A.  Giriş
4 Aralık 2020 tarihli 31324 sayılı Resmi Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik[1] (“Yönetmelik”) ile 4 Haziran 2021 tarihinde yürürlüğe girmek üzere elektronik haberleşme sektöründe faaliyet gösteren İşletmecilerin[2] hizmet verdikleri abonelere[3]/ ilgili kişilere ait kişisel verilerin işlenmesi ile ilgili esaslar düzenlenmiştir.

İşbu bilgi bülteninde Yönetmelik ile getirilen yeni düzenlemelere değinilmektedir.

B.  Yönetmelik ile Getirilen Yeni Düzenlemeler

B.1.  Kişisel Verilerin İşlenmesine İlişkin İlkeler
Yönetmelik ile, Kişisel Verilerin Korunması Kanunu’na (“Kanun”) paralel şekilde  veri işlenirken aşağıdaki ilkelerin gözetilmesi gerektiği düzenlenmiştir:
 >Kişisel verilerin hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için işlenmesi
 >İşlenen verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
 >Verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.

Yönetmelik ile ayrıca trafik ve konum bilgilerinin yurt dışına çıkartılmaması esası hüküm altına alınmıştır. Burada dikkat edilmesi gereken husus, trafik ve konum bilgilerinin yurt dışına çıkarılmamasının esas olması olup; bu durum bu verilerin yurt dışına çıkartmanın yasak olduğu anlamına gelmemektedir.

Yurt dışına veri aktarımı ile ilgili hâlihazırda Kanun’dan kaynaklanan kurallar geçerliliğini sürdürmekte olup; kişisel verilerin yurt dışına aktarımının yapılabilmesi için kişisel verileri işlenen ilgili kişinin açık rıza vermiş olması ve/veya Kişisel Verileri Koruma Kurulu’ndan (“Kurul”) bu konuyla ilgili izin alınması gerekmektedir.

B.2.  Güvenlik
Yönetmelik ile ayrıca işletmecilerin abonelerine ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla ilgili mevzuat ile ulusal ve uluslararası standartlara uygun olarak her türlü teknik ve idari tedbirleri almakla yükümlü oldukları ifade edilmiştir[4].

Bilinen üzere Kanun’da veri sorumlusunun alması gereken teknik ve idari tedbirler tek tek sayılmamakta; Kurul’un tavsiye niteliğinde açıkladığı tedbirler dikkate alınmaktadır. Ancak Yönetmelik ile teknik ve idari tedbirlerin asgari kapsamı aşağıdaki şekilde sayılmıştır:
 >Kişisel verilerin işlenmesine ilişkin güvenlik politikalarının belirlenmesi,
 >İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunması,
 >Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesinin sağlanması ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanması

İşletmecilerin sundukları hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının temininden sorumlu olup ayrıca işletmeciler kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl boyunca saklamakla yükümlü olacaktır.

B.3.  Riskin ve Kişisel Veri İhlalinin Bildirilmesi
Yönetmelik[5] işletmecilere, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması halinde riskin kapsamı hakkında ve riskin giderilmesi yöntemleri ile ilgili olarak ilgili aboneleri en kısa sürede bilgilendirme yükümlülüğü getirmiştir.
Ek olarak bir kişisel veri ihlali olması halinde işletmecilerin, Kanun ve ilgili mevzuata uygun yöntemlerle Kurul’u ve ilgili aboneleri en kısa sürede bilgilendirme yükümlülüğü de bulunmaktadır.  

B.4.  Açık Rıza Alma Şartları
Yönetmelik[6] uyarınca işletmecilerin, abonelerinden açık rıza beyanı alınmasını gerektirecek bir durum olması halinde bu açık rıza beyanının özgür iradeye dayanması, belirli bir konuya ilişkin olarak ve ilgili işlemden önce alınması gerekmektedir.

