Devlet elektronik haberleşme ve siber güvenlik konularındaki adımlarını son dönemde sıklaştırdı. Hatırlanacağı üzere geçtiğimiz ay Ulaştırma, Denizcilik ve Haberleşme Bakanlığı Türkiye’nin Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nı kamuoyuna duyurmuştu. Bu gelişmenin ardından “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Giziliğin Korunması Hakkındaki Yönetmelik” de köklü bir değişiklik geçirdi.
Resmi Gazete‘de de yayınlanan yeni yönetmelik, genel itibarıyla AB standartlarına uygunluğuyla dikkat çekiyor. Yeni düzenlemede kişisel bilgilerin korunması, güvenliğinin sağlanması ve yurt dışına çıkarılmaması maddelerinin öne çıkarılması ise yönetmeliğin 95/46/EC sayılı AB Veri Koruma Direktifi’ne uyumluluğu bakımından dikkat çekiyor.
Yapılan değişikliklere göre bundan böyle anonimleştirme kapsamında kişisel veriler, belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilecek.
Bunun yanı sıra kişisel verilerin işlenmesi konusunda abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesi sağlanacak. Ayrıca tarafların yönetmeliğe aykırı davranışları ve gizlilik ya da güvenlik ihlallerinde de işletmeci sorumlu tutulacak.
Yönetmelik kişisel verilerin güvenliği konusunda birçok madde içeriyor. Yönetmeliğin 6. ve 8. maddelerinde de işletmecilere kişisel verileri koruma konusunda daha fazla yaptırım getirildiği görülüyor. Bunlara ek olarak işletmeciler artık bilgilerin saklanması konusunda da bazı süre sınırlandırmalarına uymak durumda kalacak. İşletmeciler soruşturma, inceleme, denetleme veya uzlaşmazlık söz konusu olmadığı sürece verileri bir yıldan daha fazla saklayamayacak.
Yeni yönetmelikteki çok tartışılacak maddeler
Yapılan değişiklikler sonucu elde edilen yeni yönetmelik, AB standartlarına uygunluğu nedeniyle kullanıcıların haklarını daha fazla gözeten bir hale bürünse de esasında bazı soru işaretlerini de beraberinde getiriyor. Örneğin; bulut bilişimin geldiği bugünkü nokta, şirketleri yerleşik arşiv çözümlerinden kurtarmayı hedeflerken, yeni yönetmelikteki bilgilerin yurt içinde saklanma koşulu nedeniyle Türkiye’de bu durumun nasıl çözüleceği belirsizliğini koruyor.
Diğer yandan değişikliklerin genel anlamda 24 Temmuz itibarıyla yürürlüğe gireceği belirtilen yönetmelikte, düzenlemedeki “Kişisel veriler yurt dışına çıkarılamaz.” fıkrasıyla başlayan belki de en önemli maddesinin, 1 Ocak 2014 tarihiyle birlikte uygulanacağının ifade edilmesi ise görünürde sektöre zaman kazandırmak gibi görünse de Özgür Uçkan’ın BThaber‘deki dünkü yazısında da dikkat çektiği üzere başta Phorm olmak üzere bazı çok uluslu şirketlere verileri taşımak için zaman kazandırıldığı düşüncesini de akıllara getiriyor.