OneSignal Push Notification Data Gizliliği

Question

uzun süredir tüm platformlar için ücretsiz bir servis olan onesignal’i kullanıyordum.
ancak dün itibariyle gelen bir emailde ücretli sisteme geçeceklerini, ücretsiz sistemin yine devam edeceğini söylemişler:

https://onesignal.com/blog/onesignal-adds-self-service-pricing-and-new-features/

“Data may be shared with OneSignal partners for advertising and research...”
demişler. Bu dataların yani kullanıcı bilgilerinin başka firmalarla reklam ve araştırma amaçlı paylaşılacağı anlamına geliyor.

Bu durum iOS tarafında uygulamamızı kullanan kişileri nasıl etkiler?
Kafalarına göre reklam felan atma boyutuna doğru mu gider iş?
Yani sanki biz bildirim gönderiyormuşuz gibi adamlar veya 3. Parti şirketler bizim uygulamamızla bildirim mi gönderbilecekler?

Ne düşünüyorsunuz bu konuda?

Answer 1

Klasik bir mottoyla başlayalım.
Eğer bir ürünü bedava kullanıyorsanız, muhtemelen ürün sizsiniz. :)

OneSignal, Firebase gibi sistemlerin push notification için kullanmak oldukça pratik ve ekonomik elbette.
Ama bu gibi servisleri uygulamalarımız içinde kullanırken, bu servis ve sahibi konumunda ki şirketlerin Gizlilik ve Kullanım politikalarını dikkatlice gözden geçirmekte fayda olduğunu düşünüyorum.
Özellikle geçtiğimiz aylarda Avrupa Birliği'nin, vatandaşlarının dijital veri gizliliğinin korunması ve işlenmesi ile ilgili yürürlüğe soktuğu GDPR yasasını göz ardı etmemek lazım.
Bu yasa ile Avrupa birliği, vatandaşlarına ait dijital verilerin toplanma ve işlenmesi konusunda oldukça katı ve caydırıcı yaptırımları yürürlüğe soktu.

Avrupalı bu konuda oldukça hassas olduğu için, GDPR yasası örnek alabileceğimiz gayet güzel bir kılavuz niteliğinde. Eğer kullanmayı düşündüğümüz servisler, bu yasa ile uyumlu değilse bence o servisi uygulamalarımıza hiç bulaştırmamız gerek.

OneSignal'i değil ama benzeri servisleri geçmişte bir iki uygulamada kullanmıştım. Ama hiç birinin bizim adımıza, kendi reklam verenlerinin reklamlarını kullanıcılarımıza bizden habersiz push notification olarak gönderebileceklerini sanmıyorum.
Zaten gelen Push Notification'ın uygulama içerisinde nasıl gösterileceği tamamen bizim sorumluluğumuzda. Dolayısıyla böyle bir şey yapamazlar.

Orada bahsettikleri reklam verenlerle paylaşım olayı, bu servislerin kullanıcılarımızın cihazlarından çektikleri diğer bilgiler.
Sonuçta bu servis frameworklerini uygulamalarımıza dahil ederek, Push Notification gönderebilmek için gereken DeviceToken'ın servis tarafına çekilebilmesine olanak tanıyoruz. Tabi aynı zamanda cihaz bilgileri ve dolayısıyla kullanıcılarımızın kişisel olarak tanımlanabilmelerine olanak sağlayan diğer verileri de çekebilirler.
Aslında çekebilirler oldukça iyimser bir söylem. ÇEKİYORLAR.

Mesela uygulamamızda konum servislerini kullanıyorsak ve kullanıcı izin verdiyse, emin olabilirsin kullanıcının konum bilgisini alırlar.
Mesela bu GDPR yasasını ihlal edebilecek bir durum ve sorumluluk o veriyi çeken servisi uygulamaya dahil ettiği için öncelikle uygulama yayıncısı/geliştiricisi üzerinde.
O yüzden uygulamamıza üçüncü parti bir servisi dahil ederken ince eleyip, sık dokumakta fayda var.

Comments

:) Teşekkürler, çok aydınlatıcı bir cevap oldu. Sitelerindeki Privacy Policy linkini inceledim detaylıca.
Adamlar demiş ki:

if a user is frequently seen at sports stadiums, we might categorize the user as a “Sports Fan.

"... bir kullanıcı spor stadyumlarında sıkça görülürse, kullanıcıyı “Sports Fan” olarak sınıflandırırız." :))

Yani işler sakat gibi duruyor sanki. Bir de emaili de alırız diyor.

Email address, which we may (in our discretion) hash or otherwise deidentify.

"E-posta adresi (bizim takdirimize bağlı olarak) hash veya başka bir şekilde tanımlayabiliriz."
Uygulama içinden iOS cihazındaki emaili normalde çekme hakkımız var mıydı?

---

e-posta adresini almak telefon rehberine erişim gerektirir. Eğer kullanıcı, telefon rehberinde kendi e-posta adresini tanımlamış ve kişilere erişim iznini uygulamaya vermişse bu mümkün olabilir. Onun dışında mümkün değil.