Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi
ADMD Avukatlık Bürosu
Helin Yıldız
Bilgi Teknolojileri ve İletişimi Kurumu tarafından verilen yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketlerin (“İşletmeciler”) işbu hizmeti sunarken elde ettikleri veriler bakımından dikkat etmesi gereken hususlar 5 Kasım 2008 tarih ve 5809 sayılı Elektronik Haberleşme Kanunu (“5809 sayılı Kanun”) ve Bilgi Teknolojileri ve İletişim Kurumu tarafından yayımlanan 4 Aralık 2020 tarih ve 31324 sayılı Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına ilişkin Yönetmelik (“Yönetmelik”) ile belirlenmiş olup Mevzuata uyarınca kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden bizzat işletmeciler sorumlu tutulmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) ile paralel olacak şekilde düzenlenen Yönetmelik’in 5’inci maddesinde kişisel veri işleme faaliyetinin, hukuka ve dürüstlük kurallarına uygun bir biçimde doğru, güncel, belirli, meşru amaçlar doğrultusunda gerçekleştirilmesi, işbu veri işlemenin amaç ile bağlantılı, sınırlı ve ölçülü olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekliliğinden bahsedilmiştir. 5809 sayılı Kanun’un ‘Kişisel verilerin işlenmesi ve gizliliğin korunması’ başlıklı 51’inci maddesinde de aynı ilkeler benimsenmiştir.
I. İDARİ VE TEKNİK TEDBİRLER
5809 sayılı Kanun’un 4’üncü maddesi ve Yönetmelik’in 6’ncı maddesinde bahsi geçen veri işleme faaliyeti gerçekleştirilirken mevzuat ve uluslararası standartlara uygun olacak şekilde her türlü teknik ve idari tedbirin İşletmeciler tarafından alınması zorunluluğuna yer verilmiştir. Yönetmelik ile detaylandırılan tedbirlerin başında; kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlemek, bahsi geçen verilere sadece yetkili kişilerin erişebilmesini ve işbu verilerin saklandığı sistemlerin güvenilirliğini sağlamak ve istem dışı, yetki dışı ya da mevzuata aykırı olarak kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını sağlamak gelmektedir. Bahsi geçen güvenlik tedbirlerine ilişkin olarak BTK bilgi ve belge talebinde bulunma, idari yaptırım uygulama ve tedbirlerde değişiklik talep etme hakkına sahiptir.
II. RİSK VE KİŞİSEL VERİ İHLALİNİN BİLDİRİLMESİ
İlgili yönetmeliğin 7’nci maddesinde şebekelerin ve sunulan hizmetlerin güvenliğini tehdit eden bir risk ile karşılaşılması halinde işletmecilere ilgili risk, riskin kapsamı ve giderilme yöntemleri hakkında abonelerini/kullanıcılarını en kısa sürede bilgilendirme zorunluluğuna yer verilmekle birlikte bir kişisel veri ihlalinin söz konusu olması durumunda ise yalnızca abone/kullanıcılara değil aynı zamanda Bilgi Teknolojileri ve İletişim Kurumu ile Kişisel Verileri Koruma Kurumu’na da en kısa sürede bilgilendirme yapılması zorunluluğu bulunmaktadır. Her ne kadar, Kişisel Verileri Koruma Kurulu’nun kararı gereğince Kişisel Verileri Koruma Kurumu’na ve ilgili abonelere/kullanıcılara derhal ve en geç 72 saat içerisinde bildirim yapılması gerekliliği bilinse de Mevzuatta BTK’ya yapılacak bildirimlere ilişkin açıkça bir süre öngörülmemektedir.
III. AÇIK RIZA ALMA ŞARTLARI
Dikkat edilmesi gereken bir diğer husus ise Yönetmelik’in 8’inci maddesinde belirtilen açık rıza alma şartlarına ilişkindir. Nitekim, açık rıza beyanı yalnızca belirli bir konuya ilişkin olarak ilgili işlem öncesinde ve özgür iradeyle açıklanmış olmalıdır. Bu kapsamda, belli bir konu ile sınırlandırılmaksızın alınan genel nitelikteki rızalar geçersiz kabul edilmektedir. İşbu açık rıza beyanı alınırken abone veya kullanıcıya, işlenecek kişisel veri türü hakkında tıpkı trafik ve konum verisinde olduğu gibi açık ve anlaşılır bir bilgilendirme yapılması ve bilgilendirmenin yazılı yapılması halinde ise yazıların en az on iki punto ile hazırlanması gerekmektedir. Gerekli bilgilendirmenin yapılmasını müteakip rıza alınan duruma özgü olarak elektronik ortamda veya yazılı şekilde kullanıcı/abonenin irade beyanı alınabilmekte ve işbu onay şeklindeki irade beyanının başka hukuki işlemlere yönelik irade beyanları ile birleştirilmesi Türk Mevzuatı uyarınca kabul görmemektedir. Aynı şekilde, 5809 sayılı Kanun’un 3’üncü maddesinde de açık rıza ve bilgilendirme yükümlülüğü vurgulanmak suretiyle elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla İşletmecinin ancak ilgili abone/kullanıcıyı verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirmesi ve açık rızanın alınması kaydıyla kullanılabileceği belirtilmiştir.
IV. TRAFİK VE KONUM VERİLERİ
Türk Mevzuatı uyarınca bilhassa elektronik haberleşme sektöründe kişisel verilerin korunmasında trafik ve konum verilerinin işlenme, yurtdışına veya üçüncü kişilere aktarılma hususu önem arz etmekte olup buna ilişkin koşulların da yerine getirilmesi gerekmektedir.
