Facebook’un yakın zamanda duyurduğu kripto para Libra
uluslararası finans düzleminde tartışıladursun, Uluslararası Ödemeler
Bankası’na göre konu regülasyon ve rekabeti de içerecek şekilde geniş bir
perspektiften ele alınmalı.
Klasik iktisatta paranın üç fonksiyonunun
olduğu kabul edilir: (i) mübadele aracı olma (medium of exchange), (ii) değer saklama aracı olma (store of value), (iii) hesap birimi olma
(unit of account). Son dönemlerde
dillerden düşmeyen blokzincir teknolojisine dayalı kripto paraların bu
fonksiyonları sağlayıp sağlayamadığı tartışma konusu. Kripto paraların en
yaygını Bitcoin’in dahi bu fonksiyonları karşılayamadığı konusunda iktisatçılar
neredeyse hemfikir. Bu nedenle kripto paraların piyasada yaygınlaşmadığı ve
yaygınlaşmalarının da güç olduğu ifade ediliyor. Ancak piyasaya yeni bir oyuncu
geliyor ve bu oyuncu terazinin (!) dengesini kendi lehine değiştirebilir.
Facebook’un yakın zamanda tanıttığı Libra adlı kripto para, Big Tech olarak
anılan büyük teknoloji şirketlerinin diğer piyasalara doğru yayılmacı
politikalarının son örneklerinden biri. Visa, Mastercard, PayPal ve PayU gibi
ödeme sistemi devlerinin de ortak olduğu Libra, diğer kripto paraların
sağlayamadığı üç temel fonksiyonu sağlama yolunda ise hızlı bir çıkış
yapabilecekmiş gibi görünüyor.
Teknoloji devlerinin regülasyon ve rekabet
çevrelerinde yakından takip edildiği bir dönemde tanıtılan Libra, ülkelerin
merkez bankalarının üye olduğu global düzenleyici otorite Uluslararası Ödemeler
Bankası’nın da (BIS – Bank for International Settlements) dikkatini çekmiş
durumda. BIS tarafından Libra’nın tanıtımının hemen ardından yapılan açıklama[1],
Libra’nın global finansal istikrarda olumsuz etkiler doğurabileceğine yönelik
çekinceler barındırıyor. Basel’li düzenleyici otorite tarafından yayımlanan
yakın tarihli rapor da konuya daha geniş bir perspektiften yaklaşarak teknoloji
devlerinin finansal piyasalara girişinin olası sonuçlarını ve olumsuzluklara karşı
erkenden alınabilecek önlemleri değerlendiriyor[2].
Henüz on yılını tamamlamış olan 2008 yılındaki
uluslararası finans krizinin ardından finansal piyasaların yerleşik oyuncuları
bankalar, global ölçekte düzenleyici otoritelerin sıkı regülasyonları ile karşılaştılar.
Krizlerin önüne geçilmesini ve finansal istikrarın teminini amaçlayan bu
düzenlemeler bankalar bakımından ciddi uyum maliyetleri yaratıyor. Teknoloji devlerinin
ise finansal piyasalarda boy gösterirken bu düzenlemelere tabi olmamaları ve
uyum maliyetlerinden kurtulmaları, bankaların eşit olmayan bir oyun alanında
rekabet edemedikleri algısının güçlenmesine ve şikayetlerin doğmasına yol
açıyor. Buradaki endişelerin başında ise bu şirketlerin teknolojik
üstünlüklerini ve geniş kullanıcı portföylerini kullanarak bankaları gelecekte
kadük teşebbüsler haline getirmeleri var. Bu şekilde halihazırda problemler
görülen finansal piyasalarda çok daha dar oligopollerle karşılaşılabileceği
yönünde çekinceler var. Tüm bu çekincelere karşın BIS’in sloganı; aynı faaliyet
için aynı regülasyon. Yakın zamanda finansal piyasaların yeni oyuncuları
teknoloji devleri de finansal piyasaların kurallarına hızlı bir uyum sağlamak
zorunda kalabilir.
BIS’in bu noktada yaptığı bir diğer önemli
değerlendirme ise global ve yerel düzlemdeki birbirinden farklı konuları
düzenleyen regülasyonların iç içe çalışma gerekliliği üzerine. BIS’in
değerlendirmesine göre finansal piyasaların düzenleyici kurumlarının, kişisel
verileri koruma kurumlarının ve rekabet otoritelerinin yakın temas içinde ortak
bir politika izlemeleri gerekiyor. Nitekim BIS’in raporunda teknoloji devlerinin
farklı piyasalarda varlık göstermeye başlamalarının analizi yapılırken farklı
otoritelerin aksiyonlarının bu şirketleri ne yönde etkileyebileceği konusu bir
pusula alegorisiyle değerlendiriliyor. Bu kapsamda Almanya rekabet otoritesi
Bundeskartellamt’ın yakın zamanda verdiği Facebook kararının kişisel verilerin
kullanımı bakımından teknoloji devlerine bir kısıtlama getirdiği
değerlendirilirken, Çin’in yakın zamanda Baihang adlı dijital platforma kredi
puanlaması lisansı vermesinin ve Hindistan’ın yeni Birleşik Ödemeler Arayüzü
sisteminin ise piyasalara girişin önünü açan gelişmeler olduğu kabul ediliyor.
BIS’in yaptığı değerlendirmelerden en önemlisi
ise düzenleyici otoritelerin rekabet değerlendirmesi konusundaki
yetkinliklerine ilişkin. Zira belirtildiği şekilde teknoloji devlerinin mevcut
avantajlarından yararlanarak çeşitli piyasalara giriyor olması öncelikli olarak
bu piyasalardaki rekabeti ilgilendiriyor. Bu doğrultuda BIS’in de belirttiği
üzere bu piyasaların düzenleyici otoritelerinin hızlı bir şekilde rekabet ve
rekabet hukuku alanında yetkinliklerini artırmaları gerekiyor. BIS’e göre geç
olmadan regülasyon ve rekabet politikalarının global düzlemde teknoloji devlerinin
ilerleyişine adapte edilmesi gerekiyor. Regülasyon ve rekabet dünyasındaki
tartışmalar Facebook’un Libra’sı sayesinde yakında şiddetlenecek gibi
görünüyor.
