• GİRİŞ

04.12.2020 tarihli, 31324 sayılı Resmi Gazete’de yayımlanan ‘’Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik’’ (‘’Yönetmelik’’) yayınlanmış olup, Yönetmelik yayınlandığı tarihten altı ay sonra, 04.06.2021 tarihinde yürürlüğe girecektir.

Yönetmelik’in yürürlüğe girmesi ile birlikte 24.07.2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik (“Mülga Yönetmelik”) yürürlükten kalkmış olacaktır.

Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin abonelerine ait veriler bakımından uymaları gereken usul ve esaslara ilişkindir.

  • YÖNETMELİK KAPSAMINDA GETİRİLEN DÜZENLEMELER

Yönetmelik kapsamında getirilen düzenlemelere ilişkin özet bilgi ve değerlendirmelerimiz aşağıdaki gibidir:

  1. İlkeler

Kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkeleri geçerlidir.  Buna ek olarak, milli güvenlik gerekçesi ile trafik ve konum verilerinin yurtdışına çıkartılmaması esastır.

Yukarıda belirtilen ilkeler, kişisel verilerin korunmasına ilişkin genel mevzuat olan Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan genel veri işleme ilkeleri ile paraleldir.

Mülga Yönetmelik’te genel anlamda tüm kişisel verilerin yurtdışına çıkartılmaması esası benimsenmekte iken, burada söz konusu ilke yurtdışına çıkarmama ilkesi trafik ve konum verileri ile sınırlı tutulmuştur. Bültenin devamında da görülebileceği üzere, yurtdışına çıkartmamanın esas olması, trafik ve konum verilerinin yurtdışına aktarımının yasak olması anlamına gelmemektedir. Trafik ve konum verileri Yönetmelik’te belirtilen özel şartlar dahilinde yurtdışına aktarılabilecektir. Unutmamak gerekir ki; zaten KVKK kapsamında da şu anda kişisel verilerin yurtdışına aktarılması ilgili kişinin açık rızasıyla ya da Kişisel Verileri Koruma Kurulu’ndan temin edilen genel bir izinle mümkün olmaktadır.

2.Güvenlik

Yönetmelik’in güvenlik bölümünü düzenleyen 6. maddesine göre işletmeciler, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla KVKK’ya, ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbirleri alır. Bu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak muhtemel riske uygun düzeyde alınmalıdır.

Bu noktada belirtmek gerekir ki; KVKK kapsamında belirtilen teknik ve idari tedbirler tek tek sayılmamakta ve bu konuda Kişisel Verileri Koruma Kurulu’nun tavsiye ettiği teknik ve idari tedbirler göz önüne alınmaktadır ancak Yönetmelik’in 6/2 maddesinde teknik ve idari tedbirlerin işletmeciler özelinde asgari olarak neleri içermesi gerektiği sayılmıştır. Buna göre; bu tedbirler asgari olarak;

  1. Yukarıda belirtilen ilkeler çerçevesinde kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlemeyi,
  • İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını,
  • Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanmasını,

içerir.

Yönetmelik’in 6. maddesi kapsamında getirilen diğer bir önemli düzenleme ise işlem kayıtlarının saklanmasına ilişkindir; işletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür.

3.Riskin ve Kişisel Veri İhlalinin Bildirilmesine İlişkin Düzenlemeler

Yönetmelik’in 7. maddesi uyarınca işletmeciler, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden ve alınan tedbirlerin dışında kalan belirli bir risk olması durumunda; söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirmelidir.

Buna ek olarak, söz konusu riskin KVKK anlamında bir kişisel veri ihlali teşkil etmesi durumunda, işletmecinin konu hakkında Kişisel Verileri Koruma Kurulu’na ve abone/kullanıcılara bildirimde bulunma yükümlülüğünden bahsedilmiştir; bu düzenleme zaten KVKK’nın genel hükümleri ve Kişisel Verileri Koruma Kurulu kararlarının gereğidir. Kişisel Verileri Koruma Kurulu kararları uyarınca burada bildirim süresi 72 saat olarak uygulanmalıdır.

4.Açık Rıza Alma Şartlarına İlişkin Düzenlemeler

Yönetmelik’in 8. maddesi uyarınca işletmeciler, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki şartları yerine getirmekle yükümlü olup, burada KVKK’da öngörülen temel ilkelere ek düzenlemeler olduğundan, bu tür bir farklılığın olduğu her madde altında değerlendirmemizi belirttik:

a) Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul edilir.

b) Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.

Değerlendirme: KVKK’da açık rızanın hizmetin ön şartı olarak sunulamayacağı açık şekilde ifade edilmese de, Kişisel Verileri Koruma Kurulu’ndaki genel yaklaşım bu yöndedir. Aynı husus Ticari Elektronik İleti Mevzuatı kapsamında alınan ticari elektronik ileti izinlerinin alınma yöntemi açısından da geçerlidir. Açık rızanın hizmetin ön şartı olması yasaklanmış ise de, son cümlede getirilen düzenleme ile hizmete ek olarak sağlanan faydalar bu yasağın kapsamı dışında bırakılmıştır. Bu düzenleme, işletmecilerin açık rıza temin etmesini kolaylaştırabilecektir.

c) Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.

Değerlendirme: Burada bahsedilen bilgilendirme yükümlülüğü, KVKK’da yer alan aydınlatma yükümlülüğünün bir yansımasıdır fakat burada KVKK’da olmayan bir şekil şartı öngörülmüştür.

ç) İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.

Değerlendirme: KVKK kapsamında açık rızanın, yukarıda son cümlede yasaklandığı şekilde temin edilmesinin uygun olmadığı net bir şekilde ifade edilmemektedir fakat Kişisel Verileri Koruma Kurulu kararlarının yaklaşımı da paralel niteliktedir.

