iOS 18 Privacy Manifest 2026 yılında App Store submission zorunluluğu. Apple App Store Review 2025 verisi, 1,2 milyon uygulamanın privacy manifest veya required reason API eksikliğiyle reddedildiğini gösteriyor. AppsFlyer 2025 ATT raporu: kullanıcıların yalnızca %38’i tracking permission veriyor.
Privacy Manifest: 2026 App Store Zorunluluğu
Privacy Manifest, iOS uygulamaları ve SDK’leri için Apple’ın Mayıs 2024’ten itibaren zorunlu kıldığı PrivacyInfo.xcprivacy dosyası. Uygulama hangi veri kategorilerini topladığını, hangi tracking domain’lerine erişim sağladığını ve hangi required reason API’lerini kullandığını yapılandırılmış şekilde beyan eder. WWDC 2023’te tanıtıldı, 2024 Q2’de zorunlu hale geldi.
Privacy Nutrition Label (App Store sayfasındaki “Veri Türü” özeti) Privacy Manifest’ten otomatik üretiliyor. Apple App Store Review 2025: privacy manifest eksik uygulamaların %94’ü submission’da reddediliyor. SDK üreticileri (Firebase, AppsFlyer, Mixpanel, Branch, AdMob) artık her release ile güncel manifest yayınlıyor.
PrivacyInfo.xcprivacy Şema Yapısı
Manifest dosyası 4 ana bölüm içerir: PrivacyTracking (uygulama kullanıcıyı track ediyor mu), PrivacyTrackingDomains (tracking için erişilen domain’ler), PrivacyCollectedDataTypes (toplanan veri türleri ve amaç), PrivacyAccessedAPITypes (required reason API kullanımı ve gerekçesi). Plist format, Xcode’da görsel editör ile veya XML olarak düzenlenir.
| Manifest Bölümü | İçerik | Zorunluluk |
|---|---|---|
| PrivacyTracking | Bool: tracking yapıyor mu | Zorunlu |
| PrivacyTrackingDomains | String array: tracking host | Tracking ise zorunlu |
| PrivacyCollectedDataTypes | Veri türü, amaç, linked/track | Veri topluyor ise zorunlu |
| PrivacyAccessedAPITypes | API kategori + reason code | API kullanımına bağlı |
Required Reason API: 6 Kategori
Apple, parmak izi (fingerprinting) için kullanılabilecek 6 API kategorisini “required reason” olarak işaretledi. Bu API’leri kullanan her uygulama ve SDK, hangi gerekçe ile kullandığını manifest’te beyan etmek zorunda. Gerekçesi olmayan kullanım App Store reject sebebi.
- File timestamp APIs: NSFileCreationDate, getattrlist
- System boot time APIs: systemUptime, mach_absolute_time
- Disk space APIs: volumeAvailableCapacityKey
- Active keyboard APIs: activeInputModes
- User defaults APIs: standardUserDefaults (uygulama dışı veriye erişim)
- UserDefaults Get/Set: domain-spesifik kullanım gerekçesi
İlgili konu: Mobil uygulamada KVKK uyumu rehberimizde privacy-by-design yaklaşımının iOS implementation’ını detaylandırdık.
ATT: App Tracking Transparency
ATT (App Tracking Transparency), iOS 14.5 (Nisan 2021) ile zorunlu hale geldi. Bir uygulama IDFA (Identifier for Advertisers) veya cross-app tracking yapacaksa kullanıcıdan açık izin almalı. AppsFlyer 2025 verisi: küresel ATT opt-in oranı %38; finance segmentinde %55, gaming’de %35. ATT yokluğunda IDFA tüm sıfır, attribution dramatik şekilde değişiyor.
SDK Manifest Doğrulama
App Store reject’lerinin %78’i kendi kod değil third-party SDK kaynaklı. Her popüler SDK kendi PrivacyInfo.xcprivacy dosyasını yayınlamalı; uygulama build sürecinde Xcode bunları topluyor. Eksik manifest’li SDK kullanıyorsanız Apple uygulamanızı reject eder. SDK signing (Privacy Manifest + Code Signature) zorunluluğu 2024 Q4’ten itibaren etkin.
| SDK | Privacy Manifest | SDK Signature | Required Reason |
|---|---|---|---|
| Firebase SDK (10.17+) | Var | İmzalı | UserDefaults, System |
| AppsFlyer (6.13+) | Var | İmzalı | UserDefaults, Tracking |
| Branch (3.4+) | Var | İmzalı | FileTimestamp, Tracking |
| Mixpanel (5.0+) | Var | İmzalı | UserDefaults |
| AdMob (11.0+) | Var | İmzalı | UserDefaults, Tracking, SystemBoot |
| Sentry (8.0+) | Var | İmzalı | FileTimestamp, SystemBoot, DiskSpace |
Privacy Nutrition Label Mapping
App Store sayfasındaki “Privacy” bölümü 3 kategori gösterir: “Data Used to Track You” (linked + track), “Data Linked to You” (linked, not tracked), “Data Not Linked to You” (anonymous). Manifest’te NSPrivacyCollectedDataTypeLinked ve NSPrivacyCollectedDataTypeTracking flag’leri bu mapping’i belirler. Yanlış beyan: kullanıcıya yanlış bilgi + App Store reject + olası yasal sorun.
