1. GİRİŞ

İşbu bilgilendirme notunda, 04/12/2020 tarihli Resmi Gazete' de yayınlanan "Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik" (kısaca "Yönetmelik") ile getirilen düzenlemeler hakkında bilgilendirmeler ve değerlendirmelerimiz paylaşılacaktır.

Elektronik haberleşme sektöründe  kişisel verilerin korunmasına dair yasal düzenlemeler, işbu yazı konusu 04/12/2020 tarihli Resmi Gazete'de yayınlanan yeni Yönetmelik'e kadar 24/07/2012 tarihli Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik ile yürürlükte bulunmakta idi. 04/12/2020 tarihinde yayınlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik ise, 27/07/2012 tarihli yönetmeliği yürürlükten kaldıracak şekilde yayınlanmasından itibaren 6 ay sonra (04/05/2020 tarihinde) yürürlüğe girmek üzere Resmi Gazete'de yayımlanmıştır.

Elektronik haberleşme sektöründe kişisel verilerin işlenmesine dair yapılan bu mevzuat düzenlemesi ile önceki mevzuat hükümlerinin yerini alacak düzenlemeler yapılarak kişisel verilerin korumasına dair bazı değişikliklere gidilmiştir. Bu değişikliklerin ortaya çıkışının elektronik haberleşme sektörünün 6968 Sayılı Kişisel Verilerin Korunması Kanunu'na ("KVKK") uyumlu hale getirilmesi ve mevzuattaki tutarsızlıkların giderilmesi olduğunu söylemek yerinde olacaktır. Bu bağlamda Yönetmelik elektronik haberleşme sektörünün baş aktörü olan "işletmeci"lerin yükümlülüklerini ve işletmeciler tarafından gerçekleştirilen uygulamaların KVKK'ya uygunluğunu amaçlamaktadır. Söz konusu Yönetmelik ile birlikte sektörde faaliyet gösteren işletmelerin yükümlülüklerine dair getirilen değişiklikler ve değişiklikler hakkındaki kısa yorumlarımıza aşağıda yer verilmiştir. İncelememizde Yönetmelik'in özellikle dikkat çeken ve yürürlükteki bağlantılı mevzuat ile karşılaştırıldığında tartışmalı olan hükümleri ele alınacaktır.

  1. YÖNETMELİKTE ÖNE ÇIKAN DEĞİŞİKLİKLER

2.1.  Yönetmeliğin "İlkeler" başlıklı 5. maddesinde elektronik haberleşme sektöründe kişisel veri işlenmesi faaliyeti için "hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması" gibi kıstaslar getirilmiştir. Bu değişiklik ile elektronik haberleşme sektöründe gerçekleştirilen kişisel veri işleme amaçları ile KVKK'da yer alan kişisel veri işleme amaçları ile uyumlu hale getirilmiştir.

2.2.  Yönetmeliğin 5. maddesinin 2. fıkrası ile milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olacağı belirtilmiştir. Yönetmelik'te "Trafik Verisi", Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen veri olarak; "Konum Verisi" ise, "Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri"  olarak tanımlanmıştır. Verilerin yurt dışına çıkartılması KVKK açısından halen çözülmemiş bir sorun olarak varlığını korurken, milli güvenliğe ilişkin bu düzenleme soru işaretlerini de beraberinde getirmiştir. Bu düzenlemenin uygulamada bir fark yaratıp yaratmayacağı ve uyulmaması halinde uygulanacak cezai yaptırımlar soru işaretlerinden yalnızca birkaçıdır.

2.3.  Yönetmeliğin "Güvenlik" başlıklı 6. maddesinin 1. fıkrasına göre elektronik haberleşme sektöründe faaliyet gösteren işletmeler tarafından Elektronik Haberleşme Kanunu'nun yanı sıra KVKK hükümlerine uygun şekilde teknik ve idari tedbirlerin alınması gerektiği hüküm altına alınmıştır. Bununla birlikte 2. fıkrada bu tedbirlerin kapsamı genel olarak belirlenirken, önceki Yönetmelik'ten farklı olarak "kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlenmesi",  işletmeler tarafından alınacak tedbirler arasına eklenmiştir.

