Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Yayınlandı.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yürürlüğe girmesinden sonra, uygulamada yaşanan sancılardan önemli bir kısmı da, farklı sektörlere özgü hukuki düzenlemeler arasındaki çelişkilerle başa çıkılmak mecburiyetinde kalınmasıydı. Bu çelişkilerin, yavaş yavaş yeni düzenlemelerle kaldırılmaya çalışıldığını görüyoruz. Bu doğrultuda önemli bir adım da Bilgi Teknolojileri ve İletişim Kurumu tarafından 04.12.2020 tarihli Resmi Gazete’de Telekomünikasyon sektörüne özgü olarak yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğin Korunmasına İlişkin Yönetmelik (“Yönetmelik”) olarak karşımıza çıktı.
Yönetmelikte önemli gördüğümüz başlıkları fazla ayrıntıya girmeden aşağıda kısaca incelemeye çalıştık.
Öncelikle belirtmek gerekir ki Yönetmelik, 5809 sayılı Elektronik Haberleşme Kanunu uyarınca hazırlanmıştır ve elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsamaktadır.
Yönetmeliğin yürürlük tarihi, 04.06.2021’dir.
- Yönetmeliğin 5. Maddesinde, “Milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esastır” denilerek Kanun kapsamındaki ilkelere ek bir düzenleme getirilmiştir.
- Yönetmeliğin 6. Maddesi, verilerin güvenliği ile ilgilidir. Özetle gerekli güvenlik tedbirlerinin, teknolojik imkanlar göz önünde bulundurularak muhtemel riske uygun düzeyde alınması gerekeceği belirtilmiştir. Bu güvenlik düzeyi asgari olarak şu şekilde ele alınmalıdır;
- Güvenlik politikaları belirlenmelidir
- Kişisel veriler yetkisiz veya harici müdahalelerle kayba veya değiştirilmeye karşı korunmalıdır
- Sadece yetkili kişiler kişisel verilere erişmeli, verilerin saklandığı ve erişim sağlandığı sistemlerin güvenliği sağlanmalıdır
- Kurum, işletmeci tarafından alınmış tedbirlerde değişiklik talep edebilecektir.
- İşletmeciler, kişisel verilere ve ilgili sistemlere erişim kayıtlarını 2 yıl saklamalıdır.
- Yönetmelik, Kanun ile paralel olarak herhangi bir veri ihlali halinde bunun BTK’ya ve Kişisel Verileri Koruma Kurumu’na en kısa sürede bildirilmesi gerektiğini belirtmiştir. Kişisel Verileri Koruma Kurulunun daha önce yaptığı açıklama ile “en kısa süre”nin GDPR ile paralel olarak 72 saat olarak anlaşılması gerektiği belirtilmişti. Yönetmelik, bunun ötesinde, herhangi bir şekilde şebeke veya hizmet güvenliğiyle ilgili bir risk bulunması halinde de, yani veri ihlali oluşmadan önce, ilgili abone/kullanıcıları en kısa sürede bilgilendirmekle yükümlü kılınmıştır. Bu hüküm için herhangi bir süre belirlenmemiştir ve kanaatimizce Kişisel Verileri Koruma Kurulu tarafından belirtilmiş olan 72 saat uygulamasının bu hüküm ile ilgili olarak kıyasen uygulanması hukuken mümkün değildir. Bu riskin büyüklüğü ve aciliyeti ile doğru orantılı, makul bir “en kısa süre”nin göz önüne alınması gerekeceği kanaatindeyiz.
- Yönetmelik, Açık Rıza alınma şeklini 8. Maddede ayrıntılı bir şekilde belirlemiştir. Bununla kalmayıp, 13. Maddenin 4. Fıkrasında, abonelik sözleşmesinin sona ermesi halinde Açık Rıza’nın da sona ereceği (abonenin aksi yönde talebi yoksa) belirtilmiştir.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.