ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİN KORUNMASINA İLİŞKİN YÖNETMELİK

4 Aralık 2020 tarihinde Resmi Gazete ’de yayınlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin çıkan yönetmelik 4 Haziran 2021 tarihinde yürürlüğe girmiştir.

Yönetmelikte 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK“) yer alan bazı tanımlar yer almaktadır. Yönetmelikte abone; bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi olarak tanımlanırken, işletmeci; yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket ve kullanıcı da aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi olarak tanımlanmıştır.

Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar.

Yönetmelik kapsamında aksaklıkların giderilmesi ve standartların belirlenmesi için Bilgi Teknolojileri ve İletişim Kurumu yetkilendirilmiş, işletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete ‘de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanması kararı verilmiştir.

Yönetmelikte milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirtilmiştir. Bu maddeden Türkiye’de depolanması gerektiği sonucu çıkarılmaktadır.

Yönetmeliğe göre işletmecilerin;

Abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla güvenlik politikaları belirlemeleri gerektiği,

Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamaları gerektiği,

Kişisel verileri ve sistemlere yapılan erişimlerin kayıtlarını 2 yıl saklamakla yükümlü oldukları belirtilmiştir.

Bilgi Teknolojileri ve İletişim Kurumu gerekli gördüğü hâllerde alınan güvenlik tedbirlerine ilişkin işletmecilerden, bilgi ve belge isteyebilir, ayrıca idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebilir.

İşletmeciler Risk ve olması muhtemel riskler durumunda;

Eğer risk alınan tedbirler kapsamı dışında kalıyorsa, riskin kapsamı ve giderilme yöntemleri hakkında kullanıcı ve aboneleri en kısa sürede bilgilendirmesi gerekir. Kişisel Veri ihlalleri durumunda 6698 sayılı Kanun ve ilgili mevzuata uygun yöntemlerle kuruma ve kişilere olması gereken sürede bildirim yapılması gerekir.

Yönetmelikte Açık Rıza Almak da şartlara bağlanmıştır. Bu şartlara göre işletmecilerin;

1.Açık rıza beyanını belirli bir konu hakkında özgür iradeyle ve işlem öncesinde almaları gerekir. Sınırlanmayan konular hakkında alınan açık rıza beyanları geçersizdir. İşlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında kişilerin bilgilendirilmesi gerekir. Yazıyla yapılacak bilgilendirmeler 12 punto olmalıdır. Yapılan bilgilendirme sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.

2. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.

3.Abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlülükleri vardır.

4. İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.

5. İşletmeciler tarafından bu Yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilir.

6. Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurur.

7. Bu Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmeciye aittir.

Trafik ve konum verilerine ilişkin;
6698 sayılı Kanunun 10 uncu maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.

Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1)Aktarılacak verinin kapsamı,

2) Aktarılacak tarafın adı ve açık adresi,

3) Aktarma amacı ve süresi,

4) Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı,

şeklindeki bilgiler verilerek ayrıca açık rıza alınır.

Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.

İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.

Sadece açık rıza bilgilendirmesinde belirtilen üçüncü tarafların ve amacın temin edilmesi önemlidir.

Yönetmelik abone ve kullanıcılara çeşitli imkanlar sağlamıştır:

a) Numaranın gizlenmesi

b) Otomatik çağrı yönlendirme

c)Ayrıntılı faturalarda gizlilik

d)Abonenin/kullanıcının diğer hakları

Numaranın Gizlenmesi:
Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir.

Arayan kullanıcı ve aranan abone olarak sağlanan imkanlar ayrılmaktadır.

İşletmeci;

Arayan numaranın görünmesine imkân sağladığı durumlarda;

a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla,

c) Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla,

Yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür.

Otomatik çağrı yönlendirme
İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanınır ve işletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması hâlinde, abonenin/kullanıcının onayı alınır.

Ayrıntılı faturalarda gizlilik
İşletmeciler, abonelerin talep etmeleri hâlinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar.

Abonenin/kullanıcının diğer hakları
Abonenin ve kullanıcın diğer hakları genelde işletmecilerin aldıkları açık rıza beyanları ile ilgili şekilde yönetmelikte yer tutmaktadır.

İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.

Sonuç
Yönetmelikte yapılan düzenlemeler 6698 sayılı Kişisel Verileri Koruma Kanunu ile paralel şekilde düzenlenmiştir. Yönetmelikte özellikle trafik ve konum verilerine ilişkin düzenlemeler, işletmecilerin yükümlülükleri ve verilerin yurt dışına çıkarılmaması hakkındaki esas çok önemlidir. Elektronik ve haberleşme sektörü özelinde düzenlenen bu yönetmelik, elektronik ve haberleşme sektörü ile ilgili başvurulması gereken ilk kaynak olarak görülebilir fakat somut olaya göre gerekli kaynaklara göre bir yorumlama yapılmalıdır. Kişisel veriler işlenirken işletmecilerin, hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, işlenen verilerin doğru ve gerektiğinde güncel olmasına özen göstermeleri ve en önemlisi de gerekli idari ve teknik tedbirleri almaları gerekmektedir. Tedbirlerin alınmaması durumunda Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’ne göre idari para cezaları ve ağır yaptırımlar kurum tarafından uygulanacaktır.

İlgili Yönetmelikler ;
Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği
https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm

Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği
https://www.resmigazete.gov.tr/eskiler/2014/02/20140215-7.htm

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >