BTK Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması

Özet

Bilgi Teknolojileri ve İletişim Kurumu “(BTK)” 04/12/2020 tarihli 31324 sayılı Resmî Gazete’de Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik “(Yönetmelik)” yayımlamıştır. Özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirleyen yönetmelik 04/06/2020 tarihinde 24/7/2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’i yürürlükten kaldırarak yürürlüğe girecektir. Yönetmeliğin uygulanmasında BTK’nın yetkili olduğu belirtilmiştir.

Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin “(İşletmeciler)” elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları düzenlemektedir. İşletmecilerin kişisel veri işleme faaliyetini gerçekleştirirken uyması gereken genel ilkeler Yönetmelik’in 5. maddesinde şu şekilde sıralanmıştır:

• Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi
• Doğru ve gerektiğinde güncel olması
• Belirli, açık ve meşru amaçlar için işlenmesi
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi

Bununla beraber aynı maddede milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirtilmiştir.

İşletmeciler, işlemiş oldukları kişisel verilerin güvenliğini sağlamak amacıyla 5809 sayılı Elektronik Haberleşme Kanunu “(Kanun)”na, ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na “(KVKK)” uygun olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü kılınmıştır. İşletmeciler, aynı zamanda kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür.

İşletmecilerin güvenliği tehdit eden belirli bir risk ile karşılaşması durumunda, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında ilgili aboneler/kullanıcılar en kısa sürede bilgilendirilmelidir. Kişisel veri ihlali olması durumunda ise KVKK’ya uygun yöntemlerle BTK’ya, Kişisel Verileri Koruma Kurumu’na ve ilgili abonelere/kullanıcılara en kısa sürede bildirimde bulunulmalıdır.

İşletmeciler, abonelerden/kullanıcılardan açık rıza alınması gereken durumlarda açık rızayı aşağıdaki şartlara uygun olarak almalıdır:

• Belirli bir konuya ilişkin olarak ilgili işlem öncesinde
• Özgür iradeyle açıklanmış (Hizmet verilmesi açık rıza ön şartına bağlanamaz ancak hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilecektir.)
• Abone/kullanıcı, açık rıza beyanının alınması öncesinde; ver işlemenin kapsamı, türü, yöntemi, aracı, süresi hakkında bilgilendirilmelidir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.
• İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının irade beyanı yazılı veya elektronik ortamda alınabilir. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.
• İşletmeciler, söz konusu açık rızaları ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.

Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

• Aktarılacak verinin kapsamı,
• Aktarılacak tarafın adı ve açık adresi,
• Aktarma amacı ve süresi,
• Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı bilgileri de verilerek ayrıca açık rıza alınmalıdır.

Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınmalıdır. İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür. Bununla beraber Yönetmelikte bulunan geçici 10. maddeye göre Yönetmeliğin yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızaların geçerli sayılacağı belirtilmiştir.

KVKK’nın 10. maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, veri türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür. Abonelerin/kullanıcıların vermiş oldukları açık rızayı her zaman ücretsiz olarak geri almalarına imkân sağlamalı ve bu imkâna ilişkin bilgilendirme açık rıza alınması sırasında yapılmalıdır. Açık rızanın geri alınması durumunda işletmeci ilgili veri işleme faaliyetlerini derhal durdurmalıdır. Aboneliğin sonlanması halinde ise sona erme tarihi itibarıyla, abonenin aksi talebi olmadıkça daha önce verilen tüm açık rızalar geri alınmış sayılır. Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmecilere yüklenmiştir.

İşletmeciler tarafından her yılın üçüncü çeyreği içinde daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapmakla yükümlü kılınmıştır. Aksi durumda verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur. Bununla beraber Yönetmelik kapsamında yapılacak tüm bilgilendirmeler, ücretsiz olarak gerçekleştirilir.

Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde BTK İdari Yaptırımlar Yönetmeliği hükümlerine göre işletmecilere bir önceki takvim yılındaki net satışlarının %1’i ile %3’üne kadar idari para cezası uygulanır.

Yukarıda verilen bilgiler ışığında remi gazetenin tam metnine buradan ulaşabileceğinizi ve konu ile ilgili sorularınız olması halinde bizimle iletişime geçebileceğinizi hatırlatmak isteriz.