1. Yönetmeliğin amacı nedir?

Yönetmelik, elektronik haberleşme alanında faaliyet gösteren şirketlerin, elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları düzenlemektedir. Söz konusu Yönetmelik hem gerçek kişi hem de tüzel kişi kullanıcı/abonelere ait işlenen verileri kapsamaktadır.

• Yönetmelik ne zaman yürürlüğe giriyor?

4 Aralık 2020 tarihinde Resmi Gazete’de yayımlanan Yönetmelik’in, yürürlük tarihi 4 Haziran 2021 tarihi olarak belirlenmiştir.

• Yönetmelik hangi düzenlemeleri getiriyor?

Yönetmelik’te yer alan birçok kavram ve ilke genel olarak Kişisel Verilerin Korunması Kanunu (“KVKK”) ile uyumlu olacak şekilde düzenlenmiştir. KVKK’nın 4’üncü maddesinde yer alan genel ilkeler gibi Yönetmelik de işletmecilerin kişisel verileri işlerken uyması gereken ilkeleri benzer şekilde sıralamıştır. Bahsi geçen ilkeler kısaca, kişisel verilerin işlenmesinde, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleridir.

1. Yönetmelik kapsamında düzenleme bulan en önemli konulardan biri de milli güvenlik gerekçesi ile trafik ve konum bilgilerinin yurt dışına aktarılamayacak olmasıdır.  Bu düzenleme ile kişisel verinin uluslararası seviyede taşıdığı önem ve özellikle yurt içinde saklanması gereği vurgulanmıştır.

1. İşletmecilerin kişisel verilerin korunmasına yönelik güvenlik tedbirlerini alması ve veri güvenliğinin sağlanmasına yönelik politikaları oluşturması gerekmektedir. Bu tedbir ve gereklilikler bakımında KVKK düzenlemeleri doğrudan uygulanacaktır. Söz konusu alınan güvenlik tedbirlerine istinaden Bilgi Teknolojileri ve İletişim Kurumu (“BTK”), gerekli gördüğü hâllerde işletmecilerden bilgi ve belge isteyebilir. Ayrıca BTK’nın idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebileceği de düzenlenmektedir.

1. Yönetmelik ile birlikte işletmecilerin söz konusu kişisel verilere ve ilgili diğer sistemlere yapacağı erişimlere ilişkin kayıtları 2 yıl süre ile saklayabileceği kararlaştırılmıştır.

1. İşletmeciler, yetkilendirdikleri taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere, sundukları hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının temininden sorumlu olacaktır.

• İşletmeciler’in hizmetin güvenliğini tehdit eden bir risk oluştuğunda ilgili aboneleri veya kullanıcıları bilgilendirme yükümlülüğü söz konusudur. Bir kişisel veri ihlali söz konusu ise, KVKK’da öngörülen şartlar sağlanarak hem BTK’ya hem Kişisel Verileri Koruma Kurumu’na hem de ilgili abonelere veya kullanıcılara bilgilendirme yapılması gerekmektedir.

İlgili Yönetmelikte KVKK’ya atıfta bulunularak, işletmelerin bildirim süresi “en kısa sürede” şeklinde düzenlenmiştir. Belirtmek gerekir ki Kişisel Verileri Koruma Kurumu da vermiş olduğu karar neticesinde “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına karar vermiş ve duyurmuş olup; yapılan atıf nedeni ile işletmelerin de bu süreyi dikkate alması gerekmektedir.

• Yönetmelik açık rıza gerektiren veri işleme faaliyetine ilişkin olarak, KVKK’da öngörülen düzenlemelere ek birkaç şart daha belirlemiştir. Buna göre; hediye dakika, SMS ve kişisel veri, trafik verisi veya konum verisin veri gibi ek fayda sağlanması karşılığında abonelerden veya kullanıcılardan açık rıza talep edilebileceği kararlaştırılmıştır. Bu düzenleme ile birlikte Yönetmelik’in özel bir açık rıza mekanizması getirdiği görülmektedir.

