Bilgi Teknolojileri ve İletişim Kurumu “(BTK)” 04/12/2020 tarihli 31324 sayılı Resmî Gazete’de Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik “(Yönetmelik)” yayımlamıştır. Özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirleyen yönetmelik 04/06/2020 tarihinde 24/7/2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’i yürürlükten kaldırarak yürürlüğe girecektir. Yönetmeliğin uygulanmasında BTK’nın yetkili olduğu belirtilmiştir.
Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin “(İşletmeciler)” elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları düzenlemektedir. İşletmecilerin kişisel veri işleme faaliyetini gerçekleştirirken uyması gereken genel ilkeler Yönetmelik’in 5. maddesinde şu şekilde sıralanmıştır:
Bununla beraber aynı maddede milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirtilmiştir.
İşletmeciler, işlemiş oldukları kişisel verilerin güvenliğini sağlamak amacıyla 5809 sayılı Elektronik Haberleşme Kanunu “(Kanun)”na, ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na “(KVKK)” uygun olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü kılınmıştır. İşletmeciler, aynı zamanda kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür.
İşletmecilerin güvenliği tehdit eden belirli bir risk ile karşılaşması durumunda, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında ilgili aboneler/kullanıcılar en kısa sürede bilgilendirilmelidir. Kişisel veri ihlali olması durumunda ise KVKK’ya uygun yöntemlerle BTK’ya, Kişisel Verileri Koruma Kurumu’na ve ilgili abonelere/kullanıcılara en kısa sürede bildirimde bulunulmalıdır.
İşletmeciler, abonelerden/kullanıcılardan açık rıza alınması gereken durumlarda açık rızayı aşağıdaki şartlara uygun olarak almalıdır:
Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;
Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınmalıdır. İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür. Bununla beraber Yönetmelikte bulunan geçici 10. maddeye göre Yönetmeliğin yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızaların geçerli sayılacağı belirtilmiştir.
KVKK’nın 10. maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, veri türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür. Abonelerin/kullanıcıların vermiş oldukları açık rızayı her zaman ücretsiz olarak geri almalarına imkân sağlamalı ve bu imkâna ilişkin bilgilendirme açık rıza alınması sırasında yapılmalıdır. Açık rızanın geri alınması durumunda işletmeci ilgili veri işleme faaliyetlerini derhal durdurmalıdır. Aboneliğin sonlanması halinde ise sona erme tarihi itibarıyla, abonenin aksi talebi olmadıkça daha önce verilen tüm açık rızalar geri alınmış sayılır. Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmecilere yüklenmiştir.
İşletmeciler tarafından her yılın üçüncü çeyreği içinde daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapmakla yükümlü kılınmıştır. Aksi durumda verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur. Bununla beraber Yönetmelik kapsamında yapılacak tüm bilgilendirmeler, ücretsiz olarak gerçekleştirilir.
Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde BTK İdari Yaptırımlar Yönetmeliği hükümlerine göre işletmecilere bir önceki takvim yılındaki net satışlarının %1’i ile %3’üne kadar idari para cezası uygulanır.
Yukarıda verilen bilgiler ışığında remi gazetenin tam metnine buradan ulaşabileceğinizi ve konu ile ilgili sorularınız olması halinde bizimle iletişime geçebileceğinizi hatırlatmak isteriz.