ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİN KORUNMASINA İLİŞKİN YÖNETMELİK

4 Aralık 2020 tarihinde Resmi Gazete ’de yayınlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin çıkan yönetmelik 4 Haziran 2021 tarihinde yürürlüğe girmiştir.

Yönetmelikte 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK“) yer alan bazı tanımlar yer almaktadır. Yönetmelikte abone; bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi olarak tanımlanırken, işletmeci; yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket ve kullanıcı da aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi olarak tanımlanmıştır.

Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar.

Yönetmelik kapsamında aksaklıkların giderilmesi ve standartların belirlenmesi için Bilgi Teknolojileri ve İletişim Kurumu yetkilendirilmiş, işletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete ‘de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanması kararı verilmiştir.

Yönetmelikte milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirtilmiştir. Bu maddeden Türkiye’de depolanması gerektiği sonucu çıkarılmaktadır.

Yönetmeliğe göre işletmecilerin;

Abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla güvenlik politikaları belirlemeleri gerektiği,

Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamaları gerektiği,

Kişisel verileri ve sistemlere yapılan erişimlerin kayıtlarını 2 yıl saklamakla yükümlü oldukları belirtilmiştir.

Bilgi Teknolojileri ve İletişim Kurumu gerekli gördüğü hâllerde alınan güvenlik tedbirlerine ilişkin işletmecilerden, bilgi ve belge isteyebilir, ayrıca idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebilir.

İşletmeciler Risk ve olması muhtemel riskler durumunda;

Eğer risk alınan tedbirler kapsamı dışında kalıyorsa, riskin kapsamı ve giderilme yöntemleri hakkında kullanıcı ve aboneleri en kısa sürede bilgilendirmesi gerekir. Kişisel Veri ihlalleri durumunda 6698 sayılı Kanun ve ilgili mevzuata uygun yöntemlerle kuruma ve kişilere olması gereken sürede bildirim yapılması gerekir.

Yönetmelikte Açık Rıza Almak da şartlara bağlanmıştır. Bu şartlara göre işletmecilerin;

1.Açık rıza beyanını belirli bir konu hakkında özgür iradeyle ve işlem öncesinde almaları gerekir. Sınırlanmayan konular hakkında alınan açık rıza beyanları geçersizdir. İşlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında kişilerin bilgilendirilmesi gerekir. Yazıyla yapılacak bilgilendirmeler 12 punto olmalıdır. Yapılan bilgilendirme sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.

2. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.

3.Abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlülükleri vardır.

4. İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.

5. İşletmeciler tarafından bu Yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilir.

6. Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurur.

7. Bu Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmeciye aittir.

Trafik ve konum verilerine ilişkin;
6698 sayılı Kanunun 10 uncu maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.

Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1)Aktarılacak verinin kapsamı,

2) Aktarılacak tarafın adı ve açık adresi,

3) Aktarma amacı ve süresi,

4) Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı,

şeklindeki bilgiler verilerek ayrıca açık rıza alınır.

Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.

İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.

Sadece açık rıza bilgilendirmesinde belirtilen üçüncü tarafların ve amacın temin edilmesi önemlidir.

Yönetmelik abone ve kullanıcılara çeşitli imkanlar sağlamıştır:

a) Numaranın gizlenmesi

b) Otomatik çağrı yönlendirme

c)Ayrıntılı faturalarda gizlilik

d)Abonenin/kullanıcının diğer hakları

Numaranın Gizlenmesi:

Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir.

Arayan kullanıcı ve aranan abone olarak sağlanan imkanlar ayrılmaktadır.

İşletmeci;

Arayan numaranın görünmesine imkân sağladığı durumlarda;

a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla,

c) Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla,

Yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür.

Otomatik çağrı yönlendirme

İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanınır ve işletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması hâlinde, abonenin/kullanıcının onayı alınır.

Ayrıntılı faturalarda gizlilik

İşletmeciler, abonelerin talep etmeleri hâlinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar.

Abonenin/kullanıcının diğer hakları

Abonenin ve kullanıcın diğer hakları genelde işletmecilerin aldıkları açık rıza beyanları ile ilgili şekilde yönetmelikte yer tutmaktadır.

İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.

