (push notification) ilişkin artan şikâyetler üzerine 14 Ocak 2026 tarihinde bir Kamuoyu Duyurusu (“Duyuru”) yayımlayarak, bu bildirimlere ilişkin izin ve onay süreçlerinin kişisel verilerin korunması mevzuatına uygun şekilde tasarlanması gerektiğini hatırlatmıştır. Duyuruda özellikle, kullanıcıdan tek bir onay alınarak birden fazla veri işleme amacının aynı anda kabul ettirilmesi uygulamasının, açık rızanın geçerlilik şartlarıyla bağdaşmadığı vurgulanmıştır.
Kurum tarafından incelenen örnek bir olayda, bir mobil uygulamanın yükleme aşamasında kullanıcılara sunulan anlık bildirim onayının, birden fazla veri işleme amacını kapsayacak şekilde tek bir onay altında kurgulandığı tespit edilmiştir. Bu kapsamda, “kampanya ve reklam bildirimleri” ile “sipariş durumunun anlık takibi” amaçlarının ayrıştırılmadığı; kullanıcının, sipariş takibi gibi hizmetin doğal bir parçası olan operasyonel bildirimleri alabilmek için pazarlama içerikli bildirimleri de kabul etmek zorunda bırakıldığı değerlendirilmiştir. Kurum, bir hizmetin sunulmasının, o hizmetle doğrudan bağlantılı olmayan başka veri işleme amaçlarına rıza gösterilmesi şartına bağlanmasının, açık rızanın özgür irade unsurunu zedelediğine dikkat çekmiştir.
İlgili Duyuruda Kurum, birden fazla veri işleme amacının bulunduğu hallerde, ilgili kişilere her bir amaç yönünden ayrı ve bağımsız bir tercih imkânı sunulmasının zorunlu olduğuna işaret etmiş ve bu yaklaşımı “parçalı açık rıza (granularity)” ilkesi kapsamında ele almıştır. Bu kapsamda, farklı veri işleme amaçlarının tek bir rıza altında toplanmasının, kullanıcıları tüm amaçları birlikte kabul etmeye ya da tamamını reddetmeye yönelttiği; bu nedenle söz konusu rıza mekanizmasının hukuka uygun bir veri işleme dayanağı oluşturmadığı ifade edilmiştir.
Duyuruda ayrıca, mobil uygulamaların teknik altyapısının da bu hukuki gerekliliklerle uyumlu şekilde kurgulanması gerektiği belirtilmiş; kullanıcılara hangi tür bildirimleri almak istediklerini ayrı ayrı seçebilme ve bu tercihlerini sonradan değiştirebilme imkânı tanınmasının önemine dikkat çekilmiştir. Bu imkânın sağlanmaması, veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri alma yükümlülüğü bakımından risk oluşturabilecektir.
Uygulamada özellikle e-ticaret, fintech ve mobil platform hizmeti sunan şirketlerin, anlık bildirim süreçlerini hem pazarlama mevzuatı hem de kişisel verilerin korunması hukuku bakımından birlikte değerlendirmeleri önem taşımaktadır. Bildirim izinlerinin, hizmete ilişkin operasyonel bildirimler ile pazarlama içerikli bildirimler arasında açık şekilde ayrıştırılması, her bir bildirim türü için ayrı tercih imkânı sunulması ve kullanıcıların bu tercihlerini kolaylıkla yönetebilecekleri ayar ekranlarının oluşturulması, olası uyum risklerini önemli ölçüde azaltacaktır. Kurumun söz konusu Duyurusu, mobil uygulamalarda kullanıcı izinlerinin tasarımının yalnızca teknik bir kullanıcı deneyimi konusu değil, doğrudan hukuki uyum başlığı olarak ele alınması gerektiğini bir kez daha ortaya koymaktadır.
Duyurunun tam metnine bu link üzerinden ulaşabilirsiniz.