Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesine İlişkin Yönetmelik Yayımlandı

En son güncellendiği tarih: 8 Ara 2020

04 Aralık 2020 tarihli ve 31324 sayılı Resmi Gazete’de yayımlanan ve altı ay sonra yürürlüğe girecek Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik (‘’Yönetmelik’’) ile özel hayatın gizliliği ile kişi hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunması amacıyla uygulanacak usul ve esaslara yönelik düzenlemeler getirilmiştir.


Yönetmeliğin Kapsamı

5.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun (“Kanun”) ilgili hükümleri uyarınca düzenlemeler getiren Yönetmelik kapsamında, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dahil olmak üzere haberleşme hizmeti sunulması sebebiyle elde ettikleri veriler bakımından uygulanacak usul ve esaslar düzenlenmektedir.


Bununla birlikte, Yönetmelik uyarınca sektör faaliyetinde bulunan işletmecilere, abonelere ve yapılan işlemlere yönelik Yönetmelik’in kapsamının belirlenmesi amacıyla tanımlar yapılmış olup söz konusu tanımlar aşağıda yer alan şekildedir.

  • Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi,

  • Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları,

  • Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

  • İşlem kaydı: Kişisel verilere ve ilişkili diğer sistemlere erişen kişiler tarafından yapılan işlemin, işlemin gerçekleştiği tarihten sonra tanımlanabilmesini teminen tutulan ve asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,

  • İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi,

  • Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

  • Kişisel veri ihlali: Yasa dışı, yetki dışı ya da istem dışı olarak; kişisel verilerin tahrip edilmesine, silinmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini,

  • Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

  • Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi,

  • Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi,

  • Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

  • Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

  • Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veriyi,

  • Veri: Kişisel veri, trafik verisi veya konum verisi

İlkeler ve Yönetmeliğin Uygulama Esasları

Yönetmelik’im ilkeleri 5.madde ile düzenlenmiş olup, maddenin 1.fıkrası uyarınca kişisel verilerin işlenmesinde i) hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, ii)doğru ve gerektiğinde güncel olması, iii) belirli, açık ve meşru amaçlar için işlenmiş olması, iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulmasının zorunlu olduğu belirtilmiştir. Bununla birlikte, aynı maddenin 2.fıkrası uyarınca ise, milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu düzenlenmiştir.


Yönetmelik’in ‘’Güvenlik’’ başlıklı 6.maddesi ile ise işletmeciler tarafından sağlanan hizmetler kapsamında abonelere ve/veya kullanıcılara ait verilerin korunmasına yönelik uygulanması gereken güvenlik tedbirlerine ilişkin hükümler getirilmiştir. Bu kapsamda alınması gereken güvenlik tedbirlerinin teknolojik imkanlar göz önünde bulundurularak muhtemel riske uygun düzeyde alınması gerektiği belirtilmiş olup ayrıca söz konusu tedbirlerin asgari olarak i) kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlemeyi, ii) istem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını, ve iii) kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanmasını içermesi zorunlu tutulmuştur.


Bununla birlikte, maddenin 3.fıkrası ile Kurum’un gerekli gördüğü hallerde alınan güvenlik tedbirlerine ilişkin işletmecilerden, bilgi ve belge isteyebileceği, ayrıca idari yaptırım hakkı saklı kalmak kaydıyla işletmeci tarafından uygulanan tedbirlerde değişiklik talep edebileceği düzenlenmiştir. Maddenin 4. fıkrası ile işletmecilerin kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işle kayıtlarını iki yıl saklamakla yükümlü oldukları belirtilmiştir.


Yönetmeliğin 7.maddesi uyarınca ise, işletmecilerin şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda risk hakkında ilgili aboneleri/ kullanıcıları, Kurumu ve Kişisel Verileri Koruma Kurumunu en kısa sürede bilgilendirmesi gerektiği düzenlenmiştir.


Bununla birlikte, 8.madde ile açık rıza alma şartları ve ayrıntıları hakkında hükümler düzenlenmiş olup, trafik ve konum verilerinin işlenebildiği hallerde, işlenebilecek trafik veya konum verisi türünü, işleme amacı ve süresi hakkında işletmecilerin abonelere/kullanıcılara bilgi vermekle yükümlü olduğu belirtilerek aydınlatma yükümlülüğü getirilmiştir. Ayrıca Geçici Madde 1 ile Yönetmeliğin yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızaların geçerli sayılacağı belirtilmiştir.


Sağlanan İmkanlar ve Çeşitli Hükümler

Yönetmeliğin ‘’Sağlanan İmkanlar’’ başlıklı Üçüncü Bölümü ile Yönetmelik ile işletmeciler tarafından abone/kullanıcılara i)numaranın gizlenmesi, ii) otomatik çağrı yönlendirme ve iii) ayrıntılı fatura sağlanması hallerinde kişisel verirlere ilişkin uygulanacak hükümler hakkında ayrıntılı düzenlemeler getirilmiştir.


Sonuç

Söz konusu Yönetmelik ile elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin söz konusu faaliyetleri sebebiyle kullanıcı/abonelere ait temin edilen kişisel verilerin işlenmesi, işlenmesine ilişkin usul ve esaslar ve güvenliğine ilişkin düzenlemeler getirilmiştir. Bununla birlikte, Yönetmelik ile getirilen yükümlülüklerin yerine getirilmemesi halinde 14.madde uyarınca idari yaptırım ile karşılaşma riskinin gündeme geleceğini belirtmekte fayda görmekteyiz.


Yönetmeliğe aşağıda yer alan bağlantıdan ulaşabilirsiniz.

https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm



26 görüntüleme0 yorum