Ayrıca aynı madde hükmünün 4. fıkrası uyarınca işletmeciler kişisel verilere erişimlere dair işlem kayıtlarını iki yıl saklamakla yükümlüdür. Burada belirtmek gerekir ki, elektronik haberleşme sektöründe faaliyet gösterip abonelerinin/kullanıcılarının verilerini işleyen işletmeler KVKK hükümleri uyarınca hâlihazırda veri sorumlusu kapsamında olup KVKK'nın teknik ve idari tedbirlere yönelik yükümlülüklerinden sorumludurlar. Ancak bu hükme Yönetmelik'te ayrıca yer verilmesi tedbirlerin ve tedbirlere verilen önemi ortaya koymaktadır.

2.4.  Yönetmeliğin 7. fıkrasında düzenlenen "Veri İhlalinin ve Güvenlik Riskinin Bildirilmesi" hususu, daha önceki 2012 tarihli Yönetmelik'te de düzenlenmiş, ancak bu riskin Bilgi ve Teknoloji Kurumu'na bildirilmesi ve Kurum'un gerek görmesi halinde abonelere bildirilmesi esas alınmıştı. 4 Aralık 2020 tarihli yeni Yönetmelik ile beraber, işletmelerin öncelikle güvenlik açığını her halükarda derhal abonelere bildireceği, kişisel veri ihlallerini ise KVKK'ya uygun olarak Kişisel Verileri Koruma Kurumuna ve ilgili abonelere/kullanıcılara en kısa sürede bildirimde bulunulacağı hükme bağlanmıştır. Bu düzenleme sayesinde Yönetmelik ve KVKK arasında uyum sağlanmıştır.

2.5.  Yönetmeliğin "Trafik ve konum verilerine ilişkin aydınlatma yükümlülüğü" başlıklı 9. maddesinde de trafik verilerinin işlenmesi durumunda işlenebilecek trafik veya konum verisi türlerinin, işleme amacının ve süresisin hakkında abonelere/kullanıcılara bildirileceği ayrıca düzenlenmiştir. Aynı şekilde 8. maddenin 1-(e) bendinde trafik ve konum verilerinin aktarımında alınacak açık rıza için aydınlatma yükümlülüğü ayrıca özel olarak düzenlenmiş, yurtdışına aktarım durumunda ülke isimlerinin belirtilmesi, değişiklik olması halinde ise tekrardan aydınlatma yükümlülüğü yerine getirilerek açık rıza alınacağı hüküm altına alınmıştır.

2.6.  İşbu yazı konusu Yönetmelik'te yer alan ve mülga yönetmelikte var olmayan başka bir düzenleme, "Abonenin/kullanıcının diğer hakları" başlıklı 13. madde ile getirilmiştir. Bu madde hükmü kapsamında Elektronik Haberleşme Sektöründe faaliyet gösteren işletmelere abone olan veya kullanıcı olan kişilere sağlanan haklar şu şekildedir;

a.  Abone veya kullanıcılar bahsedilen kapsamda vermiş oldukları açık rızayı her zaman geri almak hakkına sahiptir. Nitekim 13. Maddenin 1. Fıkrası uyarınca işletmeciler, kişisel verilerin işlenmesine yönelik olarak abonelerin/kullanıcıların, kısa mesaj, internet vb. yöntemlerle vermiş oldukları açık rızayı aynı yöntem veya daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlamakla yükümlüdür.

b İşletmeler, her yılın üçüncü çeyreği içinde abonelerine daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılacaktır. Bilgilendirme yapılmamış olması halinde bilgilendirme yapılıncaya veri işleme faaliyeti kadar durdurulacaktır.

c Engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilecektir.

d. boneliğin sonlanması halinde, sona erme tarihi itibarıyla daha önce verilen tüm açık rızalar geri alınmış sayılacaktır.

e. Abonelere/kullanıcılara yapılacak tüm bilgilendirmeler, ücretsiz olarak gerçekleştirilecektir.

f. Açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmeciye aittir.

g. Açık rızanın geri alınması durumunda ilgili veri işleme faaliyetleri derhal durdurulacaktır

3. YÖNETMELİKTE TARTIŞMA YARATAN HÜKÜMLER

Yukarıda Yönetmelik'e eklenen ve yerinde görülen hükümlere yer verilmiştir. Buna karşılık Yönetmelik'te en çarpıcı ve tartışmaya değer hüküm 8. madde hükmüdür. Yönetmelik'te daha önce mevzuatımızda var olmayan göze çarpıcı bir değişiklik, "açık rıza" kavramının kullanılmış olması ve mülga yönetmelikte yer almayan "Açık Rıza Alma Şartları" başlıklı yeni bir maddenin eklenmiş olmasıdır. Bu değişikliğin konuluş amacı tam olarak belirli olmasa da Yönetmeliğin kendisi gibi beraberinde tartışmaları getirmiştir.

