Bilgi Teknolojileri ve İletişim Kurumu’nun (“BTK”) uzun süredir beklenen Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik’i (“Yönetmelik”) 4 Aralık 2020 tarihli ve 31324 sayılı Resmî Gazete’de yayımlandı. Yönetmelik, 4 Haziran 2021 tarihi itibari ile yürürlüğe girecek.
BTK 2012 yılında aynı isimli yönetmeliği (“Mülga Olacak Yönetmelik”) Elektronik Haberleşme Kanunu’nun (“EHK”) 51. maddesine göre çıkarmış; ancak söz konusu 51. maddenin Anayasa Mahkemesince iptal edilmesinin ardından Mülga Olacak Yönetmelik dayanaksız kalmıştı. İşbu Yönetmelik, Mülga Yönetmelik’in yerine geçmek üzere hazırlanmış ve Mülga Olacak Yönetmelik açıkça yürürlükten kaldırılmıştır.
Yönetmelik incelendiğinde, Mülga Olacak Yönetmelik’in aksine, açık rıza olmaksızın tüm kişisel verilerin yurt dışına aktarımının yasaklanması yerine, EHK ile paralel olarak yalnızca trafik ve konum verisi gibi milli güvenlik için önemli verilerin kullanıcının açık rızası olmaksızın yurt dışına aktarılması yasaklanmıştır.
Yönetmelik işletmecilere, kullanıcıların kişisel verileri ile sunulan hizmetlerin güvenliğini sağlamak üzere her türlü teknik ve idari güvenlik önlemini alma yükümlülüğü getirmektedir. Yönetmelik’in 6. maddesinde ayrıca bu güvenlik önlemlerinin asgari düzeyi belirlenmiş ve bu kapsamda kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirleme; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunması ve yetkisiz erişimin engellenmesi hususlarına ilişkin işletmeciler yükümlendirilmiştir. İşletmeciler ayrıca kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü tutulmuşlardır.
Yönetmelik ile işletmeciler şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda kullanıcıları bu risk hakkında ve riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında bilgilendirmekle yükümlü tutulmuşlardır.
Yönetmelik’in 8. maddesinde açık rızaya ilişkin esaslara yer verilmiştir. Bu hükümlerin 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ile paralellik taşıdığı görülmektedir. KVKK gibi, Yönetmelik’te de açık rızanın belirli bir konuya yönelik olması ve özgür iradeye dayanması gerektiği, bu sebeple de hizmetin verilmesi için ön şart olarak getirilemeyeceği düzenlenmektedir. Ancak Yönetmelik’te açıkça ifade edildiği üzere, kullanıcılara hediye dakika ve SMS hakkı gibi yararlar sağlanarak bu açık rıza talep edilebilecektir. İşletmecilere ayrıca, kullanıcıları kişisel verileri ile konum ve trafik verilerinin işlenmesine ilişkin bilgilendirme yükümlülüğü getirilmiştir. Bilgilendirmenin yazılı yapılması halinde en az 12 punto ile yazılması ve ayrıca her yılın üçüncü çeyreğinde kullanıcılar açık rızaları kapsamında kişisel verilerinin işlendiğine dair bilgilendirilmeleri gerekmektedir. İlgili bilgilendirmenin yapılmaması halinde, daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.
Trafik ve konum verilerinin aktarıldığı tarafların yurtdışında bulunması halinde kullanıcıların aşağıdaki hususlarda bilgilendirilmeleri sağlanarak ayrıca bir açık rızanın alınması gerekmektedir:
- Aktarılacak verinin kapsamı,
- Aktarılacak tarafın adı ve açık adresi,
- Aktarma amacı ve süresi,
- Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı.
Ek olarak BTK’ya, işletmecilerin almakla mükellef kılındığı güvenlik tedbirleri hakkında bilgi isteme, gerekli görülmesi halinde ilgili tedbirlere dair değişiklik talep etme hakkı ve idari yaptırım yetkisi tanınmıştır.
Yönetmelik’te kullanıcılara ise numara gizleme, otomatik çağrı yönlendirme ve ayrıntılı faturada gizlilik gibi bazı haklar tanınmıştır.
4 Aralık 2020 Resmî Gazete’de yayımlanan Yönetmelik’e bu bağlantıdan ulaşabilirsiniz.
