Turkey: Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesine İlişkin Yönetmelik Yayımlandı

Yeni Gelisme

4 Aralik 2020 tarihli Resmi Gazete'de "Elektronik Haberlesme Sektöründe Kisisel Verilerin Islenmesi ve Gizliliginin Korunmasi Hakkinda Yönetmelik " ("Yönetmelik") yayimlandi. Yönetmelik yayim tarihinden alti ay sonra (4 Haziran 2021 tarihinde) yürürlüge girecek. Yönetmelik'in Türkçe metnine buradan ulasabilirsiniz.

Elektronik haberlesme sektöründe veri isleme ile ilgili hususlar evvelce 27 Temmuz 2012 tarihinde yayimlanan Elektronik Haberlesme Sektöründe Kisisel Verilerin Islenmesine Iliskin Yönetmelik altinda düzenlenmekteydi. Ancak Anayasa Mahkemesi'nin bu yönetmeligin dayanak maddesi olan Elektronik Haberlesme Kanunu'nun 51. maddesini iptal etmesiyle söz konusu yönetmelik 26 Ocak 2015 itibariyle hükümsüz kalmistir. Bilgi Teknolojileri ve Iletisim Kurumu'nun ("BTK") sonrasinda, 2017 yilinda bir taslak yönetmelik hazirlayip kamu görüsüne sunmustur; ancak bu yönetmelik yürürlüge konulmamistir.

Yönetmelik'te Hangi Düzenlemeler Yer Aliyor?

- Yönetmelik elektronik haberlesme sektöründe faaliyet gösteren isletmecilerin, hizmet sunduklari gerçek ve tüzel kisi müsterilerine ait bilgilerin islenmesi ile ilgili yükümlülüklerini düzenliyor.

- Yönetmelik "kisisel veri", "kisisel verilerin islenmesi" ve "açik riza" gibi 6698 Sayili Kisisel Verilerin Korunmasi Kanunu'nda ("KVKK") yer alan birtakim tanimlari içeriyor. Yönetmelik kapsaminda "abone", "bir isletmeci ile elektronik haberlesme hizmetinin sunumuna yönelik olarak yapilan bir sözlesmeye taraf olan gerçek ya da tüzel kisi"yi ifade ederken; "kullanici", "aboneligi olup olmamasina bakilmaksizin elektronik haberlesme hizmetlerinden yararlanan gerçek veya tüzel kisi" anlamina gelmektedir. Bu kapsamda Yönetmelik hem gerçek kisi hem tüzel kisi kullanici/abonelere ait verilerin üzerinde gerçeklestirilen isleme faaliyetlerini kapsamaktadir.

- Yönetmelik KVKK'nin 4(2). maddesinde sayilan kisisel verilerin islenmesinde uyulacak ilkelerin altini çizmekte ve isletmecilerin veri islerken bu genel ilkelere uygun davranmasi gerektigini belirtmektedir. Ayrica, Yönetmelik milli güvenlik gerekçesiyle, trafik ve konum bilgilerinin yurt disina aktarilmasini engellemektedir.

- Isletmeciler ek olarak, kisisel verilerin güvenligi için gerekli teknik ve idari tedbirleri almak ve kisisel verilere ve iliskili diger sistemlere yapilan erisimlere iliskin islem kayitlarini iki yil saklamakla yükümlü olacaktir.

- Yönetmelik ayrica isletmecilere güvenlik risklerini ve kisisel veri ihlalini bildirme yükümlülügü yetirmektedir. Buna göre isletmecinin kisisel verileri ihlal edebilecek bir risk olmasi durumunda bu risk hakkinda abonelerini/kullanicilarini en kisa sürede bilgilendirmesi gerekmektedir. Ayrica riskin alinan tedbirlerin disinda kalmasi halinde söz konusu riskin kapsami ve giderilme yöntemleri hakkinda abone ve kullanicilarin en kisa sürede bilgilendirilmesi öngörülmüstür. Buna ek olarak isletmeci, kisisel veri ihlali olmasi durumunda KVKK'ya uygun sekilde, en kisa sürede BTK'yi ve Kisisel Veri Koruma Kurumu'nu ve abone/kullanicilari bilgilendirmekle yükümlü olacaktir.

