Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi...

Kurum: Bilgi Teknolojileri ve İletişim Kurumu | Kabul Tarihi: 24.07.2012 | RGT: 24.07.2012 | RG NO: 28363

BİRİNCİ BÖLÜM: Amaç, Kapsam, Dayanak ve Tanımlar

Amaç ve kapsam

MADDE 1 - (1) Bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir.

(2) Haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin kapsamına dahil değildir.

Dayanak

MADDE 2 - (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

MADDE 3 - (1) Bu Yönetmelikte geçen;

a) Abone: Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişiyi,

b) Acil yardım çağrıları: Ulusal ve uluslararası düzenlemelerde kabul görmüş yangın, sağlık, doğal afetler ve güvenlik gibi acil durumlarla ilgili olarak itfaiye, polis, jandarma, sağlık ve benzeri kuruluşlara yardım talebiyle yapılan çağrıları,

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
c) Anonim hale getirme: Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmesini,

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
ç) Gerçekleşmeyen arama: Başarılı bir şekilde bağlantı kurulmasına rağmen haberleşmenin gerçekleşmemesini,

d) Hücre kimliği: Mobil telefon çağrısının başladığı ya da sona erdiği hücrenin kimliğini,

e) IMEI: Uluslararası mobil cihaz kimliğini,

f) IMSI: Uluslararası mobil abone kimliğini,

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
g) İşlem kaydı: Kişisel verilere erişen kişiler tarafından yapılan işlemin ileriki bir tarihte tanımlanabilmesini teminen asgari olarak işlem, işlemin detayı, işlemi yapan kişi, işlemin yapıldığı tarih ve zaman ile işlemi yapan kişinin bağlandığı nokta bilgilerini içeren elektronik kayıtları,

ğ) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi,

h) Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri,

ı) Kişisel veri ihlali: İstem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini,

i) Kişisel verilerin işlenmesi: Kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi, tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen işlem ya da işlemler bütününü,

j) Konum verisi: Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi,

k) Kullanıcı: Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişiyi,

l) Kullanıcı kimliği: İnternet erişim hizmetlerine ya da internet haberleşme hizmetlerine abonelik ya da kayıt esnasında tahsis edilen tek ve kişiye özel tanımlamayı,

m) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

n) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
o) NAT: Şebekede taşınan IP paketlerindeki IP adres bilgisi yanında port bilgileri de kullanılarak aynı IP'lerin birden çok abone tarafından kullanılmasını sağlayan teknolojiyi,

ö) Rıza: İlgili kişinin kendisine ait kişisel verisinin işlenmesine yönelik, verinin işlenme amaç ve kapsamı dahilinde, verinin işlenmesi öncesinde özgür iradesiyle verdiği ispatlanabilir kabul beyanını,

p) Trafik verisi: Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya faturalama amacıyla işlenen her türlü veriyi,

r) Veri: Abone ya da kullanıcıyı teşhis etmek için yararlanılan trafik verisi, konum verisi ya da ilgili diğer bilgileri,

ifade eder.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(2) Bu Yönetmelikte geçen ancak birinci fıkrada tanımlanmayan kavramlar ve kısaltmalar için ilgili mevzuatta yer alan tanımlar geçerlidir.

İKİNCİ BÖLÜM: Uygulama Esasları

Kişisel verilerin işlenmesine ilişkin ilkeler

MADDE 4 - (1) Kişisel verilerin;

a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,

b) İlgili kişinin rızasına dayalı olarak işlenmesi,

c) Elde edilme amacıyla bağlantılı, yeterli ve orantılı olması,

ç) Doğru olması ve gerektiğinde güncellenmesi,

d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi

esastır.

(YÜR. TAR.: 01.01.2014)
(EKLENMİŞ FIKRA RGT: 11.07.2013 RG NO: 28704)
(2) Kişisel veriler yurt dışına çıkarılamaz.

(EKLENMİŞ FIKRA RGT: 11.07.2013 RG NO: 28704)
(3) Kişisel verilerin işlenmesi kapsamında abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesini de kapsar.

(EKLENMİŞ FIKRA RGT: 11.07.2013 RG NO: 28704)
(4) İşletmeci tarafından yetkilendirilen taraflarca bu Yönetmelik hükümlerinin ihlal edilmesi de dâhil olmak üzere kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeci sorumludur.

Güvenlik

MADDE 5 - (1) İşletmeciler, kişisel verilerin işlenmesine ilişkin olarak güvenlik politikası belirler. İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. Söz konusu güvenlik tedbirleri, teknolojik imkanlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde sağlanır.

(2) Birinci fıkrada belirtilen tedbirler, asgari istem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını içerir.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(3) İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(4) İşletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını saklamakla yükümlüdür.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(5) Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir.

Riskin ve kişisel veri ihlalinin bildirilmesi

MADDE 6 - (DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(1) İşletmeci, şebekenin ve kişisel verilerin güvenliğini ihlal eden belirli bir risk olması durumunda bu risk hakkında Kurumu ve Kurum tarafından gerekli görülmesi halinde abonelerini/kullanıcılarını etkin ve hızlı bir şekilde bilgilendirmekle yükümlüdür.

(2) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması halinde, söz konusu riskin kapsamı, giderilme yöntemleri ve yaklaşık maliyeti hakkında abonelerin/kullanıcıların etkin ve hızlı bir şekilde bilgilendirilmesi sağlanır.

(3) İşletmeci, kişisel veri ihlali olması durumunda söz konusu ihlalin niteliği ve sonuçları hakkında abonelere/kullanıcılara yapılacak bilgilendirmenin detayları ve ihlalin giderilmesi için alınan tedbirlere ilişkin olarak Kurumu bilgilendirir.

(4) Kişisel veri ihlalinden abonelerin/kullanıcıların olumsuz yönde etkilenme ihtimalinin bulunması halinde işletmeci, kişisel veri ihlalinin niteliğine, daha fazla bilginin elde edilebileceği iletişim noktalarına ve ihlalin olası olumsuz etkilerini azaltmak için aboneler/kullanıcılar tarafından alınabilecek önlemlere ilişkin olarak aboneleri/kullanıcıları ücretsiz olarak bilgilendirir.

(5) İşletmeci, gerçekleşen kişisel veri ihlallerine ilişkin olarak söz konusu ihlalin sebeplerini, etkilerini ve çözüme yönelik tedbirleri içeren bilgileri gizliliğini ve bütünlüğünü sağlayarak kaydetmekle yükümlüdür.

ÜÇÜNCÜ BÖLÜM: Verilerin İşlenmesi ve Saklanması

Haberleşmenin gizliliği

MADDE 7 - (1) Elektronik haberleşme ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve gözetimi yasaktır.

(2) Elektronik haberleşme şebekeleri, haberleşmenin iletimini gerçekleştirmek dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili kullanıcıların/abonelerin verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve rızalarının alınması kaydıyla kullanılabilir.

Trafik verisinin işlenmesi

MADDE 8 - (1) İşletmeciler, sundukları hizmetin kapsamı dışındaki amaçlar için trafik verisini işleyemez.

(2) Trafik verisi, ilgili mevzuat hükümlerine uygun olarak, trafiğin yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikayetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(3) Elektronik haberleşme hizmetlerini pazarlamak veya katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan trafik verileri anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek trafik verileri ve işleme süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin, pazarlama faaliyetlerinin ve benzer hizmetlerin gerektirdiği ölçü ve sürede işlenebilir.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(4) Abonelere/kullanıcılara ait işlenen ve saklanan trafik verileri, bu verilerin işlenmesini ve saklanmasını gerekli kılan faaliyetin tamamlanmasından sonra silinir veya anonim hale getirilir.

(5) İşletmeciler, abonelerin/kullanıcıların, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkan sağlar.

Trafik verisini işleme yetkisi

MADDE 9 - (DEĞİŞİK MADDE RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(1) Trafik verisini işleme yetkisi; trafik yönetimi, arabağlantı, faturalama, yolsuzluk tespitleri, tüketici şikâyetlerinin değerlendirilmesi, elektronik haberleşme hizmetlerinin pazarlanması veya katma değerli elektronik haberleşme hizmetlerinin sunulması hususlarında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlıdır.

