Elektronik Haberleşmede Kişisel Veri

Elektronik Haberleşmede Kişisel Veri

04.12.2020 tarihli ve 31324 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunmasına İlişkin Yönetmelik (“Yönetmelik”) uygulamada esaslı değişiklikler getirecektir. Bu bakımdan Yönetmelik düzenlemesini incelemekte fayda vardır.


I. YASAL ALTYAPI


Bilgi Teknolojileri ve İletişim Kurumu, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin (tüzel kişi abonelikleri dâhil) elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uymaları gereken usul ve esasları belirlemiştir.


Bu kapsamda 05.11.2008 tarihli ve 5809 Sayılı Elektronik Haberleşme Kanunu’nun (“Kanun”) 4., 6., 12., 49., 51. ve 60. maddelerine dayanılarak hazırlanan “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunmasına İlişkin Yönetmelik” (“Yönetmelik”) 6 ay sonra yürürlüğe girmek üzere 04.12.2020 tarihinde 31324 Sayılı Resmi Gazete ’de yayımlanmıştır.


II. GENEL OLARAK


Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye “kişisel veri” denilmektedir.


Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması, ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem de “kişisel verilerin işlenmesi” kapsamındadır.


Yönetmelik ile özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasların belirlenmesi amaçlanmıştır. Buna göre kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmeli, doğru ve gerektiğinde güncel olmalı, belirli, açık ve meşru amaçlar için işlenmeli, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
Ayrıca kişisel verilerin işlenmesinde ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ve milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması ilkeleri benimsenmiştir.


III. SAĞLANAN İMK NLAR VE GÜVENLİK


Yönetmelik’in 6. maddesine göre işletmeciler abonelerine veya kullanıcılarına ait kişisel verilerin ve sundukları hizmetin güvenliğini sağlamak amacıyla Kişisel Verilerin Korunması Kanunu’na, ulusal ve uluslararası standartlara uygun olarak her türlü teknik ve idari tedbirleri almakla yükümlüdür. Yükümlü oldukları bu güvenlik tedbirleri, teknolojik imkânlar gözönünde bulundurularak muhtemel riske uygun düzeyde alınmalıdır. Kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliği sağlanmalı ve kişisel verilere sadece yetkili kişiler erişebilmelidir.


İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü olup şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda ise söz konusu riskin kapsamını ve giderilme yöntemleri hakkında ilgili abone veya kullanıcılara en kısa sürede haber vermelidir.


Abone veya kullanıcılardan açık rıza alınması gereken durumlarda işletmeci açık rızayı konuya ilişkin olarak ilgili işlem öncesinde almalı, açık rıza beyanı özgür ifade ile açıklanmış olmalıdır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar ise geçersiz olsa da hediye dakika, sms ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.


Açık rıza beyanının alınması öncesinde abonenin/kullanıcının; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilmesi gerekir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az 12 punto halinde yazılmalıdır. Ayrıca abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınmalıdır.
Abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerlevermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına olanak sağlanmalıdır. Bu imkâna ilişkin bilgilendirme açık rıza sırasında yapılmalıdır.


Her yılın üçüncü çeyreğinin içinde mobil numara bilgisi bulunan abone/kullanıcılara asgari kısa bir mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılmalıdır. Aksi takdirde daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.


Aboneliğin sona ermesi halinde, sona erme tarihi itibariyle abonenin/kullanıcının aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır.


IV. SONUÇ VE YAPTIRIM


Yasa dışı, yetki dışı veya istem dışı olarak; kişisel verilerin tahrip edilmesine, silinmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlali “kişisel veri ihlali”dir.


Elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasların belirlendiği Yönetmelik”te belirtilen yükümlülüklerinin işletmeciler tarafından yerine getirmemesi halinde, (olası suçlarıngerektirdiği cezai şikayet hakları ve maddi-manevi tazminat talepleri haricinde) 15.02.2014 tarihli ve 28363 sayılı Resmi Gazete’de yayımlanan “Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’ndeki hükümler uygulanacaktır.


Av. Oğuz Kara (kara@oguzkara.av.tr)

Stj. Av. Deniz Bayraklı

Languages »