Anayasa Mahkemesi kişisel veriler ile ilgili önemli bir karar verdi. 9.4.2014 tarihli kararı ile Elektronik Haberleşme Kanunu 51. maddenin iptaline karar verdi. Kararın Resmi Gazetede yayımlanmasından 6 ay sonra yürürlüğe girecek.
Elektronik haberleşme sektöründe düzenleme yapılması, bu sektördeki rekabetin “denetleme” yoluyla etkin olarak kurulması ve tüketici haklarının gözetilmesini amaç edinmiş olan 5.11.2008 kabul tarihli 5809 sayılı Elektronik Haberleşme Kanunu 10.11. 2008 tarihli ve 27050 mükerrer sayılı Resmi Gazetede yayımlanarak yürürlüğe girmişti.
Bu kanunun bir diğer amacı da ülke genelinde elektronik haberleşme hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme altyapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesidir.
Kanunun amacı ticaridir ve bu sektördeki rekabetin denetlenmesini amaçlar. Ayrıca bu kanunun kapsamı önemlidir. Çünkü “elektronik haberleşme hizmetlerinin yürütülmesi ve elektronik haberleşme alt yapı ve şebekesinin tesisi ve işletilmesi ile her türlü elektronik haberleşme cihaz ve sistemlerinin imali, ithali, satışı, kurulması, işletilmesi, frekans dâhil kıt kaynakların planlaması ve tahsisi ile bu konulara ilişkin düzenleme, yetkilendirme, denetleme ve uzlaştırma faaliyetlerinin yürütülmesi bu Kanuna tabidir.” (Madde 2)
Kanuna göre; “Bilgi Teknolojileri ve İletişim Kurulu” (BİT) düzenleme ve denetleme yetkisini elinde bulunduran “kurum”dur.
Daha çok cep telefonu numaralarının değişmeden veya değiştirilerek başka haberleşme şebekelerine taşınabilirliği ile tanınan bu kanunda özellikle tüketicileri koruma amaçlı bazı düzenlemeler bulunmaktadır. Örneğin abonelerin eşit hizmet alabilme hakkı olarak yapılan düzenlemeye göre işletmeciler “sağladıkları elektronik haberleşme hizmetlerini benzer konumdaki tüketici ve son kullanıcılara eşit koşullarda ve ayrım gözetmeden sunmakla yükümlüdür” (Madde 47). Elektronik haberleşme hizmetlerinden yararlanan tüketici ve son kullanıcıların, hizmetlere eşit koşullarda erişebilmelerine ve hak ve menfaatlerinin korunmasına yönelik usul ve esasları belirleme yetkisi ise Kurum’undur (Madde 48). Tüketiciler elektronik haberleşme hizmetine abone olurken bu hizmeti sağlayan işletmeciyle sözleşme yapma hakkına sahiptir. Kurum bütün bunların sağlanması, denetimi ve yerine getirilmesi amacıyla Kanunun “Abonelik Sözleşmesi” başlıklı 50. maddesinde yazılı olanlar hakkındaki usul ve esasları belirleme yetkisine sahiptir.
Bütün bu işlemler sırasında Kurum’a “kişisel veriler” hakkında yetki verilmesi gerekiyordu ve 51. madde ile Kanun bu yetki verdi. Kanunun “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlığı altında düzenlenmiş olan 51. maddesine göre; “Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir.”
Acaba bu yetki Anayasaya uygun bir yetki midir?
2008 yılında Kanunun 51. maddesinin verdiği yetki ile Kurum tarafından kabul edilen 24.07.2012 tarihli Resmi Gazetenin 28363 sayılı nüshasında “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik” yayımlanmıştır.
5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak hazırlanmış olan bu Yönetmeliğin amacı, elektronik haberleşme sektöründe kişisel verilerin işlenmesi, haberleşme içeriğine ilişkin verilerin dışındaki kişisel verilen saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir.
Bu yönetmelikte kişisel veri; belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler anlamındadır. Kişisel verilerin işlenmesi ise, “kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi, tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen işlem ya da işlemler bütününü” ifade etmektedir.
Kişisel verilerin işlenmesine ilişkin uygulama ilkelerinin belirlendiği düzenlemeye göre; Kişisel verilerin; a) Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, b) İlgili kişinin rızasına dayalı olarak işlenmesi, c) Elde edilme amacıyla bağlantılı, yeterli ve orantılı olması, ç) Doğru olması ve gerektiğinde güncellenmesi, d) İlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi esas olarak kabul edilmiştir. Kişisel veriler yurt dışına çıkarılamaz ve kişisel verilerin işlenmesi kapsamında abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesini de kapsamaktadır.
İşletmeci; kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden sorumludur. İşletmeciler, kişisel verilerin işlenmesine ilişkin olarak güvenlik politikası belirleyeceklerdir. Yani bu politika belirlenirken alınacak olan tedbirler arasında; istem dışı, yetki dışı ya da yasa dışı olarak kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasını da içerecektir. İşletmeciler bu yönde abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alacaklardır. İşletmeciler, kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin saklandığı sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlamakla yükümlüdür.
Görüldüğü gibi; kanunla düzenlenmesi gereken “kişisel verilerin gizliliğinin korunması” Elektronik Haberleşme Kanunun 51. maddesine dayalı olarak kurum tarafından yönetmelik hükümleriyle düzenlenmiştir. Oysa Kanunla düzenlenmesi gereken konu yönetmelikle düzenlenemez.
Nitekim 2008 yılında kabul edilmiş bu kanundan sonra Anayasa referandumu ile konu Anayasa'da düzenlenmiştir. Anayasa'nın “Özel hayatın gizliliği ve korunması”hakkındaki 20 maddeye eklenen ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” (12.9.2010 -5982 sayılı Kanun 2 md.)
Kanunun “Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir.” şeklindeki 51. inci madde Danıştay İdari Dava Daireleri Kurulunun başvurusu üzerine Anayasa Mahkemesi tarafından iptal edilmiştir (9.4.2014 tarih ve 2013/122 sayılı Karar). Anayasa Mahkemesinin gerekçeli kararının Resmi Gazetede yayımlanmasından itibaren 6 ay sonra bu maddenin iptali yürürlüğe girecektir. Böylece gerekçeyi de öğrenmiş olacağız.
Artık TBMM’nin bu Kanunun 51. maddesi hakkında yeni bir düzenleme yapması için gerekçeli kararın yayımlanmasından itibaren 6 aylık süresi vardır ve yeni bir yasal düzenleme yapılmazsa madde iptal edilmiş sayılacaktır. Böyle bir yol yerine yıllardır çıkarılamayan kişisel verilerin gizliliğinin korunması hakkındaki temel kanun çıkarılması daha uygundur. Ayrıca bu konudaki yol haritasının belirlenmesi için Anayasa Mahkemesi gerekçesini hemen açıklamalıdır ve bu karar Resmi Gazetede yayımlanmalıdır. (Fİ/HK)