Yönetmeliğin ilgili 8. maddesine göre açık rıza alınması gereken konularda alınan açık rıza beyanının geçerli olması için açık rızanın, belirli bir konuya ilişkin olarak ve işlem öncesinde alınması ve özgür iradeyle açıklanmış olması gerekmektedir. Madde, bu kısmı ile KVKK ile uyumlu olmakla birlikte devamında tartışmalı düzenlemeler getirmektedir.

Bu noktada tartışmalı hükümlerin ilki 8. maddenin 1-(b) bendidir;

"Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir."

Yukarıda yer verilen bendin akabinde (c) bendinde açık rıza için gerekli olan aydınlatma yükümlülüğünün düzenlenmiş olması ile birlikte yürürlükteki mevzuata uyum sağlandığı görülmektedir. Buna ek olarak bu kapsamdaki açık rıza kayıtları (ve dolayısıyla aydınlatma yükümlülüğünün yerine getirildiğine dair kayıtlar ) ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari olarak abonelik süresince saklanacaktır.

Yukarıda yer verilen Yönetmeliğin 8. maddesinin (b) bendinin son cümlesinin yaratmış olduğu tartışmanın ortaya çıkış noktası, bu düzenlemelerin KVKK'da yer almamasıdır. KVKK'da açık rızanın tanımı yapılmakla beraber bu kavram, kanunun 5. ve 6. maddelerinde uygulanış şekli olarak bahsi geçen bir kavramdır. Ancak Yönetmelik bu yeni düzenlemeleri ile KVKK'da düzenlenmemiş yeni bir hususu mevzuatımıza getirmektedir. Bu ise hukuk sistemimizin temel nosyonlarından olan normlar hiyerarşisi ile çelişmekte ve Yönetmelik'in meşruiyetinin sorgulanmasına neden olmaktadır. Bir an için kanunlarda düzenlenmeyen bir hususun Yönetmelik'te düzenlenmiş olmasının getirdiği anayasal tartışmalar bir kenara bırakılsa dahi, söz konusu hükümler uygulama açısından da kafa karışıklığı yaratmaktadır.

Yönetmelik'in 8. maddesinin (b) bendinin son cümlesi "Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir"  açık rıza kavramına Kanun'da veya doktrinde yer almayan tamamen başka bir nitelik getirmiştir. Metinini içeriğinden de anlaşıldığı üzere adeta "açık rıza"nın satılmasını düzenleyen bu cümle, şuana kadar bildiklerimizi unuttur cinsten bir düzenlemedir. Açık rızanın maddi bir edim karşılığında verilmesini meşrulaştıran bu düzenleme karşılığında verilen edimin niteliğini de sorgulatır cinstendir. Zira hediye dakika, SMS veya veri karşılığında ne veriliyor olursa olsun, kişinin paylaşmış olduğu verinin değerini karşılamayacaktır. Edimlerin bu şekilde orantısız olması durumu 6098 sayılı Türk Borçlar Kanunu'nun ("TBK") 28. maddesinde düzenlenen "Aşırı Yararlanma" olarak bilinen durumu akıllara getirmektedir. Zira hediye dakika, SMS, veri ve benzeri maddi değeri nispeten düşük olan ürünler karşılığında tüketicilerin paha biçilemez mahiyetteki kişisel verilerine ilişkin alınan rızanın "açık"lığı hususu son derece tartışmalıdır. TBK 28. madde hükmü aşağıdaki gibidir;

"Bir sözleşmede karşılıklı edimler arasında açık bir oransızlık varsa, bu oransızlık, zarar görenin zor durumda kalmasından veya düşüncesizliğinden ya da deneyimsizliğinden yararlanılmak suretiyle gerçekleştirildiği takdirde, zarar gören, durumun özelliğine göre ya sözleşme ile bağlı olmadığını diğer tarafa bildirerek ediminin geri verilmesini ya da sözleşmeye bağlı kalarak edimler arasındaki oransızlığın giderilmesini isteyebilir. [...]."

