|
Bilgi Teknolojileri ve İletişim Kurumundan:
ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN
İŞLENMESİ VE GİZLİLİĞİN KORUNMASINA
İLİŞKİN YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı, özel hayatın gizliliği
ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik
haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına
yönelik usul ve esasları belirlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik, elektronik haberleşme
sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil
elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler
bakımından uyacakları usul ve esasları kapsar.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809
sayılı Elektronik Haberleşme Kanununun 4, 6, 12, 49, 51 ve 60 ıncı
maddelerine dayanılarak hazırlanmıştır.
Tanımlar
ve kısaltmalar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) Abone: Bir işletmeci ile elektronik haberleşme
hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek
ya da tüzel kişiyi,
b) Acil yardım çağrıları: Ulusal ve uluslararası
düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi
acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri
kuruluşlara yardım talebiyle yapılan çağrıları,
c) Açık rıza: Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
ç) İşlem kaydı: Kişisel verilere ve ilişkili diğer
sistemlere erişen kişiler tarafından yapılan işlemin, işlemin gerçekleştiği
tarihten sonra tanımlanabilmesini teminen tutulan ve asgari olarak işlem,
işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile
işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik
kayıtları,
d) İşletmeci: Yetkilendirme çerçevesinde elektronik
haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve
alt yapısını işleten şirketi,
e) Kanun: 5/11/2008 tarihli ve 5809 sayılı
Elektronik Haberleşme Kanununu,
f) Kişisel veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
g) Kişisel veri ihlali: Yasa dışı, yetki dışı ya da
istem dışı olarak; kişisel verilerin tahrip edilmesine, silinmesine,
kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir
ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere
erişilmesine neden olan güvenlik ihlalini,
ğ) Kişisel verilerin işlenmesi: Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlemi,
h) Konum verisi: Kamuya açık elektronik haberleşme
hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve
elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti
aracılığıyla işlenen belirli veriyi,
ı) Kullanıcı: Aboneliği olup olmamasına
bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya
tüzel kişiyi,
i) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,
j) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,
k) Trafik verisi: Bir elektronik haberleşme
şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması
amacıyla işlenen her türlü veriyi,
l) Veri: Kişisel veri, trafik verisi veya konum
verisini,
ifade eder.
(2) Bu Yönetmelikte geçen ancak birinci fıkrada
tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan
tanımlar geçerlidir.
İKİNCİ BÖLÜM
İlkeler ve Uygulama Esasları
İlkeler
MADDE 5 – (1) Kişisel verilerin işlenmesinde aşağıdaki
ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olarak
işlenmesi.
b) Doğru ve gerektiğinde güncel olması.
c) Belirli, açık ve meşru amaçlar için işlenmesi.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olması.
d) İlgili mevzuatta öngörülen veya işlendikleri
amaç için gerekli olan süre kadar muhafaza edilmesi.
(2) Milli güvenlik gerekçesiyle trafik ve konum
verilerinin yurt dışına çıkarılmaması esastır.
Güvenlik
MADDE 6 –
(1) İşletmeciler
abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin
güvenliğini sağlamak amacıyla Kanuna, 24/3/2016 tarihli ve 6698 sayılı
Kişisel Verilerin Korunması Kanununa, ulusal ve uluslararası standartlara
uygun olarak gerekli her türlü teknik ve idari tedbirleri alır. Bu güvenlik
tedbirleri, teknolojik imkânlar göz önünde bulundurularak muhtemel riske
uygun düzeyde alınır.
(2) Birinci fıkrada belirtilen tedbirler asgari
olarak;
a) 5 inci maddede yer alan ilkeler çerçevesinde
kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlemeyi,
b) İstem dışı, yetki dışı ya da mevzuata aykırı
olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi,
depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve
söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin
korunmasını,
c) Kişisel verilere sadece yetkili kişiler
tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile
kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin
sağlanmasını,
içerir.
(3) Kurum, gerekli gördüğü hâllerde alınan güvenlik
tedbirlerine ilişkin işletmecilerden, bilgi ve belge isteyebilir, ayrıca
idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik
tedbirlerinde değişiklik talep edebilir.
(4) İşletmeciler, kişisel verilere ve ilişkili
diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl
saklamakla yükümlüdür.
(5) İşletmeciler, yetkilendirdikleri taraflarca bu
Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere, sundukları
hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin,
bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının
temininden sorumludur.
Riskin ve
kişisel veri ihlalinin bildirilmesi
MADDE 7 – (1) İşletmeciler, şebekelerinin ve sundukları
hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda;
a) Bu risk hakkında,
b) Bu riskin işletmeci tarafından alınan
tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme
yöntemleri hakkında,
ilgili aboneleri/kullanıcıları en kısa sürede
bilgilendirir.
(2) İşletmeciler, kişisel veri ihlali olması
durumunda 6698 sayılı Kanun ve ilgili mevzuata uygun yöntemlerle Kuruma,
Kişisel Verileri Koruma Kurumuna ve ilgili abonelere/kullanıcılara en kısa
sürede bildirimde bulunur.