Son cümle ile getirilen açık düzenleme kapsamında, örneğin abone/kullanıcıya sözleşme içerisinde ya da sözleşmeyi kabul esnasında açık rıza dayatılması mümkün olmayacaktır.

d) İşletmeciler, abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.

e) Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

  1. Aktarılacak verinin kapsamı,
  2. Aktarılacak tarafın adı ve açık adresi,
  3. Aktarma amacı ve süresi,
  4. Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı, şeklindeki bilgiler verilerek ayrıca açık rıza alınır.

Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.

Değerlendirme: Trafik ve konum verilerinin yalnızca yurtdışında değil, yurtiçindeki üçüncü kişiler de dahil olmak üzere herhangi bir üçüncü kişiye aktarılması durumunda getirilen ve ayrıca bu bilgilerde bir değişiklik olduğunda yeniden ortaya çıkan açık rıza temin etme yükümlülüğü, şüphesiz ki işletmecilere KVKK kapsamındaki genel yükümlülüklerin üzerinde bir sorumluluk yüklemektedir zira KVKK uyarınca verilerin yurtiçindeki üçüncü taraflara aktarımı KVKK madde 5 veya 6’daki istisnai durumlara dahil olabildiği ölçüde, açık rızayı gerektirmemektedir fakat burada herhangi bir istisnai durum dikkate alınmaksızın ve üçüncü tarafın yurtiçinde ya da yurtdışında olması durumu dikkate alınmaksızın, katı bir açık rıza temin etme yükümlülüğü tesis edilmiştir.

f) İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.

5.Trafik ve Konum Verilerine İlişkin Aydınlatma Yükümlülüğü

Yönetmelik’in 9. maddesine göre, KVKK madde 10 hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.

Bu düzenlemeye göre, işletmeciler trafik ve konum verilerinin işlenmesi hususunda; KVKK madde 10’da yer alan genel aydınlatma yükümlülüğüne ek olarak, Yönetmelik’in 9. maddesi kapsamında abone/kullanıcıları ayrıca bilgilendirmekle yükümlüdür. Bu açıdan, trafik ve konum verilerinin işlenmesi hususunda yine işletmecilere ek sorumluluk yüklenmesi söz konusudur.

6.Numaranın Gizlenmesine İlişkin Düzenlemeler

Yönetmelik’in 10. maddesi uyarınca işletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda;

  1. Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,
  2. Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla,
  3. Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla, yükümlüdür.

İşletmeci, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür. İşletmeciler, yukarıda belirtilen imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirmekle yükümlüdür. Bununla birlikte arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir.

İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanımakla yükümlüdür. İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması hâlinde, abonenin/kullanıcının onayı alınır.

İşletmeciler, abonelerin talep etmeleri hâlinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar.

7.Abonenin/Kullanıcının Diğer Hakları

İşletmeciler, abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. Bu imkâna ilişkin bilgilendirme de açık rıza alınması sırasında yapılır.

İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.

Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır. Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurur.

Kanaatimizce; burada bahsi geçen veri işleme faaliyetleri yalnızca KVKK kapsamındaki istisnalara tabi olmayacak veri işleme faaliyetleri ya da bu Yönetmelik uyarınca özel olarak açık rızaya tabi olan trafik ve konum verilerinin işlenmesi faaliyetleridir. Zira, bir işletmecinin abonelerine ait ad, soyad ve iletişim bilgisi gibi bir takım kişisel verileri işlemesi aralarındaki hizmet ilişkisinin bir gereği olup, KVKK madde 5 çerçevesinde değerlendirileceğinden burada bir açık rızaya ihtiyaç olmamalıdır; dolayısıyla maddede belirtildiği gibi her yılın üçüncü çeyreğinde açık rızanın hatırlatılması ve aboneliğin sona ermesi ile birlikte bu verilerin imha edilmesi gibi hususlar devreye girmemelidir ve KVKK’nın genel hükümleri kapsamında tespit edilecek saklama süresi boyunca veriler saklanabilmelidir.

8.Mevcut Rızaların Durumu

Yönetmelik’in yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızalar geçerli sayılacaktır. Bu kapsamda, daha önce KVKK’nın genel hükümlerine göre abone/kullanıcılardan temin edilmiş açık rızalara istinaden veriler işlenebilecektir.

 Öte yandan, Yönetmelik’in yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, Yönetmelik’in yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulur.

  • SONUÇ VE DEĞERLENDİRME

Mülga Yönetmelik’ten sonra yürürlüğe giren KVKK ile Mülga Yönetmelik hükümleri arasında örtüşmeyen noktaların olması sebebiyle, elektronik haberleşme sektöründe kişisel verilerin gizliliğinin korunmasına ilişkin güncel bir yasal düzenlemeye gidilmesi uzun zamandır beklenmekte idi.

04.06.2021 tarihi itibariyle yürürlüğe girecek olan bu Yönetmelik’in elektronik haberleşme sektöründe faaliyet gösteren işletmeciler yönünden, KVKK kapsamındaki hususlara ek olarak birçok kritik sorumluluk altına gireceği ve özellikle trafik ve konum verilerinin işlenmesi konusunun oldukça hassas bir şekilde ele alınacağı anlaşılmaktadır.

Son olarak, Yönetmelik’te yer verilen özel düzenlemeler saklı kalmak kaydıyla, Yönetmelik hükümlerinin, veri korumaya ilişkin genel mevzuat olan KVKK ışığında yorumlanması gerektiği unutulmamalıdır.