Yazıyor yazıyor! Resmi Gazete elektrik piyasasını baştan yazıyor!

2019 yılının enerji ve özellikle elektrik piyasaları için oldukça hareketli başladığı, geçtiğimiz hafta sonu Resmi Gazete’de peş peşe yayınlanan değişikliklerle bir kez daha kanıtlandı. Sektör oyuncuları henüz Cumhurbaşkanlığı Kararı ile gelen değişikliklere adapte olmaya çalışırken bir de Elektrik Piyasasında Lisanssız Elektrik Üretim Yönetmeliği (“Yönetmelik”) yayınlandı. Biz de Cuma’dan Pazar’a elektrik sektöründe yaşanan gelişmeleri sizler için kaleme aldık.

Cumhurbaşkanlığı Kararnamesi Neler Getirdi?

Mayıs ayında elektrik piyasasındaki ilk değişim rüzgarı 10 Mayıs tarihli Resmi Gazete’de yayınlanan Cumhurbaşkanlığı Kararnamesi ile esti. Yenilenebilir enerji kaynaklarına dayalı üretim faaliyeti gösteren tesisler için uygulanacak fiyat ve süreler ile yerli katkı ilavesine ilişkin karara eklenen madde ile Yenilenebilir Enerji Kaynakları Destekleme Mekanizması (“YEKDEM”) tarifeleri düzenlendi. Getirilen değişiklik ile kendi ihtiyacı için elektrik üreten kişilerin ürettiği ihtiyaç fazlası elektrik enerjisinin alımına uygulanacak tarife belirlendi. Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından ilan edilen ve tesis için gösterilen perakende abone grubuna ait tek zamanlı aktif enerji bedeli, tesisin işletmeye giriş tarihinden itibaren 10 yıl boyunca uygulanacak.

Kararname ile getirilen ikinci ek madde ise Elektrik Piyasası Kanunu kapsamında lisanssız faaliyet yapabilecek yenilenebilir enerji kaynaklarına dayalı üretim tesislerinin kurulu güç sınırlamasını esnetti. Eskiden azami 1 megavatlık kurulu güce sahip olabilen üretim tesisleri için yeni üst sınır 5 megavat olarak belirlendi. Bu maddeyi uzun zamandır beklenen mahsuplaşma sistemi için bir yeşil ışık olarak görenler ise, pazar günü yapılan değişiklikle haklı çıktı.

Yeni yönetmelikle neler değişti?

EPDK Başkanı Mustafa Yılmaz’ın Nisan ayında yaptığı açıklamalarla da sinyallerini verdiği yeni Yönetmelik ile birlikte yeni lisanssız elektrik üretimi sistemi 12 Mayıs 2019 tarihli ve 30772 sayılı Resmi Gazete ile yürürlüğe girdi ve Elektrik Piyasasında Lisanssız Elektrik Üretimine İlişkin Yönetmeliği ilga etti. Elektrik piyasasında tüketicilerin elektrik ihtiyaçlarını tüketim noktasına en yakın kendi üretim tesisinden karşılaması, arz güvenliğinin sağlanmasında küçük ölçekli üretim tesislerinin ülke ekonomisine kazandırılması ve küçük ölçekli üretim kaynaklarının etkin kullanımının sağlanması ile elektrik şebekesinde meydana gelen kayıp miktarlarının düşürülmesini amaçlayan yönetmelik ile lisans alma ve şirket kurma yükümlülüğü olmaksızın elektrik enerjisi üretebilecek gerçek veya tüzel kişilere uygulanacak usul ve esaslar belirlendi.

Aylık mahsuplaşma sistemi gelen yönetmelik ile resmileşmiş oldu. Peki mahsuplaşma neyi değiştirdi? Mahsuplaşma ile serbest tüketici olup olmama ayrımına gidilmeksizin herkesin hafta içi veya gece tükettiği elektriği, gündüz veya hafta sonu ürettiği elektrikten karşılama imkanı olacak. Konu ile ilgili açıklamasında Başkan Yılmaz da “Güneşimiz her hane için, her ticarethane için, her sanayici için bir enerji kaynağı olsun istiyoruz. Yeni düzenleme ile her tüketicinin kendi enerjisini üretebilmesinin de yolunu açıyoruz. Güneş çatılarda yükselmeye devam ettikçe hem tüketici kazanacak hem de ülkemiz.”[1] diyerek yeni düzenlemeden beklentilerini dile getirmişti.

Konu ile ilgili Uluslararası Güneş Enerjisi Topluluğu – Türkiye Bölümü (“GÜNDER”) de bir açıklama yaptı[2]. GÜNDER Başkanı Kutay Kaleli’nin imzasını taşıyan açıklamada mahsuplaşmada sürenin aylık olarak belirlenmesinin faydasına dikkat çekildi. Sürenin aylık olarak belirlenmesi, vatandaşlar ve işletmelerin şirket kurma veya lisans alma zorunluluğu olmaksızın daha fazla elektrik üretebilmelerine imkan tanıyor.  

Unutulmaması gereken bir nokta şu ki, yönetmeliğin amacı tüketiciye en fazla enerjiyi üretmeye yönlendirmek değil, kendi tüketimini karşılayacak ve aynı zamanda en hesaplı olacak tesisi kurdurmak. Bu sebeple, sürecin etkinleşmesi adına yeni düzenlemede birçok adım atıldığı görülüyor. Bunlardan ilki lisanssız elektrik üretimine ilişkin tüm tebliğ ve yönetmeliklerin tek bir mevzuat altında yürütülmesi iken, başvuru süreçlerinde bürokratik adımların azaltılması, başvurunun kurumlarda geçirdiği sürenin azaltılması ve tüketim tesisinin bağlantı anlaşmasındaki sözleşme gücünün tüketicinin tüketimini en az maliyetle karşılayacağı şekilde düzenlenmesi de başkaca örnekler olarak karşımıza çıkıyor.

Arazi tipi GES projeleri tarihe mi karışıyor?

Uygulama bir yandan beklentileri karşılarken, diğer yandan bazı soru işaretlerini de beraberinde getiriyor. Bunlardan ilki ise güneş enerjisi santralleri (“GES”) özelinde karşımıza çıkıyor. Yeni yönetmeliğin 11. maddesinin 3. fıkrası, kurulacak üretim tesisinin güneş enerjisine dayalı çalışacak olması halinde, bunun ancak çatı veya cephe uygulaması olarak gerçekleştirilebileceğini düzenliyor.[3] Söz konusu hükme ilişkin farklı görüşler ise şimdiden tartışılmaya başlandı.[4]

Her ne kadar hemen bir sonraki fıkrada tarım arazilerinin bir kısmında tarımsal sulama yapmak amacıyla bir üretim tesisi kurulabileceğine ilişkin istisnaya yer verilse de[5], söz konusu üretim tesislerinin de kurulu güçleri bakımından bağlantı anlaşmalarındaki sözleşme gücü ile sınırlı tutulduğu görülüyor.

Bu haliyle yeni yönetmeliğin arazi tipi GES projelerini tamamen rafa kaldırdığını söylemek mümkün gözükmese de, uygulama alanının oldukça daraldığı bir gerçek olarak karşımıza çıkıyor.

Hangi yönetmeliğe tabi olacaksınız?

Başvurusunun farklı aşamasında olan üretim tesisleri için akıllara gelebilecek bir soru da tesisin hangi düzenleme kapsamında işletileceği olabilir. Özellikle başvuru süreci yeni Yönetmelik’ten önce başlayan tesisler için, tesisin yeni Yönetmelik kapsamında mı yoksa mülga Elektrik Piyasasında Lisanssız Elektrik Üretimine İlişkin Yönetmeliği kapsamında mı olacağı hususu önem arz ediyor. Yayınlanan yeni yönetmeliğin geçici maddeleri başvuru sahiplerine bu konuda ışık tutuyor.

Geçici Madde 1 uyarınca çatı ve cephe uygulamalı elektrik üretim tesislerine aylık mahsuplaşmadan yararlanma imkanı getiriliyor. Ürettiği enerjinin tamamını iletim veya dağıtım sistemine vermeden kullanan, üretimi ve tüketimi aynı ölçüm noktasında olan GES projeleri ile 21 Haziran 2018 tarihinden sonra bağlantı anlaşmasına çağrı mektubu düzenlenen ve 10 kilovata kadar projelendirilmiş çatı tipi GES projeleri, Yönetmeliğin yürürlük tarihini takip eden 60 gün içerisinde başvuruda bulunulması halinde Yönetmelik kapsamına girecek ve aylık mahsuplaşmadan yararlanabilecek.

Henüz çağrı mektubu düzenlenmemiş ancak bağlantı anlaşmasına çağrı mektubu almaya hak kazananların yardımına ise Geçici Madde 2 koşuyor. Bu madde uyarınca, yürürlükten kalkan yönetmelik kapsamında çağrı mektubu almaya hak kazanan, alan veya bağlantı anlaşması imzalayan kişilerin bundan sonraki aşamalardaki işlemleri de yeni Yönetmelik kapsamında devam ettirilecek.

Sonuç

Elektrik piyasasındaki değişim rüzgarları bir süre daha esmeye devam edecek gibi gözüküyor. Lisanssız elektrik üretimi kurulu güç sınırlamasının esnetilmesi ve mahsuplaşmaya ilişkin gelişmeler, Türkiye’de yenilenebilir enerji kaynakları ile dağınık üretim sisteminin güçleneceği sinyallerini veriyor. Merkezi enerji santrallerini odağına koyan klasik anlayıştan uzaklaşan ve küçük ölçekli ama son tüketiciye daha yakın santrallerde üretime geçen yeni sistemden piyasanın beklentisi büyük. Enerji ihtiyacını yerinde, daha etkin ve daha verimli bir şekle büründürmesi amaçlanan yeni düzenlemenin uygulamanın ihtiyaçlarına cevap verip veremeyeceğini ise zaman gösterecek.


[1] https://www.epdk.org.tr/Detay/Icerik/2-4827/epdk-baskani-mustafa-yilmaz-“her-tuketicinin-ken

[2] https://www.enerjigunlugu.net/kaleli-vatandas-daha-fazla-lisanssiz-elektrik-uretebilecek-32362h.htm

[3] (3) Bu Yönetmelik kapsamında faaliyet göstermek isteyen kişiler, bağlantı anlaşmasındaki sözleşme gücünü ve 5 inci maddenin birinci fıkrasının (c) bendi uyarınca belirlenecek kurulu gücü geçmeyecek şekilde tüketim tesisi ile aynı ölçüm noktasında, dağıtım tesisi niteliğinde tesis teçhiz etmeden, yenilenebilir enerji kaynaklarına dayalı üretim tesisi kurabilir. Güneş enerjisine dayalı üretim tesisleri ancak çatı ve cephe uygulaması olarak gerçekleştirilebilir.

[4] https://www.enerjiportali.com/lisanssiz-elektrik-uretiminde-yeni-donem-basladi-hasan-yigit/

[5] (4) İlgili diğer mevzuat hükümlerine uygun olması halinde, tarım arazilerinin bir kısmında tarımsal sulama amacıyla bu Yönetmelik kapsamında üretim tesisi kurulabilir. Ancak ilgili üretim tesisinin kurulu gücü söz konusu sulama tesisinin bağlantı anlaşmasındaki sözleşme gücünden fazla olamaz. 

YEKDEM’den yararlanacaklar dikkat: Zaman daralıyor!

Yenilenebilir enerji kaynaklarına dayalı elektrik enerjisi üretiminin teşvik edilmesi amacıyla getirilen Yenilenebilir Enerji Kaynaklarını Destekleme Mekanizması (“YEKDEM”) yeniden enerji piyasasının gündeminde. 2020 sonrasında uygulanacak teşvik mekanizmasının nasıl şekilleneceği de merak konusu. Bununla birlikte, geçtiğimiz Şubat ayında 5346 sayılı Yenilenebilir Enerji Kaynaklarının Elektrik Enerjisi Üretimi Amaçlı Kullanımına İlişkin Kanun’un (“YEK Kanunu”) 6/C maddesine eklenen fıkra ile kapasite artışı lisans tadili Enerji Piyasası Düzenleme Kurulu (“EPDK”) tarafından uygun görülen üretim tesislerinde bahse konu kapasite artışları için YEKDEM’den yararlanılmayacağını hatırlatmakta fayda var.

YEKDEM’den yararlanmak isteyen üretim tesisleri için zaman daralıyor. YEKDEM’den faydalanmak isteyen üretim tesislerinin işletmeye girmeleri için son tarih 31 Aralık 2020. Oysa, bir sonraki takvim yılı için YEKDEM’den faydalanmak isteyen üretim lisansı sahiplerinin başvuru evraklarını EPDK’ya sunmaları için ise son tarih 31 Ekim 2019. Hal böyle olunca uygulamada YEKDEM’den faydalanmak isteyen tesislerin akıllarında soru işaretleri oluşabiliyor. Bu yazımızda, uygulamanın son senesi olan 2020 yılında ilgililerin karşılaşması muhtemel birtakım problemlere ve bunlara ilişkin EPDK’nın yaklaşımlarına değineceğiz.

YEKDEM’den yararlanmak isteyen üretim tesislerini nasıl bir süreç bekliyor?

Yerli aksam kullanan tesisler için süreç 1 Ağustos’ta Yenilenebilir Enerji Kaynaklarının Belgelendirilmesi ve Desteklenmesine İlişkin Yönetmelik’te (“YEKDEM Yönetmeliği”) yer alan belgelerin Yenilenebilir Enerji Genel Müdürlüğü’ne sunulması ile başlıyor. Yukarıda da bahsettiğimiz üzere, bir sonraki takvim yılı için YEKDEM’den faydalanmak isteyen üretim lisansı sahiplerinin başvuru evraklarını EPDK’ya sunmaları için ise son tarih 31 Ekim.

Başvuru evraklarının sunulmasını takiben Kasım ayının ilk on günü içerisinde EPDK internet sitesinde yayınlanacak ön YEK listesi için yapılacak itirazlar ise bu listenin yayınlanmasını takip eden beş gün içerisinde EPDK’ya yazılı olarak bildirilecek. 30 Kasım’da nihai YEK listesinin EPDK’nın internet sitesinde yayınlanması üzerine nihai listede yer alan üretim lisansı sahipleri için bir senelik YEKDEM’de yer alma zorunluluğu başlayacak.

10 yıllık süre ne zaman başlayacak?

YEKDEM’den yararlanılacak 10 yıllık süre ne zaman başlayacağı, uygulamada özellikle kurulu gücünün bir kısmı için geçici kabul yaptırmış tesisler için merak konusu. Burada altını çizmek istediğimiz husus YEKDEM’den faydalanabilmek için kısmen dahi olsa 31 Aralık 2020 öncesinde işletmeye girilmesi suretiyle YEKDEM mekanizmasına dahil olunması. 10 yıllık süre ise, geçici kabul yapılmış kısmın YEKDEM’den faydalanmaya başladığı tarih esas alınarak hesaplanmakta.

YEKDEM Yönetmeliği’nin 8.maddesi uyarınca 31 Aralık 2020’ye kadar kısmen veya tamamen işletmeye girmiş veya girecek olan üretim tesisler için 10 yıllık süre, lisansına derç edilen ilk kurulu gücün;

  • Tamamının işletmeye giriş tarihinden,
  • Tamamı işletmeye girmeden YEKDEM’e katılması halinde, YEKDEM’e ilk katıldığı tarihten

itibaren işlemeye başlayacaktır.

Bu halde geçici kabul tarihi aslen, üretim tesisinin YEKDEM’e başvuracağı tarihin belirlenmesinde rol oynamaktadır. Ancak, YEKDEM’den yararlanılacak 10 yıllık sürenin başlangıç tarihine esas teşkil etmemektedir. Zira, mezkur sürenin başlangıç tarihi YEKDEM’e ilk katıldığı tarihtir. Bu noktada önem arz eden ayrım tesisin tamamının işletmeye girmediği durumlarda ortaya çıkmaktadır. Örnek vermek gerekirse, 15 MW’lık kurulu gücünün 10 MW’ı için kısmi geçici kabul alan ve bu dönemde YEKDEM’e katılan bir tesis, 10 yıllık yararlanma süresinin başlaması için YEKDEM’e ilk ünitesinin katıldığı tarihi esas almalıdır. Bu örnekte 15 MW’ın tamamının işletmeye giriş tarihinin dikkate alınması isabetsiz olacaktır. Geriye kalan 5 MW’lık kapasite ise, bu kapasite için alınacak geçici kabul ve işletmeye girişini takiben YEKDEM’den faydalanmaya başlayacak, ancak yararlanma süresi bakımından 10 MW’lık kapasite için tanınmış 10 yıllık süreye tabi olacaktır.

Kapasite artışı YEKDEM’den yararlanma süresini etkiler mi?

Üretim tesislerinde kurulu güç artışı uygulamalarının hayata geçirilmesi de YEKDEM’den yararlanma süreleri konusunda soru işaretleri yaratabiliyor. Bu noktada belirtilmesi gereken önemli bir husus, YEKDEM uygulamasının kapasite üzerinden değil, tesis üzerinden işlediğidir. Dolayısıyla, bir üretim tesisinin YEKDEM’den faydalanabilmesi için 31 Aralık 2020 tarihinden önce kısmen de olsa geçici kabulünün yapılması suretiyle kendisini YEKDEM sistemine atması yeterli olacaktır. Bir başka örnekle açıklamak gerekirse, kurulu gücü 5 MW olan üretim tesisi için geçici kabulün 2020 yılında alındığını ve daha sonra tesisin kurulu gücünün 15 MW’a çıkarıldığı (konuya ilişkin tadilin YEK Kanunu 6/C’de yapılan değişiklikten önce olması koşuluyla) ve ek 10 MW’lık bölüm için 2022 yılında geçici kabulün tamamlandığı bir senaryoda, tesisin tamamının YEKDEM’den faydalanacağı zaman aralığı 2021-2030 yılları olacaktır. Çünkü tesisin YEKDEM’e dahil edildiği ilk tarih 2021 olacaktır.

EPDK’dan yeni karar

EPDK’nın 10 Nisan 2019 tarihli ve 30741 sayılı Resmi Gazete’de yayınlanan kararı ile 2011 yılı YEKDEM uygulamasının kapsamı genişletildi ve 2011 Nihai YEK Listesi’nde yer almayan tesislerin YEKDEM’den yararlanmasının önü açıldı. EPDK karar kapsamında;

  • 1 Kasım 2010 ile 21 Ağustos 2011 tarihleri arasında işletmeye giren ve 2011 Nihai YEK Listesi’nde yer almayan tesislerin YEKDEM’den son yararlanma yılını takip eden ilk takvim yılında YEKDEM’den yararlanabileceğine ve
  • 1 Kasım 2010 ile 21 Ağustos 2011 tarihleri arasında işletmeye giren ve 2011 Nihai YEK Listesi’nde yer alan tesislerin YEKDEM’den son yararlanma yılını takip eden ilk takvim yılının 11 ayında YEKDEM’den yararlanabileceğine

hükmetmiştir. İlgili karara buradan ulaşabilirsiniz.

Diğer yandan, YEKDEM’den faydalanabilmek için son tarihin 31  Aralık 2020 olduğu buna mukabil YEKDEM başvurularının ise en son 31 Ekim 2020 tarihine kadar yapılması gerektiği göz önüne alındığında, 31 Ekim 2020-31 Aralık 2020 tarihleri arasında işletmeye girecek tesislerin (Kısmen dahi işletmeye girmeleri yeterlidir.) YEKDEM’den faydalanacaklarına şüphe bulunmamakla birlikte, bunların başvuru süreçlerine ilişkin olarak herhangi bir karışıklığa mahal vermemek için EPDK tarafından konuya ilişkin olarak düzenleme yapılması yerinde olacaktır.

Avrupa Teknoloji Devleri ile Mücadele Ediyor!

Geçtiğimiz haftalarda The Economist dergisi, teknoloji devlerinin Avrupa’daki otoriteler tarafından nasıl bir anlayışla ele alındığına yönelik son derece bilgilendirici ve aynı zamanda yol gösterici bir makale yayınladı. Temel gayesi ABD’deki karar alıcılara Avrupa’dan dersler sunmak olan bu makaleyi, Türkiye için de son derece önemli olduğunu düşünerek, mümkün olduğunca çok kişiye ulaşması amacıyla Türkçe’ye çevirdik. Bu alandaki tartışmalara bir katkı sunması dileğiyle de bu blogta yayınlamayı uygun gördük. Keyifli okumalar dileriz.

Avrupa, teknoloji devleri ile mücadele ediyor!

Silikon Vadisi’nin geleceğini anlamak için, Atlantik’i geçin

“Yeni bir dünyanın doğum günü karşınızdadır.” Thomas Paine’in 1776’da bu kelimeleri kaleme almasından bu yana, ABD kendisini “yeni”nin ülkesi – ve Avrupa’yı geçmişte takılı kalmış bir kıta – olarak görmüştür. Bu, hiçbir yerde teknoloji sektöründe olduğu kadar doğru değildir. ABD, dünyanın en değerli 20 teknoloji firmasının 15’ine ev sahipliği yaparken; Avrupa’da bu sayı sadece birdir.  Silikon Vadisi, en parlak fikirlerin en akıllı para ile buluştuğu yerdir. Aynı zamanda ABD, teknoloji devlerinin kamu yararına faaliyet göstermeleri için bu firmaların nasıl ehlileştirileceklerine ilişkin büyük tartışmaların hararetlendiği yerdir. Teknoloji sektörünün önde gelen patronları, firmalarının gizlilik alanındaki hataları dolayısıyla Kongre’nin sert eleştirilerine maruz kalmaktadır. 2020 ABD Başkanlık Seçimleri’nde aday olarak yarışacak olan senatör Elizabeth Warren, Facebook’un bölünmesini istemektedir.

