ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLER

Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) tarafından 5809 sayılı Elektronik Haberleşme Kanunu’nun mülga 51. maddesi ve 4, 6, 12. maddelerine dayanılarak hazırlanan 24.07.2012 tarihli ve 28363 sayılı Resmi Gazete’de yayımlanarak, 4. Maddesinin ikinci fıkrası haricinde 24.07.2013 tarihinde yürürlüğe giren Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik, elektronik haberleşme sektöründe uygulanmak üzere kişisel verilerin korunmasına dair düzenlemeleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden çok daha önce getirmiştir.

Ancak, Elektronik Haberleşme Kanunu’nun mülga 51. maddesinde yer alan elektronik haberleşme sektöründe kişisel verilerin korunmasına ilişkin düzenleme yapma yetkisinin BTK’ya verilmesine ilişkin hüküm, Anayasa’ya aykırı olduğu gerekçesi ile Anayasa Mahkemesi tarafından 09.04.2014 tarihli kararı ile iptal edilmiştir. Zira, Anayasa ile koruma altında bulunan temel hak ve özgürlüklerin ancak “kanun” ile sınırlanması mümkün iken, bu sınırlamanın yürütmenin bir kolu olan BTK tarafından çıkarılacak “yönetmelik” ile yapılması Anayasa’ya aykırıdır. Anayasa Mahkemesi, verdiği bu iptal kararının Resmi Gazete’de yayımı tarihinden başlayarak 6 ay sonra yürürlüğe girmesine karar vermiş olup, bu kapsamda, Elektronik Haberleşe Kanunu’nun mülga 51. Maddesine dayanılarak oluşturulmuş olan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik de 26.01.2015 tarihi itibariyle hükümsüz hale gelmiştir.

Bu bağlamda, sektörde kişisel verilerin işlenmesi ve gizliliğine dair herhangi bir boşluk olmaması açısından, Elektronik Haberleşme Kanunu’nun 51. maddesi yeniden hazırlanmış ve elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğinin korunması dair hususlar bu defa bir yönetmelik ile değil doğrudan kanunda yer alan hükümler ile düzenlenmiştir.

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu genel bir kanun olup, elektronik haberleşme sektöründe de uygulama alanı bulmuştur. Bunun yanında elektronik haberleşme sektörüne özgü ihtiyaçlar nedeniyle, geçen süre zarfında, elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve korunmasına ilişkin uygulamaların doğrudan Elektronik Haberleşme Kanunu’nun 51. Maddesi ile düzenlenmiş olmasının yanı sıra, BTK, anılan hükmün uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil hususların düzenlenmesi amacıyla yeni bir yönetmelik hazırlığı içerisine girmiştir.

BTK tarafından yapılan yönetmelik çalışmaları nihayete ermiş olup, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına Dair Yönetmelik (“Yönetmelik”) 4 Aralık 2020 tarih ve 31324 sayılı Resmi Gazete’de yayımı tarihinden 6 ay sonra yürürlüğe girmek üzere yayımlanmıştır.

Yönetmelik, genel olarak kişisel verilerin işlenmesine ve korunmasına dair Kişisel Verilerin Korunması Kanunu ile paralel düzenlemeler getirmiş olmakla birlikte, bazı noktalarda Kişisel Verilerin Korunması Kanunu’ndan ayrışmakta ve daha detay düzenlemeler getirmektedir. Dikkat çekici hususları şu şekilde özetlemek mümkündür:

• Elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğine ilişkin düzenlemeler, abone ve kullanıcıların verilerine ilişkin getirilmiştir. Bu kapsamda gerek Elektronik Haberleşme Kanunu gerekse Yönetmelikteki hükümler kişisel verisi işlenen kişinin “gerçek kişi” veya “tüzel kişi” olup olmamasına bakılmaksızın, tüm abone/kullanıcılar bakımından uygulama alanı bulmakta ve bu noktada Kişisel Verilerin Korunması Kanunu düzenlemelerinden ayrışmaktadır.
• Kişisel Verileri Koruma Kurumu’nun yorumu ile benzer şekilde BTK Yönetmeliğinde “abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulmasının, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamayacağı” açıkça düzenlenmiştir.
• Yönetmelikte, “hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebileceği” düzenlenmiş olup, bu düzenleme ile işletmecilerin abonelerden/kullanıcılardan bir fayda karşılığı alacakları rızanın mevzuata uygun özgür irade ile verilmiş bir rıza olarak değerlendirileceği açıkça hükme bağlanmıştır. Bu düzenleme uyarınca, BTK, işletmecilerin bu faydalar karşılığı temin edeceği rızaları hukuka uygun kabul edecek; işletmecilere herhangi bir idari yaptırım uygulayamayacaktır. Bu düzenlemeye karşın, genel itibariyle hem elektronik haberleşme sektöründe hem de diğer tüm sektörlerde uygulanan Kişisel Verilerin Korunması Kanunu uyarınca, Kişisel Verileri Koruma Kurulu’nun Yönetmeliktekine benzer uygulamalara ilişkin yorumunun nasıl olacağı merak edilmektedir. Hukuk güvenliği açısından, aynı statüde olan iki kurumun (BTK ve KVKK) benzeşen durumlar bakımından yeknesak bir yorumda bulunmasında ve duruş sergilemesinde fayda bulunmaktadır.
• Yönetmelik, Kişisel Verilerin Korunması Kanunu’nda yer almayan bir biçimde, sektöre özgü olarak açık rıza beyanının içeriğinde neler olması gerektiğini ve rızanın şekli unsurlarını açıkça düzenlemiştir. Buna göre, abone/kullanıcılar açık rıza beyanının verilmesinden önce, “işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında” bilgilendirilmelidir ve bu bilgilendirmenin yazılı olarak yapılması halinde bu yazıların en az 12 punto ile hazırlanması gereklidir.
• İşletmecilerin alacakları açık rıza beyanlarının Yönetmelikte yer alan hüküm gereğince “evet/onay/kabul” şeklinde verilmesi gerekmektedir. BTK’nın beyanın şekline dair getirdiği bu düzenleme ile, açık rızanın “tik”lenmek suretiyle verilmesinin, BTK’nın aradığı gerekli şekli koşulu karşılamayacağı değerlendirilmektedir.
• BTK, Yönetmelik ile çoğunlukla yapılan kişisel verilerin işlenmesine dair rıza ile elektronik ileti gönderilmesine ilişkin rızanın birleştirilmesine ilişkin uygulamaları da sektöre özgü olarak engellemiştir. Buna karşın diğer sektörler bakımından kişisel verilerin işlenmesine ilişkin rıza ile elektronik ileti gönderilmesine ilişkin rızanın birleştirildiği hallere ilişkin KVKK’nın yorumunun ne olacağı henüz bilinmemektedir.
• Yönetmelik, işletmecilere açık rıza temin ederken, rızanın geri alınma imkanlarına ilişkin bilgilendirme yapma yükümlülüğü de getirmiştir.
• BTK, trafik ve konum verilerine ilişkin özel düzenlemeler getirerek, bu veriler bakımından gerek aydınlatma yükümlülüğü gerekse açık rıza beyanlarına ilişkin daha sıkı koruma tedbirleri öngörmüştür.
• Yönetmelik, aboneliğin sonlanması halinde, sona erme tarihi itibariyle, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızaların geri alınmış sayılacağını da açıkça hükme bağlamıştır.

Özetle, elektronik haberleşme sektöründe faaliyet gösteren işletmeciler, abone/kullanıcılarının kişisel verilerine yönelik gerçekleştirecekleri faaliyetler bakımından hem KVKK’nın hem de BTK’nın düzenleme ve denetlemesine tabi olmakla birlikte, yayımlanan bu yeni Yönetmelik ile birlikte kişisel verilere ilişkin uygulamalarını diğer sektörlere nazaran daha detaylı ve kapsamlı şekilde yürütmeleri gerekecektir.

Yönetmeliğin tam metnine buradan ulaşabilirsiniz.