Açık rıza beyanı alınmadan önce işlenecek kişisel veri türü ile trafik ve konum verilerinin türü, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır biçimde abonelerin bilgilendirilmesi gerekmektedir. Eğer bu bilgilendirme yazılı yapılıyor ise bu yazının en az 12 punto büyüklüğünde olması gerektiği öngörülmüştür[7].

Yine Yönetmelik ile bir abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin açık rıza beyanı vermesi şartına bağlanamayacağı ancak işletmeci tarafından hediye dakika, kısa mesaj, veri gibi ek fayda sağlanması karşılığında açık rıza beyanı talep edilebileceği düzenlenmiştir.

Burada şu hususa dikkat çekmek isteriz ki; Kanun’da açık rıza beyanının, hizmetin sağlanması şartı olarak sunulamayacağı açıkça düzenlenmemiş de olsa Kurul kararları açık rıza alınmasının hizmetin sağlanmasının şartı olarak ortaya konulamayacağı yönündedir. Aynı husus Ticari Elektronik İleti mevzuatı kapsamında elektronik ileti izinlerinin alınması noktasında da geçerlidir. Durum böyle olmakla birlikte Yönetmelik’te ek faydaların bu kapsam haricinde bırakıldığı açıkça düzenlenmiştir. Bu yeni sürecin abonelerden açık rıza beyanı alma sürecini ve devamındaki süreçleri kolaylaştıracağı ve hızlandıracağı kanaatindeyiz.
Yine Yönetmeliğe göre[8] işletmecinin gerekli bilgilendirmeyi yapmasından sonra abonenin “evet/ onay/ kabul” şeklindeki irade beyanının yazılı ya da elektronik ortamda alınacağı, bu irade beyanının rıza alınan duruma özgü olduğu ve bu sebeple de bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemeyeceği açıkça ifade edilmiştir. Böylece daha önce net olarak ifade edilmemiş olan ancak uygulamada yer bulan alınan rızanın sadece ilgili duruma özgü olarak alınması durumu Yönetmelik nezdinde açıkça yer almıştır.
Bu kapsamda trafik ve konum verilerinin aktarımı konusunda da daha sıkı düzenlemeler yer aldığı görülmektedir. Yönetmelik incelendiğinde[9] işletmecilerin aboneye bu veriler üçüncü kişilere aktarılacaksa;
 >bu aktarımın kapsamını,
 >aktarılacak tarafın kimliği ve açık adresini,
 >aktarmanın amacını ve ne süreyle aktarılacağını,
 >eğer aktarılacak kişi yurt dışında ise kişisel verilerin aktarılacağı ülkenin adı şeklindeki bilgileri aktararak bu hususta ayrıca açık rıza alınması gerektiğini düzenlemiştir.

B.5.  Trafik ve Konum Verilerine İlişkin Aydınlatma Yükümlülüğü
Yönetmelik[10] hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür. Bu düzenleme ile işletmecilere trafik ve konum verilerine ilişkin Kanun’da[11]  düzenlenen genel aydınlatma yükümlülüğünün yanına sıra trafik ve konum verilerinin işlenmesi konusunda ek bir aydınlatma yükümlülüğü getirilmiştir.

Bunlara ek olarak Bilgi Teknolojileri ve İletişim Kurumu’na işletmecilerin almakla yükümlü olduğu güvenlik tedbirleri hakkında bilgi isteme, gerektiği halde ilgili tedbirlere ilişkin değişiklik talep etme, idari yaptırım yetkisi verilmiştir.

B.6.  Önceden Alınan Açık Rızalar ve Geri Alınması Hakkında Düzenlemeler
Yönetmelik kapsamında önceden alınmış açık rızalara da değinilerek Kanun ve ilgili mevzuatla uyumlu şekilde düzenlemeler yapılmıştır. Buna göre, Yönetmeliğin yürürlüğe gireceği tarihten önce hukuka uygun olarak alınan rızaların geçerli sayılacağı hüküm altına alınmıştır.

Yönetmeliğin yürürlüğe gireceği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulacağı düzenlenmiştir.

