Bilgi Teknolojileri ve İletişim Kurumundan:

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİN KORUNMASINA İLİŞKİN YÖNETMELİK

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Yönetmeliğin amacı, özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirlemektir.

Kapsam

MADDE 2 – (1) Bu Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar.

Dayanak

MADDE 3 – (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12, 49, 51 ve 60 ıncı maddelerine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

MADDE 4 – (1) Bu Yönetmelikte geçen;

a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi,

b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları,

c) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

ç) İşlem kaydı: Kişisel verilere ve ilişkili diğer sistemlere erişen kişiler tarafından yapılan işlemin, işlemin gerçekleştiği tarihten sonra tanımlanabilmesini teminen tutulan ve asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,

d) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi,

e) Kanun: 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununu,

f) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

g) Kişisel veri ihlali: Yasa dışı, yetki dışı ya da istem dışı olarak; kişisel verilerin tahrip edilmesine, silinmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini,

ğ) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

h) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi,

ı) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi,

i) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

j) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

k) Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veriyi,

l) Veri: Kişisel veri, trafik verisi veya konum verisini,

ifade eder.

(2) Bu Yönetmelikte geçen ancak birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir.

İKİNCİ BÖLÜM

İlkeler ve Uygulama Esasları

İlkeler

MADDE 5 – (1) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi.

b) Doğru ve gerektiğinde güncel olması.

c) Belirli, açık ve meşru amaçlar için işlenmesi.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.

(2) Milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esastır.

Güvenlik

MADDE 6 – (1) İşletmeciler abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla Kanuna, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa, ulusal ve uluslararası standartlara uygun olarak gerekli her türlü teknik ve idari tedbirleri alır. Bu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak muhtemel riske uygun düzeyde alınır.

(2) Birinci fıkrada belirtilen tedbirler asgari olarak;

a) 5 inci maddede yer alan ilkeler çerçevesinde kişisel verilerin işlenmesine ilişkin güvenlik politikalarını belirlemeyi,

b) İstem dışı, yetki dışı ya da mevzuata aykırı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesi gibi ihlallere karşı kişisel verilerin korunmasını,

c) Kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemler ile kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğinin sağlanmasını,

içerir.

(3) Kurum, gerekli gördüğü hâllerde alınan güvenlik tedbirlerine ilişkin işletmecilerden, bilgi ve belge isteyebilir, ayrıca idari yaptırım uygulama hakkı saklı kalmak kaydıyla söz konusu güvenlik tedbirlerinde değişiklik talep edebilir.

(4) İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlüdür.

(5) İşletmeciler, yetkilendirdikleri taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere, sundukları hizmetler kapsamında elde ettikleri verilerin gizliliğinin, güvenliğinin, bütünlüğünün, erişilebilirliğinin ve amacı doğrultusunda kullanılmasının temininden sorumludur.

Riskin ve kişisel veri ihlalinin bildirilmesi

MADDE 7 – (1) İşletmeciler, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda;

a) Bu risk hakkında,

b) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında,

ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirir.

(2) İşletmeciler, kişisel veri ihlali olması durumunda 6698 sayılı Kanun ve ilgili mevzuata uygun yöntemlerle Kuruma, Kişisel Verileri Koruma Kurumuna ve ilgili abonelere/kullanıcılara en kısa sürede bildirimde bulunur. 

Açık rıza alma şartları

MADDE 8 – (1) İşletmeciler, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki şartları yerine getirir:

a) Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul edilir.

b) Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.

c) Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.

ç) İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.

d) İşletmeciler, abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.

e) Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1) Aktarılacak verinin kapsamı,

2) Aktarılacak tarafın adı ve açık adresi,

3) Aktarma amacı ve süresi,

4) Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı,

şeklindeki bilgiler verilerek ayrıca açık rıza alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.

f) İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür.

Trafik ve konum verilerine ilişkin aydınlatma yükümlülüğü

MADDE 9 – (1) 6698 sayılı Kanunun 10 uncu maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür.

ÜÇÜNCÜ BÖLÜM

Sağlanan İmkânlar

Numaranın gizlenmesi

MADDE 10 – (1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda;

a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla,

c) Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla,

yükümlüdür.

(2) İşletmeci, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür.

(3) İşletmeci, birinci ve ikinci fıkralarda belirtilen imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirmekle yükümlüdür.

(4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir.

Otomatik çağrı yönlendirme

MADDE 11 – (1) İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır.

(2) İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması hâlinde, abonenin/kullanıcının onayı alınır.

Ayrıntılı faturalarda gizlilik

MADDE 12 – (1) İşletmeciler, abonelerin talep etmeleri hâlinde kullanım detayında veya ayrıntılı faturada yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar.

Abonenin/kullanıcının diğer hakları

MADDE 13 – (1) İşletmeciler, abonelerin/kullanıcıların verilerinin işlenmesine yönelik olarak, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları açık rızayı aynı yöntem ya da daha basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. Bu imkâna ilişkin bilgilendirme de açık rıza alınması sırasında yapılır.

(2) İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.

(3) İşletmeciler tarafından bu Yönetmelik kapsamında engelli tarifelerinden yararlanan abonelere/kullanıcılara yapılacak bilgilendirmeler, işitsel ve/veya görsel yöntemler kullanılarak Kurum düzenlemelerine uygun şekilde gerçekleştirilir.

(4) Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır.

(5) Bu Yönetmelik kapsamındaki abonelere/kullanıcılara yapılacak tüm bilgilendirmeler, ücretsiz olarak gerçekleştirilir.

(6) Bu Yönetmelik kapsamındaki bilgilendirmeler, açık rıza, abone/kullanıcı talebi ve onayına ilişkin ispat sorumluluğu işletmeciye aittir.

(7) Açık rızanın geri alınması durumunda işletmeci açık rızaya dayalı olarak yapılan veri işleme faaliyetlerini derhal durdurur.

DÖRDÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

İdari para cezaları ve diğer yaptırımlar

MADDE 14 – (1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri hâlinde 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanır.

Kurumun yetkisi

MADDE 15 – (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlamaya Kurum yetkilidir.

Yürürlükten kaldırılan yönetmelik

MADDE 16 – (1) 24/7/2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

Atıflar

MADDE 17 – (1) Mevzuatta 24/7/2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış sayılır.

Mevcut rızaların durumu

GEÇİCİ MADDE 1 – (1) Bu Yönetmeliğin yürürlüğe girdiği tarihten önce hukuka uygun olarak alınmış rızalar geçerli sayılır.

(2) Bu Yönetmeliğin yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerinin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, bu Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulur.

Yürürlük

MADDE 18 – (1) Bu Yönetmelik yayımı tarihinden altı ay sonra yürürlüğe girer.

Yürütme

MADDE 19 – (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.