5809  sayılı Elektronik Haberleşme Kanunu 11.12.2008 tarihinde yürürlüğe girmiştir.  Kanunda elektronik haberleşme: “Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını”, ifade eder şeklinde tanımlanmış ve kanunun amacı “elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesidir.” şeklinde düzenlenmiştir.

                        Kanunun 12. Maddesinde “Bilgi Teknolojileri ve İletişim Kurumunun, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek kişisel veri ve gizliliğin korunması konusunda  mevzuat doğrultusunda yükümlülükler getirebileceği” düzenlenmiştir.

            Danıştay İdari Dava Daireleri tarafından  itiraz yoluyla 2013 yılında Elektronik Haberleşme Kanunu’nun 51. maddesinin Anayasa’nın 2.(Hukuk devleti ilkesi) , 7. (Yasama yetkisinin Türkiye Büyük Millet Meclisi’nce kullanılacağı ve devredilemeyeceği kuralı) , 13. ve 20. (kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvence)  maddelerine aykırılığı ileri sürülerek iptaline ve yürürlüğünün durdurulmasına karar verilmesi talep edilmiştir. Dava açıldığı tarihte iptali istenen 51.madde metni   “Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir.” şeklindedir. Anayasa Mahkemesince  verilen E 2013/122 ve K 2014/74 sayılı karar ile  madde anayasaya aykırı bulunarak iptal edilmiştir.  İptal gerekçesi “Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda, geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkanlarla analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır. Bu bağlamda Anayasa’nın 20. maddesinin üçüncü fıkrasının son cümlesinde, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilerek kişisel verilerin korunması hakkı anayasal güvenceye bağlanmış ve bu şekilde kamu makamlarının keyfi müdahalelerine karşı koruma altına alınmıştır.Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa’nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumuna veren itiraz konusu kural, Anayasa’nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır.” şeklindedir.Madde metni iptal edildikten sonra Elektronik Haberleşme Kanununun 51. Maddesi 6639 sayılı  Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanunun 32. maddesiyle  27.03.2015 tarihinde  aşağıdaki şekilde yeniden düzenlenmiştir.

           Kanunun 51. maddesinde kişisel verilerle ilgili aşağıdaki düzenleme mevcuttur.

(1) “Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur.

(2) ……

(3) …….

(4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır.

(5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir.

(7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikayetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hale getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir.

(8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkanı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hallerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir.

(9) Abone/kullanıcı şikayetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir.

(10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar,

b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl,

c) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince,saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir.

(11)  Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS’si arasında paylaşılabilir veya işlenebilir.

(12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur.

(13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir.”

            5809 sayılı Elektronik Haberleşme Kanununun (EHK) Elektronik kimlik bilgisini haiz cihazlar başlıklı 55. maddesinde  “Kurum tarafından izin verilmedikçe, abone kimlik ve iletişim bilgilerini taşıyan özel bilgiler veya cihazın teşhisine yarayan elektronik kimlik bilgileri yeniden oluşturulamaz, değiştirilemez, kopyalanarak çoğaltılamaz veya herhangi bir amaçla dağıtılamaz.” düzenlemesi ile

Elektronik kimlik bilgisini haiz cihazlar başlıklı 56. maddesinde “Abone kimlik ve iletişim bilgilerini taşıyan özel bilgiler ile cihazların elektronik kimlik bilgilerini taşıyan her türlü yazılım, kart, araç veya gereç yetkisiz ve izinsiz olarak kopyalanamaz, muhafaza edilemez, dağıtılamaz, kendisine veya başkasına yarar sağlamak maksadıyla kullanılamaz……..Abonelik tesisi için gerekli kimlik belgeleri örneği alınmadan işletmeci veya adına iş yapan temsilcisi tarafından abonelik kaydı yapılamaz.” düzenlemeleri mevcuttur. Kanunun cezai hükümler başlıklı 63. maddesinde  “Elektronik haberleşme hizmeti vermek üzere yetkilendirilmiş bulunan işletmecilerin personelinin, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun İkinci Kitabının İkinci Kısmının Dokuzuncu Bölümünde düzenlenen(132-140. Maddeler arasındaki suçlar) , özel hayata ve hayatın gizli alanına karşı suçları işlemesi halinde haklarında bu bölümde öngörülen cezalara hükmolunur. Ancak 137 nci maddeye göre yapılacak artırım bir kat olarak uygulanır.” hükmü mevcut olup, elektronik haberleşme hizmeti veren personel için 137. Madde kapsamında uygulanacak artırım oranı yarı orandan bir katına çıkarılmıştır. Kanunun 55 inci maddesinin yukarıda belirttiğimiz fıkrasına aykırı hareket edenlerle ilgili olarak  bin günden on beş bin güne kadar adli para cezası ve  56 ncı maddesinin yukarıda belirttiğimiz hükümlerine aykırı hareket edenler hakkında ise  bin günden beş bin güne kadar  adli para cezası uygulanacağı düzenlenmiştir.

           5809 sayılı Elektronik Haberleşme Kanununun 4, 6, 12 ve 51 inci maddelerine dayanılarak 24.07.2012 tarihinde Bilgi Teknolojileri ve İletişim Kurumu Tarafından Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik hazırlanarak yayımlanmıştır. Yönetmelikte  kişisel verilerin işlenmesine ilişkin ilkeler, haberleşmenin gizliliği, trafik verilerinin işlenmesi,  konum verilerinin işlenmesi, ayrıntılı faturalarda gizlilik  vb konular ayrıntılı olarak düzenlenmiştir. Yönetmeliğin 21. maddesine göre işletmecilerin bu Yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde 5/9/2004 tarihli ve 25574 sayılı Resmi Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik hükümleri uygulanacağı düzenlenmiştir.   Bilgi Teknolojileri ve İletişim Kurumu  İdari Yaptırımlar Yönetmeliği  15.02.2014 tarihinde yürürlüğe girmiş  Yönetmeliğin  49. Maddesi ile  5/9/2004 tarihli ve 25574 sayılı Resmî Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik yürürlükten kaldırılmış ve yönetmeliğe yapılan atıfların 48. Madde ile Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliğine yapıldığı düzenlenmiştir. Bahse konu yönetmelikte idari para cezası ile cezalandırılacak eylemler detaylı olarak belirlenmiştir.

           Yönetmeliğin 13. maddesinde İşletmecinin kişisel verilere sadece yetkili kişiler tarafından erişilebilmesini ve kişisel verilerin tutulduğu sistemlerin ve kişisel verilere erişim sağlamak için kullanılan uygulamaların güvenliğini sağlama yükümlülüğünü yerine getirmemesi,  ilgili mevzuat gereği abonelere/kullanıcılara ait işlenen ve saklanan trafik verilerinin öngörülen sürede tutma veya silme yükümlülüğünü yerine getirmemesi,  trafik verisinin ve konum verisinin işlenmesine ilişkin yükümlülüklerini yerine getirmemesi, asgari istem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesi, kaybolması, değiştirilmesi, depolanması veya başka bir ortama kaydedilmesi, işlenmesi, ifşa edilmesi ve söz konusu verilere erişilmesine karşı kişisel verilerin korunmasına ilişkin yükümlülüklerini yerine getirmemesi, kişisel verilere ve ilişkili diğer sistemlere sağlanan tüm erişimlere ve erişim yetkisi olan personelin yaptığı işlemlere dair detaylı işlem kayıtlarını ilgili mevzuatta belirlenen süre boyunca tutma yükümlülüğünü yerine getirmemesi veya  kişisel verilerin işlenmesi ve gizliliğine ilişkin ilgili mevzuatta düzenlenen diğer yükümlülükleri ihlal etmesi eylemlerinden her hangi birini gerçekleştirdiğinde önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanacaktır.

            Yönetmeliğin 21. maddesine göre “Kayıtlı elektronik posta sisteminin idari, teknik ve hukuki gereklilikleri ile işleyişinde güvenli ürün ve sistemleri kullanmaması, hizmeti güvenilir bir biçimde yürütmemesi, hizmetlerini belirlenen kalitede sunulabilmesini teminen gerekli idari ve teknik imkan ve kabiliyetlere sahip olmaması, bu sistemlerde kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin belirlenen kurallara aykırı davranması veya Kurum tarafından ilgili mevzuat ile belirlenen diğer yükümlülüklere uymaması, kayıtlı elektronik posta sisteminin işleyişinin tüm aşamalarında kayıt altına alınması gerekli olan verileri gerektiği şekilde kaydetmemesi hallerinde kayıtlı elektronik posta hizmet sağlayıcısına bir önceki takvim yılındaki net satışlarının yüzde üçüne (%3) kadar idari para cezası uygulanacaktır”.