4 Aralık 2020 tarihinde Resmi Gazete'de yayınlan yeni Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in ("Yönetmelik"), 4 Haziran 2021 tarihinden itibaren yürürlüğe gireceği düzenlenmiştir.

Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin, tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları düzenlemektedir ve Kişisel Verilerin Korunması Kanunu ("KVKK") ile Kişisel Verileri Koruma Kurulu kararlarına ek olarak işletmecilere yönelik özel hükümler getirmektedir. Yönetmelik ile düzenlenen önemli konular aşağıdaki şekilde özetlenebilir:

  1. Milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esastır. Bu hükümle kastedilen verilerin Türkiye'de depolanması olduğunu anlıyoruz. Ayrıca, trafik ve konum verilerinin üçüncü kişilerle paylaşımı, yurtdışına aktarım olmasa dahi sınırlandırılmış ve her durumda açık rıza şartına bağlanmıştır. Açık rıza alınması için KVKK kapsamında yapılacak bilgilendirmeye ek olarak aktarılacak verinin kapsamı ve aktarılacak tarafın adı ve açık adresi gibi bilgilerin detaylı şekilde abone/kullanıcılara açıklanması gerekmektedir. Bunun yanında verilerin aktarılacağı üçüncü kişilerin yurt dışında mukim olmaları halinde ilgili yabancı ülkenin adının da bilgilendirmede bulunması gerektiği düzenlenmiştir. Abone/kullanıcılara sunulması gereken bilgilerde bir değişiklik olması halinde açık rızanın da yeniden alınması gerekmektedir.
  2. Güvenlikle ilgili tedbirlerin alınması ve veri güvenliğinin sağlanmasına yönelik politikaların oluşturulması gerekmektedir. Bilgi Teknolojileri ve İletişim Kurumu ("BTK"), gerekli gördüğü hâllerde alınan güvenlik tedbirlerine ilişkin işletmecilerden bilgi ve belge isteyebilir. Ayrıca BTK'nın idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebileceği de düzenlenmektedir.
  3. İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür.
  4. Veri ihlali durumlarında Kişisel Verileri Koruma Kurumu ve ilgili kişiye (ilgili abone ve kullanıcılara) yapılması gereken bildirime ek olarak BTK'ya da bildirimde bulunma yükümlülüğü getirilmiştir.
  5. Açık rızaya tabi işleme faaliyetleri için ek şartlar getirilmiş, açık rızanın işleme özel olması gerektiği ve herhangi bir ön şarta bağlanamayacağı vurgulanmıştır. Öte yandan, KVKK açısından tartışmalı olmakla birlikte hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebileceği açıkça düzenlenerek telekomünikasyon sektörüne özel bir açık rıza mekanizması getirildiği görülmektedir.
  6. KVKK aydınlatma yükümlülüklerine ek olarak işletmecilere, açık rızaya tabi işleme faaliyetleri açısından işlenecek kişisel veri türü ile trafik veya konum verisi türlerinin işlenme süresi hakkında bilgi verme yükümlülüğü getirilmiştir. Bilgilendirmelerin yazılı yapılması halinde yazıların en az on iki punto ile hazırlanması gerektiği düzenlenmiştir.
  7. Abone/kullanıcıların açık rızasının yazılı veya elektronik ortamda alınması gerektiği ve buna ilişkin kayıtların asgari abonelik süresince saklanması gerektiği düzenlenmiştir. Ayrıca, işletmeciler her yılın üçüncü çeyreğinde ilgili abone/kullanıcılara açık rızaya dayanan işleme amaçları kapsamında hatırlatma yapmakla yükümlü olacaktır. Aksi halde, açık rıza kapsamındaki veri işleme faaliyeti, bu kapsamda bir bilgilendirme yapılıncaya kadar durdurulacaktır. Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır.
  8. Yönetmelik'e aykırı davranmaları halinde, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği uyarınca işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanabilir ve aykırılığın milli güvenliğe yönelik hükümlerle ilgili olması halinde işletmecinin yetkilendirmesinin fesh/iptal edilebilmesi de mümkün olacaktır.

First published by Gün + Partners, in 11.12.2020

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.