Sonuç

Yönetmelikte yapılan düzenlemeler 6698 sayılı Kişisel Verileri Koruma Kanunu ile paralel şekilde düzenlenmiştir. Yönetmelikte özellikle trafik ve konum verilerine ilişkin düzenlemeler, işletmecilerin yükümlülükleri ve verilerin yurt dışına çıkarılmaması hakkındaki esas çok önemlidir. Elektronik ve haberleşme sektörü özelinde düzenlenen bu yönetmelik, elektronik ve haberleşme sektörü ile ilgili başvurulması gereken ilk kaynak olarak görülebilir fakat somut olaya göre gerekli kaynaklara göre bir yorumlama yapılmalıdır. Kişisel veriler işlenirken işletmecilerin, hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, işlenen verilerin doğru ve gerektiğinde güncel olmasına özen göstermeleri ve en önemlisi de gerekli idari ve teknik tedbirleri almaları gerekmektedir. Tedbirlerin alınmaması durumunda Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’ne göre idari para cezaları ve ağır yaptırımlar kurum tarafından uygulanacaktır.

İlgili Yönetmelikler:

Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği
https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm

Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği
https://www.resmigazete.gov.tr/eskiler/2014/02/20140215-7.htm

 

 

REGULATION ON PROCESSING PERSONAL DATA AND PROTECTION OF PRIVACY IN THE ELECTRONIC COMMUNICATIONS INDUSTRY

The regulation on the Processing of Personal Data and Protection of Privacy in the Electronic Communications Industry, published in the Official Gazette on 4 December 2020, entered into force on 4 June 2021.

There are some definitions in the Regulation on the Protection of Personal Data No. 6698 (“ KVKK ”). Subscriber in the regulation; An operator is defined as a natural or legal person who is a party to a contract with an operator for the provision of electronic communication services; The company and user that provides electronic communication services and/or provides electronic communication network and operates its infrastructure within the framework of authorization are defined as real or legal persons benefiting from electronic communication services regardless of whether they have a subscription or not.
The Regulation covers the procedures and principles to be followed by the operators operating in the electronic communication sector in terms of the data they obtain within the scope of providing electronic communication services, including legal person subscriptions .
The Information Technologies and Communications Authority was authorized to eliminate the deficiencies and set standards within the scope of the Regulation, and it was decided to apply the provisions of the Information Technologies and Communication Authority Administrative Sanctions Regulation published in the Official Gazette dated 15/2/2014 and numbered 28914, in case the operators do not fulfill the obligations determined by this Regulation. .
It is stated in the regulation that it is essential not to export traffic and location data abroad for reasons of national security. It is concluded from this article that it should be stored in Turkey.
According to the regulation, the operators;It is necessary to determine security policies in order to ensure the security of the personal data of their subscribers/users and the services they provide ,
They must ensure that personal data can only be accessed by authorized persons and that the systems where personal data are stored and the applications used to access personal data are secure,
It is stated that they are obliged to keep records of personal data and access to systems for 2 years.
When deemed necessary, the Information Technologies and Communication Authority may request information and documents from the operators regarding the security measures taken, and may also request changes in the said security measures, without prejudice to its right to impose administrative sanctions.
Operators In case of risk and possible risks;
If the risk falls outside the scope of the measures taken, the user and subscribers should be informed as soon as possible about the scope of the risk and the removal methods. In case of breaches of Personal Data, it is necessary to notify the institution and persons within the required time, using the methods in accordance with the Law No. 6698 and the relevant legislation.
Obtaining Explicit Consent is also subject to conditions in the Regulation. According to these conditions, the operators;
1.On declaration of consent to a particular topic about willpower free and prior transactions must take. Explicit consent statements about unrestricted matters are invalid. Persons should be informed about the type of personal data to be processed, the types of traffic and location data, its scope, purpose and duration of processing. Information to be made in writing should be 12 points. After the notification, the subscriber’s/user’s declaration of intent in the form of “yes/approval/acceptance” is received in written or electronic form. The declaration of intent in question must be specific to the situation in which consent is obtained. It cannot be combined with declarations of intent for similar legal proceedings.
2. Establishing a subscription and providing basic electronic communication services or devices cannot be made subject to the precondition of express consent for the processing of the subscriber’s/user’s data. Explicit consent may be requested from the subscriber/user in return for additional benefits such as gift minutes, SMS and data.
3. Subscribers/users are obliged to keep the records showing their explicit consent for the minimum subscription period, without prejudice to the periods in the relevant legislation provisions.
4. Within the third quarter of each year, the operators are informed that their data is being processed within the scope of their previous explicit consent, by at least a short message to the subscribers/users with mobile number information, and to others by e-mail or one of the calling methods. Otherwise, the data processing activity within the scope of the previously given explicit consents is stopped until the notification is made.
5. The notifications to be made by the operators to the subscribers/users benefiting from the disabled tariffs within the scope of this Regulation are carried out in accordance with the Institution’s regulations by using audio and/or visual methods.
6. In case the express consent is withdrawn, the operator immediately ceases the data processing activities based on the express consent.
7. The responsibility of proof regarding the notifications within the scope of this Regulation, express consent, subscriber/user request and approval belongs to the operator.
Regarding traffic and location data;
Without prejudice to the provisions of Article 10 of the Law No. 6698, in cases where traffic and location data can be processed, operators are obliged to inform subscribers/users about the types of traffic or location data that can be processed, the purpose and duration of processing.
For cases where traffic and location data are transferred to third parties;
1) The scope of the data to be transferred,
2) Name and full address of the party to be transferred,
3) The purpose and duration of the transfer,
4) If the third party is abroad, the name of the country to which the data will be transferred,
explicit consent is also obtained by giving information in the form of
In case of changes in this information, explicit consent is obtained again.
In cases where traffic and location data are transferred to third parties with explicit consent, the operators are obliged to ensure that these data are processed only by the third parties specified in the express consent notification and for the stated purpose.
It is important to ensure only the third parties and purpose specified in the express consent notice.
The regulation provided various opportunities to subscribers and users:
a) Hiding the number
b) Automatic call forwarding
c) Confidentiality in detailed invoices
d) Other rights of the subscriber/user
Hiding the Number: The
possibility of hiding the caller number does not apply to emergency calls.
The possibilities provided as the calling user and the called subscriber are separated.

Operator;
In cases where the calling number allows to be seen;
a) By providing the calling user with the opportunity to hide his number in a simple way and free of charge,
b) By providing the called subscriber with a simple method and free of charge, to prevent the calling number from being displayed on incoming calls,
c) If the caller hides his number, but if the called subscriber/user has previously declared his will to receive a confidential call to the operator, to end the call,
In cases where it allows the connected number to be seen, such as for forwarded calls, it is obliged to provide the connected subscriber with a simple method and free of charge, to prevent the connected number from being shown to the calling user.
Automatic call forwarding The
operator is given the opportunity to stop the automatic forwarding from third parties with free and simple methods to the subscriber/user.
Confidentiality in detailed invoices
Operators ensure that some numbers of the phone numbers in the usage details or detailed invoices are hidden if the subscribers request it.
Other rights of the subscriber/user Other rights of the
subscriber and user are generally included in the regulation regarding the express consent declarations received by the operators.
Within the third quarter of each year, the operators are informed that their data is being processed within the scope of their previous explicit consent, by at least a short message to the subscribers/users with mobile number information, and to others by e-mail or one of the calling methods . Otherwise, the data processing activity within the scope of the previously given explicit consents is stopped until the notification is made.
Conclusion The
regulations made in the Regulation have been arranged in parallel with the Personal Data Protection Law No. 6698. In the regulation, especially the regulations regarding traffic and location data, the obligations of the operators and the principle of not exporting the data abroad are very important. This regulation, which is prepared specifically for the electronics and communication sector, can be seen as the first source to be consulted regarding the electronics and communication sector, but an interpretation should be made according to the necessary sources according to the concrete case. While processing personal data, operators are required to process it in accordance with the law and the rules of honesty, take care that the processed data is accurate and up-to-date when necessary, and most importantly, take the necessary administrative and technical measures. If measures are not takenAccording to the Information Technologies and Communication Authority’s Administrative Sanctions Regulation, administrative fines and heavy sanctions will be applied by the institution.

Related Regulations;
Information Technologies and Communication Authority Administrative Sanctions Regulation
https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm
Information Technologies and Communication Authority Administrative Sanctions Regulation
https://www.resmigazete.gov.tr/eskiler/2014/02/20140215-7.htm

[:]