Kişisel Verilerin Korunması Hukukunun Sektörel Yansımaları: Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik

I- GİRİŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 2016 yılında yürürlüğe girmesiyle, Türk Hukuk sisteminde bu alanda çerçeve niteliğinde bir düzenleme getirilmiştir. Kişisel veri, veri sorumlusu, ilgili kişi gibi kavramların tanımlandığı, kişisel veri işleme şartlarının ve genel ilkelerinin belirlendiği, veri sorumlularının yükümlülüklerinin, ilgili kişilerin haklarının düzenlendiği ve yaptırımların öngörüldüğü bu düzenleme ile Türk Hukukunda Kişisel Verilerin Korunması Hukuku dalı yasal bir çerçeveye oturmuştur.

Ancak, KVKK’nın yürürlüğe girmesiyle birlikte birçok uygulama belirsizlikleri de gündeme gelmiştir. Özellikle sektörel alanlarda KVKK’nın gereklerinin nasıl yerine getirilmesi gerektiği ancak Kişisel Verileri Koruma Kurumu’nun yönlendirmeleri, açıklamaları ve kararları doğrultusunda şekillenmektedir. Kişisel verilerin korunması mevzuatına tam uyum açısından, söz konusu sürecin halen devam ettiği ve halen çözüm bekleyen birçok sorunun bulunduğu görülmektedir.

Bu çerçevede, farklı sektörde farklı kişisel veri işleme faaliyetlerinin ya da kişisel veri tiplerinin bulunduğu da gözetilmelidir. Örneğin bankacılık, sağlık ve elektronik ticaret gibi alanlara özgü uygulamalar, bu alanlarda uygulanacak özel kişisel veri işleme kurallarını beraberinde getirmiştir. Bu düzenlemeler genellikle ilgili sektörleri düzenleyen kanun ve yönetmeliklerde kişisel veri ile ilgili maddelere yer verilmesi yahut konuyla ilgili uluslararası düzenlemelere uyum gösterilmesi şeklinde gerçekleşmektedir.[1] Dolayısıyla, KVKK’nın genel bir düzenleme, sektörel düzenlemelerin ise özel düzenlemeler olduğu söylenebilecektir. Ancak genel norm, özel norm ilişkisi çerçevesinde; özel normların genel normlara aykırı olmayacak ve bütünlük gösterecek şekilde geliştirilmesi gerektiği de tartışmasızdır.

Benzer şekilde elektronik haberleşme alanını düzenleyen 5809 sayılı Elektronik Haberleşme Kanunu’nun (“EHK”) 51 inci maddesinde de ilgili sektörde kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin düzenlemelere yer verilmiştir. Ancak bu sektör bakımından yakın zamanda getirilen bir yenilik olarak; Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) tarafından “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik” (“Yönetmelik”) hazırlanmıştır. İlgili Yönetmelik ile, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dahil olmak üzere elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uymaları beklenen usul ve esaslar belirlenmiştir. 04.12.2020 tarihli ve 31324 sayılı Resmî Gazete’de yayımlanan ve elektronik haberleşme sektöründe kişisel veri işleme faaliyetlerini değiştirecek işbu Yönetmelik, 04.06.2021 tarihi itibariyle yürürlüğe girecektir. Bu çalışmada, Yönetmelik tarafından getirilen yenilikler EHK ve KVKK açısından değerlendirilecektir.

II- ELEKTRONİK HABERLEŞME SEKTÖRÜNDE TEMEL KAVRAMLAR

Yönetmelik ile öngörülen yenilikleri açıklamadan önce, elektronik haberleşme sektörüne özgü kavramların tanımlanması faydalı olacaktır[2]. Öncelikle, EHK uyarınca; elektronik haberleşme elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesi, gönderilmesi ve alınması olarak tanımlanmıştır. Dolayısıyla e-posta, SMS, telefon, faks, telsiz vs. ile gerçekleştirilecek yazılı veya sözlü iletişimler elektronik haberleşme kavramı içerisinde yer almaktadır. Bu kapsamda elektronik haberleşme alanında iki önemli figür bulunmaktadır; işletmeci ve abone.

EHK ve Yönetmelik kapsamında işletmeci; BTK nezdinde yürütülecek yetkilendirme süreci çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket olarak tanımlanmıştır. Dolayısıyla elektronik haberleşme hizmeti, şebekesi ya da altyapısı sağlayan şirketlerin, BTK nezdinde kayıtlı ve yetkilendirilmiş olmaları gerekmektedir.[3] Böylece hem rekabetin artırılması hem de tüketici nezdinde güven ortamının tesis edilmesi amaçlanmıştır.

Abone ise; bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye (abonelik sözleşmesine) taraf olan gerçek ya da tüzel kişiyi ifade etmektedir. Abonelik kavramının tüzel kişileri kapsayacak şekilde genişletilmesiyle KVKK uyarınca yalnız gerçek kişilerle ilişkilendirebilen verilerin kişisel veri kabul edilmesi sınırlaması kaldırılmıştır.

Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi ise kullanıcı olarak adlandırılmaktadır. Böylece belirli konularda abonelik ilişkisi bulunmayan kişiler bakımından da düzenlemelerin uygulama alanı genişletilebilmiştir.

Bundan ayrı olarak; elektronik haberleşme sektörüne özgü kişisel veri tipleri bulunmaktadır.a  Bunlardan;

Konum verisi, kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi,

Trafik verisi, bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veriyi ifade etmektedir.

Trafik verisi ile konum verisinin neler olduğu uygulamada ve literatürde karıştırılabilmektedir. Örneğin bir kişinin sabit telefon adresi sadece konum verisi iken, bir cep telefonu abonesi tarafından yapılan çağrının tarih ve saati sadece trafik verisidir. Ancak bir cep telefonu çağrısının başlatıldığı veya sonlandırıldığı hücrenin kimlik numarası hem trafik hem de konum verisidir.[4]

Trafik verisi ile konum verisi, Yönetmelik’te de ayrıca önemsenmiş, bu verilere ilişkin aydınlatma yükümlülüğü, açık rıza alma koşulları, üçüncü kişilere aktarımı gibi hususlar düzenlenmiştir.

III-İLKELER VE UYGULAMA ESASLARI

  1. İlkeler

İlgili Yönetmelik’te KVKK ve EHK’na paralel bir şekilde kişisel verilerin işlemenin temel ilkelerine tekrar yer verilmiş ve aşağıda belirtilen ilkelere uyulması zorunlu kılınmıştır:

  1. a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,
  2. b) Doğru ve gerektiğinde güncel olması,
  3. c) Belirli, açık ve meşru amaçlar için işlenmesi,
  4. d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  5. e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.

Bununla birlikte, milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması da esas tutulmuştur. Dolayısıyla, işbu verilerin Türkiye’de saklanması gerektiği öngörülmüştür. EHK’da da “Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir.” hükmüne yer verilmiştir.

Dolayısıyla bu noktada KVKK’da kişisel verilerin yurt dışına aktarılması noktasında öngördüğü korumaya ek bir koruma getirilmiştir.[5] Trafik ve konum verileri bakımından KVKK’da belirlenen açık rızaya gerek olmaksızın aktarımın gerçekleştirilebilmesi imkanı tanınmamıştır. Ancak özellikle bulut alanında gerçekleştirilen saklama, geniş anlamda veri işleme faaliyetlerinin günümüzde oldukça yaygınlaştığı düşünüldüğünde, ilgili hüküm işletmeciler açısında uygulamada sakınca yaratabilecektir.

  1. Güvenlik

Yönetmelik gereğince, işletmeciler abonelerine ve kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla EHK ve KVKK başta olmak üzere ulusal ve uluslararası standartlara uygun gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. İşbu güvenlik tedbirleri, teknolojik imkanlar dahilinde muhtemel riske uygun düzeyde olmalıdır.

Söz konusu tedbirler asgari olarak;

– Yukarıda belirtilen ilkeler çerçevesinde kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlemeyi,

– İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını,

– Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanmasını

içermek durumundadır.

Ayrıca BTK, gerekli gördüğü hallerde işletmecilerden alınan güvenlik tedbirlerine ilişkin bilgi ve belge isteyebilecektir. İlgili güvenlik tedbirleri hakkında yaptırım uygulanabileceği gibi tedbirlerde değişiklik talep edilebilmesi de mümkündür.

İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki (2) yıl saklamakla yükümlüdür.[6]

Ayrıca işletmeciler; yetkilendirdikleri taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dahil olmak üzere, sundukları hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının temininden de sorumludur. Dolayısıyla işletmeciler geniş bir sorumluluk altında bırakılmışlardır.

  1. Riskin ve Kişisel Veri İhlalinin Bildirilmesi

– Riskin Bildirilmesi:

İşletmeciler, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; i) bu risk ve ii) bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde söz konusu riskin kapsamı ve giderilme yöntemleri hakkında ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirmekle yükümlüdür.

Burada, KVKK ile getirilen ilgili kişiye bildirim yükümlülüğü genişletilmiştir. Şöyle ki KVKK’nın 12 inci maddesi gereğince ilgili kişilere bildirim yapılması için işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi başka bir deyişle bir kişisel veri ihlali gerçekleşmesi gerekmektedir. Ancak Yönetmelik bakımından, işletmecilere kişisel veri ihlali gerçekleşmemesine rağmen buna yönelik bir riskin meydana gelmesi halinde de ilgili kişilere bildirim yapılması gerektiği belirtilmiştir.

Ne var ki, hangi tarz risklerin bildirime konu edilmesi gerektiği, ilgili bildirimin nasıl yapılacağı, en kısa süre kavramında Kişisel Verileri Koruma Kurulu kararında[7] belirlenen 72 saatlik sürenin burada da söz konusu olup olmayacağı gibi detaylar halen belirlenmiş değildir. Bu nedenle ilgili hükmün uygulamasının işletmeciler bakımından belirsizliklere yol açması oldukça muhtemeldir.

– Kişisel Veri İhlalinin Bildirilmesi:

Bundan ayrı olarak, kişisel veri ihlali söz konusu olması halinde ise, KVKK ve ilgili mevzuat uyarınca Kişisel Verileri Koruma Kurumuna, ilgili abonelere/kullanıcılara ve ayrıca BTK’ya en kısa sürede bildirim yapılacağı belirtilmiştir. Kişisel Verileri Koruma Kurulu’nun kararı gereğince Kişisel Verileri Koruma Kurumu’na ve ilgili abonelere/kullanıcılara derhal ve en geç 72 saat içerisinde bildirimin yapılması gerektiği bilinmektedir. Ancak işbu süre sınırının BTK açısından da söz konusu olup olmadığına ilişkin net bir düzenleme henüz mevcut değildir.

İşletmeciler, sektördeki faaliyetleri nedeniyle BTK ile yakın faaliyette olduğundan, BTK’ya da kişisel veri ihlali durumunda bildirimde bulunulması BTK’nın sektör içerisindeki kişisel verilerin işlenmesi ve gizliliğin korunması konularını daha fazla görünebilir hale getirebilmesini sağlayacaktır. BTK’ın özellikle KVKK öncesinde işletmecilerin kişisel verilerin ve gizliliğin korunması noktasında hatalı uygulamalarına ilişkin kararlar verdiği görülmektedir.[8] Kişisel veri ihlallerinin doğrudan BTK’ya da bildirilmeye başlanmasıyla, BTK’nın bu alanda daha aktif olacağı tahmin edilmektedir. Ancak, BTK ile Kişisel Verileri Koruma Kurumu’nun senkronize ve uyumlu bir şekilde çalışabilmesi ve mükerrer idari cezalara sebebiyet vermemeleri de oldukça önemli olacaktır.

  1. Açık Rıza Alma Şartları

KVKK’nın yürürlüğe girmesiyle, ne yazık ki birçok sektörde açık rıza alınma şekli ve açık rızanın sınırları yanlış anlaşılmış ve pek çok hatalı uygulama ile karşılaşılmıştır. Söz konusu durum elektronik haberleşme sektöründe de oldukça yoğun olarak görüldüğünden, Yönetmelikle açık rıza alınırken yerine getirilmesi gereken şartlar ve trafik/konum verileri hakkında açık rıza alınırken uyulması gereken esaslar düzenlenmiştir.

Buna göre, işletmeciler aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki esaslara uygun hareket etmek ve gösterilen şartları yerine getirmek zorundadır:

  • Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar ise geçersiz kabul edilecektir.
  • Açık rıza beyanı ilgili kişinin özgür iradesine dayalı olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması; abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanmamalıdır.

Ancak Yönetmelik düzenlemesine göre hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilecektir. Söz konusu düzenleme oldukça tartışmalıdır ve KVKK’da belirlenen genel ilkelere uygun görülmemektedir.

  • Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilecektir. İşbu bilgilendirmenin yazılı yapılması halinde ise yazılar en az on iki (12) punto ile hazırlanacaktır.

Burada bilgilendirme ile kast edilen veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesidir. Dolayısıyla, Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümleri de gözetilmelidir. Kişisel Verileri Koruma Kurulu da aydınlatma yükümlülüğünün mevzuata uygun şekilde yerine getirilmesini önemsemektedir. Kurul, yakın tarihli kararlarında işlenecek kişisel veri türlerinin tam olarak belirlenmesi ve işbu belirlenen kişisel veriler için ayrı ayrı işlenme amacının, kişisel veri işleme şartlarının ve süresinin belirlenmesi gerektiğini ifade etmiştir.[9]

  • İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınacaktır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Ayrıca bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemeyecektir.

Her bir hukuki işlem için ayrı açık rıza alınmasının temel amacı abone/kullanıcıları korumak olduğu görülse de uygulamada bu durumun “rıza yorgunluğuna” da sebebiyet verebileceği söylenebilecektir. Dolayısıyla, abonelerin/kullanıcıların açık rızasını gerektiren belirli durumu anlaması ve rıza yorgunluğundan kaçınılması adına rıza gerekliliği gerekmeyen hallerde gündeme getirilmemesi gerekmektedir.

  • İşletmeciler; abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.
  • Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu ise;
  1. i) Aktarılacak verinin kapsamı,
  2. ii) Aktarılacak tarafın adı ve açık adresi,

iii) Aktarma amacı ve süresi,

  1. iv) Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı,

şeklindeki bilgiler verilerek ayrıca açık rıza alınması gereklidir.

KVKK uyarınca esasen açık rıza alınmadan önce ilgili kişiye sunulacak aydınlatma metninde kişisel verilerin işlenme amacı, toplanma şekli, hukuki sebebi ile birlikte aynı metinde kişisel verilerin kimlere hangi amaçla aktarılabileceği de belirtilebilmektedir. Ancak Yönetmelik gereğince trafik ve konum verilerinin yurt içine veya yurt dışına aktarımı söz konusu ise, bu konuya ilişkin ayrı bir aydınlatma metni hazırlanması ve ayrı bir açık rıza alınması gerektiği düzenlenmektedir. Ayrıca, bu yukarıda gösterilen bilgilerde bir değişiklik olması halinde, tekrar açık rıza alınması gerekecektir. Bilgilerde değişiklik olması halinde, tekrar açık rıza alınması gerekliliği, veri sorumlusunun aydınlatma yükümlülüğü ve şeffaflık ilkeleriyle bağdaştırılabilecektir.

Son olarak işletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlü tutulmuştur.

Bundan ayrı olarak, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler; KVKK’ nın “veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10. maddesi hükümleri saklı kalmak üzere, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür. Bu kapsamda, EHK ve ilgili diğer mevzuat hükümleri gereğince yahut yargı kararlarıyla açık rıza gerektirmeden trafik ve konum verilerinin işlenebileceği durumlar bakımından işletmecinin aydınlatma yükümlülüğü genişletilmiştir.

IV- YÖNETMELİK İLE SAĞLANAN İMKANLAR

İşbu bölümde abonelere/kullanıcılara sağlanan birtakım imkanlar açıklanmıştır. Bunlar:

  1. a) Numaranın Gizlenmesi:

Arayan numaranın görünebildiği durumlarda İşletmeci basit bir yöntemle ve ücretsiz olarak:

– Arayan kullanıcıya numarasını gizleme imkanı sağlamakla,

– Aranan aboneye gelen aramalarda arayan numaranın gösterilmesini engelleme imkanı sağlamakla,

– Arayan kişinin numarasını gizlemesi halinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla yükümlüdür.

Ayrıca işletmeci, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkan sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkanı sağlamakla yükümlüdür.

Bu imkanlar hakkında abonelerin/kullanıcıların kısa mesaj, internet veya benzeri araçlarla bilgilendirilmesi gerekmektedir.

Acil yardım çağrıları ise, arayan numaranın gizlenmesi imkanından istisna tutulmuştur.

  1. b) Otomatik Çağrı Yönlendirme:

İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkanı tanımakla yükümlü kılınmıştır.

İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması halinde ise, abonenin/kullanıcının ayrıca onayının alınması gerekmektedir.

  1. c) Ayrıntılı Faturalarda Gizlilik:

İşletmeciler, abonelerin talep etmeleri halinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlayabilecektir.

  1. d) Abonelerin/Kullanıcıların Diğer Hakları:
  • İşletmeciler, abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak; kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri alınmasına imkan sağlayacaktır. Bu imkana ilişkin bilgilendirme de yine açık rıza alınması sırasında yapılacaktır.
  • İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere; daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılacaktır. Bu yükümlülüğe aykırı hareket edilmesi halinde ise daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulacaktır.
  • İşletmeciler tarafından bu Yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilecektir.
  • Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmadıkça daha önce verilen tüm açık rızalar geri alınmış sayılacaktır.
  • Bu Yönetmelik kapsamındaki abonelere/kullanıcılara yapılacak tüm bilgilendirmeler, ücretsiz olarak gerçekleştirilecektir.
  • Bu Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu ise işletmeciye ait bırakılmıştır.
  • Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurmakla yükümlüdür.

V- YAPTIRIMLAR VE MEVCUT RIZALAR

  1. a) Yaptırımlar:

İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan “Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği” hükümleri uygulama alanı bulacaktır.

Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin kişisel verilerin korunmasına ilişkin ihlal hallerini düzenleyen 13 üncü maddesi gereğince de öngörülen yaptırımlar aşağıdaki gibidir:

Aşağıda belirtilen hallerde işletmecinin bir önceki takvim yılındaki net satışlarının aşağıda belirtilen oranına kadar idari para cezası uygulanır:

  1. a) İşletmecinin;

1) Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin tutulduğu sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlama yükümlülüğünü yerine getirmemesi,

2) İlgili mevzuat gereği abonelere/kullanıcılara ait işlenen ve saklanan trafik verilerinin öngörülen sürede tutma veya silme yükümlülüğünü yerine getirmemesi,

3) Trafik verisinin ve konum verisinin işlenmesine ilişkin yükümlülüklerini yerine getirmemesi,

4) Asgari istem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasına ilişkin yükümlülüklerini yerine getirmemesi,

5) Kişisel verilere ve ilişkili diğer sistemlere sağlanan tüm erişimlere ve erişim yetkisi olan personelin yaptığı işlemlere dair detaylı işlem kayıtlarını ilgili mevzuatta belirlenen süre boyunca tutma yükümlülüğünü yerine getirmemesi,

6) Kişisel verilerin işlenmesi ve gizliliğine ilişkin ilgili mevzuatta düzenlenen diğer yükümlülükleri ihlal etmesi,

halinde bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanır.”

  1. b) Mevcut Rızalar:

Yönetmelik 04.12.2020 tarihli Resmi Gazete’de yayımlanmış olmakla birlikte, 18. maddesinde belirtildiği üzere, yayım tarihinden altı ay sonra yani 04.06.2021 tarihi itibariyle yürürlüğe girecektir.a  Bu kapsamda, Yönetmeliğin Geçici 1. maddesi uyarınca, 04.06.2021 tarihinden önce hukuka uygun olarak alınmış rızalar geçerli kabul edilecektir.

Ancak Yönetmeliğin yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, bu Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir (1) ay içinde durdurulacaktır.

VI- SONUÇ

Günümüz dünyasında elektronik haberleşmenin neredeyse tek haberleşme tipi olarak kalması ve toplumun hemen her kesiminin bu sektörle bağlantısı bulunduğu gözetildiğinde, işletmeciler karşısında zayıf durumda olan abonelerin/kullanıcıların korunması gerektiği ortadadır. Bu açıdan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik, hem kişisel verilerin korunması mevzuatında sektörel bir düzenleme olması hem de abonelere/kullanıcılara güvenlik, veri aktarımları ve açık rıza alımları konusunda koruma sağlaması sebebiyle oldukça önemlidir.

Yönetmelik ile işletmecilere alınması gereken güvenlik önlemleri, açık rıza alım koşulları ve açık rızaların geçerlilik süreleri, abonelere/kullanıcılara numaraların gizlenmesi ve otomatik çağrı yönlendirme gibi imkanların sunulması noktasında birtakım yükümlülükler getirmiştir.

İlgili Yönetmelik hükümlerinin uygulamaya yansıması henüz bilinmese de özellikle açık rıza alım mekanizmalarında ve trafik/konum verilerinin işlenmesi süreçlerinde işletmeciler açısından birçok değişikliğe gidilmesi gerektiği ortadır. Aynı süreç, abonelerin/kullanıcıların bilinçlenmesine de vesile olacak, aboneler/kullanıcılar kişisel verilerini koruma konusunda hassasiyet göstereceklerdir.

[1] Örneğin 5411 sayılı Bankacılık Kanunu’nun 73 üncü maddesinde; kişisel veri haricinde tüzel kişileri de kapsayacak “müşteri sırrı” kavramı getirilmiş ve KVKK uyarınca açık rıza alınmış olsa dahi kişisel verilerin müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve bunlara aktarılamayacağı düzenlenmiştir.

Benzer şekilde sağlık sektörü alanında 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” yayımlanmıştır.

