Hatice ZÜMBÜL
hatice.zumbul@zumbul.av.tr

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında veri sorumlularına getirilen yükümlülüklerden biri de veri güvenliğini sağlama yükümlülüğüdür. Veri güvenliği, kişisel verilerin korunmasına ilişkin mevzuat çerçevesinde, detaylı bir şekilde düzenlenmiş; veri güvenliğinin ihlali halinde veri sorumluları için birtakım yükümlülükler ve ağır yaptırımlar öngörülmüştür.

Veri güvenliğinin sağlanması bakımından yerine getirilmesi gereken işlemler ile veri sorumluları tarafından alınması gereken teknik ve idari tedbirler; Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yayımladığı “Kişisel Veri Güvenliği Rehberi’nde de (Teknik ve İdari Tedbirler)” (“Rehber”) ayrıntılı bir şekilde düzenlenmiştir.

Kanun koyucu, kişisel veri güvenliğinin sağlanmasını Kanun’un amaçlarından biri olarak görmüş ve veri sorumlusu için kişisel verilerin hukuka aykırı şekilde işlenmesini önleme ve kişisel verilerin hukuka uygun olacak şekilde muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür. (1)

Nitekim, KVKK’nın 12. maddesi uyarınca veri sorumlusu; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme, (iii) kişisel verilerin muhafazasını sağlama amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bununla birlikte, kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumlarında, veri sorumluları için, KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür.

Kanuni Sorumluluk

KVKK’nın 12. maddesi uyarınca, veri sorumlusu, kişisel verilerin kendisi adına başka bir gerçek veya tüzel kişi (“veri işleyen”) tarafından işlenmesi hâlinde, gerekli her türlü tedbirin alınması hususunda veri işleyen kişiler ile birlikte müştereken sorumlu olmaktadır. Dolayısıyla veri sorumlusu ile veri işleyenin farklı kişiler olması halinde veri işleyenlerin de veri güvenliğinin sağlanması için tedbir alma zorunluluğu bulunmaktadır; ancak bu zorunluluk, veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri kapsamındaki sorumluluğunu hiçbir şekilde bertaraf etmemektedir. (2)

Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

KVKK’da veri sorumlusu tarafından veri güvenliğine ilişkin teknik ve idari tedbirlerin alınacağı öngörülmüş; ancak bu tedbirlerin neler olabileceğine ilişkin herhangi bir açıklama yapılmamıştır. Dolayısıyla, her bir somut olay kendi içinde farklı önlemler alınmasını gerektirecek olup, uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önem arz edecektir.

Kişisel verilerin işlenmesi faaliyetleri kapsamında veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla Kurul tarafından, -yukarıda açıklandığı üzere-, bir Rehber yayımlanmış ve bu Rehber’de veri sorumluları tarafından alınabilecek önlemlere ilişkin ilk tespitler yapılmıştır.

Kurul tarafından belirlenen idari tedbirler, şirket içerisinde alınması gereken kararlar ve atılması gereken adımlar doğrultusunda alınabilecek güvenlik tedbirlerini (Kişisel veri işleme envanteri hazırlanması, kurumsal politikalar, gizlilik taahhütnameleri imzalanması, iş sözleşmesi ve disiplin yönetmeliğine Kanun’a uygun hükümlerin ilave edilmesi, Veri Sorumluları Sicil Bilgi Sistemine bildirim yapılması vb.) ifade etmekte iken; teknik tedbirler, şirket içerisinde oluşturulan kişisel veri güvenliği politikaları ve görev tanımları kapsamında, kâğıt ve elektronik ortamlarda işlenen kişisel verilerin ve işbu ortamların güvenliğinin sağlanabilmesi amacıyla alınması öngörülen tedbirleri (Yetki matrisi, erişim logları, kullanıcı hesap yönetimi, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri kaybı önleme yazılımları, yedekleme vb.) ifade etmektedir.

Av. Hatice Zümbül

(1) “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, İbrahim Korkmaz, 2016, 124, Türkiye Barolar Birliği Dergisi (2)

“Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk”, Damla Gürpınar, 2017, Özel Sayı, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi

Kaynak: Av. Hatice ZÜMBÜL – İçerik, Zümbül Hukuk ve Danışmanlık firmasının özel izni ile yayınlanmıştır.  Yazının tüm hakları ve sorumluluğu yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zararlardan sorumlu değildir.