Açık rıza
alma şartları
MADDE 8 –
(1) İşletmeciler,
aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki
şartları yerine getirir:
a) Açık rıza beyanı belirli bir konuya ilişkin
olarak ilgili işlem öncesinde alınır. Belirli bir konu ile sınırlandırılmayan
ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul
edilir.
b) Açık rıza beyanı özgür iradeyle açıklanmış
olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme
hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin
işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika,
SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan
açık rıza talep edilebilir.
c) Abone/kullanıcı, açık rıza beyanının alınması
öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri,
kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve
anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması
halinde yazılar en az on iki punto ile hazırlanır.
ç) İşletmecinin gerekli bilgilendirmeyi yapması
sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı
yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan
duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin
kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri
hukuki işlemlere yönelik irade beyanları ile birleştirilemez.
d) İşletmeciler, abonelerin/kullanıcıların açık
rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler
saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.
e) Trafik ve konum verilerinin üçüncü taraflara
aktarımının söz konusu olduğu durumlar için;
1) Aktarılacak verinin kapsamı,
2) Aktarılacak tarafın adı ve açık adresi,
3) Aktarma amacı ve süresi,
4) Üçüncü tarafın yurt dışında olması halinde
verinin aktarılacağı ülkenin adı,
şeklindeki bilgiler verilerek ayrıca açık rıza
alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.
f) İşletmeciler, trafik ve konum verilerinin açık
rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu
verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca
ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.
Trafik ve
konum verilerine ilişkin aydınlatma yükümlülüğü
MADDE 9 – (1) 6698 sayılı Kanunun 10 uncu maddesi hükümleri
saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde
işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı
ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.
ÜÇÜNCÜ BÖLÜM
Sağlanan İmkânlar
Numaranın
gizlenmesi
MADDE 10
– (1) İşletmeci, arayan numaranın
görünmesine imkân sağladığı durumlarda;
a) Arayan kullanıcıya basit bir yöntemle ve
ücretsiz olarak numarasını gizleme imkânı sağlamakla,
b) Aranan aboneye basit bir yöntemle ve ücretsiz
olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı
sağlamakla,
c) Arayan kişinin numarasını gizlemesi hâlinde,
ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini
daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı
sonlandırmakla,
yükümlüdür.
(2) İşletmeci, yönlendirilmiş aramalar gibi
bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan
aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan
kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür.
(3) İşletmeci, birinci ve ikinci fıkralarda
belirtilen imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet
veya benzeri araçlarla bilgilendirmekle yükümlüdür.
(4) Arayan numaranın gizlenmesi imkânı, acil yardım
çağrıları için geçerli değildir.
Otomatik
çağrı yönlendirme
MADDE 11
– (1) İşletmeci,
aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik
yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır.
(2) İşletmeciler tarafından başka bir numaraya veya
otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması hâlinde,
abonenin/kullanıcının onayı alınır.
Ayrıntılı
faturalarda gizlilik
MADDE 12
– (1) İşletmeciler, abonelerin
talep etmeleri hâlinde kullanım detayında veya ayrıntılı faturada yer alan
telefon numaralarının bazı rakamlarının gizlenmesini sağlar.
Abonenin/kullanıcının
diğer hakları
MADDE 13
– (1) İşletmeciler,
abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak, kısa
mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık
rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz
olarak geri almalarına imkân sağlar. Bu imkâna ilişkin bilgilendirme de
açık rıza alınması sırasında yapılır.
(2) İşletmeciler tarafından her yılın üçüncü
çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari
kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak
üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine
dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar
kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar
durdurulur.
(3) İşletmeciler tarafından bu Yönetmelik
kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara
yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak
Kurum düzenlemelerine uygun şekilde gerçekleştirilir.
(4) Aboneliğin sonlanması halinde, sona erme tarihi
itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm
açık rızalar geri alınmış sayılır.
(5) Bu Yönetmelik kapsamındaki
abonelere/kullanıcılara yapılacak tüm bilgilendirmeler, ücretsiz olarak gerçekleştirilir.
(6) Bu Yönetmelik kapsamındaki bilgilendirmeler,
açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu
işletmeciye aittir.
(7) Açık rızanın geri alınması durumunda işletmeci
açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal
durdurur.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
İdari
para cezaları ve diğer yaptırımlar
MADDE 14
– (1) İşletmecilerin bu Yönetmelik
ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde 15/2/2014
tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve
İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanır.
Kurumun
yetkisi
MADDE 15
– (1) Bu Yönetmeliğin uygulanması
sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye
ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama
birliğini sağlamaya Kurum yetkilidir.
Yürürlükten
kaldırılan yönetmelik
MADDE 16
– (1) 24/7/2012 tarihli ve 28363
sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel
Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik
yürürlükten kaldırılmıştır.
Atıflar
MADDE 17
– (1) Mevzuatta 24/7/2012 tarihli
ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe
Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe
yapılan atıflar bu Yönetmeliğe yapılmış sayılır.
Mevcut
rızaların durumu
GEÇİCİ
MADDE 1 – (1) Bu Yönetmeliğin
yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızalar geçerli
sayılır.
(2) Bu Yönetmeliğin yürürlüğe girdiği tarihten önce
rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine
rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi
durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak
kaydıyla, bu Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde
durdurulur.
Yürürlük
MADDE 18
– (1) Bu Yönetmelik yayımı
tarihinden altı ay sonra yürürlüğe girer.
Yürütme
MADDE 19
– (1) Bu Yönetmelik hükümlerini
Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.
|