İçindekiler
E-ticaret siteleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu‘ndan kaynaklanan birtakım yükümlülüklere sahiptir.
E-Ticaret Nedir?
Elektronik ticaret, teknolojinin gelişmesiyle birlikte ortaya çıkmış ve son yıllarda küresel açıdan etkisini hızlandırmıştır. Amacı müşterilere mal ve hizmet sunmak olan e-ticaret şirketleri internet siteleri ve mobil uygulamalar üzerinden kullanıcılarına ulaşmaktadır. Ancak e-ticaret sitelerinin faaliyetlerine başlamadan önce birtakım aşamaları geçmesi gerekmektedir. Bu aşamalardan birincisi sektör ve satılacak ürünün belirlenmesidir. Sektör ve satılacak ürünün belirlenmesinden sonra hedef kitle belirlenmeli ve ürün veya hizmeti sunan bir tedarikçi ile anlaşılmalıdır. İnternet sitesi veya uygulamada kullanılacak ödeme yöntemlerinin ne olacağı da önem arz eden bir başka konudur. Kullanılacak ödeme yöntemlerine göre ilgili kurum ve kuruluşlarla yapılacak anlaşmalar da çeşitlenecektir.
Ödeme yöntemi ile ilgili anlaşmalar akdedildikten sonra e-ticaret sitesi için alan adı belirlenmesi gerekmektedir. Teknik konuların yanı sıra mal veya hizmet sunulacak e-ticaret sitesinin müşteri için satış odaklı tasarlanması ve marka stratejisi de oluşturulması gerekmektedir. Tüm süreçler yürütüldükten sonra faaliyete başlamadan önce tamamlanması gereken bir diğer önem arz eden süreçte e-ticaret şirketinin kişisel verilerin korunması mevzuatına uyum açısından sitesinde veya uygulamasında yer vermesi gereken metinlerin oluşturulmasıdır.
E-Ticaret Siteleri Hangi Kişisel Verileri İşler?
E-ticaret siteleri müşteri ve müşteri adaylarından farklı kategorilerde kişisel veriler toplayacaktır. Potansiyel hizmet alıcısı olan müşteri adaylarından internet sitesine üyelik veya elektronik ticari ileti izni alınması konusunda kimlik ve iletişim verileri işlenebilecektir. Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberlerde kimlik veri kategorisine ad-soyad, anne-baba adı, T.C. Kimlik numarası, anne kızlık soyadı, doğum tarihi ve yeri, medeni hal, nüfus cüzdanı/kimlik kartı üzerinde yer alan diğer veriler örnek gösterilebilecektir. Adres bilgileri, e-posta adresi, iletişim adresi, kayıtlı elektronik e-posta adresi (KEP), telefon numarası ise iletişim verileri arasında sayılmaktadır.
Yukarıda gösterilen süreçlerin yanı sıra kimlik ve iletişim kişisel veri kategorisine ek olarak e-ticaret siteleri kullanıcılarından sipariş almaları halinde aldıkları sipariş kapsamında pazarlama kişisel veri kategorisinde yer alan alışveriş geçmişi bilgileri, anket, çerez kayıtları gibi kişisel verileri ve işlem güvenliği kişisel veri kategorisinde yer alan IP adresi bilgileri, internet sitesi giriş-çıkış bilgileri, şifre ve parola bilgileri gibi kişisel verileri işleyebilecektir.
E-ticaret şirketlerinin ürün/hizmet alıcısı müşteriler veya potansiyel ürün/hizmet alıcısı müşteri adayları ile hukuki uyuşmazlık yaşanması halinde işleyecekleri bir diğer kişisel veri kategorisi hukuki işlem kişisel veri kategorisi olacaktır. Bu kapsamda adli makamlarla yazışmalar içerisinde yer alan kişisel verilerin yanı sıra dava dosyasında yer alan kişisel veriler de işlenecektir. Hukuki işlem kişisel veri kategorisinin işlendiği bir süreçte ilgili kişinin özel nitelikli kişisel verilerinin de işlenmesi mümkün olabilecektir.
E-ticaret siteleri yukarıda gösterilen satış ve satış öncesi süreçlerde işlenecek kişisel verilerin yanı sıra organizasyon kapsamında başkaca süreçler dahilinde kişisel veriler de işleyebilecektir. (işe giriş işlemlerinin gerçekleştirilmesi, lojistik faaliyetlerinin yürütülmesi, denetim süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi vb.)
E-Ticaret Sitelerinin KVKK Yükümlülükleri
E-ticaret sitelerinin kişisel verilerin korunması mevzuatı açısından birçok yükümlülüğü bulunmaktadır. Bu yükümlülükler; ilgili kişiye aydınlatmanın yapılması, ilgili kişiden açık rıza alınması, veri güvenliğinin sağlanması, gizlilik ve çerez politikası hazırlanması şeklinde sıralanmaktadır.
Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 10. maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) içerisinde açıklanmıştır. Kanun’un 10. maddesi uyarınca veri sorumlusu veya yetkilendirdiği kişiler;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanun’un 11’inci maddesinde sayılan hakları,
Hakkında ilgili kişiyi bilgilendirmekle yükümlü kılınmıştır.
Tebliğ uyarınca aydınlatma yükümlülüğü veri sorumlusu veya yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılması suretiyle gerçekleştirilebilecektir. Aydınlatma yükümlülüğünün veri işlendiği her durumda yerine getirilmesi gerekmektedir. Kişisel veri işleme amacı değiştiğinde değişen yeni amaca bağlı olarak aydınlatma yükümlülüğü gerçekleştirilecektir. Aydınlatmanın yapıldığının ispatı veri sorumlusuna ait olacaktır.
Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın elde edilmesi işlemi ilgili kişiye ayrı ayrı gerçekleştirilmelidir.
Bir diğer önemli husus ise aydınlatmanın içeriğidir. İlgili kişiye sunulacak aydınlatma metni açık ve sade bir dille kaleme alınmalıdır. Metin içerisinde anlaşılmaz, genel ve muğlak ifadelere yer verilmemelidir. Metin içerisinde ayrıca Kanun’dan doğan kişisel verilerin işlenme şartları varsa (KVKK 5 ve 6. maddeler) bu şartlar açıkça belirtilmelidir. Metne ayrıca kişisel verilerin elde edilme yöntemi ile kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları da eklemelidir.
Veri sorumlusu e-ticaret sitelerini veya uygulamalarını kullanan kullanıcılara aydınlatma metninin okunduğuna ve kullanıcının aydınlatıldığına dair “Okudum, onaylıyorum.” şeklinde bir onay kutucuğu da sunmalıdır.
Açık Rıza Alma Yükümlülüğü
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5 ve 6. maddelerinde kişisel verilerin ve özel nitelikli kişisel verilerin kural olarak açık rıza alınmaksızın işlenemeyeceği belirtilmiştir. Ancak Kanun’da belirtilen kişisel veri işleme şartlarının olması dahilinde kişisel veriler açık rıza alınmaksızın işlenebilecektir. Kişisel veri işleme şartlarının yokluğu halinde veri sorumlusu açık rıza alması kaçınılmaz olacaktır. Veri sorumlusu şirket bu kapsamda belirli bir konuya ilişkin, bilgilendirmeye dayalı ve ilgili kişinin özgür iradesini sarsmayacak açık rıza metinleri oluşturmalıdır.
Veri sorumlularının açık rıza alma yükümlülüğü konusunda dikkat etmesi gereken önemli ayrıntılardan biri de battaniye rızalardır. Belirli bir konunun aksine her türlü iş ve işlem için rıza verilmesini belirten açık rıza metinleri Kurul’un yerleşmiş görüşü uyarınca geçersizdir.
Gizlilik ve Çerez Politikası Oluşturma Yükümlülüğü
E-ticaret sitelerinin gerçekleştirmesi gereken bir başka yükümlülük ise gizlilik ve çerez politikası oluşturmaktadır. İnternet sitelerinde ve mobil uygulamalarında kullanıcıların kişisel verilerini işleyen veri sorumlusu şirketler kullanıcılara yönelik olarak hangi kişisel verilerinin hangi hukuki sebeplerle işlendiğini, kişisel verilerin işlenme amaçlarını, aktarım varsa kişisel verilerin aktarıldığı tarafları gizlilik politikasında belirtmelidir.
Çerezler aracılığıyla kişisel verilerini işleyen veri sorumlusu şirketler ise internet sitesi ve mobil uygulama kullanıcılarına özel olarak hangi kişisel verilerinin hangi çerezler aracılığıyla toplandığı ve ne süreyle saklandığı hakkında ilgili kişiyi bilgilendirmelidir. Ayrıca çerezler aracılığıyla kişisel verilerin aktarıldığı üçüncü taraflar varsa bu taraflara da çerez politikası metninde yer verilmesi gerekmektedir.
Veri Güvenliğini Sağlama Yükümlülüğü
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almakla yükümlü tutulmuştur. Veri sorumluları kişisel verilerin korunması mevzuatından ileri gelen teknik ve idari tedbirleri almadığı takdirde kişisel veri ihlallerinin oluşması kuvvetle muhtemeldir. Kurul’un vermiş olduğu kararlar göz önüne alındığında veri sorumlusu e-ticaret şirketleri hakkında yüksek tutarlı idari para cezalarına karar verilebilecektir.
E-Ticaret Sitelerine İlişkin KVKK ve GDPR Kararları
Kişisel Verileri Koruma Kurulu’nun 10/03/2022 tarih ve 2022/229 sayılı karar özetinde çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi açıklanmıştır. Karar özetinde Kurul’un değerlendirmesi sonucu veri sorumlu e-ticaret şirketinin çerez politikası metni içerisinde aydınlatmaya yönelik yükümlülüğün eksik bir biçimde yerine getirildiği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11. maddesinde sayılan diğer hakları konusunda bilgilendirmediğine ulaşılmıştır. Kurul değerlendirmesi de dikkate alındığında e-ticaret şirketlerinin kişisel verilerin korunması mevzuatı uyarınca yükümlülüklerini yerine getirmesi gerektiği açıktır.
Avrupa Veri Koruma Kurulu’nun bir kararında e-ticaret sitesi sahibi veri kontrolörünün yeterli teknik ve idari tedbirleri almadığı açıklanmıştır. Şikayetçi kişi, banka bilgilerini girmeyi son anda durdurduğu ve sipariş vermemiş olduğu halde kendisine ertesi gün sipariş etmediği bir ürün ulaştırılmış ve banka hesabından bu meblağ çekilmiştir. Veri kontrolörlerinin bu husus hakkında önlemler almaları gerektiği belirtilmiş ve herhangi bir idari para cezası uygulanmamıştır.
Yukarıda hukuki açıdan önem ihtiva eden e-ticaret sitelerinin KVKK yükümlülükleri konusu genel bir çerçeveyle açıklanmıştır. E-ticaret sitelerinin KVKK yükümlülükleri konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.
