EN

Yayınlar

11 Aralık 2020

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğin Korunmasına İlişkin Yönetmelik Yayımlandı

Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) tarafından, 4 Aralık 2020 tarihinde Resmî Gazete’de yayımlanan “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik” (“Yönetmelik”) ile elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin elde ettikleri kişisel verilerin işlenmesi ve gizliliğin korunması amacıyla uyulması gereken usul ve esaslar belirlenmiştir. 6 ay sonra yürürlüğe girecek olan bu Yönetmelik ile aboneler ve kullanıcılara ait kişisel verilere erişim, saklama süresi, genel nitelikli rızaların geçersizliği, numaraların gizlenmesi gibi birçok konuda düzenlemeler öngörülmektedir. Bu Yönetmelik ile 24 Temmuz 2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılacaktır.

I. YÖNETİCİ ÖZETİ

Yönetmelik ile birlikte işletmeciler tarafından kullanıcı ve abonelere ait kişisel verilen işlenmesi ve korunması amacıyla alınması gereken güvenlik tedbirleri belirlenmiş ve BTK’nın gerekli gördüğü hallerde alınan güvenlik tedbirlerine ilişkin, bilgi ve belge talebinde bulunma ve idari yaptırım uygulama hakkına ek olarak tedbirlerde değişiklik talep etme hakkı olduğu hüküm altına alınmıştır.

Trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirtilmiş, trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlarda aktarıma ilişkin ayrıca açık rıza alınması ve kullanıcı/aboneye bilgilendirme yapılması yükümlülükleri getirilmiştir. İşletmeciler, bu verilerin yalnızca açık rızaya ilişkin bilgilendirmede belirtilen üçüncü taraflarca ve yine belirtilen amaçla işlenmesini temin etmekle yükümlü kılınmıştır.

Abone/kullanıcılara yapılacak aydınlatma ve bu kişilerden alınacak açık rızada bulunması gereken unsurlar kişisel verilerin korunması mevzuatının ötesinde detaylandırılarak bu hususlara ilişkin abone/kullanıcılara çeşitli haklar tanınmıştır.

İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılması yükümlülüğü getirilmiştir.

Abone/kullanıcıların numaralarını gizleme, gizlenmiş numaralardan aranma ve çağrıların yönlendirilmesine ilişkin hakları hüküm altına alınarak, bu imkânlara ücretsiz ve basit bir şekilde erişme hakkı tanınmış ve aynı zamanda abone/kullanıcıların kendilerine sağlanan bu imkânlara ilişkin bilgilendirilmesi öngörülmüştür.

II. KAPSAM

Yönetmelik ile işletmecilerin tüzel kişi abonelikleri dahil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri tüm veriler bakımından uyması gereken usul ve esasları belirlenmektedir.

III. İŞLETMECİLERE GETİRİLEN YÜKÜMLÜLÜKLER

İşletmecilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen yükümlülükleri tekrarlanarak işletmeciler tarafından alınması gereken güvenlik tedbirleri detaylandırılmış, kişisel veri ihlallerine ilişkin KVKK tahtında öngörülen bildirim yükümlülüğüne ek olarak risklerin de bildirilmesine ilişkin yükümlülükler öngörülmüştür.

KVKK tahtında öngörüldüğü üzere kişisel verilerin; (i) hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, (ii) doğru ve gerektiğinde güncel olması, (iii) belirli, açık ve meşru amaçlar için işlenmesi, (iv) işlendikleri amaçla bağlantılı ve sınırlı-ölçülü olması, (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkeleri Yönetmelik kapsamında tekrarlanarak milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması Yönetmelik tahtındaki esas ilkelerden biri olarak düzenlenmiştir.

İşletmeciler tarafından, 5809 sayılı Elektronik Haberleşme Kanunu, KVKK, ulusal ve uluslararası standartlara uygun olarak teknik ve idari tedbirlerin alınması gerekliliği Yönetmelik ile birlikte vurgulanarak bu tedbirlerin teknolojik imkanlar ile muhtemel risk göz önünde bulundurularak alınacağı belirtilmiştir.

