E-TİCARET ŞİRKETLERİNİN KVKK KAPSAMINDA 5 ÖNEMLİ YÜKÜMLÜLÜĞÜ !!!
1- E-Ticaret Nedir?
Bilişim teknolojilerindeki değişimler, küreselleşme ve tüm dünyada ticaretin serbestleştirilmesi eğilimi, geleneksel ticaret uygulamalarının ötesinde yeni bir kavram olarak elektronik ticaret (e-ticaret) uygulamalarını gündeme getirmiştir. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da da e-ticaret, “Fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyet” olarak tanımlanmıştır.
E-ticaret yoluyla ticaret geleneksel yapı ve usullerden uzaklaşmış, sanallaşarak elektronik ortama taşınmış ve ticaret alanında yeni ilke, esas ve imkânlar ortaya çıkmıştır. Böylece alım-satım işlemleri hızlanmış ve işlemin tarafları için coğrafi engeller ortadan kalkmıştır. E-ticaret Türkiye’de perakende sektörü için önemli bir alan haline gelmiş olup, bu nedenle ülkemizde faaliyet gösteren birçok çevrimiçi mağaza da bulunmaktadır. Şirketlerin e-ticarete açılmalarında en temel hedefleri daha fazla tüketiciye, daha fazla ürünü, en düşük maliyetle ulaştırarak satış hacmini artırabilmektir.
E-ticaret alanının yaygınlaşması ile birlikte tüketicilerin e-ticaretin gerçekleştirildiği platformlara olan güveninin artırılması amacıyla tüketicileri koruyucu nitelikte pek çok hukuki düzenleme yapılmış olup, işbu düzenlemeler elektronik ticaretin yaygınlaşmasında büyük rol oynamıştır. Bu hukuki düzenlemeler arasında güvenli elektronik ödeme sistemleri, çeşitli güvenlik önlemleri, tüketici hukuku ve kişisel verilerin korunması alanında yapılan düzenlemeler sayılabilir.
2- E-Ticaret Şirketi Nedir Ve E-Ticaret Şirketi Hangi Kişisel Verileri İşler?
Mesai saatleri veya coğrafi sınırlara bağımlı kalmadan 7/24 işlem imkânı tanıyan e-ticaret faaliyetinde bulunabilmek için, e-ticaret şirketi kurmak zorunludur. Bu şirket, bir şahıs şirketi olabileceği gibi sermaye şirketi de olabilir.
E-ticaret şirketleri faaliyetlerini ilgili çevrimiçi mağazayı barındıran internet sitesi aracılığıyla gerçekleştirir. E-ticaret sitesi, temelde internet tabanlı bir yazılım olup, e-ticaret şirketine ait olan ve sitede görüntülenen ürünlerin ödeme alt yapıları aracılığıyla satın alınmasına imkân sağlamaktadır. E-ticaret şirketleri, kendilerine ait olan bir e-ticaret ortamını kullanabilecekleri gibi aracı konumunda olan bir hizmet sağlayıcısının e-ticaret ortamını kullanmayı da tercih edebilmektedirler.
E-ticaret şirketleri, herhangi bir e-ticaret sitesi üzerinden üyelik mekanizması yoluyla veya bazen üyelik olmaksızın kullanıcıların bir takım kişisel verilerini almaktadırlar. Bu kapsamda kullanıcılardan ad, soyad, adres, telefon, TC kimlik numarası, ödeme bilgileri, ilgi alanları gibi bilgiler doğrudan alışveriş sırasında ya da site üzerinden üyelik oluşturma esnasında istenebilmektedir. Kullanıcıların e-ticaret sitelerini ziyaretleri sırasında çerezler vasıtasıyla da görüntülenen sayfa sayısı, ziyaret süresi, site gezinme alışkanlıkları, lokasyon, IP, zaman bilgisi gibi kişi ile eşleştirilebilecek bilgiler toplanmakta ve ilgili sayfa kapatılsa dahi yine tarayıcıya atanmış olan çerezler sayesinde kullanıcı izlenmeye devam edilmektedir.
3- Kişisel Verilerin Korunması Kapsamında E-Ticaret Şirketlerinin Tabi Olduğu Mevzuat Hangileridir?
a) Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
Ülkemizdeki e-ticarete ilişkin en önemli yasal düzenleme, “elektronik ticarete ilişkin esas ve usulleri düzenleyen” 23.10.2014 tarihli ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’dur.
Kanun’da, e-ticaret, “çevrim içi iktisadi ve ticari he türlü faaliyet” olarak tanımlanmıştır. Bu tanımdan da anlaşılacağı üzere e-ticaret kavramı kapsamı oldukça geniş tutulmuştur. Dolayısıyla mal, hizmet, fikri mülkiyet, sınai hak gibi her türlü iktisadi faaliyet e-ticaret konusu olabilecektir.
Kanun’da hizmet sağlayıcı, “elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişi” olarak tanımlanmıştır. Bu tanımdan hareketle “hizmet sağlayıcı” nın doğrudan e-ticaret faaliyetinde bulunan kişi ya da kurumlar olduğu ve e-ticaret şirketlerini de kapsadığı söylenebilir.
Kanun’un 10. madde hükmüne göre hizmet sağlayıcı;
“Bu kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur.
Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.”
Kanun koyucu bu düzenleme ile e-ticarete güveni tesis ederek e-ticaretin daha da yaygınlaşmasını sağlamayı hedeflemektedir. Bu çerçevede, e-ticaret şirketi objektif özen yükümlülüğü çerçevesinde e-ticaretin yapılması aşamalarında elde ettiği verilerin saklanmasından ve güvenliğinden sorumlu tutulmaktadır. Ayrıca e-ticaret şirketinin bu Kanun kapsamında yapmış olduğu işlemler ve sunmuş olduğu hizmetler nedeniyle elde ettiği kişisel verileri üçüncü kişilerle paylaşabilmesi veya bunları başka amaçlarla kullanabilmesi veri sahibinin önceden onay almasına bağlıdır.
Buradan da anlaşılacağı üzere, e-ticaret şirketleri topladığı kişisel verilerin güvenliğinden ve yetkisiz erişimlere kapalı olarak tutulmasından sorumludur. Ayrıca, veri sahibinin onayı olmaksızın kişisel veriler üçüncü kişilere iletilemeyecek ve başka amaçlarla kullanılamayacaktır. Buradaki “başka amaçlar” dan kasıt, veri sahibinden onay alınması sırasında beyan edilmiş olan kullanım amacıdır. Diğer bir deyişle veri sahibinin kişisel verileri, kendisine beyan edilen ve kendisi tarafından onay verilmiş olan amacın dışında başka bir amaçla kullanılamayacaktır.
b) Kişisel Verilerin Korunması Kanunu
6563 sayılı Kanun’dan sonra yürürlüğe girmiş olan 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gereken usul ve esaslar düzenlenmiştir. KVKK’da kişisel verilerin işlenmesi sırasında veri sorumlularının uyması gereken ilkeler ortaya konulmaktadır.
KVVK, 6563 sayılı Kanun’un 10. maddesinden daha geniş bir sorumluluk alanı ortaya koymaktadır. KVKK çerçevesinde e-ticaret şirketlerinin kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi ve aktarılması açısından belli yükümlülükleri bulunmaktadır.
4- KVKK’ya Göre E-Ticaret Açısından Veri Sorumlusu Kimdir?
KVKK’nın 3. maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Bu çerçevede elektronik ticaret faaliyetinde bulunan hizmet sağlayıcı e-ticaret şirketi, KVKK kapsamında veri sorumlusudur.
KVKK’ya göre; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilecek, e-ticaret şirketleri ise veri sorumlusu olarak değerlendirilecektir. Veri sorumlusu e-ticaret şirketi, e-ticaret sitesi aracılığıyla kullanıcılara ait kişisel verileri elde etmekte, kaydetmekte, depolamakta, muhafaza etmekte, değiştirebilmekte veya aktarabilmektedir.
E-ticaret şirketleri, kullanıcıların kimlik, adres, iletişim vb. bilgilerini alarak bu verileri belli analizlere tabi tutmakta ve kullanıcı/tüketici davranışlarına göre pazarlama ve reklam faaliyetleri için kullanmaktadır.
5- E-Ticaret Şirketlerinin KVKK Ve Diğer Mevzuat Kapsamında Yükümlülükleri Nelerdir?
KVKK veri sahiplerinin haklarını korumak ve kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla veri sorumluları için birtakım yükümlülükler getirmiştir. Bu yükümlülüklere aykırı hareket edilmesi halinde ise ilgili veri sorumlularına uygulanacak yaptırımlar noktasında idareye geniş bir takdir yetkisi tanınmış olup, veri sorumlularına uygulanacak yaptırımların asgari ve azami hadleri belirtilmek suretiyle idari para cezaları öngörülmüştür.
E-ticaret sırasında kişisel verilerin kanuna uygun olarak işlenmesi, amacına uygun olarak kullanılması, korunması, veri sahibinin onayı olmadan kullanılmaması ve üçüncü kişilere aktarılmaması sağlanarak topluma ve tüketicilere kişisel verilerinin korunacağı ve yetkisiz erişimlere karşı güvende tutulacağı konusunda bir tür güvence oluşturulmaktadır.
E-ticaret şirketlerinin KVKK kapsamında yükümlülükleri aşağıdaki şekilde sıralanabilir:
a) Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında;
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu çerçevede e-ticaret şirketi, e-ticaret platformunda elde edilen verilerin güvenliğinin sağlanması için her türlü idari ve teknik alt yapıyı oluşturmakla yükümlüdür. Aynı maddenin 5. fıkrasına göre her türlü idari ve teknik tedbirlerin alınmasına rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
b) Aydınlatma Yükümlülüğü
Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler asgari olarak KVKK’nın 10. maddesinde sayılan unsurlar hakkında aydınlatılmalıdır. Buna göre veri sorumlusu;
i) Veri sorumlusunun ve varsa temsilcisinin kimliği,
ii) Kişisel verilerin hangi amaçla işleneceği,
iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
v) Kanun’un 11 inci maddede sayılan hakları,
konusunda bilgi vermekle yükümlüdür. KVKK, veri sorumlusu sıfatını haiz şirketlerin aydınlatma yükümlülüğünü herhangi bir şekil şartına bağlamamıştır. Tebliğ’in 5. maddesinde işbu aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir. Öte yandan Tebliğ’in m.5/1-e hükmü uyarınca, işbu aydınlatma yükümlülüğünün yerine getirildiğine dair ispat mükellefiyetinin veri sorumlusuna ait olduğu açıkça hükme bağlanmıştır. Dolayısıyla, yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir, ancak yazılı yapılması ispat açısından kolaylık sağlayacaktır.
Bu çerçevede, e-ticaret şirketlerinin KVKK’ya uyum sağlamak için 10. maddede sayılan asgari unsurları içeren bir “aydınlatma metnini” internet sitelerinde yayımlamaları gerekmektedir. Tebliğ’in m. 5/1-ğ hükmü gereğince, “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir”. Öte yandan aydınlatma metninin yayınlanması konusunda şirketlerin farklı uygulamaları da söz konusu olabilmektedir. Veri sahibi aydınlatma yükümlülüğünü, “Kişisel Verilerin Korunması Politikası” kapsamında, “Aydınlatma Metni” başlıklı ayrı bir metinde ya da “Gizlilik Politikası” ile birlikte yayınlayarak yerine getirebilecektir.
Aydınlatma yükümlülüğü açısından bir diğer önemli husus, kullanıcıdan çeşitli onaylama mekanizmaları aracılığıyla aydınlatıldığına dair beyanının alınmasıdır. Bu çerçevede örneğin kullanıcıya aydınlatıldığını gösterir ve “evet”, “okudum” gibi onay ifadesi içeren tıklama veya işaretleme şeklinde oluşturulmuş bir onay kutusu sunulması gerekmektedir.
c) Açık Rıza Alma Yükümlülüğü
Veri sahibinin açık rızasının alınması Kanun gereğince veri sorumlusunun asli yükümlülükleri arasındadır. Bununla birlikte KVKK’nın m. 5/2 hükmünde sınırlı olarak sayılan hallerde kişinin açık rızası aranmamaktadır.
Bu çerçevede ayrı bir değerlendirme yapılması gerekmektedir. E-ticaret şirketlerinin e-ticaret sitesi üzerinden ürün/hizmet sağlanması sürecinde kullanıcı ile bir sözleşme akdedilip akdedilmediği değerlendirilmeli ve sözleşmenin varlığı durumunda, açık rıza aranmamalıdır. Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır.
Ancak böyle bir istisnanın yokluğunda, tüketicinin açık rızasının alınması gerekmektedir. Açık rızanın alınması için kullanıcının iradesini açık bir şekilde ortaya koymasını sağlayacak “evet”, “kabul ediyorum” gibi onay ifade eden tıklama veya işaretleme şeklinde bir yöntem olabileceği gibi farklı yöntemlerin kullanılması da mümkündür.
Burada aydınlatma yükümlüğünün yerine getirilmesine ve açık rızanın alınmasına ilişkin onayların ayrı ayrı alındığına dikkat çekmek gerekmektedir. Bu durum, Tebliğ’in 5/1-f maddesinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünden kaynaklanmaktadır.
Öte yandan ifade etmek gerekir ki sayılan istisnalar kapsamındaki veri işleme faaliyetleri dahi veri sorumlusunun yükümlülüklerinin ortadan kaldırmamaktadır. Veri sorumlusu e-ticaret şirketinin söz konusu istisnaların varlığında dahi aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
d) Gizlilik Ve Çerez Politikası Yükümlülükleri
E-ticaret şirketinin ilgili e-ticaret sitesinde, siteyi kullanan müşterinin hangi tür bilgilerinin alındığı, nasıl kullanılacağı ve korunacağı konusunda verilerin korunması ile doğrudan bağlantılı bir gizlilik politikası oluşturması da gerekmektedir. Tüketicilerden bilgiler aktif bir şekilde üyelik oluşturarak alınabileceği gibi çerezler (cookies) yoluyla pasif olarak da elde edilebilmektedir.
Üyelik oluşturulması sırasında elde edilen veriler, Kanun’daki kişisel veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir. Ancak çerez yönteminde, tüketicinin siteyi nasıl kullandığı, IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir.
Dolayısıyla e-ticaret şirketlerinin gizlilik politikalarında kullandıkları çerez yöntemlerini kullanıcılar ile paylaşmaları; veri sahibinden, “evet”, “kabul ediyorum” gibi onay verici bir ifade ve tıklama veya işaretleme gibi bir yöntemle onay almaları gerekmektedir. Aksi takdirde, e-ticaret şirketlerinin tüketicinin rızası ile işleyebilecekleri bilgileri rıza olmaksızın işlemeleri söz konusu olabilmektedir.
E-ticaret şirketlerinin gizlilik ve çerez politikalarını farklı yöntemlerle internet sitelerine yansıtmaları söz konusu olabilecektir. Bu çerçevede, çerez politikaları, aydınlatma metni içinde veya tüm politikalar ortak bir metinde yer alabilecektir.
e) Veri Sorumluları Siciline Kaydolma Yükümlülüğü
KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince, veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan ve sicile kayıt yükümlülüğü olan veri sorumlularının veri işlemeye başlamadan önce kendilerini kayıt ettirecekleri bir sicil olarak tanımlanmıştır. Veri sorumlusu olan e-ticaret şirketleri, Kanunun 16. maddesi gereğince Kurul tarafından belirlenen istisnalar kapsamında olmamak kaydıyla Veri Sorumluları Sicili (VERBİS)’ne kaydolmakla yükümlüdür. Veri sorumlusu e-ticaret şirketi, aşağıdaki hususları içeren bir bildirimle Veri Sorumluları Siciline başvurabilecektir:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
- Kişisel verilerin hangi amaçla işleneceği.
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
- Yabancı ülkelere aktarımı öngörülen kişisel veriler.
- Kişisel veri güvenliğine ilişkin alınan tedbirler.
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Sonuç Olarak;
90’lı yıllardan günümüze çok hızlı bir gelişim gösteren e-ticaret, büyük küçük her ölçekteki işletmenin ilgi odağındadır. Bu kapsamda e-ticaret şirketlerinin çok sayıda kullanıcının/tüketicinin kişisel verilerinin işlenmesine dair yasal yükümlülükleri bulunmaktadır.
Bu çerçevede e-ticaret şirketlerinin kişisel verilerin işlenmesi konusunda yaptırımlarla karşı karşıya kalmamaları için KVKK ve diğer mevzuat kapsamında öngörülen ve yukarıda özetlenen yükümlülükleri büyük bir hassasiyetle yerine getirmeleri gerekmektedir.
E-ticaret şirketlerinin KVKK kapsamındaki yükümlülükleri ve bu şirketlerin KVKK ile uyumlu hale getirilmesi konusunda daha fazla bilgi almak için info@bosca.av.tr adresimizden bizimle iletişime geçebilirsiniz.