Elektronik haberleşme sektöründeki “Kişisel Verilerin İşlenmesi ve Giziliğin Korunması Hakkındaki Yönetmeliği”ne, günün getirdiği ihtiyaçlar ve yönetmeliğin çıkması sonrası meydana gelen gelişmeler çerçevesinde değişiklikler geldi.
Yönetmelikteki değişiklikleri genel olarak Köksal Partners Hukuk Bürosundan Avukat Gürkan Özocak’a sorduk. Bakın neler söyledi :
Yönetmeliğin geneline baktığımızda, yapılan değişikliklerin AB direktiflerine, özellikle de adeta bu tür düzenlemelerin ‘amentüsü’ olan 95/46/EC sayılı AB Veri Koruma Direktifi’ne uygun olarak yapıldığını, bu direktif hükümlerini iç mevzuatımızda karşıladığını görüyoruz. Zira, bu direktifte, özellikle kişisel verileri saklanan kullanıcıların açık rızalarının olması, bu rızalarının özgür bir biçimde alınması, kullanıcıların bilgilendirilmeleri ve bu yönde veriyi saklayacak kurumlara sıkı tedbirler getirdiği görülmekte. Yönetmelik de bu açıdan, işletmecilere, kullanıcıların kişisel verilerinin sıkı bir biçimde korunması, bilgilendirilmeleri, güvenliğinin sağlanması gibi hususlarda tedbirler öngörüyor. Bu açıdan, değişikliklerin genelinin olumlu, AB mevzuatına uygun ve kişisel verilerin korunmasına yönelik değişiklikler olduğu sonucuna varmamız mümkündür.
Bunun yanında, yönetmelik bakımından kimi tartışmaların yaşanması da mümkün olup, bu noktalara da dikkat çekmek gerekmektedir.
Bununla ilgili olarak, özellikle altını çizmek istediğim husus, Yönetmeliğin 2. maddesindeki “*Kişisel veriler yurt dışına çıkarılamaz” *hükmüdür. Bu hüküm de genel olarak kurumun kişisel verilerin korunmasını sağlaması ve bu koruma üzerindeki denetimini sağlamlaştırması amacıyla yürürlüğe sokulmuş olsa da, “*bulut*” (*cloud computing*) kullanan veya bu sisteme geçecek olan işletmecilerin, bu teknolojiyi kullanmaları bakımından sıkıntı doğurabilecek nitelikte. Zira, bu hüküm, buluttaki bilgilere yurtdışından da erişilmesi mümkün olduğundan, sektördeki işletmecilerin bulut teknolojisinde bu verileri saklayamamasına yol açacaktır. Bunu, BTK’nın bulut üzerinde kişisel verilerin saklanmasının önüne geçilmesinin amaçladığı, zira bu durumda veri koruması sisteminin denetlenmesinin zor olacağını düşünerek koymuş olduğu şeklinde yorumlamak mümkündür. BTK’nın bu konudaki hassasiyetini anlamak ve hak vermek de son derece doğaldır. Ne var ki, bilişim sektöründe, bir yandan kişisel verilerin etkili bir biçimde korunmasının gözetilmesi gerekirken, bir yandan da gelişen teknolojinin gerisinde kalmamak ve bu teknolojinin hukuki koruma çerçevesinde önünü açmak da elzemdir. Bu noktada, kanaatimce yapılması gereken, bu hükmün bulut teknolojisinin korunmasına ilişkin uygulanmasını detaylandırılmasıdır. Kişisel verilerin hiçbiri mi bulutta tutulamayacak ya da hangi tür verilerin bulutta tutulması mümkün, hangilerinin mümkün değildir. Buna ilişkin hususlar, yönetmelik hükmünde ayrıntılandırılmalıdır.
Bir ikinci husus, kişisel veri mevzuatının bulunduğu ve güçlü bir kişisel veri koruması rejiminin bulunduğu ülkelerde, bu verilerin tutulmasının mümkün olup olmadığıdır. Bu bakımdan, elbette teknik denetim imkanının bulunması durumunda, bahsettiğimiz gibi bir yasal güvence sistemi oluşturmuş ülkelerden birindeki bir veri merkezinde kişisel verilerin paylaşılmaksızın tutulmasının, böylece daha ayakları yere basan bir koruma sisteminin oluşturulmasının neden önüne geçildiği tartışma konusu yapılabilir.
Son olarak, Yönetmeliğin 25. maddesinde, hükümlerin 24 Temmuz’da yürürlüğe gireceği söylenirken, abonelerin/kullanıcıların etkin ve hızlı bir biçimde bilgilendirilmesine ilişkin 4. maddesinin yürürlük tarihi 1 Ocak 2014 olarak belirlenmiştir. Bu yürürlük erteleme hükmü de bir yanıyla sektörün gerekli hazırlıkları yaparak daha etkin bir koruma sistemi oluşturmasına imkan vermesi açısından olumlu bir özellik taşımaktaysa da, öte yanıyla böylesine önemli ve AB Veri Koruma Direktifi’nin başat konulardan birine ilişkin bir hükmün yürürlüğe girişinin ertelenmesinin tartışma yaratabileceğini düşünüyorum.
Bugün Resmi Gazete’de yayınlanan[1] yönetmelikte yapılan değişiklikleri şu şekilde özetleyebiliriz;
- Kişisel veriler yurt dışına çıkarılamaz.Bu konu özellikle bankarla ilgili konularda da gündemde. Bankaların saklamaları yurtdışında yapmaları BDDK tarafından engellenmiş durumda.
- Kişisel verilerin işlenmesi kapsamında abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesini de kapsar.
- İşletmeci tarafından yetkilendirilen taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeci sorumludur.”
- İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür.
- İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklamakla yükümlüdür.
- Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir.”
- İşletmeci, şebekenin ve kişisel verilerin güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında Kurumu ve Kurum tarafından gerekli görülmesi halinde abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle yükümlüdür.”
- Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin, pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede işlenebilir.
- Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir.”
- Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlıdır.”
- Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde abone/kullanıcılara geçici olarak bu verilerin işlenmesini reddetme imkânı sağlar.
- İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar.
- İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilir.”
- Konum verisini işleme yetkisi, katma değerli elektronik haberleşme hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda kullanılır.”
- İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı.”
- Mobil telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları, haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif hale getirildiği hücre kimliği.”
- “İşletmecilerin veri saklama süreleriMADDE 14 – (1) 13 üncü madde kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise üç ay süre ile saklanır.
(2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar saklanır.
(3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları dört yıl süre ile saklanır.”
Kişisel Verilerin işlenmesi ve Gizliliğin Korunması Yönetmeliğine getirilen bu değişiklikler genel anlamda olumlu görülmekle birlikte; bazı maddelerin tartışmaya neden olabileceği belirtiliyor. Özellikle ABD’de NSA (Prism) skandalı ile ilgili tartışmalar sürüyorken, 5 maddenin 5ci fıkrasında yer alan;
Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir.”
ifadesi “gerekli gördüğü haller” belirsizliği nedeniyle soru işareti durumunda.
Bir de, “kişisel verilerin yurtdışına çıkarılamaz” şeklindeki uygulamanın diğer maddelerin 24 temmuz itibariyle yürürlülüğe girmesinin aksine 1/1/2014 itibariyle yürürlülüğe girmesi tartışılıyor.