Türkiye’de E-Ticaret, dijital platformlar aracılığıyla gerçekleştirilen ticari işlemleri ifade eder. Bu tür alım satım işlemleri fiziksel ürünler veya elektronik hizmetler olabileceği gibi web siteleri, sosyal ağlar veya dijital sistemler aracılığıyla da gerçekleştirilebilir.
İnternetteki Ticareti Hangi Mevzuat Yönetir?
E-ticaret için geçerli olan birincil mevzuat aşağıdaki gibidir:
- E-ticaret iletişiminin ana çerçevesini belirleyen 6563 sayılı E-Ticaretin Düzenlenmesi Hakkında Kanun, elektronik ticari iletişim, hizmet sağlayıcılar ve aracı hizmet sağlayıcılar, bilgilendirme yükümlülükleri, elektronik iletişim araçlarıyla yapılan sözleşmeler ve yaptırımlara ilişkin hükümler içermektedir.
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel veri işleme esaslarını, veri sahiplerinin haklarını ve veri sorumluları ile işleyenlerin yükümlülüklerini düzenler.
- 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçların Önlenmesi Hakkında Kanun, içerik sağlayıcılar, yer sağlayıcılar, erişim sağlayıcılar ve sosyal ağ sağlayıcıların yükümlülük ve sorumluluklarını düzenler.
- 5809 sayılı Elektronik Haberleşme Kanunu; tüketici haklarını, elektronik haberleşme sektöründe rekabeti, işletmecilerin yükümlülüklerini, haberleşme altyapısına yönelik yatırımları ve gelişmeleri düzenler.
- 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun.
- E-imzaların hukuki ve teknik yönlerini kapsayan 5070 sayılı Elektronik İmza Kanunu.
Birincil düzenlemelerin uygulanmasını detaylandıran çeşitli ikincil mevzuat (yönetmelikler, tebliğler ve kılavuzlar) bulunmaktadır. Gümrük, fikri mülkiyet, ürün sorumluluğu, rekabet ve vergi ile ilgili diğer ana mevzuatlar çoğu durumda çevrimiçi iş yapan şirketler için geçerlidir. Ayrıca, bu tür şirketlerin faaliyet gösterdiği sektöre bağlı olarak (örneğin bankacılık) enerji veya sigorta sektörlerini düzenleyenler gibi özel mevzuat uygulanabilir.
Üçüncü taraf bağlantılar, içerik ve lisanslar
Bir web sitesi sahibi, izinsiz olarak üçüncü taraf web sitelerine bağlantı verebilir mi?
Bir web sitesi sahibi, içerik fikri mülkiyet koruması altında olsa bile izin almadan bağlantıyı gösterebilir. Yani internet kullanıcılarını üçüncü taraf web sitelerinin ana sayfalarına yönlendirebilir. Bir eser sahibi, herhangi bir teknolojik kısıtlama olmaksızın çevrimiçi ortamda veya başka bir deyişle internette ücretsiz olarak erişilebilir durumdayken eseri umuma sunduğunda, eser sahibinin internet kullanıcılarının esere erişimi konusunda zımni rıza vermiş olduğu varsayılır.
Elektronik imzalar
Kanun dijital veya e-imzaları nasıl tanır?
Türkiye, AB’nin 1999/43/EC Direktifinden büyük ölçüde etkilenen 5070 sayılı Elektronik İmza Kanunu’nu 2004 yılında çıkarmıştır. Türk Borçlar Kanunu’nun ilgili maddeleri e-imzanın Türk hukukuna girdiği tarihte uyumluydu. Elektronik İmza Kanunu’nu uygulamaya, elektronik sertifika hizmet sağlayıcılarını denetlemeye ve Elektronik İmza Kanunu’nun uygulanmasını düzenlemeye yetkilidir.
Müşteri profili oluşturma
Bir web sitesi sahibi, kendi web sitesinde veya müşterileri tarafından ziyaret edilen diğer web sitelerinde hedefli reklamlar yapmak için müşteri tabanının profilini çıkarmayı planlıyorsa, bu sizin yetki alanınızda mı düzenleniyor?
Çerezler aracılığıyla müşteri profili oluşturma, kişisel verilerin korunması kapsamında Türkiye’de düzenlenmektedir. Çerezler, diğer bilgilerle birleştirildiğinde bireyleri tanımlayabiliyorlarsa kişisel veri olarak nitelendirilir. İki ayrı kanun ilgili hükümleri içermektedir:
- 2002/58/EC sayılı AB Direktifinden büyük ölçüde etkilenen Elektronik Haberleşme Kanunu
- KVKK
2002/58/EC sayılı Direktife paralel olarak, Elektronik Haberleşme Kanunu’nun 51(3) maddesi, kullanıcıların veri işleme faaliyetleri hakkında açık ve kapsamlı bir şekilde bilgilendirilmesini ve elektronik iletişim ağlarının bilgi depolaması veya bunlara erişim sağlaması durumunda açık rıza göstermelerini şart koşmaktadır. Bu hüküm sadece yetkili işletmecileri, elektronik haberleşme hizmetlerini veya elektronik haberleşme ağlarını sağlayan ve altyapıyı işletenleri kapsar. Operatörler, yasal bir gereklilik olduğu için açık rızaya güvenebilirler.
Bununla birlikte Elektronik Haberleşme Kanunu kapsamı dışında kalan diğer taraflar, KVKK uyarınca işleme faaliyetlerini çerezler aracılığıyla gerçekleştirecektir. İlgili web sitesinin çalışması için gerekli olan çerezleri işlerken sözleşmenin yerine getirilmesi veya meşru menfaatleri. Her durumda, veri denetleyicileri, pazarlama veya profil oluşturma faaliyetleri için tanımlama bilgilerini kullanmayı amaçladıklarında açık rızaya güvenmelidir.
Veri ihlali ve siber güvenlik
Yetki alanınızda e-ticarete özel veri ihlali bildirimi veya diğer siber güvenlik yasaları var mı?
KVKK, kişisel verilerin hukuka aykırı erişimini veya işlenmesini önlemek için veri sorumlularının gerekli teknik ve organizasyonel önlemleri almasını şart koşar. Kontrolörler ayrıca ihlalden etkilenen kişileri tespit ettikten sonra veri sahiplerini mümkün olan en kısa sürede bilgilendirmelidir. KVKK’ya ek olarak, E-Ticarette Hizmet Sağlayıcılar ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik, hizmet sağlayıcıların ve aracı hizmet sağlayıcıların kişisel veri güvenliği ihlallerini önlemek için gerekli önlemleri almasını gerektirmektedir.
Veri ihlallerini önlemek ve siber güvenliği sağlamak için ne gibi önlemler alınmalıdır?
KVKK, kontrolörlerin gerekli tüm teknik ve organizasyonel önlemleri uygulaması gerektiğini belirtirken, kontrolörlerin siber güvenliği nasıl sağlayabileceğine ışık tutmamaktadır.
- Sorumlular öncelikle mevcut riskleri ve tehditleri belirlemeli ve hassas kişisel verileri işleyip işlemediklerini, bu verilerin özelliklerinden dolayı beklenen gizlilik düzeyini ve bir ihlalin olası sonuçlarını değerlendirmelidir.
- Kontrolörler çalışanlarını eğitmeli ve farkındalık yaratmalıdır.
- Kontrolörler bir kişisel veri güvenliği politikası geliştirmelidir.
- Kontrolörler güvenlik duvarlarını ve yazılımlarını güncellemeli ve yama yönetimini takip etmelidir.
- Kontrolörler, yazılım ve hizmetleri çalışır durumda kontrol etmeli, günlük kayıtları tutmalı, bir raporlama mekanizması geliştirmeli ve güvenlik sorunlarını mümkün olan en kısa sürede resmi olarak bildirmelidir.
- Kişisel verileri içeren cihazlar fiziksel olarak güvende tutulmalıdır. Kontrolörler, uluslararası kabul görmüş şifreleme yöntemlerini tercih etmelidir.
- Çok faktörlü kimlik doğrulama, şifreleme, farklı bulut hizmetleri için farklı şifreleme anahtarlarının kullanılması ve hizmet sonunda şifreleme anahtarlarının imha edilmesi teknik önlemler olarak teşvik edilmektedir.
- Denetleyiciler, bir güvenlik ihlali durumunda yalnızca sistem yöneticisi tarafından kontrol edilen ayrı yedekleme sunucularına sahip olmalıdır. Kontrolörler, bu yedekleme sistemlerinin fiziksel güvenliğini sağlamalıdır.
İlgili makaleler: https://www.nesilteknoloji.com/e-ticaret/
Yazar: Makbule Arı