Buna rağmen, dünyanın en güçlü endüstrisinin nereye doğru gittiğini anlamak istiyorsanız Washington ve Kaliforniya’ya değil, Brüksel ve Berlin’e bakmalısınız. Genel kabul görmüş durumun aksine, teknoloji sektörüne ilişkin düzenlemelerde ABD tereddüt yaşarken, AB harekete geçiyor. Google bu hafta, reklamcılık pazarında rekabeti engellediği için 1,7 milyar $ cezaya çarptırıldı. Avrupa yakın zamanda yeni dijital telif yasalarını yürürlüğe koyabilir. Spotify AB’ye Apple’ın hâkim durumunu kötüye kullandığı iddiasıyla şikâyette bulundu. Ayrıca, üst yazımızda açıklandığı üzere AB, bireylerin kendi bilgilerini ve bu bilgiler üzerinden elde edilen kârı kontrol etmelerini ve teknoloji şirketlerinin rekabete zorlanmasını hedefleyen ayrı bir teknoloji doktrinine öncülük etmektedir. Bu doktrin, kabul görmesi halinde, milyonlarca kullanıcıya fayda sağlayabilir, ekonomiyi canlandırabilir ve orantılı bir sorumluluk duygusu olmaksızın uçsuz bucaksız bir güç toplayan teknoloji devlerini sınırlandırabilir.

Batılı düzenleyiciler daha önce de, 1960’larda IBM ve 1990’larda Microsoft dâhil olmak üzere, rekabet üzerinden teknoloji firmaları ile restleşmiştir. Bununla birlikte, bugünün devleri yalnızca yüksek miktarda kira toplamak ve rekabeti bozmak ile değil, (yanlış bilgilendirme aracılığıyla) demokrasiyi istikrarsızlaştırmak ve (özel hayatın gizliliğini ortadan kaldırarak) bireysel özgürlükleri suiistimal etmek gibi daha ağır günahlar ile itham ediliyorlar. Yapay zekânın yola çıkmasıyla birlikte, bilgiye olan talepte bir patlama yaşanmakta, veri yeni ve değerli bir kaynak haline gelmektedir. Yine de cevaplanması hayati önem taşıyan sorular varlığını korumaktadır: Veriyi kim kontrol etmektedir? Kâr ne şekilde dağıtılmalıdır? Neredeyse herkesin aynı fikirde olabileceği tek şey, buna karar veren kişinin Facebook’un skandallara batmış patronu Mark Zuckerberg olamayacağıdır.

Bu soruların cevaplanmasına AB’nin öncülük edeceği fikri, Avrupa’yı bir girişimcilik çölü ve bürokrasinin ruhani evi olarak gören birçok yönetici tarafından garipsenecektir. Aslında, Avrupa’nın isabetli ve yeni fikirleri mevcuttur. Beş büyük teknoloji devi olan Alphabet, Amazon, Apple, Facebook ve Microsoft satışlarının ortalama dörtte birini burada gerçekleştirmektedir. Bunun yanında, dünyanın en büyük ekonomik birliği olan AB’nin standartları, dünyanın gelişmekte olan bölgelerinde örnek alınmaktadır. Avrupa’nın diktatörlüğe ilişkin tecrübesi, onu gizlilik konusunda tetikte tutmaktadır. Düzenleyici otoriteleri, ABD’nin otoritelerine kıyasla lobicilik faaliyetlerinden çok daha az etkilenmektedir ve mahkemeleri ekonomi bakımından daha güncel bir görüşe sahiptir. Avrupa’da teknoloji şirketlerinin azlığı, Avrupa’nın meseleye karşı daha nesnel bir tutum takınmasına yardımcı olmaktadır.

Avrupa’nın yaklaşımının en önemli noktalarından biri neyin yapılmaması gerektiğine karar verilmesidir. Şu an için AB, teknoloji şirketlerinin kârlarına üst limit koyma ve onları hantal ve kalıcı tekellere dönüştürebilecek şekilde regüle etme olasılıklarını elemiştir. Aynı zamanda teknoloji devlerinin parçalanması ihtimali de bir çözüm olarak reddedilmiştir; zira şebeke etkisi sebebiyle, Facebook veya Google’dan ayrılacak küçük yapılardan biri (Facebabies / Googlettes) kolaylıkla yeniden hâkim duruma geçebilecektir. Bunun yerine AB doktrini, iki yaklaşım benimsemektedir. Bunlardan biri, tüm farklılıklara rağmen, üye devletlerin kişisel gizliliğin korunması kültürü üzerine kurulmuştur. Diğeri ise rekabeti arttırmak için AB’nin yasal yetkilerini kullanmaktadır.

İlk yaklaşım, kendinize ilişkin veriler üzerinde hâkimiyetiniz olduğu savı üzerine kuruludur: bu verilere erişim, verileri değiştirme ve bu verileri kimin kullanacağına karar verme hakkınız olmalıdır. Bu, ilkeleri halihazırda dünya çapında birçok ülke tarafından esas alınan Genel Veri Koruma Tüzüğü’nün (“GDPR”) de özünü teşkil etmektedir. Bir sonraki adım ise kullanıcıların hizmet sağlayıcıları arasında kolaylıkla geçiş yapabilmelerini ve dolayısıyla daha iyi finansal koşullar sunan veya müşterilerin etik kurallara daha uygun biçimde hizmet aldığı sağlayıcıları seçebilmelerini sağlayabilmek adına hizmetler arasında karşılıklı işlerliğe (interoperability) izin verilmesi olacaktır (Tüm arkadaşlarınızı ve paylaşımlarınızı, Facebook’tan daha yüksek gizlilik standartları olan ve size reklam gelirlerinden pay veren Acebook’a taşıyabildiğinizi hayal edin). İngiltere’de Açık Bankacılık olarak isimlendirilen ve müşterilerin harcama alışkanlıklarını, düzenli ödemelerini ve diğer bilgilerini başka sağlayıcılarla paylaşabilmesine imkân tanıyan proje buna bir örnektir. İngiliz hükümeti için hazırlanan yeni bir raporda teknoloji firmalarının da aynı şekilde açılması gerektiği belirtilmiştir.

Avrupa’nın ikinci ilkesi, teşebbüslerin rekabeti dışarda bırakamayacak olmalarıdır. Bu da bir teşebbüsün, platformlarını kullanan rakiplerine eşit şartlarda davranması anlamına gelir. AB, Google’ın arama sonuçlarında çıkan alışveriş siteleri ile, ya da kendisinin Android işletim sistemini kullanan rakip arama motorlarıyla, haksız biçimde rekabet etmesini engellemiştir. Bir Alman görüşü, hâkim durumdaki şirketin toplu ve anonimleştirilmiş biçimde veriyi rakipleri ile paylaşmasını ve bu sayede ekonominin veri istifleyen birkaç dev teşebbüs tarafından yönetilmesindense düzgün bir biçimde işleyeceğini ileri sürmektedir (Örneğin tüm ulaşım şirketlerinin Uber’in trafik düzenine ilişkin bilgilerine erişimi olmalıdır). Almanya, kanunlarını teknoloji devlerinin ileride tehdit oluşturabilecek startapları satın almasını önleyecek şekilde değiştirmiştir.

Avrupa’nın yaklaşımı, tüketicilerin kendi gizliliklerini ve verilerinin ne şekilde paraya dönüştürüldüğünü kontrol ettikleri yeni bir bakış açısı sunuyor. Tüketicilerin hizmetler arası geçiş imkanı, seçenekleri artırması ve standartları yükseltmesi beklenen rekabeti sağlayacaktır., Bunun sonucu ise tüketicilerin hüküm sürdüğü ve bilgi ile gücün dağınık hale geldiği bir ekonomi olmalıdır. Bu da teknoloji devleri için bugünkünden daha az konforlu bir ortam oluşturacaktır. Bu teşebbüsler, kârlarının (en büyük beş şirket için geçen sene bu miktar 150 milyar $ idi) bir kısmını kullanıcılarıyla paylaşmak, daha çok yatırım yapmak zorunda kalabilecek ya da pazar payı kaybedeceklerdir.

Avrupa yaklaşımının riskleri mevcuttur. Teşebbüsler arası gerçek anlamda karşılıklı işlerliğe erişmek zor olabilir. Şimdiye dek GDPR hantal bir yapı ortaya koymuştur. Verilerin açık bir biçimde akışı, gizlilik endişelerinin önüne geçmemelidir. Bu noktada Avrupalı bürokratlar bahsettiğimiz sorulara cevap bulabilmek için, çoğu Amerikalı olan girişimcilere güvenmek durumunda kalacaklardır. Bir diğer büyük risk ise bu yaklaşımın Avrupa dışında bir yerde uygulanmaması ve kıtanın ana akım ile irtibatı kesmiş bir teknoloji Galapagos’u haline gelmesidir. Büyük şirketler ise işlerini iki kıtasal siloya ayırmak noktasında isteksiz kalacaktır. Aynı zamanda ABD’nin teknolojide daha çok Avrupa’ya döndüğüne ilişkin işaretler bulunmaktadır: Kaliforniya, GDPR’a yakın düzenlemeler içeren bir kanunu yürürlüğe soktu. Avrupa, büyük-teknoloji yapbozunun çerçevesini devlet veya gizli tekelleri değil, tüketiciyi güçlendirecek şekilde çizmektedir. Cevabı bulması halinde ise, Amerikalılar bunu esas alma konusunda tereddüt etmemelidirler, her ne kadar bu, atalarının arkada bıraktıkları topraklara dönüp bakmak anlamına gelse de.”

The Economist, 22 Mart 2019

YENİ BİR VERİ İHLALİ BİLDİRİMİ: Aman çalışanlarınıza dikkat!

Kişisel Verileri Koruma Kurumu’na (“KVKK”) yapılan veri ihlali bildirimlerinin sayısı her geçen gün artmaya devam ediyor. Bu sefer ki başvuru ise ING Bankasından geldi. İhlale konu olayın ilk tespiti ise Türkiye Bankalar Birliği tarafından (“TBB”) yapılmış. Nitekim KVKK’nın internet sitesinde yapılan duyuruya göre TBB tarafından Risk merkezi nezdinde ING Bankası çalışanı tarafından yapılan sorguların şüpheli olduğu bildirilmiştir.

Bunun üzerine ING Bankası tarafından başlatılan incelemede, ilgili kişinin banka uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (“KRM”) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği tespit edildi. ING Bankası tarafından bu eyleme iştirak eden veya benzer şekilde hareket eden başka bir personelin bulunmadığı açıklamasına yer verildi.

This image has an empty alt attribute; its file name is Corp-Gov-Getty.jpg


Bununla birlikte 2018 yılı boyunca ihlale sebebiyet verin ING Bankası çalışanının pek çok TC kimlik numarası (“TCKN”) ve vergi kimlik numarası (“VKN”) bilgileriyle sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla Banka dışına sızdığı bildirildi.

ING Bank’ın yaptığı incelemeler sonucunda sistemde yapılan sorgularda şirketler dışında gerçek kişi tacirlerin bilgilerinin de yer aldığı ve bilgilerine ulaşılan hem tüzel kişi hem de gerçek kişi tacirlerin büyük çoğunluğunun ING Bank’ın müşterisi olmaması sebebiyle TCKN ve VKN verilerinin dışarıdan temin edildiği anlaşıldı. Bankanın müşterisi olan az sayıda şirketin VKN bilgilerinin ise dışarıdan gelen listelerden alındığı tahmin ediliyor.

Veri ihlalini gerçekleştiren şahsın ulaştığı kayıtların, bireysel nitelikli kredi kayıtları olmadığı, gerçek kişi ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtları olduğu belirtildi. Ancak KRM kayıtlarında çek rapor sorgusunun da seçilmesi halinde raporlanan bilgiler arasında, ilgili firmanın Bankalar nezdindeki kredi limiti, risk ve teminat bilgileri, ibraz edilen çeklerin adedi, vadesi ve tutarı, geçmiş döneme ilişkin ciro bilgisi, ortaklık yapısı ve ortaklarının TCKN bilgilerine gibi oldukça detaylı bilgiler yer alıyor. Bu kapsamda, 1.172 adet gerçek kişi ticari işletmenin KRM raporlarının ve bu ticari işletmeler bünyesindeki toplam 19.055 gerçek kişinin TCKN ve isim bilgilerinin sızdırılmış olduğu raporlandı.

ING Bank Kurul’a sunduğu yazıda, veri ihlalini gerçekleştiren şahsın yetki denetimini devre dışında bırakmak için kullandığı yöntemin engellendiğini ve bu güvenlik açığını gidermek üzere değerlendirmeler gerçekleştirildiğini bilgilerine yer verdi. Veri güvenliği ihlalinden etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usul ve içeriğine ilişkin olarak ING Bank ile TBB Risk Merkezi arasındaki çalışma sürüyor.

KVKK’dan yeni karar özetleri: Uygulama yavaş yavaş netleşmeye başlıyor

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren karar ve duyurular yayınlanmıştır. Kurul kararlarında özellikle sağlık, e-ticaret ve kamu sektörlerine ilişkin değerlendirmelere yer verilmektedir. Bu yazımızda, Kurul’un kişisel verilerin işlenmesi, muhafazası, yurtiçine ve yurtdışına aktarımı ile veri ihlali bildirimi hususlarına ilişkin kararları açıklanmakta ve ilgili kararların uygulamada ne gibi sonuçlar doğuracağına ilişkin değerlendirmelerimiz yer almaktadır.  

I. Eczanenin Hukuka Aykırı Veri Aktarımı

Doktor kontrolünde ilaç kullanan ilgili kişiye ait sağlık verilerine ilişkin bilgilerin, ilaçlarını temin ettiği eczane tarafından, herhangi bir işleme şartına dayanmadan üçüncü kişilere aktarıldığı gerekçesi ile ilgili tarafından Kurum’a şikayet başvurusu yapılmıştır. Kurum tarafından yapılan inceleme neticesinde, kişisel verilerin işlenmesinde ve kişisel verilerin üçüncü kişilere aktarılmasında temel kuralın, ilgilinin açık rızasının alınması olduğuna dikkat çekilmiştir. Bu kuralın istisnası olan hallerin ise yalnız ilgili mevzuat çerçevesi ile sınırlı olduğu belirtilmiş ve bu kapsamda olmayan hallerde temel kurala uyulmamasının ihlal olarak nitelendirileceği ortaya konulmuştur. Bu anlamda, eczanenin, kanunda yer alan istisnai hallerden herhangi birine dayanmaksızın, ilgilinin özel nitelikli kişisel verisi olan sağlık verilerini üçüncü kişilere aktarmasının hukuka uygun bir aktarım olmaması sebebiyle veri sorumlusunun en temel yükümlülüklerinden olan kişisel veri güvenliğinin sağlanması yükümlülüğüne aykırı hareket ettiğini saptayan Kurum, bu ihlal neticesinde eczaneye idari para cezası uygulanmasına karar vermiştir.[1]

Karardan anlaşıldığı üzere, özellikle özel nitelikli kişisel veri işleyen veri sorumlularının kişisel verilerin işlenmesinde ve bu verilerin aktarılmasında Kanun’unda öngörülen hukuki sebebe dayanması gerekmektedir. Aksi halde yaptırımı idari para cezası olacaktır.

II. Sistemde Yer Alan Verilerin Erişilebilir Hale Gelmesi

İlgili kişi, bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yaparken, kendisine ait teslimat adresi, adı, soyadı, adresi ve telefon numarası gibi kişisel bilgilerinin, şirkete ait bu internet sitesi üzerinden alışveriş yapan diğer kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunmuş ve kişisel verilerinin sistemlerinden silinmesini talep etmiştir. Şirket tarafından şikayetin kendilerine gelmesi ile olayın öğrenildiği, olayın sistemsel bir hatadan kaynaklandığı ve Şirket tarafından başka müşterilerin aynı olaya maruz kalmamaları için önlemlerin alındığı belirtilmişse de ilgili kişi bu yanıtı yetersiz bularak Kurum’a başvurmuştur. Kurum tarafından yapılan değerlendirmede, firmanın kişisel verilere hukuka aykırı erişilmesini önleme amacıyla gerekli tedbirleri almadığı saptanmış ve firma aleyhine idari para cezası uygulanmasına karar verilmiştir.[2]

Karardan görüleceği üzere, özellikle e-ticaret alanında faaliyet gösteren veri sorumlularının sistemlerinde yer alan kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğüne uyulmaması, idari para cezası yaptırımı uygulanmasını gerektirmektedir.  

III. Verilerin İşlenmesini Gerektiren Sebeplerde Dikkat Edilecek Süreler

Devlet memuru ilgili kişilerce, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebi ile veri sorumlusu kamu kurumuna başvurulmuş ve kişisel verilerinin silinmesi talep edilmiştir. Anılan kurum, ilgili mevzuat uyarınca verileri saklamaları gerektiğini belirterek bu talebi reddetmiştir. İlgili söz konusu şikayeti Kurum’a taşımış ve Kurul, kanunda yer alan özel saklama sürelerinin (memurluğun sona ermesinden itibaren 101 yıl) devam ediyor olması sebebiyle ilgili kişinin bu talebinin karşılanmamasının hukuka uygun olduğu yönünde karar vermiştir.[3]

Karardan anlaşılacağı üzere, Kurum, kişisel verilerin işlenmesini gerektiren sebebe ilişkin olarak özellikle saklama süreleri bakımından mevzuattan doğan en uzun süreyi dikkate almıştır. Bu anlamda, veri sorumlularının, kişisel verilerin işlenmesi ve muhafaza edilmesinde mevzuatta yer alan sürelere dikkat etmesinin çok önemli olduğunu vurgulamak isteriz.

IV. Veri İhlali Bildiriminde “en kısa süre” 72 Saat Olarak Belirlendi[4]

Veri sorumlularının veri ihlalini öğrenmelerinin üzerine durumu en kısa sürede ilgilisine ve Kurul’a bildirmesine ilişkin düzenleme, uygulamada “en kısa süre”den ne anlaşılması gerektiğine ilişkin soru işaretleri ortaya çıkarmaktaydı. Bu hususta Kurul’un alacağı kararlar arasında yeknesaklığın sağlanması ve uygulamada bir standardın yakalanması amacı Kurul, “en kısa süre” ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Bu sayede Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile de yeknesak bir uygulama yaratılmıştır.

Veri sorumlusu, ihlali öğrenmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapmalı, ihlalden etkilenen kişilerin belirlenmesini takiben makul olan en kısa süre içerisinde ilgili kişilere iletişim adreslerinden ve kendi web sitesinden ihlale ilişkin bildirimde bulunmalıdır. Kurul’a yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu sunulmalı, formda yer alan tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde ise bilgilerin gecikmeksizin aşamalı olarak sağlanması gerekmektedir. Haklı bir gerekçe ile 72 saat içerisinde yapılamayan bildirimlerde, yapılan bildirim ile beraber gecikme sebepleri de mutlaka Kurul’a açıklanmalıdır. Kurul duyurusunda veri sorumlularınca bir veri ihlali müdahale planı hazırlanmasına ve belirli aralıklarla bu planın gözden geçirilmesine de karar vermiştir.

Veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde gerçekleşmesi halinde ise Türkiye’de yerleşik kişilerin ihlalden etkilenmesi ve ilgili kişilerin ürün ve hizmetlerden Türkiye’de yararlanması şartlarıyla aynı bildirim süreci yürütülecektir.

Veri ihlali bildirimi noktasında Kurul’a yapılacak bildirimler ön planda tutulmuş, ilgili kişiye ve veri işleyen tarafından veri sorumlusuna yapılacak bildirimlerde ise süre belirlememiştir. Ancak Kurul’un önceki kararlarında “en kısa süre”ye ilişkin esnek yorumlarının artık kabul edilmeyeceği varsayımında söz konusu bildirimlerde de süre konusuna titizlikle yaklaşılması gerekmektedir. Veri ihlali müdahale planlarının kapsamlı bir biçimde hazırlanması (kimlere raporlama yapılacağı, ihlalin olası sonuçlarının değerlendirilmesinde sorumluluğun kimde olduğu vs.) hem ilgili bildirim formunun doldurulmasında hem de ihlale ilişkin bilgi, etki ve önlemlerin Kurul’un incelemesine hazır halde bulundurulmasında kolaylık sağlayacaktır.

Sonuç

Yayınlanan kararlarda da görüldüğü üzere Kurul, özel nitelikli kişisel verilerin hukuka aykırı biçimde işlenmesi ve kişisel verilere hukuka aykırı biçimde erişilmesi hususlarında idari para cezası verme uygulamasını oldukça katı bir biçimde sürdürmektedir. Veri sorumlularının bu noktada iç politikalarını titizlikle incelemeleri önem arz etmektedir. Kurul, kişisel verilerin saklanması ve veri ihlali bildirimi noktalarında da uygulamanın süreye ilişkin kaygılarını giderir nitelikte kararlar vermiştir. Bu kararların ilgililerce gerek kişisel verilerin muhafazası aşamasında, gerek ise olası bir veri ihlalinin bildirimi noktasında dikkate alınması gerekmektedir.

Kurul kararları ile ilgili yeni gelişmeler oldukça güncellemeler aracılığı ile sizlere bilgi vermeye devam edeceğiz.


[1] Kurul’un 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı

[2] Kurul’un 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı

[3] Kurul’un 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı

[4] Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı Kararı