Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi

04/12/2020 tarihli 31324 sayılı Resmî Gazete’de Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik (Yönetmelik) 04/06/2021 tarihinde yürürlüğe girmek üzere yayımlanmıştır. Elektronik haberleşme sektöründe kişisel verilen işlenmesi ve gizliliğin korunmasına dair usul ve esasların düzenlendiği Yönetmelik ile kişi temel hak ve özgürlükleri ile özel hayatın gizliliğinin korunması amaçlanmıştır. Yönetmelik elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dahil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyulması gereken usul ve esasları kapsamaktadır.

Yönetmeliğin yayımı ile birlikte 24/7/2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır. Yürürlükten kaldırılan Yönetmeliğe ilişkin yapılan atıflar bu yönetmeliğe yapılmış sayılacaktır.

Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketlerin (İşletmecilerin) bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 15/02/2014 tarihli 28914 sayılı Resmî Gazete’de yayımlanan Bilgi ve Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği uygulanacaktır.

Yönetmeliğin 5. Maddesi uyarınca, işletmecinin kişisel verileri işlerken;

1. Hukuka ve dürüstlük kurallarına uygun olarak işlenme,
2. Doğru ve gerektiğinde güncel olma,
3. Belirli, açık ve meşru amaçlar için işlenme,
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

ilkelerine uymalarının zorunlu olacağı düzenlenmiştir. Ayrıca, milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esas olarak belirlenmiştir.

İşletmeciler abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla ilgili kanunlara, (5809 sayılı Elektronik Haberleşme Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanunu) ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbiri alacaktır.

Yönetmeliğin 6. Maddesi uyarınca İşletmeciler;

• Yukarıda sayılmış olan ilkeler çerçevesinde işlenmeye ilişkin güvenlik politikalarını belirlemek,
• İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını temin etmek,
• Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamak şeklinde,

Asgari güvenlik tedbirlerini abonelerine/kullanıcılarına temin etmekle sorumlu tutulmuştur.

Kişisel Verileri Koruma Kurumu (Kurum), gerekli gördüğü hallerde alınan güvenlik tedbirlerine ilişkin işletmecilerden bilgi ve belge isteyebilecektir. İdari yaptırım uygulama hakkı haricinde güvenlik tedbirlerinde değişiklik de talep edebilecektir.

İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür. Ayrıca sundukları hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının temininden sorumludur.

İşletmeciler, alınan tedbirlerin dışında şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden bir risk olması durumunda, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirecektir, bu riskin kişisel veri ihlali olması durumunda abonelere/kullanıcılara ve Kuruma en kısa sürede bildirimde bulunacaktır. 

Açık rıza alınması gereken durumlarda işletmeciler aşağıdaki şartları yerine getirmekle yükümlüdür:

• Açık rıza belirli bir konuya ilişkin ise ilgili işlem öncesinde alınması gerekmektedir. Konu ve ilgili işlem ile sınırlandırılmayan genel nitelikteki rızalar geçersiz kabul edilecektir. Ayrıca, kullanıcı/abone işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilecektir.
• Açık rıza özgür irade ile açıklanmalıdır ve açık rıza verme ön şarta bağlanmamalıdır. Bununla birlikte; hediye, dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edebilecektir.
• Bilgilendirme sonrası abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınacaktır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilmeyecektir. İşletmeciler açık rıza gösteren kayıtları asgari abonelik süresince saklamakla yükümlüdür.
• Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1. Aktarılacak verinin kapsamı,
2. Aktarılacak tarafın adı ve açık adresi,
3. Aktarma amacı ve süresi,
4. Üçüncü tarafın yurtdışında olması halinde aktarılacak ülkenin adı şeklinde bilgiler verilerek,

açık rıza alınacaktır. Bilgilerde değişiklik olması halinde açık rıza tekrar alınacaktır. İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.

 İşletmeci, arayan numaranın görünmesine imkan sağladığı durumlarda;

• Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkanı sağlamakla,
• Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkanı sağlamakla
• Arayan kişinin numarasını gizlemesi halinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla,

Yükümlü kılınmıştır.

• İşletmeci, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkan sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkanı sağlamakla yükümlüdür.
• İşletmeci, numara gizleme imkanları ile alakalı abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirmekle yükümlüdür.
• Arayan numaranın gizlenmesi imkanı, acil yardım çağrıları için geçerli değildir.

Otomatik çağrı yönlendirmeye ilişkin olarak ise,

• İşletmeci, aboneye/kullanıcıya kendisine 3. Kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkanı tanıyacaktır.
• İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması halinde, abonenin/kullanıcının onayı alınacaktır.

Abonelerin talep etmeleri halinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesi işletmeciler tarafından sağlanacaktır.

İşletmeciler, abonelerin/kullanıcıların verilerinin işlenmesine ilişkin, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile ücretsiz olarak geri almalarına imkan sağlayacaktır. Bu imkana ilişkin bilgilendirme de açık rıza alınması sırasında yapılacaktır.

İşletmeciler tarafından her yılın 3. Çeyreği içinde (Temmuz, Ağustos, Eylül), mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılacaktır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulacaktır.

İşletmeciler tarafından yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilecektir.

Aboneliğin sonlanması halinde, sona erme tarihi itibariyle, abonenin aksi talebi yoksa daha önce verilen tüm açık rızalar geri alınmış sayılacaktır.

Yönetmelik kapsamında abonelere/kullanıcılara yapılan tüm bilgilendirmeler ücretsiz olarak gerçekleştirilecektir.

Bu kapsamdaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmeciye ait olacaktır.

Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerinin derhal durdurulması gerekmektedir.

Yönetmelik yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızalar geçerli sayılacaktır.

Yönetmeliğin yürürlük tarihinden önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda bu işlem, yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulacaktır.

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ile ilgili Yönetmelik metnine buradan ulaşabilirsiniz.

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ile ilgili daha fazla bilgi almak için info@berkerberker.com adresinden bize ulaşabilirsiniz.