Gizlilik Politikası

Kişisel Verilerin Korunması Kanunu

6563 sayılı Kanun’dan sonra yürürlüğe girmiş olan 24.03.2016 tarihli

ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile

kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile

uyulması gereken usul ve esaslar düzenlenmiştir. KVKK’da kişisel

verilerin işlenmesi sırasında veri sorumlularının uyması gereken ilkeler

ortaya konulmaktadır.

KVVK, 6563 sayılı Kanun’un 10. maddesinden daha geniş bir

sorumluluk alanı ortaya koymaktadır. KVKK çerçevesinde e-ticaret

şirketlerinin kişisel verilerin işlenmesi, silinmesi, yok edilmesi,

anonim hale getirilmesi ve aktarılması açısından belli yükümlülükleri

bulunmaktadır.

KVKK’ya Göre E-Ticaret Açısından Veri Sorumlusu Kimdir?

KVKK’nın 3. maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını

ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden

sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. 

Bu çerçevede elektronik ticaret faaliyetinde bulunan hizmet sağlayıcı

e-ticaret şirketi, KVKK kapsamında veri sorumlusudur.

KVKK’ya göre; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü

bilgi” kişisel veri olarak kabul edilecek, e-ticaret şirketleri ise veri sorumlusu

olarak değerlendirilecektir. Veri sorumlusu e-ticaret şirketi, e-ticaret sitesi aracılığıyla

kullanıcılara ait kişisel verileri elde etmekte, kaydetmekte, depolamakta, muhafaza

etmekte, değiştirebilmekte veya aktarabilmektedir.

E-ticaret şirketleri, kullanıcıların kimlik, adres, iletişim vb. bilgilerini alarak bu

verileri belli analizlere tabi tutmakta ve kullanıcı/tüketici davranışlarına göre

pazarlama ve reklam faaliyetleri için kullanmaktadır.

E-Ticaret Şirketlerinin KVKK Ve Diğer Mevzuat Kapsamında

Yükümlülükleri Nelerdir?

KVKK veri sahiplerinin haklarını korumak ve kişisel verilerin hukuka aykırı

işlenmesini önlemek amacıyla veri sorumluları için birtakım yükümlülükler

getirmiştir. Bu yükümlülüklere aykırı hareket edilmesi halinde ise ilgili veri

sorumlularına uygulanacak yaptırımlar noktasında idareye geniş bir takdir

yetkisi tanınmış olup, veri sorumlularına uygulanacak yaptırımların asgari

ve azami hadleri belirtilmek suretiyle idari para cezaları öngörülmüştür.

E-ticaret sırasında kişisel verilerin kanuna uygun olarak işlenmesi, amacına

uygun olarak kullanılması, korunması, veri sahibinin onayı olmadan

kullanılmaması ve üçüncü kişilere aktarılmaması sağlanarak topluma ve

tüketicilere kişisel verilerinin korunacağı ve yetkisiz erişimlere karşı

güvende tutulacağı konusunda bir tür güvence oluşturulmaktadır.

E-ticaret şirketlerinin KVKK kapsamında yükümlülükleri aşağıdaki

şekilde sıralanabilir:

Veri Güvenliğine İlişkin Yükümlülükler

KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin

yükümlülükleri kapsamında;

– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

– Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her

türlü teknik ve idari tedbirleri almak zorundadır. Bu çerçevede e-ticaret

şirketi, e-ticaret platformunda elde edilen verilerin güvenliğinin

sağlanması için her türlü idari ve teknik alt yapıyı oluşturmakla

yükümlüdür. Aynı maddenin 5. fıkrasına göre her türlü idari ve teknik

tedbirlerin alınmasına rağmen işlenen kişisel verilerin kanuni olmayan

yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu

durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi

hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir

yöntemle ilan edebilir.

Aydınlatma Yükümlülüğü

Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10.

maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine

Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

(“Tebliğ”) kapsamında usul ve esasları düzenlenen aydınlatma

yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün

yerine getirilmiş olması için, kişisel verileri işlenen kişiler asgari

olarak KVKK’nın 10. maddesinde sayılan unsurlar hakkında aydınlatılmalıdır.

Buna göre veri sorumlusu;

i) Veri sorumlusunun ve varsa temsilcisinin kimliği,

ii) Kişisel verilerin hangi amaçla işleneceği,

iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

v) Kanun’un 11 inci maddede sayılan hakları,

konusunda bilgi vermekle yükümlüdür. KVKK, veri sorumlusu sıfatını

haiz şirketlerin aydınlatma yükümlülüğünü herhangi bir şekil şartına

bağlamamıştır. Tebliğ’in 5. maddesinde işbu aydınlatma yükümlülüğünün

“sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik

ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir.

Öte yandan Tebliğ’in m.5/1-e hükmü uyarınca, işbu aydınlatma

yükümlülüğünün yerine getirildiğine dair ispat mükellefiyetinin veri

sorumlusuna ait olduğu açıkça hükme bağlanmıştır. Dolayısıyla,

yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir,

ancak yazılı yapılması ispat açısından kolaylık sağlayacaktır.

Bu çerçevede, e-ticaret şirketlerinin KVKK’ya uyum sağlamak

için 10. maddede sayılan asgari unsurları içeren bir “aydınlatma

metnini” internet sitelerinde yayımlamaları gerekmektedir. 

Tebliğ’in m. 5/1-ğ hükmü gereğince, “Aydınlatma yükümlülüğü

kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade

bir dil kullanılarak gerçekleştirilmesi gerekmektedir”.

Öte yandan aydınlatma metninin yayınlanması konusunda şirketlerin

farklı uygulamaları da söz konusu olabilmektedir. Veri sahibi aydınlatma

yükümlülüğünü, “Kişisel Verilerin Korunması Politikası” kapsamında,

“Aydınlatma Metni” başlıklı ayrı bir metinde ya da “Gizlilik Politikası”

ile birlikte yayınlayarak yerine getirebilecektir.

Aydınlatma yükümlülüğü açısından bir diğer önemli husus, kullanıcıdan

çeşitli onaylama mekanizmaları aracılığıyla aydınlatıldığına dair

beyanının alınmasıdır. Bu çerçevede örneğin kullanıcıya aydınlatıldığını

 gösterir ve “evet”, “okudum” gibi onay ifadesi içeren tıklama veya

işaretleme şeklinde oluşturulmuş bir onay kutusu sunulması gerekmektedir.

Açık Rıza Alma Yükümlülüğü

Veri sahibinin açık rızasının alınması Kanun gereğince veri

sorumlusunun asli yükümlülükleri arasındadır. Bununla birlikte

KVKK’nın m. 5/2 hükmünde sınırlı olarak sayılan hallerde

kişinin açık rızası aranmamaktadır. Bu çerçevede ayrı bir

değerlendirme yapılması gerekmektedir. E-ticaret şirketlerinin

e-ticaret sitesi üzerinden ürün/hizmet sağlanması sürecinde

kullanıcı ile bir sözleşme akdedilip akdedilmediği değerlendirilmeli

ve sözleşmenin varlığı durumunda, açık rıza aranmamalıdır.

Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş

olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır.

Ancak böyle bir istisnanın yokluğunda, tüketicinin açık rızasının

alınması gerekmektedir. Açık rızanın alınması için kullanıcının

iradesini açık bir şekilde ortaya koymasını sağlayacak “evet”,

“kabul ediyorum” gibi onay ifade eden tıklama veya işaretleme

şeklinde bir yöntem olabileceği gibi farklı yöntemlerin kullanılması

da mümkündür. Burada aydınlatma yükümlüğünün yerine getirilmesine

ve açık rızanın alınmasına ilişkin onayların ayrı ayrı alındığına dikkat

çekmek gerekmektedir. Bu durum, Tebliğ’ in 5/1-f maddesinde yer alan

“Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak

gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması

işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünden

kaynaklanmaktadır. Öte yandan ifade etmek gerekir ki sayılan istisnalar

kapsamındaki veri işleme faaliyetleri dahi veri sorumlusunun

yükümlülüklerinin ortadan kaldırmamaktadır. Veri sorumlusu

e-ticaret şirketinin söz konusu istisnaların varlığında dahi aydınlatma

yükümlülüğünü yerine getirmesi gerekmektedir.

Gizlilik Ve Çerez Politikası Yükümlülükleri

E-ticaret şirketinin ilgili e-ticaret sitesinde, siteyi kullanan müşterinin

hangi tür bilgilerinin alındığı, nasıl kullanılacağı ve korunacağı

konusunda verilerin korunması ile doğrudan bağlantılı bir gizlilik

politikası oluşturması da gerekmektedir.

Tüketicilerden bilgiler aktif bir şekilde üyelik oluşturarak alınabileceği

gibi çerezler (cookies) yoluyla pasif olarak da elde edilebilmektedir.

Üyelik oluşturulması sırasında elde edilen veriler, Kanun’daki kişisel

veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir.

Ancak çerez yönteminde, tüketicinin siteyi nasıl kullandığı,

IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler

elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi

mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili

veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir.

Dolayısıyla e-ticaret şirketlerinin gizlilik politikalarında kullandıkları

çerez yöntemlerini kullanıcılar ile paylaşmaları; veri sahibinden,

“evet”, “kabul ediyorum” gibi onay verici bir ifade ve tıklama veya

işaretleme gibi bir yöntemle onay almaları gerekmektedir.  Aksi takdirde,

e-ticaret şirketlerinin tüketicinin rızası ile işleyebilecekleri bilgileri rıza

olmaksızın işlemeleri söz konusu olabilmektedir.

E-ticaret şirketlerinin gizlilik ve çerez politikalarını farklı yöntemlerle

internet sitelerine yansıtmaları söz konusu olabilecektir. Bu çerçevede,

çerez politikaları, aydınlatma metni içinde veya tüm politikalar ortak

bir metinde yer alabilecektir.

Veri Sorumluları Siciline Kaydolma Yükümlülüğü

KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince,

veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde

aleni olarak tutulan ve sicile kayıt yükümlülüğü olan veri sorumlularının

veri işlemeye başlamadan önce kendilerini kayıt ettirecekleri bir sicil

olarak tanımlanmıştır. Veri sorumlusu olan e-ticaret şirketleri,

Kanunun 16. maddesi gereğince Kurul tarafından belirlenen istisnalar

kapsamında olmamak kaydıyla Veri Sorumluları Sicili (VERBİS)’ne

kaydolmakla yükümlüdür. Veri sorumlusu e-ticaret şirketi, aşağıdaki

hususları içeren bir bildirimle Veri Sorumluları Siciline başvurabilecektir:

• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
• Kişisel verilerin hangi amaçla işleneceği.
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
• Yabancı ülkelere aktarımı öngörülen kişisel veriler.
• Kişisel veri güvenliğine ilişkin alınan tedbirler.
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.