E-Ticaret Sitelerinin Kvkk Kapsamındaki Yükümlülükleri Nelerdir?
E-Ticaret kavramının ne olduğu yasa koyucu tarafından 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 2. Maddesinin ilk fıkrasının (a) bendinde açıkça tanımlanmıştır. Bu tanıma göre e-ticaret, “fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyeti” ifade etmektedir. Tanımdan da görüleceği üzere e-ticaret kavramı oldukça geniş bir kavramdır. Geçmişten beri gelmekte olan yüz yüze alışverişe dayanan geleneksel yaklaşımın ortadan kalktığını artık günümüzde e-ticaret şirketleri aracılığıyla çevrimiçi sağlayıcılar üzerinden tüketicilerin ihtiyaçlarını satın aldığını görmekteyiz.
E- ticaret şirketleri, ürünlerinin satışlarını e-ticaret siteleri üzerinden yapmaktadırlar. Dolayısıyla da e-ticaret şirketlerinin satış için kullanmış olduğu bu e-ticaret sitelerini düzenlerken belirli yükümlülükleri bulunmaktadır. Zira tüketicinin yüz yüze alışverişteki güveni, e-ticaret sitelerinden alışveriş yaparken de hissetmesi gerekmektedir. Bu güvenin oluşması için Kişisel Verilerin Korunması Kanunu’nda da e-ticaret şirketlerinin birtakım hukuki yükümlülükleri bulunmaktadır. Bu yükümlülüklere kısaca değinecek olursak;
Öncelikle KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında; kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü idari ve teknik alt yapıyı sağlamak zorundadır. Bunun için de e-ticaret sitelerinde Sayısal Sertifakalar, SSL Güvenlik Katmanı, Güvenlik Duvarları gibi birtakım güvenlik önemleri kullanılmaktadır. Bu önlemler sayesinde e-ticaret sitesini kullanan veri sahiplerinin, verilerinin başka web site sahipleri tarafından kopyalanmasının önüne geçilmektedir.
Veri sorumlusu, aydınlatma yükümlülüğü kapsamında kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddede sayılan hakları konusunda bilgi vermekle yükümlüdür. Belirtilen unsurların tamamı KVKK’nın 10. Maddesinde yer almaktadır. Dolayısıyla e-ticaret şirketlerinin KVKK’ya uyum sağlamak ve herhangi bir yaptırıma maruz kalmamak için içerisinde bu unsurların da yer aldığı “Aydınlatma Metni”ni e-ticaret sitelerinde yayınlamaları gerekmektedir. Açık rızanın aranmadığı hallerde dahi veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi şarttır.
E-ticaret yapan şirketler, e-ticaret sitelerinde alışveriş yapan kişilerin ad, soyad, T.C kimlik numarası, kredi/banka kart bilgileri, nüfus ve ikamet bilgileri, IP gibi çeşitli bilgilerini alışveriş esnasında işlediği gibi aynı zamanda kullanmış oldukları çerez politikaları ile de kişilerin ilgi alanları, gezinti yaptıkları sitelerden de yola çıkarak alışveriş alışkanlıkları, site gezintileri, zaman bilgisi, online alışveriş sırasında görüntülenen sayfa sayısı, ziyaret süresi gibi veriler de toplamaktadırlar. Bu durumda veri sorumlusunun yani e-ticaret sitesi hizmet sağlayıcısının işbu verileri nasıl topladığına ilişkin gereken açıklamayı da e-ticaret sitesini kullanan kişilere yapmakla yükümlüdür. Veri sorumlusunun kullanıcılardan e-ticaret sitesinin gizlilik ve çerez politikasını kabul ettiklerine dair onaylarını alması gerekmektedir.
E-ticaret sitelerinde KVKK’nın 5. Maddesinin 2. Fıkrasında sınırlı olarak sayılan istisnalar dışında, hizmet sağlayıcıların veri işleyebilmek için kullanıcılarının açık rızalarını almaları gerekmektedir. Kullanıcıların açık rızalarının küçük bir “onaylıyorum” kutucuğu ile alınması mümkündür.
Son olarak; veri sorumlusu, KVKK gereğince, Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre gibi hususları içeren bir bildirimle Veri Sorumluları Sicili (VERBİS)’ne kaydolmak zorundadır.
Uzun bir süredir hayatımızda olan e-ticaret alanında, büyüklü küçüklü birçok işletme hizmet vermektedir. Dolayısıyla bu hizmet veren işletmelerin tamamının e-ticaret sitelerini kurarken, yukarıda kısaca bahsettiğimiz hususlara dikkat etmesi, verilerini bunlara göre işlemesi gerekmektedir. Aksi takdirde e-ticaret sitelerinin hizmet sağlayıcılarının KVKK ve diğer mevzuat hükümlerine aykırılık dolayısıyla ciddi yaptırımlarla karşılaşması söz konusudur.