Günümüz ticari alışkanlıkları ve son dönemlere içinde bulunulan küresel salgın nedeniyle hem dünyada hem ülkemizde online ticaret alışkanlıkları artmış bulunmakta. Özellikle alışveriş için elde edinilen ya da kampanyalarda toplanılan kişisel veriler hususunda e-ticaret şirketleri birer veri sorumlusu haline gelmiştir. Bu nedenle bu şirketlerin KVKK kapsamındaki yükümlülükleri gündeme gelmektedir.
E-Ticaret ve E-Ticaret Şirketi Nedir?
Elektronik ticaret veya kısa adıyla “e-ticaret”, ticari faaliyetin tarafların bir araya gelmeksizin elektronik araçlarla çevrimiçi ortamda gerçekleştirilmesidir. Nitekim Elektronik Ticaretin Düzenlenmesi Hakkında Kanun da e-ticareti “fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrimiçi iktisadi ve ticari her türlü faaliyet” olarak tanımlamıştır. Dolayısıyla ticari bir aktivitenin e-ticaret sayılabilmesi için en temel şart, ticari veya ekonomik faaliyetin elektronik ortamda ve çevrimiçi yürütülmesidir.
Mesai saatleri veya coğrafi sınırlara bağımlı kalmadan 7/24 işlem imkânı tanıyan e-ticaret faaliyetinde bulunabilmek için ise e-ticaret şirketi kurulması gerekir. E-ticaret şirketleri faaliyetlerini ilgili çevrimiçi mağazayı barındıran internet sitesi aracılığıyla gerçekleştirir. E-ticaret sitesi, temelde internet tabanlı bir yazılım olup, e-ticaret şirketine ait olan ve sitede görüntülenen ürünlerin ödeme alt yapıları aracılığıyla satın alınmasına imkân sağlamaktadır.
E-Ticaret Şirketleri Hangi Kişisel Verileri İşler?
E-ticaret şirketleri, herhangi bir e-ticaret sitesi üzerinden üyelik mekanizması yoluyla veya bazen üyelik olmaksızın kullanıcıların bir takım kişisel verilerini almaktadırlar. Bu kapsamda kullanıcılardan ad, soyad, adres, telefon, TC kimlik numarası, ödeme bilgileri, ilgi alanları gibi bilgiler doğrudan alışveriş sırasında ya da site üzerinden üyelik oluşturma esnasında istenebilmektedir. Kullanıcıların e-ticaret sitelerini ziyaretleri sırasında çerezler vasıtasıyla da görüntülenen sayfa sayısı, ziyaret süresi, site gezinme alışkanlıkları, lokasyon, IP, zaman bilgisi gibi kişi ile eşleştirilebilecek bilgiler toplanmakta ve ilgili sayfa kapatılsa dahi yine tarayıcıya atanmış olan çerezler sayesinde kullanıcı izlenmeye devam edilmektedir.
KVKK’ya Göre E-Ticaret Açısından Veri Sorumlusu Kimdir?
KVKK’nın 3. maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Bu çerçevede elektronik ticaret faaliyetinde bulunan hizmet sağlayıcı e-ticaret şirketi, KVKK kapsamında veri sorumlusudur. Veri sorumlusu e-ticaret şirketi, e-ticaret sitesi aracılığıyla kullanıcılara ait kişisel verileri elde etmekte, kaydetmekte, depolamakta, muhafaza etmekte, değiştirebilmekte veya aktarabilmektedir.
E-Ticaret Şirketlerinin KVKK Kapsamında Yükümlülükleri Nelerdir?
Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 10. madde hükmüne göre hizmet sağlayıcı bu kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur. Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Dolayısıyla e-ticaret şirketleri hem Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca hem de verim sorumlusu olarak KVKK uyarınca birçok yükümlülüğe sahiptir.
Aydınlatma Yükümlülüğü
Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi hakkında bilgilendirilmiş olmalıdır.
KVKK, veri sorumlusu sıfatını haiz şirketlerin aydınlatma yükümlülüğünü herhangi bir şekil şartına bağlamamıştır. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği 5. maddesinde aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir.
Bu çerçevede, e-ticaret şirketlerinin KVKK’ya uyum sağlamak için 10. maddede sayılan asgari unsurları içeren bir aydınlatma metnini internet sitelerinde yayımlamaları gerekmektedir. Ayrıca kullanıcıdan çeşitli onaylama mekanizmaları aracılığıyla aydınlatıldığına dair beyan alınmalıdır. Bu çerçevede örneğin kullanıcıya aydınlatıldığını gösterir “evet”, “okudum” gibi onay ifadesi içeren tıklama veya işaretleme şeklinde oluşturulmuş bir onay kutusu sunulması gerekmektedir.
Üyelik oluşturulması sırasında elde edilen veriler, Kanun’daki kişisel veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir. Ancak çerez yönteminde, tüketicinin siteyi nasıl kullandığı, IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir.
Veri sorumlusunun aydınlatma yükümlülüğü kapsamında işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia edilmekte olduğu bir olayda Kişisel Verileri Koruma Kurulu; sitedeki aydınlatma metninin, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümler dikkate alınmak suretiyle güncellenmesine karar vermiştir.
