Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Hakkında Değerlendirme
Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik (“Yönetmelik”), 6 ay sonra yürürlüğe girmek üzere 4 Aralık 2020 tarihli ve 31324 sayılı Resmi Gazete’de yayımlandı. Bilgi Teknolojileri ve İletişim Kurumu tarafından yayımlanan Yönetmelik ile elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esaslar düzenlenmiştir.
Yönetmelik’in getirdiklerini irdelemeden önce abone ve kullanıcı kavramlarına ilişkin yapılan tanımlamalara dikkat çekmek gerekmektedir. Yönetmelik uyarınca abone, bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi ifade ederken kullanıcı ise aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi kavramını ifade etmektedir.
İşletmecilere Getirilen Temel Yükümlülükler
Yönetmelik ile yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten işletmecilerin uyması gereken birtakım yükümlülükler düzenlenmiştir. Söz konusu yükümlülüklerin kişisel verilerin korunmasına ilişkin olan birçok hükmü 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile veri sorumlularına getirilen yükümlülüklerle örtüşmektedir veya paralellikler göstermektedir. Nitekim Yönetmelik m.5/1’de düzenlenmiş olan ilkeler KVKK düzenlemesine esas teşkil eden ve dördüncü maddede yer alan genel ilkeler ile aynıdır.
İşletmecilerin kişisel verilerin korunmasına yönelik alması gereken temel yükümlülüklerin başında verilerin hukuka uygun saklanması ve ifşa edilmesinin önlenmesine yönelik güvenlik tedbirlerin alınması gelmektedir. Ayrıca işletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür. Söz konusu yükümlülük ise 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında yer sağlayıcılara getirilen erişim kayıtlarını saklama yükümlülüğü ile örtüşmektedir.
Güvenlik tedbirlerinin yanı sıra Yönetmelik ile işletmecilere getirilen bir diğer yükümlülük ise risk tespit/değerlendirmesi odaklı yaklaşımı benimsemektedir. Buna göre işletmeciler şebeke ve sunulan hizmetlerin güvenliğini tehdit eden risk faktörü ile karşılaştıkları takdirde söz konusu riske ilişkin olarak ilgililer yani abone ve kullanıcılar ile durumu paylaşılacak ve veri ihlali olan durumlarda ise Kişisel Verilerin Korunması Kurumu’na ve ilgili kişilere bildirimde bulunacaktır.
Yönetmelik uyarınca Geçerli Açık Rıza
Açık rıza kavramı KVKK ile uyumlu olarak (i) belirli bir konuya ilişkin, (ii) bilgilendirilmeye dayanan ve (iii) özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Bunun yanı sıra açık rızanın sağlıklı bir şekilde temin edilebilmesi için rızanın özgür irade ile alınmış olması gerektiğinden bahisle rızanın hizmet önkoşulu olarak ileri sürülmesinin hukuka aykırılığına vurgu yapılmıştır. Nitekim Kişisel Verileri Koruma Kurulu da geçmişte almış olduğu kararlarda açık rızanın mal veya hizmet sunma şartına yönelik olarak aldığı durumları geçerli saymamıştır. Bunların yanı sıra Yönetmelik m.8/1-(b) uyarınca hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan geçerli açık rıza talep edilebileceğini öngörmüştür.
Abone/Kullanıcıların Hakları
İşletmeciler, KVKK m. 10 kapsamında öngörülmüş olan aydınlatma yükümlülüğünün yanı sıra trafik ve konum verisi işlendiği takdirde işleme amacı ve süresi hakkında abone ve kullanıcılara bilgi vermekle yükümlüdür. Ayrıca işletmeciler, aboneyi ve kullanıcıyı aktarılacak verinin kapsamı, aktarılacak tarafın kimliği ve adresi, aktarma amacı, süresi ve veri yurt dışına aktarılıyorsa; verinin aktarılacağı ülke hakkında bilgilendirip, bu kişilerin açık rızasını almakla yükümlü kılınmıştır. Bu bilgilerde bir değişiklik olması halinde açık rızanın tekrar alınması gerekecektir. Yönetmelik uyarınca, trafik ve konum verilerinin işlenmesi halinde, işletmecilerin abonelere ve kullanıcılara işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında genel bilgilendirme yapması gerekmektedir.
Bunların yanı sıra kişisel veri işleyen işletmecilerin her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılması aksi takdirde daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulacağı öngörülmüştür. Söz konusu düzenlemeler ilk etapta abone/kullanıcı haklarından çok işletmeci yükümlülüğü gibi gözükse de bilgilendirmenin bir nevi aydınlatılma hakkı olduğu düşünüldüğünden ötürü bu bölümde düzenlendiği öngörülebilir.
Sonuç
Yönetmelik işletmeci yükümlülükleri, abone/kullanıcı hakları ve açık rıza düzenlemelerinin dışında numaraların gizlenmesi ve otomatik çağrı yönlendirme gibi sektöre özel düzenlemeler öngörmektedir. Yönetmelik, kişisel verilerin işlenmesi hususlarında KVKK ile büyük ölçüde örtüşmekte iken trafik ve konum verilerinin depolanması ve yurt dışına aktarılması hususunda işletmeciler bakımından daha sıkı tedbirler ortaya çıkmaktadır. Bunun yanı sıra açık rızanın ek fayda karşılığında alınmasının geçerli sayılması tartışmaya açıktır. İşletmeci ve abone/kullanıcı arasındaki güçler dengesi bakımından yaşanabilecek olası orantısızlıklar dikkate alındığında söz konusu açık rızanın özgür irade boyutu bakımından tekrardan değerlendirilmesi gerekmektedir.