Elektronik haberleşme sektöründe kişisel verilerin korunması ile ilgili usul ve esasları belirleyen Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik[1] (“Yönetmelik”) Resmî Gazete’de yayınlandıktan 6 ay sonra 4 Haziran 2021 tarihi itibariyle yürürlüğe girdi.
Yönetmelikle Birlikte Kişisel Verilerin Korunması ile İlgili İşletmecilere Getirilen Yükümlülükler
Yönetmelikte, Kişisel Verilerin Korunması Kanunu 4. maddesinde yer alan Temel İlkeler sayılır ve ayrıca milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirtilmiştir.
Yönetmelik 6.maddede haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketlerin, sunulan hizmetin ve kişisel verilerin güvenliğini sağlamaya yönelik olarak her türlü teknik ve idari tedbiri alması öngörülmüştür.
İşletmecilerin asgari olarak alması gereken tedbirler şu şekilde düzenlenmiştir;
- Yönetmelik’in 5. maddesinde yer alan ilkeler çerçevesinde kişisel verilerin işlenmesi için güvenlik politikalarının belirlenmesi
- İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunması
- Kişisel verilere yetkisiz erişimin önlenmesi amacıyla kişisel verilerin saklandığı sistemler ve kişisel verilere erişim sağlamak için kullanılan uygulamalarının güvenliğinin sağlanması
İşletmeciler, Bilgi Teknolojileri ve İletişim Kurumu tarafından istenmesi halinde alınan güvenlik tedbirlerine ilişkin bilgi ve belge vermek zorundadır. Kurum’a güvenlik tedbirlerinde değişiklik talep etme yetkisi verilmiştir.
İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl saklamakla yükümlüdür.
İşletmecilerin, verilerin gizliliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusuna kullanılmasının temininden ve yetkilendirdikleri tarafların da Yönetmelik’e uygun davranmasından sorumlu olduğu düzenlenmiştir.
İşletmecilerin güvenlik risklerine ilişkin olarak, riskin kapsamı ve riskin giderilme yöntemler hakkında aboneleri ve kullanıcıları en kısa sürede bilgilendirmesi öngörülmüştür.
Kişisel veri ihlali durumunda, işletmeciler, kişisel verileri koruma mevzuatına uygun yöntemlerle Kişisel Verileri Koruma Kurumuna ve ilgili abone ve kullanıcılara en kısa sürede bildirimde bulunmalıdır.
Yönetmelik’in 8. maddesinde açık rıza alınmasına yönelik olarak, açık rızanın belirli bir konuya ilişkin ve ilgili işlem öncesinde alınacağı, hizmet şartına bağlanamayacağı düzenlenmiştir. Belirli bir konu ve ilgili işlem ile sınırlı olmayan genel nitelikte rızanın geçerli olmadığı açıkça düzenlenmiştir.
İşletmeciler, abone ve kullanıcıları, işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işleme amacı ve süresi hakkında açık ve anlaşılır bir şekilde bilgilendirmekle yükümlüdür.
Trafik ve konum verilerinin üçüncü kişilere aktarılması söz konusu olduğunda aktarılacak verinin kapsamı, aktarılacak tarafın adı ve açık adresi, aktarma amacı ve süresi, üçüncü taraf yurt dışındaysa verinin aktarıl ülke adı verilerek, kullanıcı ve abonelerden açık rıza alınmalıdır. Bu bilgilerde herhangi değişiklik olması durumunda ayrıca açık rıza alınması öngörülmüştür.
Trafik ve konum verilerinin işlendiği durumlarda, işletmeciler, trafik veya konum verisi türlerini, işleme amacı ve süresi hakkında bilgi vermekle yükümlüdür.
Yönetmelik ile birlikte elektronik haberleşme sektöründe kişisel verilerin korunmasına yönelik olarak işletmecilere sektöre özgü yukarıda değinilen yükümlülükler getirilmiştir. Kişisel Verileri Koruma Kurul kararlarında[2] vurguladığı kavramlar, özellikle açık rıza, açıkça yönetmelik kapsamına alınmış ve detaylı bir şekilde düzenlenmiştir. Trafik ve konum verilerinin niteliği göz önünde bulundurularak ayrı bir maddede aydınlatma yükümlülüğü ve içeriğinin ne olacağı belirlenmiştir. İlkeler bölümünde Kişisel Verilerin Korunması Kanunu m.4 kapsamındaki ilkeler sayılarak ve milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu belirlenmiştir.
Ayrıca Bakınız: DPO (Data Protection Officer) Hakları Nelerdir?
Kaynak;
[1] https://www.resmigazete.gov.tr/eskiler/2020/12/20201204-13.htm
[2] https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi
