Haberleşme ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasak olacak Haberleşme ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasak olacak.
Bilgi Teknolojileri ve İletişim Kurumu tarafından hazırlanan yönetmelik, elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenliyor. Yönetmelik, haberleşmenin içeriğine ilişkin verilerin saklanmasını kapsamıyor. Elektronik Haberleşme Kanununa dayanılarak hazırlanan yönetmelik, elektronik haberleşme sektöründe kişisel veriler hukuka ve dürüstlük kurallarına uygun ve ilgili kişinin rızasına dayalı olarak işlenecek. Veriler doğru olacak ve gerektiğinde güncellenecek. İşletmeciler, kişisel verilerin işlenmesine ilişkin güvenlik politikası belirleyecek. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alacak. Söz konusu güvenlik tedbirleri, teknolojik imkanlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde sağlanacak. Alınacak tedbirler, asgari istem dışı, yetki dışı ya da yasa dışı olarak, kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını içerecek. İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere sağlanan tüm erişimlere ve erişim yetkisi olan personelin yaptığı işlemlere dair detaylı işlem kayıtlarını 5 yıl süreyle tutmakla yükümlü olacak. Bilgi Teknolojileri Kurumu, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin tutulduğu sistemlere ve aldıkları güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haiz olacak. İşletmeci, şebekenin ve kişisel verilerin güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında Bilgi Teknolojileri ve İletişim Kurumu’nu ve aboneleri etkin ve hızlı bir şekilde bilgilendirmekle yükümlü kılındı.
-HABERLEŞMENİN DİNLENMESİ, KAYDEDİLMESİ YASAK-
Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, kesilmesi ve gözetimi yasak olacak. İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemeyecek. İşletmeci tarafından kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinecek. Trafik verisini işleme yetkisi, trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikayetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci tarafından yetkilendirilen kişilerle sınırlı olacak. Trafik verileri elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması amacıyla maskeleme yapılmaksızın işletmeci bünyesi dışına çıkarılamayacak. Veri kategorileri, haberleşmenin gerçekleştiği tarihten itibaren işletmeciler tarafından bir yıl süreyle saklanacak. İşletmeci, arayan numaranın görünmesine imkan sağladığı durumlarda, arayan kullanıcıya her bir arama için basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkanı sağlamakla, aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkanı sağlamakla yükümlü olacak.
-TRAFİK VERİLERİ HİÇBİR ŞEKİLDE YURT DIŞINA ÇIKARILAMAYACAK-
Trafik verisi, arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü, tüketici şikayetlerinin değerlendirilmesi ve denetim faaliyetlerinin gerçekleştirilmesi amacıyla yazılı olarak talep edilmesi halinde kanunların yetkili kıldığı mercilere verilir.
İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak acil yardım çağrıları kapsamında kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilecek. Konum verisini işleme yetkisi işletmeci tarafından yetkilendirilen kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda kullanılacak. Söz konusu veriler, maskeleme yapılmaksızın işletmeci bünyesi dışına ve hiçbir şekilde yurt dışına çıkarılamayacak. Sabit ve mobil telefon hizmetleriyle ilgili olarak, gerçekleşmeyen aramalar da dahil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası, abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine ait bilgi, internet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; tahsis edilmiş kullanıcı kimliği veya telefon numarası, haberleşmenin gerçekleştiği andaki internet protokol adresi, kullanıcının adı ve adresi saklanması öngörülen veri kategorileri arasında yer alacak.
-VERİLER BİR YIL SAKLANACAK-
Veri kategorileri, haberleşmenin gerçekleştiği tarihten itibaren işletmeciler tarafından bir yıl saklanacak. Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar korunacak. İşletmeciler, verilerin güvenlik ve koruma özelliklerine tabi olmasını, yurt içinde kendi bünyesinde saklanmasını, istem dışı, yetki dışı ya da yasa dışı, erişim, tahrip, kayıp, değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin alınmasını, özel yetkilendirilmiş kişiler tarafından erişilebilir olmasının sağlanmakla yükümlü olacak. Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin amaç ve kapsamına uygun olarak belirlenecek. İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlayacak. Yönetmelik 6 ay sonra yürürlüğe girecek
24 Temmuz 2012 SALI Resmî Gazete Sayı : 28363
YÖNETMELİK
Bilgi Teknolojileri ve İletişim Kurumundan:
ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN
İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI
HAKKINDA YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 – (1) Bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir.
(2) Haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin kapsamına dâhil değildir.
