MARKALAR, YORUMLAR, TAVSİYELER.!

ELEKTRONİK HABERLEŞMEDE KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASI

Şikayet Hattı


Verilerin İşlenmesi ve Saklanması Haberleşmenin Gizliliği MADDE 7 – (1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasaktır. * Danıştay 13 üncü Dairesinin 17/03/2014 tarihli ve E.2013/3582 Esas Numaralı Kararı ile “Kurum tarafından gerekli görülmesi halinde” ibaresinin yürütmesi durdurulmuştur. (2) Elektronik haberleşme şebekeleri, haberleşmenin iletimini gerçekleştirmek dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili kullanıcıların/abonelerin verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve rızalarının alınması kaydıyla kullanılabilir. Trafik verisinin işlenmesi MADDE 8 – (1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemez. (2) Trafik verisi, ilgili mevzuat hükümlerine uygun olarak, trafiğin yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. (3) (Değişik:RG-11/7/2013-28704) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin, pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede işlenebilir. (4) (Değişik:RG-11/7/2013-28704) Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir. (5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. Trafik verisini işleme yetkisi MADDE 9 – (Değişik:RG-11/7/2013-28704) (1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlıdır. Trafik verisinin bildirilmesi MADDE 10 – (1) Trafik verisi, arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü, tüketici şikâyetlerinin değerlendirilmesi ve denetim faaliyetlerinin gerçekleştirilmesi amacıyla yazılı olarak talep edilmesi halinde kanunların yetkili kıldığı mercilere verilir. Konum verisinin işlenmesi MADDE 11 – (Değişik:RG-11/7/2013-28704) (1) Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde abone/kullanıcılara geçici olarak bu verilerin işlenmesini reddetme imkânı sağlar.(2) İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar. (3)* İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak afet ve acil yardım çağrıları kapsamında abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilir. Konum verisini işleme yetkisi MADDE 12 – (Değişik:RG-11/7/2013-28704) (1) Konum verisini işleme yetkisi, katma değerli elektronik haberleşme hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda kullanılır. Saklanacak veri kategorileri MADDE 13 – (1) Bu Yönetmelik kapsamında saklanması öngörülen veri kategorileri, aşağıda belirtilmiştir. a) Haberleşmenin takibi ve kaynağının tanımlanması için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar da dâhil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası, abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine ait bilgi. 2) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası, haberleşmenin gerçekleştiği andaki internet protokol adresi, abonenin/kullanıcının adı ve adresi. b) Haberleşmenin sonlandırılacağı noktayı belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği numara veya numaralar, abonelerin adı ve adresi. 2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı kimliği veya telefon numarası, internet telefonu veya elektronik posta alıcılarının adı ve adresi. c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı. 2) (Değişik:RG-11/7/2013-28704) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı. ç) Haberleşmenin türünü tanımlamak için: 1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; kullanılan elektronik haberleşme hizmeti. 2) Elektronik posta ve internet telefonu ile ilgili olarak; kullanılan internet hizmeti. d) Kullanıcıların haberleşme cihazlarını veya bunların ekipmanlarını tanımlamak için: 1) Sabit telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları. * Danıştay 13 üncü Dairesinin 17/03/2014 tarihli ve E.2013/3582 Esas Numaralı Kararı ile “acil durum halleri ile” ibaresinin yürütmesi durdurulmuştur. 2) (Değişik:RG-11/7/2013-28704) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı. 3) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı numarası ya da haberleşmenin kaynaklandığı diğer nokta. e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği, haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre kimliğinin o adrese atanma ve kaldırılma tarihleri. (2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır. İşletmecilerin veri saklama süreleri MADDE 14 – (Değişik:RG-11/7/2013-28704) (1) 13 üncü madde kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise üç ay süre ile saklanır. (2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar saklanır. (3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları dört yıl süre ile saklanır. Saklanan verinin korunması ve güvenliği MADDE 15 – (1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler asgari olarak; a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve koruma özelliklerine tabi olmasını, b) (Değişik:RG-11/7/2013-28704) Verilerin yurt içinde saklanmasını, c) Saklanan verilerin, istem dışı, yetki dışı ya da yasa dışı, erişim, tahrip, kayıp, değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin alınmasını, ç) Verilerin sadece özel yetkilendirilmiş kişiler tarafından erişilebilir olmasının sağlanması için uygun teknik ve idari tedbirlerin alınmasını, d) (Değişik:RG-11/7/2013-28704) İşlenen ve saklanan verinin, saklama süresinin bitiminden itibaren en geç bir ay içinde imha edilmesi veya anonim hale getirilmesi ve bu işlemlerin tutanakla veya sistemsel olarak kayıt altına alınmasını sağlamakla yükümlüdür. (2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin güvenliğini, bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş kişiler marifetiyle yapılan işlemleri de kapsar. (3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde, saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin sağlamakla yükümlüdür. İstatistikî bilgilerin verilmesi MADDE 16 – (1) İşletmeciler son bir yıl içerisinde; a) Yetkili merciler tarafından ilgili mevzuatı çerçevesinde talep edilen verilerin kategorileri ve talep edilme sayılarına, b) Verinin saklanmaya başlandığı tarih ile yetkili merciler tarafından talep edildiği tarih arasında geçen süreye, c) Veri talebinin karşılanamadığı durumlara, ilişkin istatistikî bilgileri saklamakla ve talep halinde Kuruma göndermekle yükümlüdür. (2) Bu maddenin birinci fıkrasında belirtilen istatistikî bilgiler, kişisel verileri içermez.