Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasında, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin aynı fıkranın (b) bendinde yer alan ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi durumunda uygulanmayacağının belirtildiği,
Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinin ‘Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması’ başlığı altında; “İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.” ifadelerinin yer almaktadır.
HTS ve baz kayıtları kişisel veri midir?
HTS ve baz kayıtları kişisel veri olup, bu veriler 6698 sayılı Kişisel Verilerin Korunması Kanununun 4/(2)-d maddesi gereğince, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilir.
Bu konuda ilgili mevzuat 5809 s. Elektronik Haberleşme Kanununun 51/10. maddesidir. Bu madde de; “Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir” denilmiştir.
Madde gereğince çıkarılan Yönetmeliklerin isimleri;
Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik ve
Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğin 6/4. maddesi gereğince; işletmeciler, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını 2 YIL SAKLAYABİLİRLER. Maddede geçen “kişisel veri” ve “işlem kaydının” tanımı Yönetmelikte görseldeki gibi yapılmıştır.
Ayıraca, bu Yönetmelik 04/6/2021’de (dün) yürürlüğe girmiş olup bu tarihten önceki kayıtların tutulma süresiyle ilgili aynı isimli eski Yönetmelik hükümleri uygulanır ve Bu Yönetmeliğin 14/1. maddesi gereğince de; haberleşmeye ilişkin HTS kayıtları ve internet trafik bilgileri,haberleşmenin yapıldığı tarihten itibaren EN FAZLA 1 YIL, gerçekleşmeyen (0 saniye) aramalara ilişkin kayıtlar ise EN FAZLA 3 AY SAKLANABİLİR ve bu sürelerin sonunda internet trafik verileri ve HTS kayıtları İMHA EDİLMELİDİR.
Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliğinin 19/f maddesinde de; erişim sağlayıcı olan veya telefon hizmeti sunan işletmeci, taraflara ilişkin IP adresi, port aralığı,verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı, kullanıcı sayısı ve abone kimlik bilgileri ile altyapısı üzerinden gerçekleşen görüşmelere ait trafik bilgilerini 2 YIL SÜREYLE SAKLAYABİLECEĞİ belirtilmiştir. Yani, söylediğiniz gibi baz kayıtlarının 5 yılda silinip, HTS kayıtlarının hiç silinmemesi gibi bir durum yoktur ve bu kayıtlar EN FAZLA 2 YIL TUTULABİLİR.
Bu konuda başka bir düzenlemeye 5809 sayılı Kanun’un 51/10-a maddesinde yer verilmiş olup maddede; “soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar saklanır” denilmiştir.
Yani, haberleşmeye ilişkin veriler saklanmaları gereken süre için de (2 yıl) ve bir soruşturma ya da dava kapsamında elde edilse bile en fazla bu soruşturma ve dava süreci sonuna kadar saklanabilirler.
Ayrıca, HTS kayıtlarının imha edilmemesi TCK’nın 138. maddesinde “verileri yok etmeme” başlığı altında suç olarak da düzenlenmiştir.
Yargıtay Ceza Genel Kurulu kararı gereğince, yönetmeliğe aykırı ele geçirilen bir delil hukuka aykırı delildir. Bu delilin, Anayasa’nın 38/6 ve CMK’nın 206/2. maddeleri gereğince hükme esas alınması mümkün değildir.
