Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik
24/7/2012 tarihli ve 28363 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğin 3 üncü maddesinin birinci fıkrasının (c), (ç), (g) ve (o) bentleri ile ikinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“c) Anonim hale getirme: Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesini,
ç) Gerçekleşmeyen arama: Başarılı bir şekilde bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini,”
“g) İşlem kaydı: Kişisel verilere erişen kişiler tarafından yapılan işlemin ileriki bir tarihte tanımlanabilmesini teminen asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,”
“o) NAT: Şebekede taşınan IP paketlerindeki IP adres bilgisi yanında port bilgileri de kullanılarak aynı IP’lerin birden çok abone tarafından kullanılmasını sağlayan teknolojiyi,”
“(2) Bu Yönetmelikte geçen ancak birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir.”
Aynı Yönetmeliğin 4 üncü maddesine aşağıdaki fıkralar eklenmiştir.
“(2) Kişisel veriler yurt dışına çıkarılamaz.
(3) Kişisel verilerin işlenmesi kapsamında abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesini de kapsar.
(4) İşletmeci tarafından yetkilendirilen taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeci sorumludur.”
Aynı Yönetmeliğin 5 inci maddesinin üçüncü, dördüncü ve beşinci fıkraları aşağıdaki şekilde değiştirilmiştir.
“(3) İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür.
(4) İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklamakla yükümlüdür.
(5) Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir.”
Aynı Yönetmeliğin 6 ncı maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(1) İşletmeci, şebekenin ve kişisel verilerin güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında Kurumu ve Kurum tarafından gerekli görülmesi halinde abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle yükümlüdür.”
Aynı Yönetmeliğin 8 inci maddesinin üçüncü ve dördüncü fıkraları aşağıdaki şekilde değiştirilmiştir.
“(3) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin, pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede işlenebilir.
(4) Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir.”
Aynı Yönetmeliğin 9 uncu maddesi aşağıdaki şekilde değiştirilmiştir.
"MADDE 9
(1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlıdır.”
Aynı Yönetmeliğin 11 inci maddesi aşağıdaki şekilde değiştirilmiştir.
"MADDE 11
(1) Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde abone/kullanıcılara geçici olarak bu verilerin işlenmesini reddetme imkânı sağlar.
(2) İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar.
(3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilir.”
Aynı Yönetmeliğin 12 nci maddesi aşağıdaki şekilde değiştirilmiştir.
"MADDE 12
(1) Konum verisini işleme yetkisi, katma değerli elektronik haberleşme hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda kullanılır.”
Aynı Yönetmeliğin 13 üncü maddesinin birinci fıkrasının (c) bendinin iki numaralı alt bendi ile aynı fıkranın (d) bendinin iki numaralı alt bendi aşağıdaki şekilde değiştirilmiştir.
“2) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı.”
“2) Mobil telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları, haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif hale getirildiği hücre kimliği.”
Aynı Yönetmeliğin 14 üncü maddesi başlığı ile birlikte aşağıdaki şekilde değiştirilmiştir.
“İşletmecilerin veri saklama süreleri
"MADDE 14
(1) 13 üncü madde kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise üç ay süre ile saklanır.
(2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar saklanır.
(3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları dört yıl süre ile saklanır.”
Aynı Yönetmeliğin 15 inci maddesinin birinci fıkrasının (b) ve (d) bentleri aşağıdaki şekilde değiştirilmiştir.
“b) Verilerin yurt içinde saklanmasını,”
“d) İşlenen ve saklanan verinin, saklama süresinin bitiminden itibaren en geç bir ay içinde imha edilmesi veya anonim hale getirilmesi ve bu işlemlerin tutanakla veya sistemsel olarak kayıt altına alınmasını”
Aynı Yönetmeliğin 17 nci maddesinin birinci fıkrasının (a) bendi ve ikinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,”
“(2) İşletmeci, bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür.”
Aynı Yönetmeliğin 18 inci maddesinin birinci fıkrası yürürlükten kaldırılmıştır.
Aynı Yönetmeliğin 25 inci maddesi aşağıdaki şekilde değiştirilmiştir.
"MADDE 25
(1) Bu Yönetmeliğin;
a) 4 üncü maddesinin ikinci fıkrası 1/1/2014,
b) diğer hükümleri 24/7/2013,
tarihinde yürürlüğe girer.”
Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.
Yönetmeliğin Yayımlandığı Resmî Gazete'nin | |
Tarihi | Sayısı |
24/7/2012 | 28363 |
Yönetmelikte Değişiklik Yapan Yönetmeliğin Yayımlandığı Resmî Gazete'nin | |
Tarihi | Sayısı |
15/2/2013 | 28560 |