Bu kapsamda;

(i) Kişisel verilerin işlenmesine ilişkin güvenlik politikalarının belirlenmesi,

(ii) İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunması, ve

(iii) Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesi ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanması

İşletmeciler tarafından alınması gereken asgari tedbirler olarak sıralanmıştır.

BTK’nın gerekli gördüğü hallerde alınan güvenlik tedbirlerine ilişkin, bilgi ve belge talebinde bulunma ve idari yaptırım uygulama hakkına ek olarak tedbirlerde değişiklik talep etme hakkı olduğu hüküm altına alınmış ve kişisel veriler ile ilişkili sistemlere yapılan erişimlere ilişkin işlem kayıtlarının işletmeciler tarafından iki yıl saklanması gerekliliği öngörülmüştür. İlaveten; işletmecilerin yetkilendirdikleri taraflarca Yönetmelik ve sair mevzuatta öngörülen yükümlülüklerin yerine getirilmesinden sorumlu olduğu belirtilmiştir.

KVKK tahtında öngörülen kişisel veri ihlallerinin bildirilmesi yükümlülüğüne ek olarak işletmeciler tarafından, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; hem bu risk hem de riskin kapsamı ve giderilme yöntemleri hakkında ilgili aboneleri ve kullanıcıları en kısa sürede bilgilendirme yükümlülüğü düzenlenmiştir.

İşletmecilerin Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde uygulanacak idari para cezaları ve diğer yaptırımlara ilişkin olarak; 15 Şubat 2014 tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümlerinin uygulanacağı belirtilmiştir.

IV. AÇIK RIZA ALMA ŞARTLARI

Yönetmelik ile birlikte açık rızaya ilişkin KVKK ile belirlenmiş ilkeler Yönetmelik kapsamında tekrar vurgulanarak elektronik haberleşme sektörüne ilişkin özellikli durumlar düzenlenmiş ve özellikle trafik ve konum verilerine ilişkin detaylar belirlenmiştir. Ayrıca; açık rızaya ilişkin olarak abone/kullanıcılara çeşitli haklar tanınmıştır.

KVKK ile öngörülen hükümler çerçevesinde açık rıza alınmasına ilişkin kurallar Yönetmelik ile birlikte vurgulanmış, açık rızanın belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınmasının zorunlu olduğu ve genel nitelikli (belirli işlem ve belirli bir konu ile sınırlandırılmayan) rızaların geçersiz kabul edilecei belirtilmiştir.

Açık rıza beyanının özgür irade ile açıklanmış olması gerekliliği ve bu nedenle abonelik tesisi, haberleşme hizmetlerinin ve cihazların sunulması gibi hususların açık rıza verme ön şartına bağlanamayacağı açıkça düzenlenmiş, ancak hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilmesinin mümkün olduğu belirtilmiştir.

Yönetmelik kapsamında, abone/kullanıcının, açık rıza beyanı alınmadan önce işlenecek kişisel veri türü, trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında açık ve anlaşılır bir şekilde bilgilendirilmesi ve bu bilgilendirmenin yazılı yapılması halinde yazıların en az on iki punto ile hazırlanması zorunluluğu getirilmiştir.

Gerekli bilgilendirmenin yapılması sonrasında abone/kullanıcının açık rıza alınmasını onayladığını gösteren “evet/onay/kabul” şeklinde irade beyanının yazılı veya elektronik ortamda alınabileceği belirtilmiştir. Alınan bu rızanın yalnızca belirtilen işlem için alınması gerekliliği ve bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilmemesi gerekliliği Yönetmelik ile tekrar vurgulanmıştır.

Alınan rıza kayıtlarının farklı mevzuatlarda öngörülen süreler saklı kalmak kaydıyla, en az abonelik süresince saklanması gerekliliği hüküm altına alınmıştır. Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlarda; (i) aktarılacak verinin kapsamı, (ii) aktarılacak tarafın adı ve açık adresi, (iii) aktarma amacı ve süresi, ile (iv) üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı verilerek bu aktarıma ilişkin ayrıca açık rıza alınması ve bu bilgilerde değişiklik olması halinde açık rızanın tekrar alınması yükümlülüğü getirilmiş ve ayrıca işletmeciler, bu verilerin yalnızca açık rızaya ilişkin bilgilendirmede belirtilen üçüncü taraflarca ve yine belirtilen amaçla işlenmesini temin etmekle yükümlü kılınmıştır.

İşletmecilerin trafik ve konum verilerine ilişkin aydınlatma yükümlülüğünün; özellikle (i) işlenebilecek trafik veya konum verisi türleri, (ii) işleme amacı ve (iii) süresi hakkında bilgiler içerecek şekilde yapılmasının zorunlu olduğu düzenlenmiştir.

Yönetmelik tahtında, açık rızalara ilişkin olarak abone/kullanıcılara da ilave haklar tanınmıştır. Bu kapsamda; abone/kullanıcı tarafından verilen açık rızaların her zaman ücretsiz olarak basit bir yöntem ile (kısa mesaj, çağrı merkezi, internet vb.) geri alınabileceği belirtilmiş ve bu imkana ilişkin bilgilendirmenin de açık rıza alınırken yapılması zorunluluğu getirilmiştir. Aboneliğin sonlanması halinde ise sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızaların geri alınmış sayılacağı düzenlenmiştir.

İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılması yükümlülüğü öngörülmüş, aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyetinin bilgilendirme yapılıncaya kadar durdurulacağı belirtilmiştir.

Açık rızanın geri alınması durumunda ise işletmecilerin açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurması gerektiği belirtilmiştir.

Bu Yönetmelik’in yürürlüğe giriş tarihinden önce hukuka uygun olarak alınan açık rızaların geçerliliğini koruyacağı belirtilmiş, ancak bu şekilde açık rızası alınan kişilerin aboneliklerinin sona ermesi halinde  devam eden veri işleme faaliyetlerinin, Yönetmelik’in yürürlüğe giriş tarihini takip eden bir ay içerisinde durdurulması zorunluluğu düzenlenmiştir.

V. ABONELERE/KULLANICILARA SAĞLANAN İMKÂNLAR

Abone/kullanıcıların numaralarını gizleme, gizlenmiş numaralardan aranma ve çağrıların yönlendirilmesine ilişkin hakları hüküm altına alınarak, bu imkanlara ücretsiz ve basit bir şekilde erişme hakkı tanınmış ve aynı zamanda abone/kullanıcıların kendilerine sağlanan bu imkanlara ilişkin bilgilendirilmesi öngörülmüştür.

İşletmecilere, basit bir yöntemle ve ücretsiz olarak (i) arayan kullanıcıya numarasını gizleme imkânı sağlama, (ii) aranan kullanıcıya gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlama ve (iii) gizli arama alma yönündeki olumsuz iradesini işletmeciye beyan etmiş olan kullanıcıların ise gizlenmiş numaradan aranması halinde çağrıyı sonlandırma yükümlülüğü hüküm altına alınmıştır.

İlaveten; yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye yine basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlanması yükümlülüğü öngörülmüştür.

İşletmecilere bu imkanlara ilişkin bilgilendirmeleri kullanıcı/abonelere kısa mesaj, internet veya benzeri araçlarla yapma yükümlülüğü getirilmiş, ancak arayan numaranın gizlenmesi imkanının, acil yardım çağrıları için geçerli olmadığı belirtilmiştir.

Ayrıca, abonelere ayrıntılı fatura dökümü ve/veya kullanım detayında açıkça yer alan telefon numaralarındaki bazı rakamların gizlenmesini talep etme hakkı tanınmıştır.

Yönetmelik ile birlikte, işletmecilere, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanıma yükümlülüğü getirilmiş ve yapılan yönlendirmelerin ücretli olması halinde, abonenin/kullanıcının onayının alınması zorunlu hale getirilmiştir.

Yönetmelik kapsamındaki abonelere/kullanıcılara yapılacak tüm bilgilendirmelerin, ücretsiz olarak gerçekleştirilmesi gerektiği düzenlenmiştir.

11 Aralık 2020 Cuma Makaleler / Bilgi Notları