Müşteri verileri, e-ticaretin işleyişi için çok gerekli bir kaynaktır. Veri tabanının doğru yönetimi sayesinde alışveriş deneyiminin daha iyi olmasına imkan vererek mağaza satışları fazlalaşabilir. Bu, güvenlik ve müşteri güveni oluşturma açısından hassas bir konudur. Milyonlarca insan her gün online alışveriş yapıyor ve önemli bir kısmı haftada birden fazla alışveriş yapıyor. Bu, internet öncesi günlerde var olmayan kazançlı iş fırsatlarına yol açtı. İşletmeler artık kendi bölgelerindeki müşterilerle sınırlı değil, bunun yerine her e-ticaret mağazasının milyonlara ulaşma potansiyeli var.
Kişisel verilerin korunması kanunu gereğince, web sitesi üzerinden yapılan işlemler hukuka aykırı olmamalıdır. E-ticaret sitesi sahiplerinin elde ettiği kişisel verilerin saklanarak güvenliğinden sorumlu tutulması açık bir şekilde belirtilmiştir. KVKK kapsamında kullanıcılara ait kişisel veriler toplanmaya başlandığı anda e-ticaret siteleri, veri sorumlusu olarak değerlendirilir. E-ticaret siteleri bu kanuna uygun biçimde sitesini düzenlemeli; alacağı kişisel verileri kanunlarda belirtilen veri gizliliği ilkesine bağlı kalarak işlemelidir. Yasal zorunlulukları yerine getirmeyen e-ticaret siteleri para cezasından hapis cezasına kadar ağır cezalarla yargılanabilmektedir.
E-Ticaret Siteleri Hangi Verilerimizi İşliyor?
İnternet ortamında dolaşırken ayak izimizi bırakmamamız artık imkansız hale geldi. E-ticaret sitesi kullanıcıları siteye giriş yaptıklarında bir işlem yapmasalar bile; online mağaza ziyaretleri esnasında görüntülenen sayfa sayısı gibi kişi ile eşleşecek bilgiler çerezler aracılığıyla toplanıyor.
Kişisel Verilerin Korunması Kanunu:
6563 sayılı Kanun’dan sonra yürürlüğe girmiş olan 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gereken usul ve esaslar düzenlenmiştir. KVKK’da kişisel verilerin işlenmesi sırasında veri sorumlularının uyması gereken ilkeler ortaya konulmaktadır.
KVVK, 6563 sayılı Kanun’un 10. maddesinden daha geniş bir sorumluluk alanı ortaya koymaktadır. KVKK çerçevesinde e-ticaret şirketlerinin kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi ve aktarılması açısından belli yükümlülükleri bulunmaktadır.
KVKK’ya Göre E-Ticaret Açısından Veri Sorumlusu Kimdir?
KVKK’nın 3. maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Bu çerçevede elektronik ticaret faaliyetinde bulunan hizmet sağlayıcı e-ticaret şirketi, KVKK kapsamında veri sorumlusudur.
KVKK’ya göre; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilecek, e-ticaret şirketleri ise veri sorumlusu olarak değerlendirilecektir. Veri sorumlusu e-ticaret şirketi, e-ticaret sitesi aracılığıyla kullanıcılara ait kişisel verileri elde etmekte, kaydetmekte, depolamakta, muhafaza etmekte, değiştirebilmekte veya aktarabilmektedir.
E-Ticaret Şirketlerinin KVKK ve Diğer Mevzuat Kapsamında Yükümlülükleri Nelerdir?
KVKK veri sahiplerinin haklarını korumak ve kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla veri sorumluları için birtakım yükümlülükler getirmiştir. Bu yükümlülüklere aykırı hareket edilmesi durumunda ise ilgili veri sorumlularına uygulanacak yaptırımlar noktasında idareye geniş bir takdir yetkisi tanınmış olup, veri sorumlularına uygulanacak yaptırımların asgari ve azami hadleri belirtilmek suretiyle idari para cezaları öngörülmüştür.
E-ticaret şirketlerinin KVKK kapsamında yükümlülükleri aşağıdaki şekilde sıralayabiliriz:
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Aydınlatma Yükümlülüğü
Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler asgari olarak KVKK’nın 10. maddesinde sayılan unsurlar hakkında aydınlatılmalıdır. Buna göre veri sorumlusu;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanun’un 11 inci maddede sayılan hakları,
Tebliğ’in 5. maddesinde işbu aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir. Öte yandan Tebliğ’in m.5/1-e hükmü uyarınca, işbu aydınlatma yükümlülüğünün yerine getirildiğine dair ispat mükellefiyetinin veri sorumlusuna ait olduğu açıkça hükme bağlanmıştır. Dolayısıyla yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir. Ancak yazılı yapılması ispat açısından kolaylık sağlayacaktır.
Açık Rıza Alma Yükümlülüğü
Veri sahibinin açık rızasının alınması Kanun gereğince veri sorumlusunun asli yükümlülükleri arasındadır. Bununla birlikte KVKK’nın m. 5/2 hükmünde sınırlı olarak sayılan hallerde kişinin açık rızası aranmamaktadır.
E-ticaret şirketlerinin e-ticaret sitesi üzerinden ürün/hizmet sağlanması sürecinde kullanıcı ile bir sözleşme akdedilip akdedilmediğini değerlendirmeye sokarak sözleşmenin varlığı durumunda, açık rıza aranmamalıdır. Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır.
Burada aydınlatma yükümlüğünün yerine getirilmesine ve açık rızanın alınmasına ilişkin onayların ayrı ayrı alındığına dikkat çekmek gerekmektedir. Bu durum, Tebliğ’in 5/1-f maddesinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünden kaynaklanmaktadır.
Gizlilik ve Çerez Politikası Yükümlülükleri
E-ticaret şirketinin ilgili e-ticaret sitesinde, siteyi kullanan müşterinin hangi tür bilgilerinin alındığı, nasıl kullanılacağı ve korunacağı konusunda verilerin korunması ile doğrudan bağlantılı bir gizlilik politikası oluşturması da gerekmektedir. Tüketicilerden bilgiler aktif bir şekilde üyelik oluşturarak alınabileceği gibi çerezler yoluyla pasif olarak da elde edilebilmektedir.
Üyelik oluşturma sırasında elde edilen veriler, Kanun’daki kişisel veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir. Çerez yönteminde, tüketicinin siteyi nasıl kullandığı, IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir.
E-ticaret şirketlerinin gizlilik ve çerez politikalarını farklı yöntemlerle internet sitelerine yansıtmaları söz konusu olabilecektir. Bu çerçevede, çerez politikaları, aydınlatma metni içinde veya tüm politikalar ortak bir metinde yer alabilecektir.
Veri Sorumluları Siciline Kaydolma Yükümlülüğü
KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan, sicile kayıt yükümlülüğü olan veri sorumlularının; veri işlemeye başlamadan önce kendilerini kayıt ettirecekleri bir sicil olarak tanımlanmıştır. Veri sorumlusu olan e-ticaret şirketleri; Kanunun 16. maddesi gereğince Kurul tarafından belirlenen istisnalar kapsamında olmamak kaydı ile Veri Sorumluları Sicili (VERBİS)’ne kaydolmakla yükümlüdür.
Benzer: https://www.nesilteknoloji.com/turkiyede-e-ticaret/
YAZAN: BEYZANUR GÖKTAŞ
