04.12.2020 tarihli ve 31324 sayılı Resmî Gazete'de Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik ("Yönetmelik") yayımlandı. 5809 sayılı Elektronik Haberleşme Kanunu ("Kanun") kapsamında düzenlenen Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dahil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları belirlemektedir.

Yönetmelik, yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri ("İşletmeci") kapsamaktadır. Yönetmelik'te öne çıkan başlıklar aşağıdaki şekildedir:

1. İlkeler

  • Yönetmelik'te, kişisel verilerin gizliliği ve korunmasında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") yer alan ilkeler benimsenmektedir.
  • Milli güvenlik gerekçesiyle elektronik haberleşmeye ilişkin trafik ve konum verilerinin yurt dışına çıkarılmaması esastır.

2. Güvenlik İçin Alınacak Tedbirler ile Risk ve İhlalin Bildirilmesi

  • Kişisel verilerin güvenliğini sağlamak amacıyla muhtemel riske uygun düzey gözetilerek KVKK'da ve Kanun'da öngörülen tedbirler ile ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbir alınacaktır.
  • Bilgi Teknolojileri ve İletişim Kurumu gerekli gördüğünde alınan güvenlik tedbirlerine ilişkin işletmecilerden bilgi ve belge talep edebilecek, bunlara ilişkin idari yaptırım uygulayabilecek ve söz konusu güvenlik tedbirlerinde değişiklik yapılması için işletmeyi talimatlandırabilecektir.
  • İşletmeciler, kişisel verilere ve verilerle ilişkili sistemlere yapılan erişimlere ilişkin işlem kayıtlarını 2 yıl süreyle saklayacaktır.
  • İşletmeciler Yönetmelik'e uyumluluktan, verilerin gizliliği, güvenliği, bütünlüğü, erişilebilirliği ve amaçla sınırlı kullanılmasından sorumlu olacaktır.
  • Hizmetin güvenliğini tehdit eden bir risk oluştuğunda ilgili abone/kullanıcılar bilgilendirilecek; bir kişisel veri ihlali durumunda söz konusu ihlal, KVKK'da öngörülen şartlar sağlanarak Kişisel Verileri Koruma Kurumu'na ve ilgili abone/kullanıcılara en kısa sürede bildirilecektir. Konuyla ilgili KVKK'da yer alan şartlara buradan ulaşabilirsiniz.

3. Açık Rıza Şartları

  • Açık rıza alınmasını gerektiren durumlarda, açık rıza işlem öncesinde alınacak, belirli bir konuyla sınırlandırılacaktır.
  • Rıza, hizmetin sunulması gibi bir ön şarta bağlanamayacak ve özgür iradeyle açıklanması sağlanacaktır.
  • Rızanın alınmasından önce ilgili kişiye işlenecek kişisel veri türü ile elektronik haberleşmeye ilişkin trafik ve elektronik cihaz konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında açık ve anlaşılır bilgi, en az 12 punto yazı büyüklüğünde karakter kullanılan metin ile verilecektir.
  • Bilgilendirme sonrasında abone/kullanıcının "evet/onay/kabul" şeklindeki beyanı yazılı veya elektronik ortamdan alınabilecektir. Bu onay sözleşme veya hizmetin kabulü gibi farklı bir işleme yönelik irade beyanı ile birleştirilemeyecektir.
  • Söz konusu açık rıza kayıtları asgari olarak abonelik süresince saklanacaktır.
  • Aydınlatma yükümlülüğü KVKK'daki şartlarla yerine getirilecektir.
  • Aboneler/kullanıcılar verdikleri açık rızayı, verilen yöntemle aynı veya daha basit bir yöntemle her zaman ücretsiz olarak geri alabilecektir.
  • İşletmeciler, her yılın 3. çeyreğinde aboneler/kullanıcılara daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapacaktır. Aksi durumda daha önce verilen açık rıza kapsamındaki veri işleme faaliyetleri bilgilendirme yapılıncaya kadar durdurulacaktır.

4. İdari Para Cezaları ve Yaptırımlar

İşletmeciler hakkında, Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanacaktır.

5. Yürürlük

Yönetmelik yayımı tarihinden altı ay sonra, 4.06.2021 tarihinde yürürlüğe girecektir.

Yönetmelik'in tam metnine buradan ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.