Madde metninde aşırı faydalanmaya maruz kalan tarafa seçimlik haklar verilmiştir. Seçimlik haklardan birisi ise zarar görenin (ki zarar gören işbu yazı konusu Yönetmelik bakımından tüketici olacaktır) edimler arasındaki orantısızlığın giderilmesini isteme hakkıdır. Bu noktada tüketiciler rıza verdikleri anda belki de kişisel veriler konusundaki deneyimsizlikleri sebebiyle vahametinin farkında olmadıkları yurtdışı veri aktarımı olgusu karşısında 6098 sayılı Türk Borçlar Kanunu hükmü uyarınca genel işlem şartının aşırı faydalanmaya (gabin) yol açtığını ileri sürerek daha fazla hediye dakika, SMS veya veri talep edebilecek midir? Bu sorunun cevabı evet ise, tüketicinin kişisel verisinin yurtdışına aktarılması, yurtdışında paylaşılması, saklanması ve işlenmesi işlemleri karşısında orantılı olacak hediye dakika nasıl belirlenecektir?

Yönetmelik'in 8. maddesinin (b) bendi kapsamında ayrıca tartışılması gereken bir husus da, tüketicinin KVKK'nın 11. maddesi kapsamında açık rızasını her zaman geri alma hakkıdır . Tüketicinin KVKK'dan doğan bu hakkını kullanarak açık rızasını geri alması durumunda tüketici hediye olarak aldığı dakika, SMS, veri ve benzerini iade etmek zorunda mıdır? Eğer söz konusu hediyeler iade edilecek ise, bu iadenin sonuçlarının nasıl ortaya çıkacağı belirsizliğini korumaktadır. Harcanan hediyeler aynen iade edilemeyecek ise tüketici para iadesi mi gerçekleştirecektir? Tüketicinin açık rızasını geri alması durumunda hediyeler bakımından para iadesi yapacağı düşünülse dahi, söz konusu parasal değer hangi tarihte geçerli olan tarife üzerinden hesaplanacaktır?

Son olarak, 8. maddenin (ç) bendinin de tartışılması gerekmektedir. Yönetmelik'in 8. maddesinin (ç) bendinde; "İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının "evet/onay/kabul" şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez" düzenlemesi ile açık rıza irade beyanın diğer irade beyanları ile birleştirilemeyeceği hususu düzenlenmiştir. Bu düzenleme aslen Kişisel Verileri Koruma Kurulu'nun kararları ile ortaya konan bir husus olunmasına karşın ikincil de olsa yazılı hukuk kuralları içerisinde yer bulması kişisel verilerin korunması hukuku açısından oldukça sevindirici bir gelişmedir. Buna karşılık, 8. maddenin (ç) bendi ise her ne kadar açık rızanın ayrı verilmesi gerektiğini düzenlese de pazarlama mesajının gönderilmesi elektronik ileti onayı alınmadan gerçekleştirilemeyecektir. Bu bağlamda aslında reklam amaçlı olarak iletişime geçilmesini ayrı bir açık rızaya bağlayarak kişiler ile bu amaçla iletişime geçilmesini engelleyecek olsa da madde metninin uygulanmasının fiili bir çıkmaza sebebiyet verdiği anlaşılmaktadır.

  1. SONUÇ

İşbu yazının inceleme konusu olan Yönetmelik, elektronik haberleşme sektörünü kişisel verilerin korunması hukukuna uyumlu hale getirmek bakımından birtakım olumlu yenilikler getirmektedir. Buna karşılık, Yönetmelik'in 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurumu kararları ile tam olarak uyumlu olması beklentisini maalesef karşılayamamıştır.

Yönetmelik'in en tartışmalı hükmü, kişisel verilerin korunması mevzuatımızda yer almayan uygulamalara izin veren 8. madde (b) bendidir. Bu noktada hükmün anayasa ve idare hukukuna aykırılığı detaylı olarak tartışılması gereken bir husustur. Ancak bu tartışmayı bir an için kenara koyduğumuzda dahi, söz konusu hükmün kişisel verilerin korunması hukukuna ek olarak 6098 sayılı Türk Borçlar Kanunu ve 6502 sayılı Tüketicinin Korunması Hakkında Kanun bakımından kabul edilebilirliğini ayrıca tartışmak gerekecektir. Kanaatimizce para karşılığı açık rıza satın alınması anılan temel kanunlarda düzenlenen genel işlem şartlarına ilişkin tüketicinin korunması ilkeleri karşısında da kabul edilemez niteliktedir. Kanaatimizce para ile satın alınan bir rızanın aydınlatılmış ve açık bir rıza olduğundan bahsetmek de mümkün olmayacaktır. Kaldı ki, rızanın geri alınabilmesini zorlaştırabilecek her tür uygulama da, örneğin rızanın maddi karşılık ile satın alınmış olması, kişisel verilerin korunması temel ilkelerine aykırı niteliktedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.