Trafik verisinin bildirilmesi

MADDE 10 - (1) Trafik verisi, arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü, tüketici şikayetlerinin değerlendirilmesi ve denetim faaliyetlerinin gerçekleştirilmesi amacıyla yazılı olarak talep edilmesi halinde kanunların yetkili kıldığı mercilere verilir.

Konum verisinin işlenmesi

MADDE 11 - (DEĞİŞİK MADDE RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(1) Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde abone/kullanıcılara geçici olarak bu verilerin işlenmesini reddetme imkânı sağlar.

(2) İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar.

(3) İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilir.

Konum verisini işleme yetkisi

MADDE 12 - (DEĞİŞİK MADDE RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(1) Konum verisini işleme yetkisi, katma değerli elektronik haberleşme hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil yardım çağrıları kapsamında işletmeci ve işletmeci tarafından yetkilendirilen kişilerle sınırlı olup, bu yetki söz konusu hizmetlerin gerektirdiği kapsamda kullanılır.

Saklanacak veri kategorileri

MADDE 13 - (1) Bu Yönetmelik kapsamında saklanması öngörülen veri kategorileri, aşağıda belirtilmiştir.

a) Haberleşmenin takibi ve kaynağının tanımlanması için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; gerçekleşmeyen aramalar da dahil olmak üzere haberleşmenin başlatıldığı hatta ait telefon numarası, abonenin adı ve adresi, hattın hangi tarihte hangi aboneye tahsis edildiğine ait bilgi.

2) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; tahsis edilmiş kullanıcı kimliği ve/veya telefon numarası, haberleşmenin gerçekleştiği andaki internet protokol adresi, abonenin/kullanıcının adı ve adresi.

b) Haberleşmenin sonlandırılacağı noktayı belirlemek için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin sonlandırıldığı/sonlandırılacağı numara veya numaralar, çağrı iletme ve çağrı transferi gibi ek hizmetlerin olması durumunda çağrının yönlendirildiği numara veya numaralar, abonelerin adı ve adresi.

2) Elektronik posta ve internet telefonu ile ilgili olarak; elektronik posta alıcılarına ait kullanıcı kimliği, internet telefonu ile aranan alıcılara ait kullanıcı kimliği veya telefon numarası, internet telefonu veya elektronik posta alıcılarının adı ve adresi.

c) Haberleşmenin tarihi, zamanı ve süresini belirlemek için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; haberleşmenin başlangıç ile bitiş tarih ve zamanı.

(DEĞİŞİK ALT BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
2) İnternet erişimi, elektronik posta ve internet telefonu ile ilgili olarak; internet erişimi ile ilgili oturum açma, kapatma tarihi ve zamanı, tahsis edilen dinamik veya statik internet protokol adresi, NAT kullanılan şebekelerde internet protokol adresi yanında port bilgisi, abone/kullanıcı kimliği, elektronik posta veya internet telefonu ile ilgili oturum açma ile kapatma tarihi ve zamanı.

ç) Haberleşmenin türünü tanımlamak için:

1) Sabit ve mobil telefon hizmetleriyle ilgili olarak; kullanılan elektronik haberleşme hizmeti.

2) Elektronik posta ve internet telefonu ile ilgili olarak; kullanılan internet hizmeti.

d) Kullanıcıların haberleşme cihazlarını veya bunların ekipmanlarını tanımlamak için:

1) Sabit telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları.

(DEĞİŞİK ALT BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
2) Mobil telefon hizmetiyle ilgili olarak; haberleşmenin başlatıldığı ve sonlandırıldığı telefon numaraları, haberleşmenin başlatıldığı ve/veya sonlandırıldığı tarafa ait IMSI ve IMEI numaraları; abone kaydı olmayan arama kartlı hizmetlerin olması durumunda hizmetin aktif hale getirildiği tarih ve zaman ile hizmetin aktif hale getirildiği hücre kimliği.

3) İnternet ortamına erişim, elektronik posta ve internet telefonu ile ilgili olarak; çevirmeli ağ erişimi için arayan telefon numarası, sayısal abone hattı numarası ya da haberleşmenin kaynaklandığı diğer nokta.

e) İlgili mevzuatın öngördüğü hallerde mobil haberleşme cihazının konumunu tespit etmek için; haberleşmenin başladığı hücre kimliği, haberleşme verilerinin saklandığı sürede hücre kimlikleri ile ilgili olarak hücrelerin coğrafi konumlarını tanımlayan veri, hücre adresi ve hücre kimliğinin o adrese atanma ve kaldırılma tarihleri.

(2) Bu Yönetmelik kapsamında, elektronik posta ve internet telefonu ile ilgili olarak verilerin saklanmasına ilişkin getirilen yükümlülükler, sadece işletmecilerin kendilerinin sundukları hizmetler ile sınırlıdır.

İşletmecilerin veri saklama süreleri

MADDE 14 - (DEĞİŞİK MADDE RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(1) 13 üncü madde kapsamında tanımlanan veri kategorileri, haberleşmenin yapıldığı tarihten itibaren bir yıl, gerçekleşmeyen aramalara ilişkin kayıtlar ise üç ay süre ile saklanır.

(2) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler, ilgili süreç tamamlanıncaya kadar saklanır.

(3) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları dört yıl süre ile saklanır.

Saklanan verinin korunması ve güvenliği

MADDE 15 - (1) Bu Yönetmelik kapsamında saklanması öngörülen veriler için işletmeciler asgari olarak;

a) Saklanan veriler ile şebekedeki diğer verilerin aynı kalite, güvenlik ve koruma özelliklerine tabi olmasını,

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
b) Verilerin yurt içinde saklanmasını,

c) Saklanan verilerin, istem dışı, yetki dışı ya da yasa dışı, erişim, tahrip, kayıp, değişiklik, depolama, işleme ve ifşasına karşı uygun teknik ve idari tedbirlerin alınmasını,

ç) Verilerin sadece özel yetkilendirilmiş kişiler tarafından erişilebilir olmasının sağlanması için uygun teknik ve idari tedbirlerin alınmasını,

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
d) İşlenen ve saklanan verinin, saklama süresinin bitiminden itibaren en geç bir ay içinde imha edilmesi veya anonim hale getirilmesi ve bu işlemlerin tutanakla veya sistemsel olarak kayıt altına alınmasını

sağlamakla yükümlüdür.

(2) İşletmeciler sundukları hizmetler kapsamında elde ettikleri verilerin güvenliğini, bütünlüğünü, gizliliğini ve erişilebilirliğini her aşamada sağlamakla yükümlüdür. Bu yükümlülük işletmeci tarafından yetkilendirilmiş kişiler marifetiyle yapılan işlemleri de kapsar.

(3) İşletmeciler, kanunların yetkili kıldığı mercilerce talep edilmesi halinde, saklanan veri ve söz konusu veriye ilişkin gerekli tüm bilgileri gecikmeksizin sağlamakla yükümlüdür.

İstatistiki bilgilerin verilmesi

MADDE 16 - (1) İşletmeciler son bir yıl içerisinde;

a) Yetkili merciler tarafından ilgili mevzuatı çerçevesinde talep edilen verilerin kategorileri ve talep edilme sayılarına,

b) Verinin saklanmaya başlandığı tarih ile yetkili merciler tarafından talep edildiği tarih arasında geçen süreye,

c) Veri talebinin karşılanamadığı durumlara,

ilişkin istatistiki bilgileri saklamakla ve talep halinde Kuruma göndermekle yükümlüdür.

(2) Bu maddenin birinci fıkrasında belirtilen istatistiki bilgiler, kişisel verileri içermez.

DÖRDÜNCÜ BÖLÜM: Sağlanan İmkanlar

Numaranın gizlenmesi

MADDE 17 - (1) İşletmeci, arayan numaranın görünmesine imkan sağladığı durumlarda;

(DEĞİŞİK BENT RGT: 11.07.2013 RG NO: 28704) (KOD 1)
a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkanı sağlamakla,

c) Arayan kişinin numarasını gizlemesi halinde, aranan abonenin/kullanıcının isteğine bağlı ve ücretsiz olarak, gelen aramaların abone/kullanıcı tarafından reddedilmesine imkan sağlamakla

yükümlüdür.