YAZARIN DİĞER YAZILARI

İşçi Özlük Dosyasına KVKK Filtresi

İşyerinde Elektronik Gözetim Yöntemlerinin Kullanılması

Covid-19 Salgını Döneminde Siber Güvenlik Önerileri

Elektronik Haberleşme Sektöründe Covid-19 Tedbirleri

Hatice ZÜMBÜL
hatice.zumbul@zumbul.av.tr

Tüm dünyayı etkisi altına alan (yeni koronavirüs) Covid-19 salgınının ortaya çıkardığı belirsizlikler bütünüyle insan hayatını, ekonomiyi/birçok sektörü derinden etkilemekte; salgının bu sektörlerdeki olumsuz sonuçlarının azaltılabilmesi amacıyla da gerek Meclis tarafından temel kanunlarda gerekse sektörel bazda düzenleyici otoriteler tarafından ikincil düzenleme ve uygulamalarda köklü değişikliklere gidilmektedir.

Elektronik haberleşme sektöründe de Bilgi Teknolojileri ve İletişim Kurulu (“Kurul”) tarafından, Covid-19 salgını nedeniyle tüketici hakları ile erişim ve arabağlantı konuları ile ilgili, 31.03.2020 tarihli, 2020/DK-ETD/102 ve 2020/DK-THD/100 sayılı Kararlar alınmış ve bu alanda birtakım düzenlemelere gidilmiştir.

İlgili kararlar ile, tüketiciler ve işletmeciler bakımından elektronik haberleşme hizmetlerinin her zamankinden daha da kritik bir konuma sahip olduğu hesaba katılarak, elektronik haberleşme hizmetlerinin sürekliliği ve hizmet kalitesinin toplumsal ihtiyaçlara cevap verebilecek şekilde güvenli ve nitelikli olarak sağlanmaya devam etmesi amacıyla birtakım önlemler alınmıştır.

1) Tüketiciler Bakımından Alınan Tedbirler

Sosyal izolasyon önlemleri ve uzaktan çalışma sisteminin benimsenmesi, tüketicilerin, elektronik haberleşme sektörünün kesintisiz ve güvenli olarak devamının sağlanmasına yönelik ihtiyaçlarını artırmıştır. Bu bağlamda Kurul tarafından alınan önlemler aşağıdaki gibidir:

• İşletmeciler, tüketiciler nezdinde hizmetin kesintisiz sağlanması için, çağrı merkezi hizmetlerini aksatmadan yürütmekle mükelleftirler. Bu kapsamda imkanlar dahilinde çağrı merkezi çalışanlarının uzaktan veya evden erişim ile esnek çalışma olanaklarının geliştirilmesi dahil olmak üzere tüm tedbirler alınmalıdır.

• İşletmeciler, ulusal ve uluslararası örnekleri bulunan abone lehine uygulamaları hayata geçirmek amacıyla gerekli çalışmaları yapmalıdırlar. Abone lehine uygulamalar; abonelere indirimli/ücretsiz hizmetler sunulması, ses, mesaj ve veri faydalarının sağlanması, son ödeme tarihinin geciktirilmesi, geç ödeme, mevcut borç durumu nedeniyle hat kısıtlama/kapatma/icra takibi tedbirlerinin gevşetilmesi, fatura ödeme koşulları ve tarihlerinde esneklik ve kolaylık tanınması gibi uygulamalar olabilecektir.