İşletmeciler ilgili mevzuat kapsamında öngörülen süreler saklı kalmak kaydıyla, aldıkları/bulundurdukları rızalara ilişkin kayıtları asgari abonelik süresince saklamakla yükümlü kılınmışlardır.

İşletmecilerin, aboneler/kullanıcılar tarafından verilerinin işlenmesine yönelik olarak kendilerine verilen açık rızayı her zaman aynı yöntem ya da daha basit bir yöntem ile geri alınmasına ücretsiz olarak olanak sağlaması gerekmektedir. İşletmecilerin ayrıca aboneleri/ kullanıcıları bu imkândan haberdar etmesi husus da düzenlenmiş ve açık rıza alınması sırasında ilgili bilgilendirmenin yapılacağı düzenlenmiştir.

Ayrıca her yılın üçüncü çeyreğinde işletmecilerin önceden aldıkları açık rıza beyanlarıyla ilgili olarak abone/ kullanıcılara bilgilendirme yapması gerekmektedir. Aksi halde verilen açık rıza kapsamındaki veri işleme faaliyetlerinin bilgilendirme gerçekleşinceye kadar durdurulması gerekmektedir. Ayrıca Yönetmelik uyarınca aboneliğin sonlanması halinde ve aksine bir talep de yoksa mevcut açık rızalar geri alınmış sayılacak ve buna göre işlem yapılması gerekecektir.

B.7.  Diğer Düzenlemeler
Yukarıda sayılanlar dışında Yönetmelik’te numaranın gizlenmesi, otomatik çağrı yönlendirme, ayrıntılı faturalarda gizlilik, abonenin/ kullanıcının diğer hakları gibi konularda özel düzenlemeler yer almaktadır.

Yönetmelik kapsamında[12] ise idari yaptırımlar düzenlenmiş ve ilgili mevzuat hükümlerinin[13] uygulama alanı bulacağı açıkça ifade edilmiştir.

C.  Sonuç
Yönetmelik ile elektronik haberleşme sektöründe kişisel verilerin işlenmesine ilişkin güvenlik önlemleri, açık rızanın alınması şartları, trafik ve konum verileri, veri ihlali, çağrı yönlendirme, numara gizleme gibi konularda birtakım düzenlemeler yapılmıştır. Yapılan düzenlemeler Kanun ve ilgili mevzuata, ayrıca Kurul kararları ile uyumlu olarak elektronik haberleşme sektörü için özel hükümler içeren bir yönetmeliktir. Özellikle trafik ve konum verilerinin işlenmesiyle alakalı olarak çok daha sıkı düzenlemeler öngörüldüğü, dahası milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt içinde tutulmasının esas olduğu ifade edilmiştir.

Yönetmelik elektronik haberleşme sektörüne ilişkin özel hükümler içerdiğinden öncelikle başvurulması gereken bir kaynak olarak addedilebileceğini, bununla birlikte yönetmelik hükümleri yorumlanırken her somut uyuşmazlık özelinde genel mevzuat olma özelliğini haiz Kanun ve ilgili mevzuat ile birlikte değerlendirilmesi gerektiği kanaatindeyiz.

Saygılarımızla,
Gülaç Hukuk Bürosu

[1] İlgili yönetmeliğin tam metnine buradan erişim sağlayabilirsiniz.
[2] Bkz: elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketler
[3] Bkz: bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi
[4] Bkz: Yönetmelik madde 6
[5] Bkz: Yönetmelik madde 7
[6] Bkz: Yönetmelik madde 8
[7] Bkz: Yönetmelik madde 8/1-c
[8] Bkz: Yönetmelik madde 8-1/ç
[9] Bkz: Yönetmelik madde 8-1/e ve 8-1/f
[10] Bkz: Yönetmelik madde 9
[11] Bkz: Kanun madde 10
[12] Bkz: Yönetmelik madde 14
[13] Bkz: 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri