05.11.2008 tarihinde yürürlüğe giren 5809 sayılı Elektronik Haberleşme Kanunu’ nun 4, 12 ve 51. Maddeleri kişisel verilerin korunması alanında kaynak niteliği taşımaktadır. Şöyle ki, ilkeler başlığını taşıyan 4. Maddesi hükmü “Her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların düzenlenmesi devletin yetki ve sorumluluğu altındadır. İlgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde aşağıdaki ilkeler göz önüne alınır:
a) Serbest ve etkin rekabet ortamının sağlanması ve korunması.
b) Tüketici hak ve menfaatlerinin gözetilmesi.
c) Kalkınma planları ve üst politika metinleri ile Bakanlık tarafından belirlenen stratejilerin gözetilmesi.
ç) Herkesin, makul bir ücret karşılığında elektronik haberleşme şebeke ve hizmetlerinden yararlanmasını sağlayacak uygulamaların teşvik edilmesi.
d) Aksini gerektiren objektif nedenler bulunmadıkça veya toplumdaki ihtiyaç sahibi kesimlere özel, kapsamı açık ve sınırları belirlenmiş kolaylıklar sağlanması halleri dışında, eşit şartlardaki aboneler, kullanıcılar ve işletmeciler arasında ayrım gözetilmemesi ve hizmetlerin benzer konumdaki kişiler tarafından eşit şartlarla ulaşılabilir olması.
e) Bu Kanunda aksi belirtilmedikçe ya da objektif nedenler aksini gerektirmedikçe, niteliksel ve niceliksel devamlılık, düzenlilik, güvenilirlik, verimlilik, açıklık, şeffaflık ve kaynakların verimli kullanılmasının gözetilmesi.
f) Elektronik haberleşme sistemlerinin uluslararası normlara uygun olması.
g) Teknolojik yeniliklerin uygulanması ile araştırma-geliştirme faaliyet ve yatırımlarının teşvik edilmesi.
ğ) Hizmet kalitesi artırımının teşvik edilmesi.
h) Millî güvenlik ile kamu düzeni gereklerine ve acil durum ihtiyaçlarına öncelik verilmesi.
ı) Bu Kanunda, ilgili mevzuatta ve yetkilendirmelerde açıkça belirlenen durumlar haricinde, işletmecilerin, arabağlantı da dahil olmak üzere erişim ücretleri ile hat ve devre kiralarını da kapsayacak biçimde, elektronik haberleşme hizmeti sunulması karşılığı alacakları ücretleri serbestçe belirlemesi.
i) Elektronik haberleşme cihaz ve sistemlerinin kurulması, kullanılması ve işletilmesinde insan sağlığı, can ve mal güvenliği, çevre ve tüketicinin korunması açısından asgarî uluslararası normların dikkate alınması.
j) “Elektronik haberleşme hizmetlerinin sunulmasında ve bu hususlarda yapılacak düzenlemelerde tarafsızlığın sağlanması” konusunda hüküm altına alınmıştır. Elektronik haberleşme hizmeti sunan kurumlara bilgi güvenliği ve haberleşmenin gizliliğinin korunması bakımından yükümlülükler getirmiştir.
Yine 5809 sayılı kanunun 12. Maddesi İşletmecilerin Hak ve Yükümlülükleri başlığı altında yer alan hüküm, “İşletmeci, Kurum düzenlemeleri ve yetkilendirmesinde öngörülen şartlara uygun olarak yetkilendirildiği kapsamdaki elektronik haberleşme hizmetini sunma hakkına sahiptir.”
Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir:
b) Hizmetlerin birbiriyle uyumlu çalışabilmesi ve şebekelerarası arabağlantının sağlanması.
c) Ulusal numaralandırma planındaki numaralardan son kullanıcılara erişimin sağlanması.
ç) Ortak yerleşim ve tesis paylaşımı.
d) Kişisel veri ve gizliliğin korunması.
e) Tüketicinin korunması.
f) Kuruma bilgi ve belge verilmesi.
g) Kanunlarla yetkili kılınan ulusal kurumlarca yasal dinleme ve müdahalenin yapılmasına teknik olanak sağlanması.
ğ) Afet durumlarındaki haberleşmenin kesintisiz devam edebilmesi için gerekli tedbirlerin alınması.
h) Elektronik haberleşme şebekelerinden kaynaklanan elektromanyetik alanlara kamu sağlığını tehdit edecek şekilde maruz kalınmasının engellenmesi ile ilgili önlemlerin bu Kanun çerçevesinde alınması.
ı) Erişim yükümlülükleri.
i) Elektronik haberleşme şebekelerinin bütünlüğünün idame ettirilmesi.
j) İzinsiz erişime karşı şebeke güvenliğinin sağlanması.
k) Hizmet kalitesi de dahil olmak üzere standartlar ve spesifikasyonlara uyumluluk.
l) İlgili mevzuat uyarınca Kurum tarafından istenen hizmetleri yerine getirmek.
Kullanım hakkı verildiği durumlarda, yukarıdakilere ilaveten sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirilebilir:
a) Frekans kullanım hakkının verildiği hizmet, şebeke ya da teknoloji türü ile numara kullanım hakkının verildiği hizmetin kapsamı.
b) Frekans ve numaraların etkin ve verimli kullanımı.
c) Elektromanyetik girişimin önlenmesi.
ç) Numara taşınabilirliği.
f) Hak ve yükümlülüklerin devri.
g) Kullanım hakkı ücretleri.
ğ) İhale sürecinde üstlenilen taahhütler.
h) Frekans ve numara kullanımları ile ilgili uluslararası anlaşmalar çerçevesindeki yükümlülüklere uyulması.
İşletmecilerin hak ve yükümlülükleri ile ilgili usul ve esaslar Kurumca belirlenir.
İşletmeciler, elektronik haberleşme sistemleri üzerinden millî güvenlikle ve 5397 ve 5651 sayılı kanunlar ve ilgili diğer kanunlarda getirilen düzenlemelerle ilgili taleplerin karşılanmasına yönelik teknik alt yapıyı, elektronik haberleşme sistemini hizmete sunmadan önce kurmakla yükümlüdür. “Halen elektronik haberleşme hizmeti sunan işletmeciler de; söz konusu teknik alt yapıyı, Kurum tarafından belirlenecek süre içerisinde aynı şartlarla ve tüm harcamaları kendilerine ait olmak üzere kurmakla yükümlüdürler” demiş ve özetle bu hüküm çerçevesinde kişisel veri gizliliğinin korunmasına yönelik ek yükümlülükler getirebileceğini düzenlemiştir.
Kanunun 51. Maddesi ise Kişisel Verilerin İşlenmesi ve Gizliliğinin korunması başlığı altında yer alan bir madde olup “Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur.
Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır.
Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.
İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır.
Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir.
Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir.
Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir.
İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir.
Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir.
Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;
a) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar,
b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl,
c) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince,
saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir.
Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS’si arasında paylaşılabilir veya işlenebilir.
Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur.
“Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir” demiş ve kişisel verilerin işlenmesinde KVKK’ da öngörülen ilkelerle aynılık taşıyan verilerin yurt dışına aktarımı ile hukuka uygun bir işlemeye ilişkin hususlar belirtilmiştir.