Bilgi Teknolojileri ve İletişim Kurumu tarafından 4 Aralık 2020 tarihinde Resmi Gazete’de yayımlanan ve yayımlandıktan altı ay sonra yürürlüğe gireceği düzenlenen Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik (“Yönetmelik”) bugün itibariyle yürürlüğe girmiş bulunmaktadır.

Yönetmelik’in amacı özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasların belirlenmesidir. Bu doğrultuda Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) bakımından ilkeleri ve uygulama esaslarını kapsamaktadır.

Genel çerçevesiyle KVKK ile paralel şekilde düzenlenen Yönetmelik’te KVKK’dan farklı olarak bazı hususlar belirlenmiştir;

İlkeler:
•    KVKK’da düzenlenen ilkelere ek olarak ilgili Yönetmelik’te milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmamasının esas olduğu konusu açıkça düzenlenmiştir. Bu hükümle Yönetmelik’te tanımlanan trafik ve konum verilerinin Türkiye’de depolanması gerektiği açıkça belirtilmiştir. 

Güvenlik:
Bu kapsamda; 
•    Yönetmelik kapsamına giren işletmeciler tarafından güvenlikle ilgili tedbirlerin alınması ve veri güvenliğinin sağlanmasına yönelik güvenlik politikaların oluşturulması gerekmektedir. 
•    Bilgi Teknolojileri ve İletişim Kurumu (“BTK”), gerekli gördüğü hâllerde alınan güvenlik tedbirlerine ilişkin işletmecilerden bilgi ve belge isteyebilecektir. 
•    Ayrıca BTK’nın idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebileceği ve işletmecilerin, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlülüğü de düzenlenmektedir.

Riskin ve Kişisel Veri İhlalinin Bildirilmesi: 
•    KVKK’daki düzenlemeye ek olarak; veri ihlali durumlarında işletmecilere, Kişisel Verileri Koruma Kurumu ve ilgili kişiye (abone/kullanıcılara) yapılması gereken bildirime ek olarak BTK’ya da bildirimde bulunma yükümlülüğü getirilmiştir.

Açık Rızanın Alınması:
KVKK’da düzenlenen açık rıza kavramına ilgili Yönetmelik’te de değinilerek, açık rıza alınmasına ek şartlar belirlenmiştir. Bu doğrultuda; 
•    Açık rızanın işleme özel olması gerektiği ve herhangi bir ön şarta bağlanamayacağı düzenlenmiştir. 
•    Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan ayrıca açık rıza talep edilebileceği düzenlenmiş olup, telekomünikasyon sektörüne özel bir açık rıza şartı getirilmiştir.
•    Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;
    Aktarılacak verinin kapsamı,
    Aktarılacak tarafın adı ve açık adresi,
    Aktarma amacı ve süresi,
    Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı,
şeklindeki bilgiler verilerek ayrıca açık rıza alınması gerektiği düzenlenmiştir. Bu bilgilerde değişiklik olması halinde işletmeci tarafından tekrar açık rıza alınması gerektiği düzenlenmiştir.

Aydınlatma Yükümlülüğü:
•    KVKK aydınlatma yükümlülüklerine ek olarak işletmecilere, açık rızaya tabi işleme faaliyetleri açısından işlenecek kişisel veri türü ile trafik veya konum verisi türlerinin işlenme amacı ve işleme süresi hakkında bilgi verme yükümlülüğü getirilmiştir.

Abone ve Kullanıcıların Diğer Hakları:
•    İşletmeciler her yılın üçüncü çeyreğinde ilgili abone/kullanıcılara açık rızaya dayanan işleme amaçları kapsamında hatırlatma yapmakla yükümlü olacaktır. Aksi halde, açık rıza kapsamındaki veri işleme faaliyeti, bu kapsamda bir bilgilendirme yapılıncaya kadar durdurulacaktır. Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır.

İdari Yaptırımlar:
•    İşletmecilerin Yönetmelik’e aykırı davranması durumunda, Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği uyarınca işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanabilecek olup, aykırılığın Yönetmelik’teki milli güvenliğe yönelik hükümleriyle ilgili olması durumunda işletmecinin yetkilendirmesinin iptal edilebilmesi de mümkün olacaktır.

Mevcut Rızaların Durumu:
•    04.06.2021 tarihinden önce hukuka uygun olarak alınan rızalar geçerli sayılacak olup, 
•    İlgili Yönetmelik’in yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda, bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, Yönetmelik’in yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulmalıdır.

Sonuç olarak, ilgili Yönetmelik genel çerçevesi itibariyle KVKK ile paralel düzenlemeler getirmiş olup, özellikle trafik ve konum verileri, açık rıza konusu ve abonelerin ve kullanıcıların diğer hakları bakımından daha detaylı bir düzenleme getirmiştir.