• Salgın nedeniyle abonelere basılı fatura gönderilebilmesi de mümkün olmayabilecektir. Bu nedenle, abonelerden ilave onaya gerek olmadan, işletmecilerin abonelere faturalarını elektronik ortamda (SMS, e-posta gibi yöntemlerle) iletilmesi mümkün kılınmıştır. Ancak bu durum birtakım şartlara bağlanmıştır:

a. İşletmeciler bu yola başvurabilmek için öncelikle abone lehine uygulamaları hayata geçirmiş olmalıdırlar.

b. İletilmeyen basılı faturalar, salgın dönemi sonrası iletilmeli ve basılı faturanın iletildiği tarih itibariyle abonenin faturaya itiraz gibi hakları saklı tutulmalıdır. Dolayısıyla abone, faturaya itiraz hakkını, salgın dönemi sonrasında kendisine basılı faturasının iletilmesiyle kullanabilecektir.

c. Aboneler, ispatlanabilir bir şekilde, kendilerine basılı fatura gönderilmeyeceği ancak elektronik posta veya kısa mesaj yöntemlerinden uygun olan biri ile fatura/fatura bilgisinin iletileceği hususunda bilgilendirilmelidir.

d. SMS veya e-posta yoluyla iletilen fatura bildirimlerinin mevzuatta öngörülen asgari bilgileri taşıması gereklidir.

• Elektronik haberleşme sözleşmelerinin, sosyal izolasyon önlemleri de gözetilerek fiziki temastan kaçınılarak akdedilmesi için alınması gereken önlemler belirlenmiştir. Bu kapsamda e-devlet kapısı üzerinden güvenli elektronik imzayla mobil elektronik haberleşme sözleşmeleri akdedilebileceği gibi, işletmecilerin mevzuatta yer alan sorgulama/doğrulama yükümlülükleri saklı kalmak kaydıyla;

i. İşletmecilerin internet sitelerinden mevzuat kapsamında ihtiyaç duyulan bilgi/belgelerin elektronik ortamda tüketici tarafından yüklenmesine imkan sağlanması,

ii. Sözleşme örneğinin internet üzerinden indirilerek tüketici tarafından imzalanması ve Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü Kimlik Paylaşımı Sisteminden teyit edilmiş olan tüketicinin yerleşim yeri adresinden, Yetkili Posta Hizmet Sağlayıcısı vasıtası ile teslim alınarak işletmeci merkezine gönderilmesi,

iii. İşletmecilerin çağrı merkezi üzerinden abonenin irtibat numarasına teyit araması yapılması yoluyla da abonelik sözleşmesinin kurulması mümkün kılınmıştır.

• İşletmecilerin; Bilgi Teknolojileri ve İletişim Kurulu’nun 21.12.2016 tarih ve 2016/DK-THD/496 sayılı Kararı, Tüketici Hakları Dairesi Başkanlığı’nın 04.01.2017 tarih ve E.167 sayılı yazısı ve Sosyal Açıdan Desteklenmesi Gereken Kesimlere Yönelik Tedbirlere İlişkin Usul ve Esaslar’ın 13’üncü maddesi gereğince Bilgi Teknolojileri ve İletişim Kurumu’na (“Kurum”) iletmekle yükümlü oldukları raporların, üç (3) ay süre ile ertelenmesi kararlaştırılmıştır.

• İşletmeciler, 24.06.2013 tarihli ve 2013/DK-THD/362 sayılı Kurul Kararı uyarınca, imzalanan abonelik sözleşmelerinin ve bu sözleşmelere bağlı taahhütnamelerin bir örneğini, abonelik sözleşmesinin imzalanmasından sonra en geç üç (3) ay içerisinde elektronik ortama aktararak, abonelerin bu sözleşmelere şirketlerinin internet sayfası üzerinden erişebilme imkanını sağlamakla yükümlüdürler.

Salgın nedeniyle alınan önlemler çerçevesinde, salgın sürecinde tesis edilen abonelik sözleşmeleri bakımından bu süre, dört (4) aya çıkarılmıştır. Ancak bu süreçte abonelerden talep gelmesi halinde, sözleşmelerin ve taahhütnamelerin elektronik ortama aktarılması ve erişime açılması için gerekli önlemler de alınmalıdır.

• Bayiler tarafından tesis edilecek abonelik sözleşmelerinin işletmecilere aktarılmasında aksamalar meydana gelebileceği hesaba katılarak; bayilerin işletmecilere gönderecekleri abonelik sözleşmelerinin, işletmecilere altmış (60) gün içerisinde ulaşması zorunluluğunda değişikliğe gidilmiştir. Bu durumda ilgili abone sözleşmelerinin işletmecilere doksan (90) gün içerisinde ulaştırılması gerekmektedir.

Alınan işbu kararlar haricinde tüketici haklarına yönelik tüm iş ve işlemler, Elektronik Haberleşme Kanunu ve ikincil mevzuatta yer alan hüküm ve şartlara uygun olarak yürütülecektir.

Söz konusu kararlar, salgın ile ilgili Cumhurbaşkanlığı Genelgeleriyle getirilen tedbirler kaldırılıncaya veya Kurul tarafından konuya ilişkin yeni bir karar alınıncaya kadar uygulanacaktır.

2) Erişim ve Arabağlantı Bakımından Alınan Tedbirler

İşletmecilerin, salgın durumundaki konumları gözetilerek, elektronik haberleşmenin aksamaması amacıyla bazı yükümlülüklerinin geçici olarak askıya alınması ve/veya ilave süre tanınması gibi talepleri gözetilerek Kurul tarafından birtakım önlemler alınmıştır. Alınan kararlar, 13.03.2020 tarihinden 30.06.2020 tarihine kadar uygulanacaktır.

❖ Öncelikle Erişim ve Arabağlantı Yönetmeliği bağlamında terimleri kısaca açıklamak gerekirse;

– Erişim; elektronik haberleşme şebekesi, altyapısı ve/veya hizmetlerinin, diğer işletmecilere sunulmasını,

– Arabağlantı ise; bir işletmecinin kullanıcılarının aynı veya farklı bir işletmecinin kullanıcılarıyla irtibatının veya başka bir işletmeci tarafından sunulan hizmetlere erişiminin sağlanmasını teminen, aynı veya farklı bir işletmeci tarafından kullanılan elektronik haberleşme şebekelerinin birbirlerine fiziksel ve mantıksal olarak bağlantısını ifade etmektedir.

İlgili pazarda etkin piyasa gücüne sahip işletmecilere Kurum tarafından, Yönetmeliğin 8 ilâ 16 ncı maddelerinde yer alan erişim, arabağlantı, ayrım gözetmeme, referans erişim teklifi hazırlama ve şeffaflık gibi yükümlülüklerden biri, birkaçı veya tamamı getirilmektedir.

• Bu kapsamda Kurul, salgın nedeniyle aldığı karar çerçevesinde, Kurum tarafından onaylanmış tüm referans erişim/arabağlantı teklifleri kapsamında işletmecilerin;

a. Elektronik haberleşme hizmetlerinin kesintisiz sunulabilmesi,

b. Oluşabilecek arızaların hızlı bir şekilde giderilmesi,

c. Oluşabilecek şebeke darboğazlarına karşı kapasite artırımlarının hızlı bir şekilde gerçekleştirilmesi,

d. Yapılan işlemlerde haklı gerekçeler olmaksızın toptan seviyede hizmet alan işletmeciler arasında ayrım gözetilmemesini teminen gerekli tüm önlemleri almaları gerektiğini kararlaştırmıştır.

❖ Referans erişim teklifi sunma yükümlülüğü getirilen ilgili pazarda etkin piyasa gücüne sahip işletmeciler, arabağlantıyı da içerecek şekilde referans erişim tekliflerinde yer alması zorunlu unsurları barındıran referans erişim tekliflerini, söz konusu yükümlülüğün getirildiği tarihten itibaren en geç üç (3) ay içinde Kuruma göndermek zorundadır. Kurum tarafından aksi belirtilmedikçe, söz konusu teklifler her yıl yürürlükteki teklifler esas alınmak suretiyle yenilenerek Şubat ayı sonuna kadar Kuruma gönderilir.

• Bu kapsamda, Kurul tarafından etkin piyasa gücüne sahip işletmeci olarak belirlenen Türk Telekomünikasyon A.Ş.’nin taslak referans erişim tekliflerini, Kuruma göndermekle yükümlü olduğu üç (3) aylık sürenin durdurulmasına ve 01.07.2020 tarihinde başlayacak Sanal Ayrıştırılmış Yerel Erişim (“SAYE”) Hizmeti yükümlülüğünün duran süre kadar uzatılmasına karar verilmiştir.