5809 sayılı Kanun’un 51’inci maddesinin 7’nci fıkrasında, Trafik verileri; trafiğin yönetimi, ara bağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile ara bağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir hükmü yer almaktadır. İlaveten, İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir hükmü göze çarpmaktadır. Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında da trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilecektir.
5809 sayılı Kanun’un 51’inci maddesinin 2’nci fıkrasında elektronik haberleşme ve trafik verisinin gizliliği hususuna değinilmiş ve ilgili mevzuat ile yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesinin yasak olduğu belirtilmiştir. Bununla birlikte Trafik ve konum verilerine ilişkin olarak ayrıntılı bir düzenlemeye 5809 sayılı Kanun’un 6’ncı maddesi ile uyumlu olacak şekilde Yönetmelik’in 5’inci maddesinin ikinci fıkrasında da yer verilmiştir. Buna göre, milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esası benimsenmiş olup bu verilerinin yurt dışına aktarılması özel bir usule tabi kılınmıştır. Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar bakımından; aktarılacak verinin kapsamı, aktarılacak tarafın adı ve açık adresi, aktarma amacı ve süresi ile üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı şeklindeki bilgiler için ayrıca açık rıza alınması, ve işlenebilecek trafik veya konum verisi türü, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi verme yükümlülüğü bulunmaktadır. İşbu durumda, İşletmecilerin, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin yükümlülüğü de önem arz etmektedir. İşletmecilerin, Abone/kullanıcılara yapılacak aydınlatma ve bu kişilerden alınacak açık rızada bulunması gereken unsurlara ilişkin olarak da her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapma yükümlülüğü bulunmaktadır.
V. UYULMASI GEREKEN SÜRE VE DURUMLAR
Önemle vurgulanması gereken bir diğer husus ise kişisel veri ihlaline yol açmamak için işbu verilerin tutulması gereken azami süreye uygun davranmaktır. Bu kapsamda 5809 sayılı Kanun’un 10’uncu maddesi uyarınca; soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl, kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtların ise asgari olarak abonelik süresince saklanması zorunludur.
Mevzuat ile kişisel verinin hangi hallerde paylaşılabileceği ve işlenebileceği hususu da belirtilmiş olup belirtilen hallerin dışında bir kişisel veri paylaşımı veya aktarımı yapmamaya özen gösterilmesi gerekmektedir. Nitekim 5809 sayılı Kanun’un 11’inci maddesinde Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtların İşletmeciler ve BTK’nın mobil cihaz kayıt sistemi arasında paylaşılabileceği veya işlenebileceği belirtilmiştir. Aynı şekilde ilgili Kanun’un 5’inci maddesinde, kamu yararının sağlanması veya şeffaflığın sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebileceği hususuna da yer verilmiştir.
VI. ABONE/KULLANICILARIN HAKLARI VE İŞLETMECİLERİN DİĞER YÜKÜMLÜLÜKLERİ
İşletmeciler faaliyetlerini gerçekleştirirken Abone/kullanıcıların haklarını gözetmekle yükümlüdür. Yönetmelik’in 13’üncü maddesine göre; abone/kullanıcı tarafından verilen açık rızalar her zaman ücretsiz olarak basit bir yöntem ile geri alınabilir olmalı ve İşletmeci buna imkan sağlamalıdır. Bu imkana ilişkin bilgilendirmenin İşletmeci tarafından açık rıza alınırken yapılması gerekmektedir. Ayrıca, aboneliğin sonlanması halinde de abonenin aksi yönde bir talebi bulunmuyor ise sona erme tarihi itibariyle daha önce verilen tüm açık rızalar geri alınmış sayılmaktadır. Bunun önemli sonucu ise açık rızanın geri alınması durumunda İşletmecinin açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurmakla yükümlü olmasıdır Aynı yükümlülük, İşletmeciler tarafından her yılın üçüncü çeyreği içinde daha önce alınan açık rızalar kapsamında verilerin işlendiğine dair bilgilendirme yapılmaması halinde de geçerli olup işbu durumda da veri işleme faaliyetinin bilgilendirme yapılıncaya kadar derhal durdurulması gerekmektedir. Bu noktada, abonelere/kullanıcılara yapılacak tüm bilgilendirmelerin ücretsiz olarak yapılması gerekte olup engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler bakımından ise işitsel ve/veya görsel yöntemler kullanılmak suretiyle BTK düzenlemelerine uygun şekilde hareket edilmesi gerekmektedir. Zira, Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu mevzuat uyarınca İşletmeciye aittir.
Yukarıda verilen abone/kullanıcı haklarından doğan İşletmeci yükümlülüklerine ek olarak İşletmecinin birtakım yükümlülükleri daha bulunmaktadır. Yönetmelik’in 10,11 ve 12’nci maddelerinde vurgulanan bu yükümlülükler; abonelerin talep etmeleri hâlinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlama, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanıma, işletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması hâlinde abonenin/kullanıcının onayı alma, İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda; Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlama, Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlama, Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırma, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlama (acil yardım çağrıları hariç), işbu imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirme olarak kararlaştırılmıştır.
VII. YAPTIRIMLAR
Önemle belirtmek gerekir ki, ayrıntılı olarak açıklanan işbu yükümlülüklerin işletmeciler tarafından yerine getirilmemesi halinde 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği kapsamında düzenlenen yaptırımlar uygulama alanı bulacaktır. Buna göre, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği’nin kişisel verilerin korunmasına ilişkin ihlal hallerini düzenleyen 13 maddesi uyarınca İşletmecinin belirtilen yükümlülükleri ihlal etmesi halinde bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanacağı hüküm altına alınmıştır.