- Yönetmelik kisisel verilerin islenmesi için alinacak açik riza ile ilgili hususlari özel olarak düzenlemistir. Yönetmelik, Kisisel Verileri Koruma Kurumu'nun 2 Agustos 2018 tarihli kararina paralel sekilde, açik rizanin hizmetin ön kosulu olarak konumlandirilmasini yasaklamistir. Bununla birlikte, isletmecilerin hediye dakika, sms veya veri karsiliginda aboneden veya kullanicidan kisisel veri isleme izni talep etmesi mümkün kilinmistir. Ayrica, Yönetmelik uyarinca açik riza, sözlesmenin kurulmasi, hizmetlerin kabulü veya ticari elektronik iletimi gönderimi gibi diger riza beyanlari ile birlestirilerek alinamayacaktir.

- Isletmecilerin, aboneler ve kullanicilarin açik riza beyanini almadan önce islenecek kisisel veri türü ile trafik ve konum verisi türleri, kapsami, islenme amaci ve süresi hakkinda bu kisileri açik ve anlasilir bir sekilde bilgilendirmesi gerekmektedir. Söz konusu bilgilendirmenin yazili sekilde yapilmasi halinde yazinin boyutu on iki puntodan az olamayacaktir.

- Ayrica Yönetmelik uyarinca isletmeciler, ilgili mevzuat kapsaminda öngörülen süreler sakli kalmak kaydiyla, bu rizalara iliskin kayitlari asgari abonelik süresince saklamakla yükümlü kilinmislardir.

- Yönetmelik trafik ve konum verilerinin aktarimi konusunda daha siki düzenlemeler öngörmektedir. Buna göre, isletmeciler aboneyi ve kullaniciyi aktarilacak verinin kapsami, aktarilacak kisinin kimligi ve açik adresi, aktarma amaci ve süresi ve veri yurt disina aktariliyorsa; verinin aktarilacagi ülke hakkinda bilgilendirip, bu kisilerin açik rizasini almakla yükümlü kilmaktadir. Bu bilgilerde bir degisiklik olmasi halinde açik rizanin tekrar alinmasi gerekecektir.

- Yönetmelik uyarinca, trafik ve konum verilerinin islenmesi halinde, isletmecilerin abonelere ve kullanicilara islenebilecek trafik veya konum verisi türleri, isleme amaci ve süresi hakkinda genel bilgilendirme yapmasi gerekmektedir.

- Ek olarak isletmecilerin her yilin ilk çeyreginde tüm abone ve kullanicilarina kisisel verilerinin islendigine dair bilgilendirme yapmasi öngörülmüstür. Bilgilendirme mobil numara bilgisi bulunan abonelere/kullanicilara asgari kisa mesajla, digerlerine e-posta veya arama yöntemlerinden biri ile yapilabilir. Aksi halde verilen açik rizalar kapsamindaki veri isleme faaliyetinin bilgilendirme yapilincaya kadar durdurulmasi gerekecektir. Yönetmelik'e göre ayrica, aboneligin sonlanmasi halinde abonenin aksi talebi olmamasi halinde tüm açik rizalar geri alinmis sayilacaktir.

- Bunlarin haricinde Yönetmelik numaranin gizlenmesine, otomatik yönlendirmelere, telefon faturalari konularinda da düzenlemeler içermektedir.

- Yönetmelik'in Geçici 1. maddesi uyarinca, Yönetmelik'in yürürlüge girmesinden önce hukuka uygun olarak alinmis rizalar geçerli olacak ve abonelikleri sona ermesine ragmen kisisel verileri isleme faaliyetinin devam ediyor olmasi halinde bu faaliyetler Yönetmelik'in yürürlüge girmesinden itibaren bir ay içerisinde durdurulacaktir.

Sonuç

Yönetmelik kisisel verilerin islenmesine iliskin güvenlik önlemleri, veri ihlali ve riskler, açik riza alinmasi, yurt disina aktarimlar, trafik ve konum verileri, numaralarin gizlenmesi ve otomatik çagri yönlendirme gibi konularda sektöre özel düzenlemeler öngörmektedir. Yönetmelik'in kisisel veriler konusunda büyük ölçüde KVKK düzenlemeleri Kisisel Verileri Koruma Kurumu'nun kararlari ile paralel oldugu görülse de, trafik ve konum verilerinin islenmesi hususunda daha siki düzenlemeler öngördügü görülmektedir. Yönetmelik ayrica milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt disina aktariminin önüne geçmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.