[2] Temel kavramların tanımları başta olmak üzere Yönetmelik’te yer verilen hususlar 2002/58/ EC Elektronik Veri Koruma Avrupa Birliği Direktifi’nden alınmıştır. İlgili Direktif’e ulaşmak için: https://edps.europa.eu/sites/edp/files/publication/dir_2002_58_en.pdf

[3] BTK nezdinde yürütülen yetkilendirme sürecine ilişkin detaylı bilgi için: https://www.btk.gov.tr/yetkilendirme-nedir

[4] Ayşe Çiğdem Ayözger- Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması- İÜ Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı- Doktora Tezi- İstanbul, 2016

[5] KVKK’nın yurt dışına kişisel veri aktarımını düzenleyen 9 uncu maddesi gereğince kişisel verilerin açık rızaya gerek duyulmaksızın işlenebilmesi için öngörülen hukuki sebeplerin varlığı ve i) aktarım yapılacak yabancı ülkede yeterli korumanına  bulunması ya da ii) yeterli koruma bulunmayan ülkeler bakımından da Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmektedir.

[6] Yönetmeliğin taslak aşamasında, ilgili kayıtların azami üç saatlik periyotlar halinde, her bir periyodu takip eden otuzuncu dakikaya kadar zaman damgası ile damgalanarak saklanması öngörülmüş idi. Ancak mevcut Yönetmelik metninde, ilgili düzenlemeye yer verilmemiştir.

[7] Kurul’un veri ihlal bildirimleri hakkındaki 24.01.2019 tarihli ve 2019/10 sayılı kararı: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi

[8] Örneğin Bilgi Teknolojileri ve İletişim Kurulu’nun TTNET AŞ’nin Phorm Şirketi aracılığıyla kişisel veri ihlali yaptığı iddiasına ilişkin 14.12.2012 tarihli ve 2012/DK-14/623 sayılı kararı:

https://www.btk.gov.tr/uploads/boarddecisions/ttnet-as-nin-phorm-sirketi-araciligiyla-kisisel-veri-ihlali-yaptigi-iddiasi.pdf

[9] Kişisel Verileri Koruma Kurulu’nun 08.10.2020 tarihli ve 2020/765 sayılı Karar Özeti: https://www.kvkk.gov.tr/Icerik/6844/2020-765

Hatice Zümbül, 2011 yılından bu yana Avukat olarak çalışmaktadır. İstanbul Üniversitesi Hukuk Fakültesi’nden 2010 yılında dereceyle (magna cum laude) mezun olmuştur.
Almanya/Hannover Leibniz Üniversitesi’nde Institute for Legal Informatics’de Bilişim Teknolojileri ve Fikri Mülkiyet Hukuku alanında LL.M. derecesine sahip olup, tez konusu “internet servis sağlayıcılarının üçüncü kişilerin marka ve telif hakkı ihlallerinden sorumluluğu” dur. Zümbül ayrıca Belçika/Kathoelieke Leuven Üniversitesi’nde fikri mülkiyet ile bilişim ve iletişim teknolojileri alanında yüksek lisans eğitimi almıştır.
Kişisel verilerin korunması alanında otuzun üzerinde uyum projesi yürütmüş olup, fikri mülkiyet, ticaret hukuku ve kişisel verilerin korunması konularında çok sayıda konferansa konuşmacı olarak katılmış, makaleler yazmış ve eğitimler vermiştir. Dünya Gazetesi’nde köşe yazarlığı yapmaktadır.
İleri seviyede İngilizce ve Almanca, temel seviyede Fransızca bilmektedir. Türkçe - İngilizce ve Türkçe - Almanca dillerinde yeminli tercümanlık yapmaktadır.
Türk Patent ve Marka Kurumu nezdinde marka ve patent vekilliği belgelerine ve “International Association of Privacy Professionals (IAPP)” nezdinde CIPP/E sertifikasına sahiptir.

Tuana Şahin, lise eğitimini İzmir Amerikan Koleji’nde, lisans eğitimini 2019 yılında İstanbul Üniversitesi Hukuk Fakültesi’nde tamamlamıştır.
2019 yılı itibariyle İstanbul Barosu’nda stajyer avukat olarak kayıtlıdır. Fikri Mülkiyet Hukuku, İnternet Hukuku, Veri Koruma & Gizlilik, Ticaret Hukuku, Sözleşmeler Hukuku alanlarında çalışmaktadır. İleri seviyede İngilizce ve orta seviyede Fransızca bilmektedir.