(DEĞİŞİK FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)
(2) İşletmeci, bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür.

(3) İşletmeci, bu maddenin birinci ve ikinci fıkrasında belirtilen hizmet imkanları hakkında abonelerini/kullanıcılarını kısa mesaj, internet, basın, yayın organları, posta veya benzeri araçlarla ücretsiz olarak bilgilendirmekle yükümlüdür.

(4) Arayan numaranın gizlenmesi imkanı, acil yardım çağrıları için geçerli değildir.

Otomatik çağrı yönlendirme

MADDE 18 - (1) (MÜLGA FIKRA RGT: 11.07.2013 RG NO: 28704) (KOD 1)

(2) İşletmeciler tarafından başka bir numaraya veya otomatik mesaj sistemine yapılan yönlendirmelerin ücretli olması halinde abonenin/kullanıcının rızası alınır.

Aboneler için hazırlanan rehberler

MADDE 19 - (1) Aboneler, basılı ve/veya elektronik abone rehberlerinin, yayımlanma amaçları ve bu rehberlerde yer alacak kişisel veriler ile bu rehberlerin elektronik sürümlerinde olabilecek sorgulama seçenekleri ve kullanım imkanları hakkında rehbere kaydedilmeden önce ücretsiz olarak bilgilendirilirler.

(2) Kamuya açık rehberlerde yer alan kişisel veriler, rehberlik hizmetinin amaç ve kapsamına uygun olarak belirlenir.

(3) Abone rehberlerinde yer almayı kabul eden aboneler, rehberlerde yer alan kişisel verilerinin düzeltilmesini, teyit edilmesini ve/veya çıkarılmasını ücretsiz ve basit bir yöntemle talep edebilirler.

(4) Rehberlik hizmeti kapsamında yapılacak sorgulamalarda, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin Elektronik Haberleşme Hizmet, Şebeke ve Altyapılarının Tanım, Kapsam ve Süreleri ile ilgili 27 nci maddesi kapsamında yapılan düzenlemeler esastır.

Ayrıntılı faturalarda gizlilik

MADDE 20 - (1) İşletmeciler, ayrıntılı fatura gönderdikleri abonelerin talep etmeleri halinde, fatura ayrıntısında yer alan telefon numaralarının bazı rakamlarının gizlenmesini sağlar.

BEŞİNCİ BÖLÜM: Çeşitli ve Son Hükümler

İdari para cezaları ve diğer yaptırımlar

MADDE 21 - (1) İşletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 5/9/2004 tarihli ve 25574 sayılı Resmi Gazete'de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik hükümleri uygulanır.

Hüküm bulunmayan haller

MADDE 22 - (1) Bu Yönetmelikte hüküm bulunmayan hallerde, Tebliğ veya Kurul Kararı ile düzenleme yapılır.

Yürürlükten kaldırılan yönetmelik

MADDE 23 - (1) 6/2/2004 tarihli ve 25365 sayılı Resmi Gazete'de yayımlanan Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

Atıflar

MADDE 24 - (1) Mevzuatta 6/2/2004 tarihli ve 25365 sayılı Resmi Gazete'de yayımlanan Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe yapılan atıflar bu Yönetmeliğe yapılmış sayılır.

Mevcut düzenlemelerin durumu

GEÇİCİ MADDE 1 - (1) Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğe dayanılarak yapılan usul ve esaslar, alınan Kurul Kararları ile diğer idari işlemlerin bu Yönetmeliğe aykırı olmayan hükümleri konuya ilişkin yeni bir işlem yapılana kadar geçerliliğini muhafaza eder.

Yürürlük

MADDE 25 - (DEĞİŞİK MADDE RGT: 11.07.2013 RG NO: 28704) (KOD 2) (KOD 1)
(1) Bu Yönetmeliğin;

a) 4 üncü maddesinin ikinci fıkrası 1/1/2014,

b) diğer hükümleri 24/7/2013,

tarihinde yürürlüğe girer.

Yürütme

MADDE 26 - (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurumu Başkanı yürütür.

Facebook Twitter E-Mail Whatsapp