• Aydınlatma yükümlülüğü kapsamında ise KVKK düzenlemelerine ek olarak başkaca bilgilerin kapsanması veya şekil şartları gerekliliği düzenlenmiştir. Bu bağlamda işletmecilere aydınlatma yükümlülüğünü yerine getirirken, aydınlatma metni genel içeriği haricinde “işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi” bilgilerine yer verme yükümlülüğü getirilmiştir. Bilgilendirmelerin yazılı yapılması halinde yazıların “en az on iki punto” ile hazırlanması gerektiği düzenlenmiştir. KVKK’da yer alan aydınlatma yükümlülüklerinden farklı olarak işletmecilere, verilerin işlenme süresine de yer vermeleri gerektiği düzenlenmiştir.

• Trafik ve konum verilerinin üçüncü tarafa aktarılabilmesi için işletmeciler; aktarılacak verinin kapsamı, aktarılacak tarafın adı ve açık adresi, aktarma amacı ve süresi ve aktarılan tarafın yurt dışında olması halinde aktarılacak ülkenin adı hakkında abone ve kullanıcıları bilgilendirip, bu kişilerin açık rızasını almakla yükümlü kılınmıştır. Bu bilgilerde değişiklik olması halinde işletmeciler her seferinde tekrar açık rıza almak zorundadır.

İşbu düzenleme trafik ve konum verilerinin yalnızca yurt dışına aktarımında değil; yurt içindeki üçüncü kişilere aktarımında da açık rızanın şart olduğunu göstermekte ve işletmecilere KVKK kapsamındaki genel yükümlülüklerin üzerinde bir sorumluluk yüklemektedir. Çünkü KVKK kapsamında kişisel verilerin yurt içindeki üçüncü kişilere aktarımı madde 5 veya 6’daki istisnai durumlar gerçekleştiği takdirde açık rızayı gerektirmemektedir. Ancak Yönetmelik herhangi bir istisnai durumu göz önünde bulundurmaksızın ve aktarım yapılan yerin yurt içinde veya yurt dışında olmasını dikkate almaksızın; katı bir açık rıza alma yükümlülüğü getirmiştir.

1. Abonelerin veya kullanıcıların açık rızasının yazılı veya elektronik ortamda alınması ve buna ilişkin kayıtların asgari abonelik süresince saklanması gerektiği düzenlenmiştir. Ayrıca, işletmeciler “her yılın üçüncü çeyreğinde” ilgili abonelere veya kullanıcılara açık rızaya dayanan işleme amaçları kapsamında hatırlatma yapmakla yükümlü olacaktır. Aksi halde, açık rıza kapsamındaki veri işleme faaliyeti, bu kapsamda bir bilgilendirme yapılıncaya kadar durdurulacaktır. Aboneliğin sonlanması halinde de sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılacaktır.

Belirtmek gerekir ki KVKK kapsamında ilgili kişinin vermiş olduğu açık rıza, kişi rızasını geri alana kadar geçerliyken; işbu düzenleme işletmecilere yine KVKK’dan daha ağır sorumluluk yüklemektedir.

• İşletmecilerin Yönetmelik’e aykırı davranmaları halinde, BTK işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanabileceğini ve aykırılığın milli güvenliğe yönelik hükümlerle ilgili olması halinde işletmecinin yetkilendirmesinin fesih veya iptal edebileceğini kararlaştırmıştır.

Sonuç olarak Yönetmelik; kişisel verilerin işlenmesinde uyulacak ilkeleri, tedbirleri, aydınlatma yükümlülüğü ve açık rıza hususlarını KVKK ile uyumlu olacak şekilde hazırlamakla birlikte  KVKK’dan farklı olarak ek yükümlülükler de getirmiştir. Yönetmelik özellikle trafik ve konum türündeki kişisel verilerin işlenmesine ilişkin daha detaylı ve sıkı hükümlere yer vermiştir. Bunun gerekçesinin de milli güvenlik sebeplerine dayandırıldığını görmekle birlikte, söz konusu düzenlemeyi yerinde bulunmaktayız. Bir diğer yeni düzenleme olan kişisel verilerin işlenmesine ilişkin olarak açık rızanın “hediye dakika, sms ve veri” gibi ek faydaların kullanıcılara veya abonelere sağlanması halinde verilebilmesini ise rızanın maddi karşılık beklentisi ile verildiği şeklinde yorumlamakta ve bunun da KVKK ve Kişisel Verileri Koruma Kurulu kararları ile örtüşmediğini belirtmek isteriz.

#elektronikiletişim #kişisel veri #iletişim # yönetmelik #bilişimhukuku