[1] BIS Araştırma Dairesi Başkanı Hyun Song Shin’in Libra’ya dair
açıklamaları için bkz. https://www.youtube.com/watch?v=QC8spl8u6Lg
TÜSİAD’ın 2014 yılında yayınladığı e-ticaret konulu ilk
rapor, Türkiye’deki e-ticaret için durum tespiti yapan bir çalışmaydı[1].
E-ticareti dijital pazarların odak noktasına koyan bu raporda Türkiye için
atılması gereken adımlar da yer almıştı. 2017 yılında çıkan ikinci rapor ise
e-ticaretteki gelişmelerin yanında, perakende olarak nitelendirilebilecek B2C
e-ticarete odaklanan bir rapor olarak hazırlanmıştı[2].
TÜSİAD’ın geçtiğimiz günlerde yayınladığı üçüncü rapor ise B2C’nin yanında B2B
e-ticarete, e-ihracata ve tamamen dijital olarak verilen hizmetlere odaklanmış bir
çalışma olarak karşımıza çıkıyor[3].
E-ticaretin gelişiminin birçok faktöre bağlı olduğunu,
bunların içerisinde internet kullanımının yaygınlığının, lojistik olanakların,
ödeme sistemlerinin, tüketici algısının vb. koşulların önemli olduğunu
biliyoruz. TÜSİAD’ın ilk iki raporu bu faktörler konusunda iyi birer referans
kaynağı olurken, söz konusu üçüncü raporun e-ticaretteki gelişmelere e-ihracat,
sosyal medya ve B2B e-ticaret konusunda ilave boyutlar kattığını söylemek
mümkün.
Rapor yapısal olarak, önce dünyada ve sonra Türkiye’de (1) e-ticaret
hacmi üzerinde etkili olan faktörlerdeki gelişmeleri, (2) e-ticaret
ekosistemindeki değişimi inceliyor. Ekosistem içerisindeki değişimi ele alırken
yasal düzenlemelerdeki (regülasyon) değişikliklere önemli bir yer ayrıldığı
görülüyor. Bu blogu okuyanların ilgi alanını düşünerek, rapordaki diğer konuları
bir kenara bırakıp yasal düzenlemeler alanındaki tespitlere kısa kısa değinmek
isteriz.
Bazıları bu blogda da yer alan düzenlemelerin başında,
Hindistan’da yerel e-ticaret oyuncularını küresel oyuncuların rekabetinden
korumak amacıyla Amazon, Flipkart gibi önemli pazaryeri oyuncularına getirilmesi
düşünülen kısıtlayıcı düzenlemeler yer alıyor[4].
Yine Asya kıtasından devam edersek, e-ticaretin en gelişmiş
olduğu ülkelerden biri olan Çin’de son dönemde önemli yasal düzenlemelerin gündemde
olduğu tespiti yapılıyor. E-ticaret platformlarının rekabeti engelleyici fiillerine
cezalar gelirken, kullanıcıların ürün ve hizmetler konusundaki deneyimlerini
yansıtan kullanıcı yorumlarına dair yeni düzenlemelere dikkat çekiliyor.
ABD’de ise firmaların ürünlerinin satışının
gerçekleştirdiği eyalette fiziksel bir ofisi veya mağazası olmasa dahi çevrimiçi
satışlardan ilgili vergilerin alınmasına ilişkin düzenlemeler getirildiğine
değiniliyor.
Avrupa kıtasına geldiğimizde ise e-ticareti ilgilendiren en
önemli gelişme olarak, 2018 yılı ortasında Genel Veri Koruma Tüzüğü’nün
(General Data Protection Regulation – GDPR) yürürlüğü girmesi ortaya konuyor.
Söz konusu tüzüğün 3. maddesinde öngörüldüğü şekliyle, GDPR’nin AB üyesi ülkelerde
kurulu olan veya AB pazarına ürün veya hizmet sunan firmalara uygulanıyor olması,
e-ticareti doğrudan etkileyecek bir faktör olarak sunuluyor[5].
Türkiye için yapılan değerlendirmelerde e-ticaret
alanındaki düzenlemelere dair gelişmelerin başında 2016’da yasallaşan Kişisel
Verilerin Korunması Kanunu (KVKK) geliyor[6].
Raporda özel bir bölüm ayrılan KVKK düzenlemeleri için iki tespit dikkati çekiyor.
Bunlardan ilki KVKK’nın B2B e-ticaret paydaşları için nasıl uygulanacağına dair
bir kılavuzun gerekliliğine, ikincisi ise kişisel verilerin saklanması için
bulut bilişim kullanımına dair belirsizliğe işaret ediyor.
Raporda, Türkiye’deki düzenlemelere dair yer alan diğer
konulara baktığımızda ise iki konunun gözümüze çarptığını söyleyebiliriz.
Bunlardan ilki, internet ortamında verilen reklam hizmetlerinin gelir/kurumlar
vergisi stopajı kapsamına alınması. Diğeri ise yurt dışındaki e-ticaret
platformlarından yapılan satın alma işlemlerinde bedeli 22 Avroyu aşmayan ürünlere
tanınan vergi muafiyetinin yürürlükten kaldırılması.
Raporda değinilmeyen, fakat Türkiye’deki e-ticaret hacmi
üzerinde etkili olabilecek son dönemde gerçekleştirilen bir diğer değişikliği
de biz ekleyelim. Rekabet Kurulu, geçtiğimiz Nisan ayında Dikey Anlaşmalara
İlişkin Kılavuz’da bir revizyona gitmişti. Hatırlatmak gerekirse bu revizyonla,
marka sahiplerinin internet satışlarına getirdiği kısıtlamalar ve çeşitli
e-ticaret platformlar tarafından kullanılan “en çok kayrılan müşteri” (EKM)
şartları konusunda önemli tespitlerde bulunulmuştu[7].
Günümüz
regülasyon hukuku tartışmalarından belki de en popüleri Over-the-Top (OTT)
hizmetlerinin düzenlenmesi.
Peki
neden ülkeler OTT hizmetlerini regüle etmek konusunda bu denli istekli?
