Bilgi Teknolojileri ve İletişim Kurumu “(BTK)” tarafından  Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik “(Yönetmelik)” 4 Aralık 2020 tarihli ve 31324 sayılı Resmî Gazete’de yayımlamıştır.

Yönetmelik, özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirlerken elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından Kişisel Verilerin Korunması Kanunu (“KVKK”) ile Kişisel Verileri Koruma Kurulu kararlarına ek olarak işletmecilere yönelik özel hükümler getirmektedir.

Yönetmelik ile düzenlenen önemli konular aşağıdaki şekilde özetlenebilir:

  1. Genel İlkeler

Yönetmelikte elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin(“ İşletmeciler”) kişisel veri işleme faaliyetini gerçekleştirirken uyması gereken genel ilkeler şu şekilde sıralanmıştır:

  • Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi
  • Doğru ve gerektiğinde güncel olması
  • Belirli, açık ve meşru amaçlar için işlenmesi
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi
  • Milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması

2. Güvenlik İçin Alınacak Tedbirler

Yönetmelik ile işletmecilerin abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak için alması gereken güvenlik tedbirleri politikaları oluşturmaları gerektiği hüküm altına alınmıştır.

Buna göre;

  • İşletmeciler, işledikleri kişisel verilerin güvenliğini sağlamak için gerek 5809 sayılı Elektronik Haberleşme Kanunu “(Kanun)” gerekse  6698 sayılı Kişisel Verilerin Korunması Kanunu  “(KVKK)”  kapsamında  ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdürler.
  • BTK gerekli gördüğünde alınan güvenlik tedbirlerine ilişkin işletmecilerden bilgi ve belge talep edebilecek, bunlara ilişkin idari yaptırım uygulayabilecek ve söz konusu güvenlik tedbirlerinde değişiklik yapılması talep edebilecektir.
  • İşletmeciler, aynı zamanda kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü tutulmuştur.

3. Riskin ve Kişisel Veri İhlalinin Bildirilmesi

Yönetmelikte işletmecilerin şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk ya da ihlal olması durumunda bildirim yükümlülükleri açıklanmış olup aşağıdaki şekilde özetlenmiştir :

  • Hizmetin güvenliğini tehdit eden bir risk oluştuğunda ilgili abone/kullanıcılar bilgilendirilecektir.
  • Kişisel veri ihlali olması durumunda 6698 sayılı Kanun ve ilgili mevzuata uygun yöntemlerle Kişisel Verileri Koruma Kurumu’na ve ilgili abonelere/kullanıcılara en kısa sürede bildirimde bulunulacaktır.

4. Açık Rıza Alma Şartları

Yönetmeliğe göre İşletmeciler, abonelerden/kullanıcılardan açık rıza alınması gereken durumlarda açık rızayı aşağıdaki şartlara uygun olarak almalıdır:

  • Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınacaktır.
  • Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul edilecektir.
  • Açık rıza beyanı ön şartına bağlanamaz ve özgür iradeyle açıklanmış olmalıdır.
  • Açık rıza beyanının alınması öncesinde; ilgili kişi işlenecek kişisel veri türü, kapsamı, işlenme amacı ve süresi hakkında açık ve anlaşılır bir şekilde bilgilendirilmeli; bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanmalıdır.
  • Bilgilendirme sonrasında abone/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamdan alınabilecektir. Bu onay sözleşme veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi gibi farklı bir işleme yönelik irade beyanı ile birleştirilemeyecektir.
  • İşletmeciler, abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.
  • İşletmeciler, abonelerin/kullanıcıların vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlamalıdır.
  • İşletmeciler, her yılın 3. çeyreğinde aboneler/kullanıcılara daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapacaktır. Aksi durumda daha önce verilen açık rıza kapsamındaki veri işleme faaliyetleri bilgilendirme yapılıncaya kadar durdurulacaktır.

5.Trafik ve Konum Verilerine İlişkin Yükümlülükler

Yönetmelik  trafik veya konum verisi türleri için ilave yükümlülükler getirmiş olup işletmeciler;

  • Trafik ve konum verilerinin işlenebildiği hallerde, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.
  • Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlarda aktarılacak verinin kapsamı, aktarılacak tarafın adı ve açık adresi, aktarma amacı ve süresi,üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı bilgileri de verilerek ayrıca açık rıza almalıdır.

6.Abonelere Sağlanan İmkânlar

Yönetmelik ile abonelere ve/veya kullanıcıların talebi halinde ücretsiz ve basit bir yöntem ile kullanılmak üzere numaranın gizlenmesi, otomatik çağrı yönlendirme, ayrıntılı faturalarda yer alan telefon numaralarının bazı rakamlarının gizlenmesini gibi bir takım haklar sunulması işletmeciler için zorunluluk haline getirilmiştir.

7. İdari Para Cezaları ve Yaptırımlar

İşletmecilerin Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanacaktır.

Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin ilgili hükmüne göre ise yönetmelik ile belirlenen yükümlülükleri yerine getirmeyen  işletmecilere bir önceki takvim yılındaki net satışlarının %1’i ile %3’üne kadar idari para cezası uygulanacaktır.

8. Yürürlük

 Yönetmelik yayımı tarihinden altı ay sonra, 4.06.2021 tarihinde yürürlüğe girecektir.

Yönetmelik’in tamamına buradan erişebilirsiniz.