Makaleler

24.07.2012 Tarihli 28363 Sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Elektronik Haberleşme Sisteminde Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik 04.12.2020 Tarihli 31324 Sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Sisteminde Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik ile yürürlükten kaldırılmış olup çeşitli düzenlemelere gidilmiştir. Söz konusu Yönetmeliğin 18. Maddesinde belirtildiği üzere 6 ay sonra 04.06.2021’de yürürlüğe girecektir.

Mevcut Elektronik Haberleşme Sisteminde Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmeliğin amacı ve kapsamı 1. Maddesinde belirtildiği üzere elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir. Haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin kapsamına dâhil değildir. 04.12.2020 Tarihli 31324 Sayılı Resmi Gazete’de yayımlanan ve 6 ay sonra yürülüğe girecek olan Yönetmeliğin amacı 1. Maddesinde belirtildiği üzere özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirlemektir. Yönetmeliğin kapsam yan başlıklı 2. maddesinde ise elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsadığı belirtilmiş olup önceki Yönetmelikten farklı olarak; haberleşmenin içeriğine ilişkin verilerin saklanmasının Yönetmeliğin kapsama dahil olmadığı hususu düzenlenmemiştir.

İlgili Yönetmelik 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun başta 51. madde olmak üzere 4, 6, 12, 49, 60 ıncı maddelerine dayanılarak hazırlanmıştır. Mevcut Yönetmelik ise 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmıştır. 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 51 . maddesinin“(1) Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir." hükmü Anayasa Mahkemesi’nin 9/4/2014 Tarihli ve E:2013/122, K: 2014/74 Sayılı Kararı ile iptal edilmiş olup ilgili madde yeniden düzenlenerek elektronik haberleşme sektörüne özgü kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik hususlar belirtilmiştir.

(Karar için bknz. https://www.resmigazete.gov.tr/eskiler/2014/07/20140726-15.pdf)

İlgili Yönetmeliğin “Tanımlar ve Kısaltmalar” yan başlıklı 4. Maddesiyle önceki yönetmelikte yar almayan; “açık rıza” tanımı eklenmiş olup “veri; kişisel veri, trafik verisi veya konum verisini” ifade eder şeklinde düzenlemeye gidilmiştir. Ayrıca önceki Yönetmelikte kişisel veri “belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri” şeklinde tanımlanmışken yeni düzenleme 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumlu olacak şekilde değiştirilmiş ve “ kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” şeklinde tanımlanma yoluna gidilerek tüzel kişilere ilşkin veriler kişisel veri kategorizesinden çıkartılmıştır.

Kişisel verilerin işlenmesinde uyulması gereken zorunlu ilkeler Yönetmeliğin 5. Maddesinde sayılmış olup söz konusu ilkeler 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumlu olacak şekilde ifade edilmiştir. Önceki Yönetmelikten farklı olarak 5. Maddesinin 2. Fıkrasında “Milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esas olduğu” belirtilerek trafik ve konum verilerinin işlenmesi hususunda sıkı düzenlemelere gidilmiştir.

Yönetmeliğin “Güvenlik” yan başlıklı 6. Maddesinde kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla alınması gerekli olan asgari teknik ve idari tedbirler belirtilmiştir. Buna ek olarak yine aynı maddenin 3. Fıkrasında “Bilgi Teknolojileri ve İletişim Kurumu’nun, gerekli gördüğü hâllerde alınan güvenlik tedbirlerine ilişkin işletmecilerden, bilgi ve belge isteyebileceği, ayrıca idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebileceği” de ifade edilmiştir.

Ayrıca 6. Maddenin 4 . fıkrasıyla önceki yönemetlikte değişikliğe gidilerek işletmecilerin kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklama süreleri 5 yıldan 2 yıla düşürülmüştür.

“Riskin ve kişisel veri ihlalinin bildirilmesi” yan başlıklı 7. Madde eklenmiş olup söz konusu maddenin 2. Fıkrasıyla “kişisel veri ihlali olması durumunda 6698 sayılı Kanun ve ilgili mevzuata uygun yöntemlerle Kuruma, Kişisel Verileri Koruma Kurumuna bildirimde bulunulmasının” üzerinde durularak KVKK ve ilgili Kuruma atıfta bulunulmuştur.

Söz konusu yeni Yönetmelik ile kişisel verilerin korunmasına ilişkin önceki Yönetmelikte yer almayan konulara değinilmeye çalışılmış ve uygulamaya dair soru işaretlerinin giderilmesi amaçlanmıştır. İlgili Yönetmeliğin 8. Maddesiyle “Açık rıza alma şartlarının” 6698 Sayılı KVKK ve içtihatların göz önüne alınarak açık ve anlaşılır bir şekilde ifade edildiği de görülmekte olup Yönetmeliğin en ayrıntılı açıklamaları bu kısımda yapılmıştır. Açık rızanın belirli bir konuya ilişkin alınmış olması, özgür iradeyle verilmiş olması, her zaman geri alınabilir ve hizmet şartına bağlanmamış olması vurgulanmıştır. Buna rağmen 1.fıkranın b bendinde “Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz.” İfadesinin ardından “Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.” denilerek ve temel elektronik haberleşme hizmetleri ve/veya cihazların sunulması açısından yasaklanan hizmet şartına bağlı açık rıza istenmesi durumu hediye,dakika, SMS ve veri gibi ek faydalar açısından serbest bırakılmıştır. Bu durumda aynı ifade içinde birbirine ters düşen iki farklı düzenleme söz konusu olup KVKK’dan ayrılarak farklı bir hüküm getirildiği görülmektedir.

Ayrıca yine 8. Maddenin c fıkrasında “Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.” şeklinde belirtilen hüküm KVKK’da yer alan aydınlatma yükümlülüğünün bir yansıması olmakla beraber KVKK’da yer almayan bir şekil şartını da öngörmüştür.

Yönetmeliğin 9. Ve 13. Maddesinin 2. Fıkrasında yapılan düzenlemlerle işletmecilere getirilen önemli bir diğer yükümlülük ise aydınlatma metni yükümlülüğüdür. Söz konusu maddeler şu şekildedir:

Madde 9: “6698 sayılı Kanunun 10 uncu maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.”

Madde 13/2: “İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e- posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.”

Abonelere/Kullanıcılara sağlanan diğer haklarda 13. Madde de belirtilmiş olup şu şekidedir:

İşletmeciler, abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. Bu imkâna ilişkin bilgilendirme de açık rıza alınması sırasında yapılır.

İşletmeciler tarafından bu Yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilir.

Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır.

Bu Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmeciye aittir.

Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurur.

Bunlara ek olarak ilgili Yönetmeliğe Geçici Madde 1 olarak eklenmiş “Mevcut Rızaların Durumu” yan başlıklı madde de belirtildiği üzere “Yönetmeliğin yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızalar geçerli sayılacaktır.”

“Yönetmeliğin yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, bu Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulacaktır.”

Sonuç olarak elektronik haberleşme sektöründe kişisel verilerin gizliliğinin korunmasına ilişkin düzenlemelerin 6698 Sayılı Kişisel Verileri Koruma Kanuna göre yapılması gerekmekte idi. Söz konusu yapılan yeni Yönetmelik ile elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin KVKK kapsamındaki hususlara ek olarak birçok sıkı sorumluluk altına gireceği anlaşılmaktadır. Ayrıca Yönetmelikte yer alan özel düzenlemeler saklı kalmak kaydıyla, hükümlerin 6698 Sayılı KVKK kapsamında yorumlanması gerektiği de unutulmamalıdır.

Elektronik Haberleşme Sisteminde Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik Metni için tıklayınız;

https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm