Yeni Gelişme
4 Aralık 2020 tarihli Resmi Gazete’de “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik ” (“Yönetmelik“) yayımlandı. Yönetmelik yayım tarihinden altı ay sonra (4 Haziran 2021 tarihinde) yürürlüğe girecek. Yönetmelik’in Türkçe metnine buradan ulaşabilirsiniz.
Elektronik haberleşme sektöründe veri işleme ile ilgili hususlar evvelce 27 Temmuz 2012 tarihinde yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesine İlişkin Yönetmelik altında düzenlenmekteydi. Ancak Anayasa Mahkemesi’nin bu yönetmeliğin dayanak maddesi olan Elektronik Haberleşme Kanunu’nun 51. maddesini iptal etmesiyle söz konusu yönetmelik 26 Ocak 2015 itibariyle hükümsüz kalmıştır. Bilgi Teknolojileri ve İletişim Kurumu’nun (“BTK“) sonrasında, 2017 yılında bir taslak yönetmelik hazırlayıp kamu görüşüne sunmuştur; ancak bu yönetmelik yürürlüğe konulmamıştır.
Yönetmelik’te Hangi Düzenlemeler Yer Alıyor?
• Yönetmelik elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin, hizmet sundukları gerçek ve tüzel kişi müşterilerine ait bilgilerin işlenmesi ile ilgili yükümlülüklerini düzenliyor.
• Yönetmelik “kişisel veri”, “kişisel verilerin islenmesi” ve “açık rıza” gibi 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK“) yer alan birtakım tanımları içeriyor. Yönetmelik kapsamında “abone”, “bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi”yi ifade ederken; “kullanıcı”, “aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi” anlamına gelmektedir. Bu kapsamda Yönetmelik hem gerçek kişi hem tüzel kişi kullanıcı/abonelere ait verilerin üzerinde gerçekleştirilen işleme faaliyetlerini kapsamaktadır.
• Yönetmelik KVKK’nın 4(2). maddesinde sayılan kişisel verilerin işlenmesinde uyulacak ilkelerin altını çizmekte ve işletmecilerin veri işlerken bu genel ilkelere uygun davranması gerektiğini belirtmektedir. Ayrıca, Yönetmelik milli güvenlik gerekçesiyle, trafik ve konum bilgilerinin yurt dışına aktarılmasını engellemektedir.
• İşletmeciler ek olarak, kişisel verilerin güvenliği için gerekli teknik ve idari tedbirleri almak ve kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü olacaktır.
• Yönetmelik ayrıca işletmecilere güvenlik risklerini ve kişisel veri ihlalini bildirme yükümlülüğü yetirmektedir. Buna göre işletmecinin kişisel verileri ihlal edebilecek bir risk olması durumunda bu risk hakkında abonelerini/kullanıcılarını en kısa sürede bilgilendirmesi gerekmektedir. Ayrıca riskin alınan tedbirlerin dışında kalması halinde söz konusu riskin kapsamı ve giderilme yöntemleri hakkında abone ve kullanıcıların en kısa sürede bilgilendirilmesi öngörülmüştür. Buna ek olarak işletmeci, kişisel veri ihlali olması durumunda KVKK’ya uygun şekilde, en kısa sürede BTK’yı ve Kişisel Veri Koruma Kurumu’nu ve abone/kullanıcıları bilgilendirmekle yükümlü olacaktır.
• Yönetmelik kişisel verilerin işlenmesi için alınacak açık rıza ile ilgili hususları özel olarak düzenlemiştir. Yönetmelik, Kişisel Verileri Koruma Kurumu’nun 2 Ağustos 2018 tarihli kararına paralel şekilde, açık rızanın hizmetin ön koşulu olarak konumlandırılmasını yasaklamıştır. Bununla birlikte, işletmecilerin hediye dakika, sms veya veri karşılığında aboneden veya kullanıcıdan kişisel veri işleme izni talep etmesi mümkün kılınmıştır. Ayrıca, Yönetmelik uyarınca açık rıza, sözleşmenin kurulması, hizmetlerin kabulü veya ticari elektronik iletimi gönderimi gibi diğer rıza beyanları ile birleştirilerek alınamayacaktır.
• İşletmecilerin, aboneler ve kullanıcıların açık rıza beyanını almadan önce işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında bu kişileri açık ve anlaşılır bir şekilde bilgilendirmesi gerekmektedir. Söz konusu bilgilendirmenin yazılı şekilde yapılması halinde yazının boyutu on iki puntodan az olamayacaktır.
• Ayrıca Yönetmelik uyarınca işletmeciler, ilgili mevzuat kapsamında öngörülen süreler saklı kalmak kaydıyla, bu rızalara ilişkin kayıtları asgari abonelik süresince saklamakla yükümlü kılınmışlardır.
• Yönetmelik trafik ve konum verilerinin aktarımı konusunda daha sıkı düzenlemeler öngörmektedir. Buna göre, işletmeciler aboneyi ve kullanıcıyı aktarılacak verinin kapsamı, aktarılacak kişinin kimliği ve açık adresi, aktarma amacı ve süresi ve veri yurt dışına aktarılıyorsa; verinin aktarılacağı ülke hakkında bilgilendirip, bu kişilerin açık rızasını almakla yükümlü kılmaktadır. Bu bilgilerde bir değişiklik olması halinde açık rızanın tekrar alınması gerekecektir.
• Yönetmelik uyarınca, trafik ve konum verilerinin işlenmesi halinde, işletmecilerin abonelere ve kullanıcılara işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında genel bilgilendirme yapması gerekmektedir.
• Ek olarak işletmecilerin her yılın ilk çeyreğinde tüm abone ve kullanıcılarına kişisel verilerinin işlendiğine dair bilgilendirme yapması öngörülmüştür. Bilgilendirme mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile yapılabilir. Aksi halde verilen açık rızalar kapsamındaki veri işleme faaliyetinin bilgilendirme yapılıncaya kadar durdurulması gerekecektir. Yönetmelik’e göre ayrıca, aboneliğin sonlanması halinde abonenin aksi talebi olmaması halinde tüm açık rızalar geri alınmış sayılacaktır.
• Bunların haricinde Yönetmelik numaranın gizlenmesine, otomatik yönlendirmelere, telefon faturaları konularında da düzenlemeler içermektedir.
• Yönetmelik’in Geçici 1. maddesi uyarınca, Yönetmelik’in yürürlüğe girmesinden önce hukuka uygun olarak alınmış rızalar geçerli olacak ve abonelikleri sona ermesine rağmen kişisel verileri işleme faaliyetinin devam ediyor olması halinde bu faaliyetler Yönetmelik’in yürürlüğe girmesinden itibaren bir ay içerisinde durdurulacaktır.
Sonuç
Yönetmelik kişisel verilerin işlenmesine ilişkin güvenlik önlemleri, veri ihlali ve riskler, açık rıza alınması, yurt dışına aktarımlar, trafik ve konum verileri, numaraların gizlenmesi ve otomatik çağrı yönlendirme gibi konularda sektöre özel düzenlemeler öngörmektedir. Yönetmelik’in kişisel veriler konusunda büyük ölçüde KVKK düzenlemeleri Kişisel Verileri Koruma Kurumu’nun kararları ile paralel olduğu görülse de, trafik ve konum verilerinin işlenmesi hususunda daha sıkı düzenlemeler öngördüğü görülmektedir. Yönetmelik ayrıca milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına aktarımının önüne geçmektedir.