❖ Elektronik haberleşme sektöründe, Kurul fiyat sıkılaştırması konusunda düzenlemeler gereğince hareket etmektedir. Fiyat sıkılaştırması; elektronik haberleşme hizmetlerini sunan ya da ilgili toptan pazarda faaliyet gösteren işletmecinin, perakende fiyatı ile ilgili perakende pazar ve/veya pazarlarda faaliyet göstermek için temel girdi niteliğinde olan erişim hizmetinin ücreti arasındaki marjı, perakende pazardaki etkin rakip işletmecilerin faaliyetlerini karlı bir şekilde sürdürmesine imkan vermeyecek ölçüde belirlemesidir.

Fiyat sıkılaştırması düzenlemelerinde amaçlanan, örneğin Türk Telekom’un toptan pazarda faaliyet gösterirken, kendi abonelerine sunduğu erişim hizmeti için talep ettiği bedel ile, perakende olarak erişim hizmeti sunduğu firmalar için belirlediği ücret arasında belirli bir
fark sağlanması, böylece perakende olarak faaliyette bulunan firmanın, karlı bir şekilde aboneye erişim hizmeti sunabilmesidir.

• Ancak Kurul tarafından alınan karar ile, elektronik haberleşme hizmetlerinin kesintisiz sağlanması amacıyla Türk Telekom tarafından abonelerine kısa süreli olarak sunulan ilave/ücretsiz faydaların, Kurum’un fiyat sıkılaştırması düzenlemelerine tabi olmamasına karar verilmiştir.

Öte yandan benzer faydaların, Kurul tarafından yapılacak erişim tarifesi onayı sonrasında mahsuplaşmak kaydıyla mümkün olduğu ölçüde toptan seviyede de sağlanması gerekmektedir.

• Türk Telekom Referans Kiralık Devre Teklifi ve Referans Al-Sat Yöntemiyle ATM/FR/ME İnternet Toptan Satış Teklifi kapsamında sunulan hizmetlere ilişkin olarak Türk Telekom tarafından;

i. İşletmeciye sunulan hizmetin dondurulmasına,

ii. İşletmeciye hizmetin dondurulduğu süre boyunca aylık ücret taahhuk ettirilmemesine,

iii. Taahhütlü hizmetler için taahhüt sürelerinin hizmetin dondurulduğu süre kadar uzatılmasına karar verilmiştir.

SONUÇ

1. Elektronik haberleşmenin hayati öneme sahip olduğu bu salgın günlerinde, öncelikle tüketicilerin korunması amacıyla Bilgi Teknolojileri Kurulu tarafından bir dizi önlemler alınmıştır. Bu önlemlerden özellikle abone lehine uygulamaların hayata geçirilmesinin tavsiye edilmesi, ödeme güçlüğü çeken tüketiciler bakımından önem arz etmektedir.

2. Fiziki olarak bir araya gelinerek abonelik sözleşmesinin düzenlenmesi gerekliliği, getirilen çözümler ile bertaraf edilebilecektir. Bu durum, elektronik ortamdan hukuki faaliyetlerin de yürütülebilmesi düşüncesinin etkinleşmesine yol açabilecek, salgın sonrası süreçte de uygulanması devam ettirilebilecektir.

3. Elektronik haberleşmenin herhangi bir durumda kesintiye uğramasının sakıncaları gözetilerek, erişim ve arabağlantı yükümlüsü işletmecilere gerekli önlemlerin alınması gerektiği bildirilmiş, ayrıca süreye tabi birtakım yükümlülükleri hakkında düzenlemeler yapılmıştır. Bu noktada da abone bazlı hareket edilmiş, abonelere ilave/ücretsiz fayda sunulması kolaylaştırılmıştır.

Av. Hatice ZÜMBÜL

Kaynak: Av. Hatice ZÜMBÜL – İçerik, Zümbül Hukuk ve Danışmanlık firmasının özel izni ile yayınlanmıştır.  Yazının tüm hakları ve sorumluluğu yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zararlardan sorumlu değildir.

YAZARIN DİĞER YAZILARI

Covid-19 Salgını Döneminde Siber Güvenlik Önerileri