Sektörel Use Case: Fintech, Sağlık, E-ticaret
Fintech sektöründe payment veri “Financial Info” kategorisinde linked + sensitive; gizlilik beyanında “fraud prevention” reason zorunlu. Sağlık uygulamalarında HealthKit verisi “Health & Fitness” kategorisinde; HIPAA + Apple’s strict review. E-ticarette kullanıcı davranış verisi “Product Interaction” linked + tracked olarak beyan ediliyor.
Kurumsal iOS Privacy Compliance Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Üçüncü taraf SDK’lerin manifest dosyalarının güncel kontrol edilmemesi — submission reject
- Required reason API kullanımının kod review’da gözden kaçması
- ATT pop-up zamanlamasının kötü tasarlanması — opt-in oranı %20 altına düşüyor
- Privacy Nutrition Label ile uygulamanın gerçek davranışı arasında uyumsuzluk
- Conversion API alternatiflerinin (Apple’s SKAdNetwork, postback) entegre edilmemesi
- EU DSA / GDPR / KVKK ile Apple ATT arasında dual-compliance gözden kaçırılması
Sonuç
iOS 18 Privacy Manifest 2026’da App Store submission’ın olmazsa olmazı. SDK dependency audit + Privacy Manifest envanteri + Required Reason API kullanım haritası ilk 30 günlük çalışma. ATT opt-in oranını iyileştirmek için “tam değeri açıklayan” pre-prompt UX kritik; gaming uygulamalarında %35’ten %48’e çıkarmak mümkün. Apple ATT, EU GDPR ve KVKK farklı kavramsal çerçeveler — dual-compliance için ortak privacy operations ekibi şart.
Sıkça Sorulan Sorular
Privacy Manifest tüm SDK’ler için zorunlu mu?
Evet, Apple Mayıs 2024’ten beri tüm SDK’ler için manifest + code signature zorunlu kıldı. Eksik SDK kullanan uygulamalar submission’da reddediliyor. Apple “common SDK” listesi yayınlıyor; bu listedeki SDK’ler için Privacy Manifest zorunluluğu üst seviyede denetleniyor.
ATT pop-up’ını ertelemek opt-in oranını artırır mı?
Evet. Onboarding sonrası, kullanıcı uygulamanın değerini gördükten sonra pop-up gösterme, küresel ortalama %38’i %50+’a çıkarabiliyor. AppsFlyer 2025 benchmark: pre-prompt eğitim ekranı kullanan uygulamalarda opt-in %18 puan daha yüksek.
SKAdNetwork ATT alternatifi olabilir mi?
Tam değil. SKAdNetwork attribution sağlar ama deterministic değil; campaign-level data yerine aggregated postback. ATT opt-in yokken SKAdNetwork birincil kaynak; opt-in varsa hibrit kullanım. Apple SKAN 4.0 (2024) iyileşmelerle privacy-preserving attribution sağlıyor.
Privacy Manifest’i yanlış beyan etmenin sonucu nedir?
App Store reject; tekrarlanan ihlalde developer account suspension. Bazı vakalarda FTC veya AB DSA soruşturması; kullanıcılara yanıltıcı bilgi sunma yasal yükümlülük oluşturuyor. Üst düzey gizlilik beyanı uyumsuzluğu Apple developer ban’a kadar gidebiliyor.
Türkiye’de KVKK ile Privacy Manifest ilişkisi nedir?
Privacy Manifest direkt KVKK için tasarlanmadı ama KVKK aydınlatma yükümlülüğü ile örtüşüyor. Apple’a beyan edilen veri türleri KVKK kapsamında işlenen kişisel veri ile tutarlı olmalı; çelişki KVKK denetiminde sorun yaratabilir.
Ömer ÖNAL
Mayıs 23, 2026Privacy manifest’i sadece kendi kodu için ekleyip third-party SDK’lerin PrivacyInfo.xcprivacy dosyalarını kontrol etmeyen kurumlar App Store reject’iyle karşılaşıyor — Apple Mayıs 2024’ten beri SDK manifest zorunluluğunu denetliyor. Doğru yaklaşım: dependency audit + her SDK için manifest doğrulama + required reason API kullanım envanteri. AppsFlyer, Branch, Mixpanel gibi attribution SDK’leri ATT pop-up’ından muaf değil. — Ömer Önal