Dayanak
MADDE 2 – (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Yönetmelikte geçen;
a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi,
b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları,
c) Anonim hale getirme: Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmek suretiyle işlenmesini,
ç) Gerçekleşmeyen arama: Başarılı bir şekilde bağlantı kurulmasına rağmen, aranan tarafın cevap vermemesi ya da şebeke yönetiminden kaynaklanan bir nedenle görüşmenin gerçekleşmemesini,
d) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin kimliğini,
e) IMEI: Uluslararası mobil cihaz kimliğini,
f) IMSI: Uluslararası mobil abone kimliğini,
g) İşlem kaydı: Kişisel verilere erişebilen kişiler tarafından yapılan işlemin ileriki bir tarihte tanımlanabilmesini teminen söz konusu işleme ilişkin olarak tutulan ve en az işlemi yapan kişi, işlemin yapıldığı tarih ve zamanı, yapılan işlemin detayı, gerekçesi ve niteliği ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,
ğ) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi,
h) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri,
ı) Kişisel veri ihlali: İstem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini,
i) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi, tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen işlem ya da işlemler bütününü,
j) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi,
k) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi,
l) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel tanımlamayı,
m) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,
n) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,
o) Maskeleme: İşletmecinin kişisel verileri, üçüncü tarafların bu verileri ilgili kişi ile ilişkilendiremeyecek hale getirmesini,
ö) Rıza: İlgili kişinin kendisine ait kişisel verisinin işlenmesine yönelik, verinin işlenme amaç ve kapsamı dâhilinde, verinin işlenmesi öncesinde özgür iradesiyle verdiği ispatlanabilir kabul beyanını,
p) Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya faturalama amacıyla işlenen her türlü veriyi,
r) Veri: Abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi, konum verisi ya da ilgili diğer bilgileri,
ifade eder.
(2) Bu Yönetmelikte geçen ve birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir.
İKİNCİ BÖLÜM
Uygulama Esasları
Kişisel verilerin işlenmesine ilişkin ilkeler
MADDE 4 – (1) Kişisel verilerin;
a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,
b) İlgili kişinin rızasına dayalı olarak işlenmesi,
c) Elde edilme amacıyla bağlantılı, yeterli ve orantılı olması,
ç) Doğru olması ve gerektiğinde güncellenmesi,
d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi
esastır.
Güvenlik
MADDE 5 – (1) İşletmeciler, kişisel verilerin işlenmesine ilişkin olarak güvenlik politikası belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. Söz konusu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde sağlanır.
(2) Birinci fıkrada belirtilen tedbirler, asgari istem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını içerir.
(3) İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin tutulduğu sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür.
(4) İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere sağlanan tüm erişimlere ve erişim yetkisi olan personelin yaptığı işlemlere dair detaylı işlem kayıtlarını beş yıl süreyle tutmakla yükümlüdür.
(5) Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin tutulduğu sistemlere ve aldıkları güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir.
Riskin ve kişisel veri ihlalinin bildirilmesi
MADDE 6 – (1) İşletmeci, şebekenin ve kişisel verilerin güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında Kurumu ve abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle yükümlüdür.
(2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde, söz konusu riskin kapsamı, giderilme yöntemleri ve yaklaşık maliyeti hakkında abonelerin/kullanıcıların etkin ve hızlı bir şekilde bilgilendirilmesi sağlanır.
(3) İşletmeci, kişisel veri ihlali olması durumunda söz konusu ihlalin niteliği ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu bilgilendirir.
(4) Kişisel veri ihlalinden abonelerin/kullanıcıların olumsuz yönde etkilenme ihtimalinin bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olası olumsuz etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek önlemlere ilişkin olarak aboneleri/kullanıcıları ücretsiz olarak bilgilendirir.
(5) İşletmeci, gerçekleşen kişisel veri ihlallerine ilişkin olarak söz konusu ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür.
ÜÇÜNCÜ BÖLÜM
Verilerin İşlenmesi ve Saklanması
Haberleşmenin gizliliği
MADDE 7 – (1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasaktır.
(2) Elektronik haberleşme şebekeleri, haberleşmenin iletimini gerçekleştirmek dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili kullanıcıların/abonelerin verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve rızalarının alınması kaydıyla kullanılabilir.
Trafik verisinin işlenmesi
MADDE 8 – (1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemez.
(2) Trafik verisi, ilgili mevzuat hükümlerine uygun olarak, trafiğin yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır.
(3) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri, ilgili abonelerin/kullanıcıların işlenecek trafik verisinin türü ve işlenme süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin, pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçüde ve sürede işlenebilir.
(4) İşletmeci tarafından abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir.
(5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar.
Trafik verisini işleme yetkisi
MADDE 9 – (1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci tarafından yetkilendirilen kişilerle sınırlıdır.
(2) Trafik verileri elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması amacıyla maskeleme yapılmaksızın işletmeci bünyesi dışına çıkarılamaz.
(3) Trafik verileri hiçbir şekilde yurt dışına çıkarılamaz.
Trafik verisinin bildirilmesi