Kişisel bilgi verilerin kullanım amacı gizlilik politikasında da açıkça belirtilmelidir. Ancak uygulamada aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan gizlilik politikalarıyla aynı işlevde kullanıldığı görülmekte olup veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları aydınlatma metinleri olarak kullanılmamalıdır.
Açık Rıza Alma Yükümlülüğü
E-ticaret şirketlerinin e-ticaret sitesi üzerinden ürün veya hizmet sağlanması sürecinde kullanıcı ile bir sözleşme akdedildiyse açık rıza aranmamalıdır. Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır. Ancak böyle bir istisnanın yokluğunda, tüketicinin açık rızasının alınması gerekmektedir. Açık rızanın alınması için kullanıcının iradesini açık bir şekilde ortaya koymasını sağlayacak “evet”, “kabul ediyorum” gibi onay ifade eden tıklama veya işaretleme şeklinde bir yöntem olabileceği gibi farklı yöntemlerin kullanılması da mümkündür.
Ayrıca e-ticaret siteleri, çerezleri etkin olarak kullanabilmek için kullanıcıların açık rızalarını almak zorundadırlar. Çerez; günlük hayatımızda ziyaret ettiğimiz internet sitelerinin bilgilerimizi kaydedip daha sonra yine aynı internet sitesine girdiğimiz takdirde bu bilgileri okuyabilmeleridir. Bunun dışında çerezler sıklıkla reklam tercihlerimizi belirlemek amacıyla tutulur. Çerez politikası ise internet sitesinin ziyaretçilerini, kullandıkları çerezler hakkında bilgilendiren bir metindir. Çerez politikasında; sitede kullanılan çerez türleri, bu çerezlerin kullanılma amaçları ile kullanıcıların çerez ayarlarını nasıl değiştirebileceği ve çerezleri nasıl silebileceğine dair bilgileri içermek zorundadır.
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu çerçevede e-ticaret şirketi, e-ticaret platformunda elde edilen verilerin güvenliğinin sağlanması için her türlü idari ve teknik alt yapıyı oluşturmakla yükümlüdür.
Bu tedbirler kapsamında e-ticaret sitelerinin taklit edilmesine karşı sayısal sertifikalardan, site güvenliği için SSL güvenlik katmanından, virüslerden korunmak için güvenlik duvarlarından faydalanılmalı, ödeme sistemlerinin emniyeti ve müşteri güvenliğini sağlamak için güvenli yazılımlar kullanılmalıdır.
Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/427 sayılı Kararı ile; Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 600.000 TL idari para cezası uygulanmasına karar verilmiştir.
Veri İhlali Bildirim Yükümlülüğü
Her türlü idari ve teknik tedbirlerin alınmasına rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde ise veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurul’una bildirmek zorundadır. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri sorumlusu Yemek Sepeti de 18.03.2021 tarihinde kimliği belirlenemeyen şahıslarca Yemek Sepetine ait bir web uygulama sunucusuna erişilmesiyle oluşan ve 21.504.083 kişinin etkilendiği veri ihlalinde derhal Kurul’a veri ihlali bildiriminde bulunarak yükümlülüğünü yerine getirmiştir. Bir başka olayda 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kurul 200.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri Sorumluları Siciline Kaydolma Yükümlülüğü
KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince, veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan ve sicile kayıt yükümlülüğü olan veri sorumlularının veri işlemeye başlamadan önce VERBİS’E kayıt olmalıdır. Veri sorumlusu olan e-ticaret şirketinin, Veri Sorumluları Sicili (VERBİS)’ne kaydolması zorunludur. Veri sorumlusu e-ticaret şirketleri de, veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin içinde yer aldığı bir bildirimle Veri Sorumluları Siciline başvurmalıdır.
E-ticaret şirketlerinin yükümlülükleri bu sınırlı kalmayıp şirketlerin kişisel veri işlemesi, saklaması, paylaşması, yok etmesi, veri sahibinin taleplerinin yerine getirmesi gibi hususlarda kendi bünyelerinde bir mekanizma oluşturmaları, mevcut verileri sınıflandırırken, kanunda öngörülen sistematiğe uymaya özen göstermelidirler. Tüm yükümlülüklerine yerine getirerek ağır yaptırımlarla ve prestij kaybıyla karşılaşmamak adına profesyonel bir destek olarak ya hukuki bir ekipten ya da KVKK sürecini takip eden uzman bir yazılımdan destek almaları faydalı olacaktır.
Veri Sorumlusuna Başvuru Nasıl Yapılır?
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
Kanunda, kişilik hakları ihlal edilen ilgililerin genel hükümlere göre tazminat hakları saklı tutulmuştur. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır. Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Başka bir ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır. Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur.
İlgili kişi taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletebilir.
Başvuruda ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ve talep konusunun bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır; başvuru ya gerekçesini açıklayarak reddedilir ya da talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.
Kişisel Verileri Koruma Kurum’una Şikayet Usulü
Veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemesi hallerinde, veri sorumlusunun cevabı öğrenildiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunulabilir. KVKK 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurum’a intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır. Başvurular KVKK Şikayet Modülü üzerinden yapılmakta ve takip edilmekte olup e-devlet üzerinden erişim sağlanabilmektedir.
Av. Nagihan Merve AKASLAN
İstanbul Barosu