Posted on by Tarlan Avukatlık Bürosu

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLER ÜZERİNE GELİŞMELER

Kişisel verilerin korunması mevzuatı Türkiye’de gelişmekte olan bir alan olmakla birlikte genel ilkeleri içinde barındıran ve özellikle Kişisel Verileri Koruma Kurul’u (“Kurul”) kararlarıyla şekillenmeye devam eden bir alandır. Ancak bazı sektörlerin ihtiyaçları ve özel koşulları gözetilerek ayrıca kişisel verilerle ilgili düzenlemelerin oluşturulması zorunluluğu doğmuştur. Bu sektörlerden biri de elektronik haberleşme sektörüdür ve bu kapsamda 4 Aralık 2020 tarihinde Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik (“Yönetmelik”) 4 Haziran 2021 tarihinde yürürlüğe girmiştir. Yönetmelik’in yürürlüğe girmesiyle birlikte Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik mülga edilmiştir. Şu an için yürürlükte olan ilgili Yönetmelik’e https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm adresi üzerinden ulaşabilirsiniz.

Yönetmelik’in ilk 3 maddesinde Yönetmelik’in düzenlediği alan, amacı, kapsamı ve hukuki dayanağına yer verilmiştir. Yönetmelik’in 4. maddesi ise sektöre ilişkin özel tanımları bünyesinde barındırmaktadır.

Burada özellikle yazımızın ilerleyen bölümlerinde de çokça kez değindiğimiz işletmeci tanımına yer vermek isteriz. 4. maddeye göre işletmeci, “Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi” ifade etmektedir.

Ayrıca, bu maddeler uyarınca Yönetmelik, özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları düzenlemektedir.

Yönetmelik Kişisel Verilerin Korunması Kanunu’nda Belirtilen Yükümlülüklere Ek, Elektronik Haberleşme Sektörü Özelinde Hangi Farklılıkları Barındırmaktadır?  

A. Kişisel verilerin işlenmesine ilişkin ilkeler, Kişisel Verileri Koruma Kanunu (“Kanun”) ile benzerlik göstermektedir. Ancak Kanun’dan farklı olarak elektronik haberleşme sektöründe milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esası benimsenmiş ve trafik ve konum verilerinin yurt dışına aktarılması özel bir usule tabi kılınmıştır. Aynı zamanda eğer işletmeciler trafik ve konum verisi işliyorlar ise işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdürler.

B. Alınacak idari ve teknik tedbirlerin asgari çerçevesi çizilmiştir. Bilindiği üzere Kanun’da veri sorumluları tarafından alınması gereken idari ve teknik tedbirler açıkça tek tek sayılmamaktadır. Ancak Yönetmelik uyarınca işletmeciler asgari olarak;

  • Kişisel verilerin işlenmesine ilişkin ilkeler çerçevesinde güvenlik politikalarını belirlemeyi,
  • İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını,
  • Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanmasını,

sağlamalıdır.

C. Elektronik haberleşme sektörü kapsamında işletmeciler ayrıca yetkilendirdikleri tarafların da sundukları hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının temininden sorumlu tutulmuştur.

D. İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür.

E. İşletmeciler tarafından açık rıza alınması gereken durumlarda dikkat edilmesi gereken noktalar aşağıdaki gibidir;

  • Açık rıza almadan önce işletmeciler abone/kullanıcıları açıkça bilgilendirmekle yükümlü kılınmıştır. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanacaktır.
  • İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanının yazılı veya elektronik ortamda alınması gerekliliği düzenlenmiştir.
  • Açık rıza, belirli bir konuya ilişkin olarak ve mutlaka işlem öncesinde alınmalıdır. Belirli bir konu ve işlemle sınırlandırılmayan açık rızaların geçersiz sayılacağı düzenlenmiştir.
  • Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır. Abonelik tesis edilmesi, temel elektronik haberleşme hizmetleri veya cihazların sunulması için açık rızanın abonenin/kullanıcının verilerinin işlenmesi ön şartına bağlanamayacağı düzenlenmiştir. Ancak, işletmeciler hediye dakika, SMS ve veri gibi ek fayda sağlama karşılığında aboneden/kullanıcıdan açık rıza talep edebileceklerdir.
  • İşletmeciler, abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak, açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlamalıdır. Bu imkâna ilişkin bilgilendirme de açık rıza alınması sırasında yapılır.

Tüm bunlara ek olarak Yönetmelik, numaranın gizlenmesine, otomatik çağrı yönlendirilmesine, faturalara ilişkin konularda ayrıntılı düzenlemeler içermektedir.

İlgili Kişiler İçin Farklılıklar Nelerdir?

Yönetmelik kapsamında abone “Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi”, kullanıcı ise “Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi” ifade etmektedir.

İşletmecilerin, abone ve kullanıcılara karşı sorumlulukları bulunmaktadır ve buna paralel olarak Yönetmelik, abone ve kullanıcılar için Kanun’da yer almayan bazı haklar öngörmüştür. Bunlar, aşağıdaki gibidir;

  1. İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılmalıdır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulmalıdır.
  2. İşletmeciler tarafından bu Yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Bilgi Teknolojileri ve İletişim Kurumu’nun düzenlemelerine uygun şekilde gerçekleştirilmelidir.
  3. Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılacaktır.

Kişisel verilere ilişkin mevzuat gelişmekle birlikte her sektör özelinde önemli kırılımları bünyesinde barındırmaktadır. Dolayısıyla özellikle veri sorumluluları kişisel verilere ilişkin çalışmalarını yürütürken kendi alanına özgü farklılıkları dikkatle değerlendirmeli ve mutlaka kişisel veriler alanında uzmanlaşmış bir personelden yardım almalıdır. Kişisel veriler alanıyla ilgili sorularınız olur ise bizimle her zaman iletişime geçebilirsiniz.

Av. Sinem İLİKLİ

TARLAN- BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN- AV. DERYA BAKSI

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: