elektronik-haberlesme-sektorunde-kisisel-verilerin-islenmesi

I. Giriş

Son zamanlarda dijital dünyada yer birçok kurum kullanıcıların gizliliğini ihlal ettikleri gerekçesiyle idari yaptırımlarla karşılaşmaktadır.  Yaşadığımız Dijital Çağ da kişisel verilerin korunmasının önemi daha da çok artmıştır. Dijital çağda elektronik haberleşmeye dair hizmet aldığımız durumlarda 5809 sayılı Elektronik Haberleşme Kanunu (“EHK”) kapsamında hizmet sağlayan işletmeler tarafından kişisel verilerimiz işlenmektedir. Bu yazımızda mevzuattaki düzenlemelerle birlikte EHK kapsamında hizmet veren işletmecilerin kişisel veri işlerken dikkat etmesi gereken hususlardan bahsetmek istedik.

kisisel-verilerin-islenmesi

II. Genel Bilgi

Elektronik haberleşmenin tanımı EHK’nin 3/1-h maddesindeElektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını” şeklinde yapılmıştır. Bu tanımda sayılan faaliyet alanlarından birinde hizmet sunan veya elektronik haberleşme şebekesi sağlayan ve işleten şirketler, EHK’de işletmeci olarak tanımlanmışlardır.

Kişisel veri 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK Kanunu”) 3/1-d maddesinde “Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.

EHK’nin 51. maddesinde işletmecilerin kişisel veri işlerken;

  • “Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık meşru amaçlar için işlenmesi,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  • İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi” ilkelerine riayet etmeleri gerektiğini düzenlemiştir.

III. Abonelik Sözleşmesi

Her birey bir elektronik haberleşme hizmeti almak istediğinde 28.10.2017 tarihli, 30224 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği’nin (“EHK Tüketici Yönetmeliği”) 5/1-b “Tüketicilerin elektronik haberleşme hizmetine abone olurken bu hizmeti sağlayan işletmeciyle sözleşme yapma hakkı” şeklinde düzenlendiği gibi abonelik sözleşmesi yapma hakkına sahiptir. Abonelik sözleşmesi; işletmecilerin sundukları hizmet dahilinde tüketicilerin kişisel verisinin işleyebilmesi hususunda en temel yoldur. Bu kapsamda sözleşmenin kuruluş şekline göre değişmekle beraber tüketicinin ismi, varsa unvanı, açık adresleri, kimlik belgelerini veya muadili belgelerini işleyebilir. İşletmeciler sözleşme kapsamında işleyeceği kişisel verilerde asli olarak yukarıda sayılan ilkelere riayet etmeli, tüketicilerden sözleşmenin yapılabilmesi için zaruri olmayan hiçbir kişisel veriyi talep etmemeleri gerekmektedir.

IV. EHK Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliği Korunması Yönetmeliği

EHK’nin Kişisel verilerin işlenmesi ve gizliliğin korunması başlıklı 51. maddesindeki hükümleri detaylandırmak üzere ve EHK sektöründeki kişisel verilerin işlenmesi hususunda önemli bir düzenleme olarak 04.12.2020 tarihli, 31324 sayılı Resmî Gazete‘de Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunmasına İlişkin Yönetmelik (“EHK Kişisel Veri Yönetmeliği”) yayımlanarak, yürürlüğe girmiştir. 

Yayımlanan bu yönetmelik elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin, özel veya tüzel kişi abonelerinin kişisel verilerini işlerken uyması gereken usul ve esasları düzenlemektedir.

V. EHK Sektöründe Açık Rıza Alma Şartları

acık-riza-sartlari

Kişisel veri işlenebilmesi için KVK Kanunu’nun 5/2. maddesi ve 6/3. maddesinde düzenlenen açık rızanın alınmasına ihtiyaç bulunmayan hallerinin somut olayda bulunmaması halinde kişisel veri işlenebilmesi için açık rızanın alınması gerekmektedir.

EHK Kişisel Veri Yönetmeliği 8. maddesinde açık rıza alınırken uyulması gereken şartlar:

  • Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul edilir.
  • Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.
  • Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.
  • İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.

Sayılan şartlara uygun olarak işletmecilerin, ilgili kişilerde açık rıza alırken yukarıdaki şartlara uymaları alınan açık rıza beyanının hukuka uygun olabilmesi için elzemdir.

VI. Özel Nitelikli Kişisel Verilerin İşlenmesi

İşletmeciler, ilgili kişilerin nüfus cüzdanlarında bulunan din, kan grubu haneleri, ilgili kişi sosyal açıdan desteklenmesi gereken kişisiyse uygun hizmet sunmak adına sağlık raporu verileri ile ilgili kişinin trafik, konum verisi gibi özel nitelikli kişisel verilerini somut olay özelinde işleyebilmektedir. Sayılan özel nitelikli kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak sunulacak hizmet kapsamında zaruri olmayan kişisel verilerin işlenmemesi eğer işlenmişse uygun imha yöntemleri kullanılarak imha edilmesi gerekmektedir.

Ayrıca trafik veya konum verilerinin üçüncü taraflara aktarımı söz konusu olduğu durumlarda;

  • “Aktarılacak verinin kapsamı,
  • Aktarılacak tarafın adı ve açık adresi,
  • Aktarım amacı ve süresi,
  • Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı”

şeklindeki bilgileri ihtiva eden aydınlatma ile ilgili kişilerden tekrardan açık rızanın alınması gerekmektedir.

VII. Sonuç

Günlük hayatımızda aldığımız her elektronik haberleşme sektörü hizmeti sonucunda tanzim edilen sözleşmeler veya hizmetin alınması için zorunlu olan kişisel verilerimiz işletmeciler tarafından işlenmektedir.

İşletmeciler verileri işlerken verilerin; hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, doğru ve gerektiğinde güncel olması, belirli açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı sınırlı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ve milli güvenlik gerekçesiyle trafik ve konum gibi özel nitelikli kişisel verileri yurt dışına çıkarılmamasına riayet etmelidir. Ayrıca verileri işlerken hem EHK mevzuatı hem de KVKK mevzuatı kapsamı ile uluslararası standartlara uygun olarak her türlü teknik ve idari tedbirleri teknolojik imkanlar dahilinde mümkün olan en iyi düzeyde almaları oluşabilecek potansiyel ihlaller konusunda yaşanabilecek mağduriyeti minimize etme açısından büyük önem taşımaktadır.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

< Önceki Sonraki >