E-Ticaret Sitelerinin Kişisel Verileri Koruma Yükümlülüğü

24.03.2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümleri kapsamında genel kapsamda, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verilerin işlenmesi kapsamında veri işleyenlerin yükümlülüklerinin belirlenmesi amaçlanmıştır. Ayrıca, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“6563 Sayılı Kanun”) sınırları kapsamında hizmet sağlayıcı ve ara hizmet sağlayıcının kişisel verilerin saklanması ve güvenliğinden sorumlu olduğu açıkça ifade edilmiştir.

E-ticaret alanında kişisel verilerin korunması yönünde getirilen yükümlülükler büyük önem arz etmekte olup güvenli elektronik ödeme sistemleri, tüketici hukuku ve kişisel verilerin korunması alanında yapılan düzenlemeler ile tüketici açısından güven ortamı sağlanmış ve e-ticaret sitelerinin gelişimi hızlanmıştır. Nüfuz edilen kişisel verilerin saklı kalması ve güvence altına alınmasının önemine binaen yazımız kapsamında e-ticaret sitelerinin kişisel verilerin korunması kapsamındaki sorumluluklarına yer verilecektir.

E-Ticaret Sitelerinde Hangi Kişisel Veriler Kullanılmaktadır?

E-ticaret alanında faaliyet gösteren firmalar tarafından ad, soyad, kimlik bilgileri, nüfus ve ikamet bilgileri, IP gibi alışveriş esnasında işlenen veriler ile çerez politikaları marifetiyle kişisel ilgi alanları, davranışları, site gezintileri ve alışveriş alışkanlıkları gibi çeşitli veriler toplanmaktadır.

Toplanan verilerin niteliği itibariyle önem arz etmesi sebebiyle e-ticaret alanında faaliyet gösteren hizmet sağlayıcı ve ara hizmet sağlayıcıların, veri güvenliği ve verilerin saklanmasındaki sorumlulukları özel düzenlemelere tabi tutulmuştur. Yasal yükümlülüklerin yerine getirilmemesi durumunda e-ticaret siteleri, para cezasından hapis cezasına kadar ağır cezalarla karşılaşmaktadır.

6563 Sayılı Kanun kapsamında verilerin korunmasına ilişkin sorumluluk yalnızca e-ticaret sitelerine yüklenmemiş, hizmet sağlayıcıları ve ara hizmet sağlayıcılar ifadesine yer verilmek suretiyle e-ticaret sitesi üzerinden satış yapan bir firma, “hizmet sağlayıcı” olarak nitelendirilmiştir.

E-Ticaret Sitelerinin KVKK Kapsamında Yükümlülükleri Nelerdir?

Veri Güvenliğine İlişkin Yükümlülükler:

KVKK 12. maddesine göre, veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu amaçla kullanılan Sayısal Sertifikalar, SSL Güvenlik Katmanı, Güvenlik Duvarları gibi yöntemlerle teknik bakımdan tedbirler alınarak verilerin başka web site sahipleri tarafından kopyalanmasının önüne geçilmesi sağlanmaktadır. Alınan tedbirlere rağmen kişisel verilerin bir başkası tarafından ele geçirmesi durumunda, veri sorumlusunun durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurumu’na bildirme yükümlülüğü söz konusudur.

Aydınlatma Yükümlülüğü:

KVKK 10. madde uyarınca veri sorumlusu, kişisel verileri işlenen ilgili kişileri bu verilerin kim tarafından, hangi amaçlarla ve hangi hukuki sebebe dayanarak işlenebileceği hususlarında açık bir şekilde bilgilendirmekle yükümlüdür.

Aydınlatma yükümlülüğü yerine getirilirken, asgari aşağıdaki hususlarda bilgilendirme yapılması gerekmektedir:

• Veri sorumlusunun ve varsa temsilcisinin kimliği
• Kişisel verilen hangi amaçla işleneceği
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
• Kişisel veri toplamanın yöntemi ve hukuki sebebi
• İlgili kişinin, KVKK’nın 11. maddesinde sayılan diğer hakları

Ayrıca, e-ticaret sitelerinin aydınlatma yükümlülüğü hususunda bir yaptırıma maruz kalmamaları için internet sitelerinde bu hususların yer aldığı bir “Aydınlatma Metni” yayınlamaları gerekmektedir.

Açık Rıza Alma Yükümlülüğü:

KVKK 5. maddesinde kişisel verilerin ilgili kişinin açık rızası alınmaksızın işlenemeyeceği düzenlenmiştir. Açık rızanın, belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekmektedir. KVKK açık rızanın elektronik ortam ve çağrı merkezi gibi yollarla alınmasının mümkün olduğunu ifade etmiştir. E-ticaret sitelerinde gerekli bilgilendirmenin yapılması ve onayın alındığına ilişkin “kabul ediyorum, onaylıyorum” gibi bir buton eklenmesi suretiyle açık rızanın alınabilmesi mümkündür. Açık rızanın aranmayacağı haller ise ilgili maddenin ikinci fıkrasındakilerle sınırlı olarak sayılmıştır.

Gizlilik ve Çerez Politikası Yükümlülüğü:

E-ticaret yapan şirketler, web sitelerindeki aktiviteler hakkında veri toplamak, saklamak ve paylaşmak üzere çerezleri kullanmaktadırlar. Veri ilgilisinin aktif üyelik oluşturmak suretiyle sağladığı çerezler dışında pasif olarak da çerezler toplanmaktadır. Çerez politikaları ve gizlilik politikaları hususunda ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir. Veri sorumlusunun kullanıcıları gizlilik politikalarında kullandıkları çerez yöntemleri hakkında bilgilendirmeleri ve veri sahibinden “evet, kabul ediyorum” şeklinde onama ilişkin ifadelerin tıklanması suretiyle onay almaları gerekmektedir.

Veri Sorumluları Siciline Kaydolma Yükümlülüğü:

KVKK 16. madde hükmü uyarınca; kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline (“VERBİS”) kaydolmak zorundadır. Kayıt başvurusu ilgili hükümde yer verilen bilgileri içeren bir bildirim ile yapılır. Veri sorumlusu, söz konusu bilgilerde değişiklik yapılması durumunda derhal bildirimde bulunmakla yükümlüdür.

SONUÇ

6698 Sayılı Kişisel Verilerin Korunması Kanunu ve getirilen diğer mevzuat düzenlemeleri ile e-ticaret sektörüne güvenin artırılması ve sektörün genişletilmesi amaçlanmaktadır. Bu sebeple, e-ticaret şirketlerinde KVKK uyumunun sağlanması, yaptırımlarla karşı karşıya kalmamak ve düzenlemelerle getirilen amacın gerçekleştirilmesi hususunda büyük önem arz etmektedir.