Türkiye’de
isteğe bağlı internet yayınlarının denetlenmesine ilişkin yeni düzenlemeler
bizi nereye götürüyor?
Şahin Ardıyok ile OTT’ye ilişkin güncel meseleleri kısaca özetlediğimiz “Network Industries Quarterly” dergisinde yayınlanan makalemizi okumak için tıklayınız.
Rüzgar enerjisi
santrali (“RES”) kurulu gücü yaklaşık 7,4 GW olan ülkemizde 2018 yılında
üretilen elektriğin yaklaşık yüzde 6.8’i rüzgar santrallerinden sağlandı.
Enerjide dışa bağımlılık ile karbon izinin azaltılmasında ve enerji arz
güvenliğinin sağlanmasında kritik önemi haiz rüzgar enerjisine ilişkin
yatırımlar hız kesmiyor. 2017 yılında yapılan RES’lere yönelik ilk YEKA
ihalesinden sonra 250 MWe kapasiteli Balıkesir, Çanakkale, Aydın, Muğla
bağlantı bölgeleri için YEKA-2 ihalesi de 30.05.2019 tarihinde yapıldı. Bir
milyar dolarlık yatırım anlamına gelen bahse konu RES’ler tamamlandığında yaklaşık
1 milyon 200 bin hanenin elektrik ihtiyacının karşılanması öngörülüyor. YEKA
RES-2 ihalesi kapsamında kurulacak tesislerin lisans süresinin 49 yıl olacağını
belirtmekte fayda var.
YEKA-2 kapsamında
yapılan Aydın Bağlantı Bölgesi ihalesini 4,56 dolar/cent’lik teklifiyle ve
Çanakkale bağlantı Bölgesi ihalesini 3,67 dolar/cent’lik teklifiyle Enerjisa Üretim
Santralleri A.Ş. kazandı. Diğer yandan, Muğla Bağlantı Bölgesi için yapılan
ihaleyi 4,00 dolar/cent’lik teklifiyle ve Balıkesir Bağlantı Bölgesi için
yapılan ihaleyi 3,53 dolar/cent’lik teklifiyle
Enercon Rüzgar Enerji Santrali Kurulum Hizmetleri Ltd.Şti., kazandı.
İlk YEKA için
yapılan açık eksiltmenin 3,48 dolar/centlik teklif ile kazanıldığını göz önüne
aldığımızda YEKA-2’deki fiyatlar görece yüksek olduğu belirtilebilir. Elbette ki, bunun temel sebebi yatırımların ölçeklerindeki
farklılık anımsanacağı üzere YEKA-1 ihalesi bin MWe için yapılmıştı.) ve döviz
kurunda yaşanan dalgalanmalar. Ancak, son dönemde yaşanan ekonomik gelişmelere
rağmen ülkemiz ekonomisine duyulan güvenin göstergesi olması nedeniyle bu
ihalenin çok önemli olduğunu söylemek mümkün. Keza, yerli ve milli enerji
söyleminin meyvelerinin yeşerdiği de aşikar. Yatırımların hız kesmemesi
temennisiyle: Rüzgarın bol olsun Türkiyem…
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde
uygulamayı yakından ilgilendiren kararlar yayınlandı. Bu yazımızda, Kurul’un,
kişisel verilerin güvenliğinin sağlanması ve korunması, Kurul kararlarına
uyulması ve aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili olan
kararlara ilişkin bilgilendirmemizi bulabilirsiniz.
I. Teknik Servis Hizmeti Veren
Veri Sorumlusunun Kurul Kararına Uymaması
Teknik servis
hizmeti veren veri sorumlusu firma hakkında kişisel verileri ihlal ettiği
gerekçesi ile Kurul’a gelen ihbar neticesinde, Kurul firmanın internet
sitesinde servise bırakılan cihazlar için kişilere verilen sorgu numaralarının
son iki hanesinin değiştirilerek başka cihaz sahiplerine ait cihaz kod
numaralarına ulaşılabildiğini ve bunu takip eden linklerde ise ilgili kişilere
ait kimlik bilgileri ile sahip oldukları cihazlara ilişkin kod numaralarına
erişilebildiğini tespit etmişti. Kurul bu tespiti üzerine, veri sorumlusu
tarafından söz konusu linklerin
kullanımının durdurulmasına ve kişisel
verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri almaması
sebebi ile veri sorumlusu firmanın 150.000 TL idari para cezası ödemesine
karar vermişti.[1]
Kurul’un bu kararının şirkete tebliğinden sonra, Kurul tarafından veri sorumlusu firmanın internet sitesinde yapılan sorgulamada, internet sitesi üzerinden yönlendirilen çeşitli linkler aracılığı ile halen teknik servis hizmeti alan ilgili kişilerin sahip oldukları cihazların kod numaralarına ulaşılabildiği, kargo gönderileri sorgulama linki aracılığı ile firma tarafından ilgili kişilere gönderilen kargoları teslim alan kişilerin ad ve soyad bilgilerine açık bir şekilde erişilebildiği tespit edilmiş olup; veri sorumlusu firmanın Kurul Kararı’na uymadığı tutanağa bağlandı. Bunun üzerine Kurul, Kurul kararına uymama sebebi ile veri sorumlusu firmaya 50.000 TL idari para cezası uygulanmasına ve söz konusu sorgulama sistemine erişimin tamamen engellenmesine karar verdi.[2]
Tüketici
şikayetleri ve Kurum’a intikal eden ihbarlar sonucunda Kurum bir marketi mercek
altına aldı. Şikayetlerde marketin bazı alışveriş/hizmet alımlarında indirim ve
puan biriktirme avantajı sağlayan sadakat kartlarının açık rızanın bir ürün
veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, ihbarlarda ise
marketin kart kullanımına ilişkin açık rıza alma esnasında “Veri İzni Alma
Uygulaması” adı altında 0,01 TL’lik bir hizmet bedeli alındığı iddia edildi.
Yapılan
incelemede, müşterilerin sadakat karta ilişkin açık rıza vermemeleri halinde
kendilerine hizmet sunulmaması gibi bir durumun ortaya çıkmadığı, dolayısıyla
hizmet veya ürün sunumunun açık rıza şartına bağlanmadığı anlaşıldı. Marketin
savunmasından müşterilere çeşitli kanallardan yapılan duyuruların hukuka uygun
olmayan şekilde elde edilen kişisel verilere meşruiyet kazandırılması için
değil, aksine önceden alınan rızalara ilişkin matbu formdaki bazı eksiklik veya
tahrifatların giderilmesi amacıyla alındığı anlaşıldığından konuya ilişkin bir
işlem tahsis edilmedi.
“Veri
İzni Alma Uygulaması” adı altında alınan hizmet bedelinin ise alışveriş
kasalarına kurulan bilgi teknolojileri sisteminden kaynaklanan ve sehven
yansıtılan bir bedel olduğu ve söz konusu bedelin müşteri kartlarına aynı
tutarda indirim olarak yüklendiği anlaşıldığından, bu hususta da herhangi bir
işlem yapılmamasına hükmedildi.
Bu
süreçte marketin Üyelik Rıza metni ile Aydınlatma Metni arasında tutarsızlıklar
tespit eden Kurul, bu tutarsızlıkların giderilmesine ve Aydınlatma metninin
kanunun temel ilkeleri ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde
Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hale
getirilmesine hükmetti. Bu kararın arkasında yatan sebebin, marketin gıda ve
ihtiyaç maddelerinin perakende olarak tüketiciye sunulması faaliyetinin
kapsamını ve amacını aşan nitelikteki özel nitelikli kişisel verileri toplaması
ve işlemesi olduğu anlaşıldı.
III. Siz siz olun başvurulara zamanında cevap
verin![4]
İlgili
kişinin hakları kapsamındaki taleplerini veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye
(“Banka”) bildirmesi ile başlayan süreç, Kurum’un önüne geldi. Kuruma
yapılan şikayet başvurusunda Banka’nın kanuni yükümlülüğü olan 30 günlük sürede
ilgili kişinin başvurusuna yanıt vermediği anlaşıldı.
Kurum’un
konuya ilişkin açıklama talebini içeren yazısı Banka’ya teslim edilmekle
beraber, Banka’dan herhangi bir dönüş yapılmamasını takiben Kurum, Kanun’un
18/3. maddesi çerçevesinde sorumlular ile gerekli tedbirleri almak ve
denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem
yapılmasına karar verdi.
İlgili
kişi başvurusuna ilişkin ise Banka tarafından cevap verilmesine ve Banka’nın
kanuni yükümlülüklerine uyum konusunda azami dikkat ve özen göstermesi
konusunda talimat verilmesi kararlaştırıldı. Son olarak Banka’nın internet sitesinde yer
alan Aydınlatma Metni’ne ilişkin görüşlerini bildiren Kurul, ilgili metinde
işlenen verilerin hangi hukuki sebebe dayandırıldığı belirtilmediği ve veri
işleme amaçları ifadesinin belirsizlik yarattığı gerekçesiyle metnin gözden
geçirilmesine ve Tebliğ’e uygun hale getirilmesine hükmetti.
IV. Kurul’a Yapılan Şikayet
İlgili kişi, bir
şahsın kendisi ve ailesine ait kişisel verilere hukuk dışı yollar ile erişerek
bu verileri ilgili kişinin rızası olmaksızın üçüncü kişiler ve İcra
Müdürlükleri ile paylaştığı iddiası ile Kurul’a şikayette bulundu.
Kurul tarafından
yapılan inceleme neticesinde, şikayet edilen şahsın kısmen veya tamamen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla gerçekleştirdiği bir veri işleme faaliyetinin
olmadığı, dolayısıyla kendisinin veri
sorumlusu olarak değerlendirilemeyeceği belirtildi.
Ek olarak, Kurul, şikayet edilenin eylemlerinin Türk Ceza
Kanunu kapsamında suç niteliği taşıyabileceğini belirtmiş ve konunun ceza
yargılaması konusu olabileceğini açıkladı. Bu nedenlerle, ilgili kişinin
iddiası bakımından Kurul tarafından yapılabilecek bir işlem olmadığına karar
verildi.[5]
Sonuç
Kurum
kararlarınında veri sorumluları için önemli mesajlar içerdiği kanaatindeyiz. Bu
kapsamda Kurul kararlarının yerine getirilmesinin önemi ve
gerekliliğini ve Kurul’a yapılan şikayetlerde
ortaya konan iddiaların ispat yükünün başvurucuda olduğunu hatırlatır,
başkalarına ait kişisel verilerin ilgili kişilerin rızası olmadan elde
edilmesinin Türk Ceza Kanunu kapsamında suç teşkil edeceğini dikkatinize
sunarız. Ayrıca kararlardan Kurul’un veri sorumlularının aydınlatma metinlerini
mercek altına aldığı anlaşılmakla, aydınlatma metinlerinizi Kanun’un temel
ilkeleri ve Tebliğ kapsamında yeniden gözden geçirmenizin faydalı olabileceğini
belirtmek isteriz.
[1]
Kurul’un 14/02/2019 Tarihli ve 2019/23 Sayılı
Kararı
[2]
Kurul’un 05/03/2019 Tarihli ve 2019/52 Sayılı
Kararı
[3]
Kurul’un 25.03.2019 Tarihli ve 2019/82 Sayılı
Kararı
[4]
Kurul’un 02.05.2019 Tarihli ve 2019/122 Sayılı
Kararı
[5]
Kurul’un 01/03/2019 Tarihli ve 2019/47 Sayılı
Kararı
2019 yılının enerji ve özellikle elektrik piyasaları için oldukça hareketli
başladığı, geçtiğimiz hafta sonu Resmi Gazete’de peş peşe yayınlanan
değişikliklerle bir kez daha kanıtlandı. Sektör oyuncuları henüz
Cumhurbaşkanlığı Kararı ile gelen değişikliklere adapte olmaya çalışırken bir
de Elektrik Piyasasında Lisanssız Elektrik Üretim Yönetmeliği (“Yönetmelik”) yayınlandı. Biz de
Cuma’dan Pazar’a elektrik sektöründe yaşanan gelişmeleri sizler için kaleme
aldık.
Cumhurbaşkanlığı
Kararnamesi Neler Getirdi?
Mayıs ayında elektrik piyasasındaki ilk değişim rüzgarı 10 Mayıs tarihli Resmi Gazete’de yayınlanan Cumhurbaşkanlığı Kararnamesi ile esti. Yenilenebilir enerji kaynaklarına dayalı üretim faaliyeti gösteren tesisler için uygulanacak fiyat ve süreler ile yerli katkı ilavesine ilişkin karara eklenen madde ile Yenilenebilir Enerji Kaynakları Destekleme Mekanizması (“YEKDEM”) tarifeleri düzenlendi. Getirilen değişiklik ile kendi ihtiyacı için elektrik üreten kişilerin ürettiği ihtiyaç fazlası elektrik enerjisinin alımına uygulanacak tarife belirlendi. Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından ilan edilen ve tesis için gösterilen perakende abone grubuna ait tek zamanlı aktif enerji bedeli, tesisin işletmeye giriş tarihinden itibaren 10 yıl boyunca uygulanacak.
Kararname ile getirilen ikinci ek madde ise Elektrik Piyasası Kanunu
kapsamında lisanssız faaliyet yapabilecek yenilenebilir enerji kaynaklarına
dayalı üretim tesislerinin kurulu güç sınırlamasını esnetti. Eskiden azami 1
megavatlık kurulu güce sahip olabilen üretim tesisleri için yeni üst sınır 5
megavat olarak belirlendi. Bu maddeyi uzun zamandır beklenen mahsuplaşma
sistemi için bir yeşil ışık olarak görenler ise, pazar günü yapılan
değişiklikle haklı çıktı.
Yeni yönetmelikle neler
değişti?
EPDK Başkanı Mustafa Yılmaz’ın Nisan ayında yaptığı açıklamalarla da sinyallerini
verdiği yeni Yönetmelik ile birlikte yeni lisanssız elektrik üretimi sistemi 12
Mayıs 2019 tarihli ve 30772 sayılı Resmi Gazete ile yürürlüğe girdi ve Elektrik
Piyasasında Lisanssız Elektrik Üretimine İlişkin Yönetmeliği ilga etti.
Elektrik piyasasında tüketicilerin elektrik ihtiyaçlarını tüketim noktasına en
yakın kendi üretim tesisinden karşılaması, arz güvenliğinin sağlanmasında küçük
ölçekli üretim tesislerinin ülke ekonomisine kazandırılması ve küçük ölçekli
üretim kaynaklarının etkin kullanımının sağlanması ile elektrik şebekesinde
meydana gelen kayıp miktarlarının düşürülmesini amaçlayan yönetmelik ile lisans
alma ve şirket kurma yükümlülüğü olmaksızın elektrik enerjisi üretebilecek
gerçek veya tüzel kişilere uygulanacak usul ve esaslar belirlendi.
Aylık mahsuplaşma sistemi gelen yönetmelik ile resmileşmiş oldu. Peki
mahsuplaşma neyi değiştirdi? Mahsuplaşma ile serbest tüketici olup olmama
ayrımına gidilmeksizin herkesin hafta içi veya gece tükettiği elektriği, gündüz
veya hafta sonu ürettiği elektrikten karşılama imkanı olacak. Konu ile ilgili
açıklamasında Başkan Yılmaz da “Güneşimiz
her hane için, her ticarethane için, her sanayici için bir enerji kaynağı olsun
istiyoruz. Yeni düzenleme ile her tüketicinin kendi enerjisini üretebilmesinin
de yolunu açıyoruz. Güneş çatılarda yükselmeye devam ettikçe hem tüketici
kazanacak hem de ülkemiz.”[1]
diyerek yeni düzenlemeden beklentilerini dile getirmişti.
Konu ile ilgili Uluslararası Güneş Enerjisi Topluluğu – Türkiye Bölümü (“GÜNDER”) de bir açıklama yaptı[2].
GÜNDER Başkanı Kutay Kaleli’nin imzasını taşıyan açıklamada mahsuplaşmada
sürenin aylık olarak belirlenmesinin faydasına dikkat çekildi. Sürenin aylık
olarak belirlenmesi, vatandaşlar ve işletmelerin şirket kurma veya lisans alma
zorunluluğu olmaksızın daha fazla elektrik üretebilmelerine imkan tanıyor.
Unutulmaması gereken bir nokta şu ki, yönetmeliğin amacı tüketiciye en
fazla enerjiyi üretmeye yönlendirmek değil, kendi tüketimini karşılayacak ve
aynı zamanda en hesaplı olacak tesisi kurdurmak. Bu sebeple, sürecin etkinleşmesi
adına yeni düzenlemede birçok adım atıldığı görülüyor. Bunlardan ilki lisanssız
elektrik üretimine ilişkin tüm tebliğ ve yönetmeliklerin tek bir mevzuat
altında yürütülmesi iken, başvuru süreçlerinde bürokratik adımların
azaltılması, başvurunun kurumlarda geçirdiği sürenin azaltılması ve tüketim
tesisinin bağlantı anlaşmasındaki sözleşme gücünün tüketicinin tüketimini en az
maliyetle karşılayacağı şekilde düzenlenmesi de başkaca örnekler olarak
karşımıza çıkıyor.
Arazi tipi GES projeleri
tarihe mi karışıyor?
Uygulama bir yandan beklentileri karşılarken, diğer yandan bazı soru
işaretlerini de beraberinde getiriyor. Bunlardan ilki ise güneş enerjisi
santralleri (“GES”) özelinde
karşımıza çıkıyor. Yeni yönetmeliğin 11. maddesinin 3. fıkrası, kurulacak
üretim tesisinin güneş enerjisine dayalı çalışacak olması halinde, bunun ancak
çatı veya cephe uygulaması olarak gerçekleştirilebileceğini düzenliyor.[3]
Söz konusu hükme ilişkin farklı görüşler ise şimdiden tartışılmaya başlandı.[4]
Her ne kadar hemen bir sonraki fıkrada tarım arazilerinin bir kısmında
tarımsal sulama yapmak amacıyla bir üretim tesisi kurulabileceğine ilişkin
istisnaya yer verilse de[5],
söz konusu üretim tesislerinin de kurulu güçleri bakımından bağlantı
anlaşmalarındaki sözleşme gücü ile sınırlı tutulduğu görülüyor.
Bu haliyle yeni yönetmeliğin arazi tipi GES projelerini tamamen rafa
kaldırdığını söylemek mümkün gözükmese de, uygulama alanının oldukça daraldığı
bir gerçek olarak karşımıza çıkıyor.
Hangi yönetmeliğe tabi
olacaksınız?
Başvurusunun farklı aşamasında olan üretim tesisleri için akıllara
gelebilecek bir soru da tesisin hangi düzenleme kapsamında işletileceği
olabilir. Özellikle başvuru süreci yeni Yönetmelik’ten önce başlayan tesisler
için, tesisin yeni Yönetmelik kapsamında mı yoksa mülga Elektrik Piyasasında
Lisanssız Elektrik Üretimine İlişkin Yönetmeliği kapsamında mı olacağı hususu
önem arz ediyor. Yayınlanan yeni yönetmeliğin geçici maddeleri başvuru
sahiplerine bu konuda ışık tutuyor.
Geçici Madde 1 uyarınca çatı ve cephe uygulamalı elektrik üretim
tesislerine aylık mahsuplaşmadan yararlanma imkanı getiriliyor. Ürettiği
enerjinin tamamını iletim veya dağıtım sistemine vermeden kullanan, üretimi ve
tüketimi aynı ölçüm noktasında olan GES projeleri ile 21 Haziran 2018
tarihinden sonra bağlantı anlaşmasına çağrı mektubu düzenlenen ve 10 kilovata
kadar projelendirilmiş çatı tipi GES projeleri, Yönetmeliğin yürürlük tarihini
takip eden 60 gün içerisinde başvuruda bulunulması halinde Yönetmelik kapsamına
girecek ve aylık mahsuplaşmadan yararlanabilecek.
Henüz çağrı mektubu düzenlenmemiş ancak bağlantı anlaşmasına çağrı mektubu
almaya hak kazananların yardımına ise Geçici Madde 2 koşuyor. Bu madde uyarınca,
yürürlükten kalkan yönetmelik kapsamında çağrı mektubu almaya hak kazanan, alan
veya bağlantı anlaşması imzalayan kişilerin bundan sonraki aşamalardaki
işlemleri de yeni Yönetmelik kapsamında devam ettirilecek.
Sonuç
Elektrik piyasasındaki değişim rüzgarları bir süre daha esmeye devam edecek
gibi gözüküyor. Lisanssız elektrik üretimi kurulu güç sınırlamasının
esnetilmesi ve mahsuplaşmaya ilişkin gelişmeler, Türkiye’de yenilenebilir
enerji kaynakları ile dağınık üretim sisteminin güçleneceği sinyallerini
veriyor. Merkezi enerji santrallerini odağına koyan klasik anlayıştan uzaklaşan
ve küçük ölçekli ama son tüketiciye daha yakın santrallerde üretime geçen yeni
sistemden piyasanın beklentisi büyük. Enerji ihtiyacını yerinde, daha etkin ve
daha verimli bir şekle büründürmesi amaçlanan yeni düzenlemenin uygulamanın
ihtiyaçlarına cevap verip veremeyeceğini ise zaman gösterecek.
[3] (3) Bu Yönetmelik
kapsamında faaliyet göstermek isteyen kişiler, bağlantı anlaşmasındaki sözleşme
gücünü ve 5 inci maddenin birinci fıkrasının (c) bendi uyarınca belirlenecek
kurulu gücü geçmeyecek şekilde tüketim tesisi ile aynı ölçüm noktasında,
dağıtım tesisi niteliğinde tesis teçhiz etmeden, yenilenebilir enerji
kaynaklarına dayalı üretim tesisi kurabilir. Güneş enerjisine dayalı üretim
tesisleri ancak çatı ve cephe uygulaması olarak gerçekleştirilebilir.
[5] (4) İlgili diğer mevzuat hükümlerine uygun olması halinde, tarım
arazilerinin bir kısmında tarımsal sulama amacıyla bu Yönetmelik kapsamında
üretim tesisi kurulabilir. Ancak ilgili üretim tesisinin kurulu gücü söz konusu
sulama tesisinin bağlantı anlaşmasındaki sözleşme gücünden fazla olamaz.
Regülasyon ekosisteminin önemli unsurlarından olan
kişisel verilerin korunması, 6698 sayılı Kanun’un yürürlüğe girmesi ile
ülkemizdeki uygulama hayatına da hızlı bir giriş yaptı. Gelişen teknolojiler
karşısında dijitalleşen dünyanın en değerli varlığı olan “kişisel veriler”; bir
taraftan müşteri davranışları ve kullanıcı tercihlerini gözlemleyerek
kişiselleştirilmiş hizmetlerin önünü açarken bir taraftan da veri sahiplerinin
mahremiyetlerini hacir altına alıyor. İnovsyon destekli yaratıcı yıkım
süreçlerinin karşı karşıya getirdiği bu menfaatler arasındaki dengeye hukuk
zerk etmek ise yine yasamaya ve düzenleyici otoritelere düşüyor.
Bu kapsamda, veri koruma kurallarına uluslar üstü bir
standart kazandırmayı amaçlayan General Data Protection Regulation (“GDPR”), 2016 yılından itibaren mehaz
Avrupa uygulamalarını düzenliyor. Ülkemiz veri koruma mevzuatına da doğrudan
şekil vermiş olan GDPR’ın Avrupa’daki uygulama trendleri ise veri koruma
alanındaki karar insicamını yeni yeni oluşturan tüm ülkeler tarafından yakından
takip ediliyor ve referans alınıyor.
İşte bu bağlamda, GDPR temelli bir veri koruma
uygulamasına sahip olan Birleşik Krallık cephesinde biyometrik verilerin
işlenmesine kılavuzluk edecek bir gelişme yaşandı. Avrupa veri koruma içtihadı
üzerinde önemli etkisi olan Birleşik Krallık Veri Koruma Otoritesi[1] (“ICO”), İngiltere Gelir ve Gümrük İdaresi’nin[2] (“HMRC”) telefon destek hattını arayan
kullanıcıların ses kaydı verilerinin işlenerek otomatik bir ses tanıma (Voice ID) sistemi kurulmasını incelemiş
ve açık rıza alınmadan işlenen yaklaşık beş milyon kullanıcının verisinin
silinmesi yönünde karar vermiştir.
Bildiğiniz üzere, kişisel verilerin işitsel bir izdüşümü
olan ses kayıtları, gerek ülkemizde gerekse Avrupa veri koruma otoritelerince
biyometrik veriler kategorisinde değerlendiriliyor ve özel verilerin işlenmesi
rejimine tabi tutuluyor. Bu kapsamda, veri
koruma ağının işleyişine yön veren İngiltere’deki güncel uygulama
trendleri ile bunların ülkemizdeki yansımalarına dair değerlendirmeler de önem
kazanıyor.
İnceleme konusu uygulama
HMRC, 2017 yılında telefon destek hattının ara yüzü
içerisine yeni bir otomasyon sistemi ekledi. Kullanıcıların, uzun güvenlik
prosedürlerini tamamlayarak kimliklerini teyit etmek için vakit kaybetmelerine
engel olmak isteyen bu sistem, kullanıcıların ses kayıtlarını alarak bir
sonraki aramalarında onları seslerinden tanımlamak üzere işletiliyor.
Kullanıcıların bir HMRC danışmanı ile konuşmaya başlamalarına kadar geçen
süreyi önemli ölçüde kısalttığı değerlendirilen sistemin, tüm bu etkinlik
kazanımlarını sağlayabilmesi için ise öncelikle veri koruma kuralları ile tam
uyumluluğu sağlaması gerekiyor.
İşte HMRC’nin sisteminin karşılaştığı problem de tam
burada ortaya çıkıyor. İleri teknolojik imkanlar karşısında bireylerin
mahremiyetlerini ve medeni özgürlüklerini korumayı hedefleyen bir sivil haklar
organizasyonu olan Big Brother Watch[3]
tarafından hazırlanan bir şikayet üzerine başlatılan inceleme sonucunda, vergi
otoritesinin bahse konu sisteminin GDPR ile uyumlu olmadığı anlaşılıyor.
Gerçekten de, kar amacı gütmeyen bir organizasyon olarak özellikle devlet
destekli mahremiyet ihlallerini engellemek amacıyla kampanyalar yürüten ve kamu
davalarına katılan Big Brother Watch; Haziran 2018’de şikâyet konusu eylemlerin
detaylarını açıklamış[4] ve
kullanıcılara verilerini ses tanıma sistemine aktarmak dışında bir seçenek
sunulmadığını belirterek sistemin kullanıcıların rızası hilafına uygulamaya koyulduğunu
iddia etmişti.
Birleşik Krallık Veri Koruma Otoritesi’nin kararı
Big Brother Watch şikâyeti üzerine konuyu inceleme altına alan ICO ise HMRC
tarafından kurulan sistemin bir biyometrik veri türü olan ses kayıtlarının
işlenmesi üzerine inşa edildiğini değerlendirerek bu tür verilerin özel
nitelikli veriler grubuna dâhil olduğunu ve işlemeler için kullanıcılardan açık
rıza alınması gerektiğini belirtiyor. İnceleme konusu uygulamayı da bu
perspektiften değerlendiren İngiliz veri koruma otoritesi, kullanıcılardan ses
tanıma sistemine dâhil edilmeleri aşamasında tatminkâr bir “açık rıza”
alınmadığını ve kullanıcılara sistemden çıkabilme opsiyonunun (opt-out) izah edilmediğini
değerlendiriyor[5].
Özel nitelikli biyometrik verilerin, kullanıcıların açık rızası olmaksızın
işlenmesinin veri koruma kurallarına aykırı olduğuna kanaat getiren ICO, bu
sebeple HMRC tarafından mevzuata aykırı şekilde toplanarak işlenen tüm
verilerin silinmesine karar veriyor[6].
Veri koruma otoritesinin kararına saygı duyduğunu
belirten HMRC ise bir yandan mevzuata aykırı şekilde sistemine dâhil ettiği
yaklaşık beş milyon kullanıcının verisini imha ederken bir yandan da ses tanıma
sisteminin devamlılığını sağlamak adına kullanıcılardan rıza alma sürecini
yeniden gözden geçiriyor. GDPR döneminde biyometrik
verilere ilişkin ilk defa böyle bir yaptırım uygulanmasını öngören karar,
biyometrik verilerin, ileri bir koruma gerektiren özel nitelikli verilerden
olduğunu sarih biçimde tanımlayan ilk karar olması ile de dikkat çekiyor[7].
Veri koruma uygulamasının en kapsamlı “veri imha etme”
vakıasını ortaya çıkartan ICO kararı, gerek biyometrik verilerin işlenmesi
konusundaki hassas sinir uçlarına işaret etmek açısından gerekse veri koruma
kurallarının vergi idaresi gibi önde gelen kamu kuruluşlarına da tavizsiz
uygulanacak olduğunu göstermesi açısından ülkemiz uygulamasına da yol
gösterecek önemli iç görüler içeriyor. Bu itibarla, bankalar, GSM operatörleri
ve hastaneler başta olmak üzere telefon destek hatlarını yaygın kullanan
teşebbüsler açısından ICO’nun kararından ders çıkartılabilecek noktaların daha
iyi anlaşılması adına, ses kaydı kullanımlarının biyometrik veri vasfını
incelememiz de faydalı olacaktır.
Ses kaydının
biyometrik veri olup olmadığını nasıl anlarım
Ses tanıma sistemleri, bireyin kendisine has ses
şablonunu ve konuşma ritmini analiz ederek parmak izi benzeri bir biyometrik
tanıma ve kimlik tespit etme işlevi taşıyor. Sisteme işlenen bir ses kaydının
vokal karakterini çözümlemek için yüzlerce farklı davranışsal faktörü inceleyen
ses tanıma sistemleri, konuşan kişinin ağız yapısı, konuşma hızı ve vurgu
şemalarını da bu değerlendirmeye dâhil ediyor.
Sesleri ve ritimleri sayısal bir şablon üzerine oturtan
bu sistemler, her birey için farklı bir işitsel kimlik oluşturup kişinin hasta
olduğu veya sesinin değiştiği durumlarda dahi tanımlama yapabilecek şekilde
dizayn ediliyor.
Öte yandan belirtmek gerekir ki, “biyometrik ses tanıma
sistemleri” ile “otomatik ses algılama sistemlerini” birbirleri ile
karıştırmamak gerekiyor. Biyometrik ses tanıma sistemlerinin aksine, otomatik
ses algılama sistemleri yalnızca sisteme yöneltilen kelimeleri algılayarak bu
kelimeler üzerinden talimatlar alıp yönlendirmeler veriyor fakat kullanıcının
kimliğini tanımlamak üzere herhangi bir işlem gerçekleştirmiyor. Veri koruma
sorumluluklarının belirlenmesinde önem arz eden bu farklılık kapsamında; ses
verisini kişileri tanımlamak için kullanan biyometrik sistemler için
kullanıcının açık rızası gerekirken herhangi bir tanımlama işlemi içermeyen sesli
komut sistemleri açısından bu yükümlülük gündeme gelmiyor.
Karara ilişkin tepkiler
“İnovatif dijital hizmetlerin
hayatlarımızı kolaylaştırdığını” belirten ICO Yardımcı Komiseri Steeve
Woods, konuya ilişkin hazırladığı değerlendirme yazısında “bu gelişmelerin bedelinin bireylerin temel mahremiyet haklarının ihlali
olmaması gerektiğini” belirtiyor[8].
ICO Komiseri Elizabeth Denham ise HMRC’nin “ses tanıma
sistemini uygularken veri koruma prensipleri hakkında
hiç denecek kadar az değerlendirme yaptığını”
belirterek “bilgilerin toplanması
esnasında kullanıcılarla kurum arasında belirgin bir güç dengesizliği olduğunu”
ekliyor “kullanıcıların sisteme girmeyi
nasıl reddedeceklerinin veya reddetmeleri halinde herhangi bir olumsuzluk yaşamayacaklarının
açıklanmadığına” da vurgu yapıyor[9]. Konunun veri koruma ve hesap verebilirlik açısından
önemli olduğunu da belirten ICO Komiseri, “HMRC
nezdinde bir denetim gerçekleştirerek karara uyulup uyulmadığını takip
edebileceklerine” de dikkat çekiyor[10].
Şikâyeti gerçekleştirerek inceleme sürecini
tetikleyen Big Brother Watch organizasyonunun Direktörü Silkie Carlo ise konuya
ilişkin yaptığı açıklamada “kararın biyometrik verilerin
toplanmasına ilişkin emsal niteliğinde olduğunu” değerlendiriyor[11].
HMRC İcra Kurulu Başkanı Sir Jon Thompson ise konuya ilişkin yazdığı mektup ile
bahse konu verileri silmeye başladıklarını belirterek “ses tanıma sisteminin kullanıcılar arasında popüler olduğunu ve
kullanıcı verilerinin de daha etkin korunmasını sağladığını” ve yürürlükte
kalmasından memnun olduklarını belirtiyor[12].
Sonuç
ICO’nun kararı biyometrik verilerin işlenmesi alanında
birtakım ilklere sahne oluyor. Birleşik Krallık’taki en kapsamlı veri imhasına
karar veren veri koruma otoritesi, bu kararı ile GDPR temelli uygulamalarında
ilk defa “ses kayıtlarını” ve dolayısıyla da “biyometrik verileri” daha ileri
bir koruma rejimine tabi özel nitelikli verilerin içerisinde değerlendiren bir
içtihat oluşturuyor. Bu kapsamda belirtmek gerekir ki, ülkemiz veri koruma
mevzuatı kapsamında da özel nitelikli veri olarak değerlendirilen biyometrik
verilerin işlenmesi için kullanıcıların açık rızalarının alınması gerekiyor.
Açık rızanın yokluğunda toplanan verilerin; veriyi
toplayan kurumun bir kamu kurumu olmasına veya toplanan verilerin hacminin ne
kadar büyük olduğuna bakılmaksızın silinmesine karar verilebileceğini ve bu
durumun takip eden denetim ve yerinde incelemeler ile temin edilebileceğini
gözler önüne seren karar, bu tür verilerin işlenmesi ile iştigal eden şirketler
açısından da bir uyarı niteliği taşıyor. Açık rızanın nasıl algılanması ve
neleri ihtiva etmesi gerektiği konusunda da ipuçları veren ICO kararı; rızası
aranan kullanıcılara, bahse konu sistemden çıkma hakları (opt-put) olduğunun ve bu hakkı icra etmeleri durumunda kendilerine
sağlanan hizmetlerin olumsuz etkilenmeyeceğinin açıkça ve pro-aktif olarak
belirtilmesi gerektiğini öğütlerken sisteme dâhil olmanın mecburi olduğu
yönünde bir izlenim uyandırmaktan da kaçınılması gerektiğini gösteriyor.
Türk veri koruma rejimi tarafından da yakından takip
edilen GDPR uygulamaları hakkında faydalı iç görüler sağlayan bu içtihat;
özellikle bankalar, GSM operatörleri, internet servis sağlayıcıları ve
hastaneler gibi kapsamlı telefon destek hizmetleri sunan ve ses kaydı verileri
ile muhatap olan teşebbüsler açısından önem arz ediyor.
Bu itibarla belirtmek gerekir ki, ses kaydı veya parmak
izi gibi biyometrik verilerin kişileri tanımlamak için kullanılmasını içeren
uygulamaları hayata geçirecek kurumların, öncelikle kullanıcılara yüksek
standartta bilgi veren ve seçeneklerini tanımlayan bir açık rıza prosedürü
hazırlamaları gerekiyor. Aynı kapsamda, bu tür bir açık rıza almadan bahse konu
verileri işlemeye başlamış olan kuruluşların ise bu verileri imha etmeleri veya
kullanıcılardan açıklanan şekilde bir açık rıza almaları önem kazanıyor. Benzer
bir durumda, Kişisel Verileri Koruma Kurumu tarafından nasıl bir aksiyon
alınacağı konusu henüz keşfedilmeyi beklerken İngiliz veri koruma otoritesinin
GDPR uygulamalarının, büyük ölçüde yol gösterici olabileceği değerlendiriyoruz.
