banner29

29.06.2021, 16:57

E-TİCARET ŞİRKETLERİNİN KVKK YÜKÜMLÜLÜKLERİ VE 1 MİLYON 200 BİN LİRALIK CEZA


KVKK yani Kişisel Verilerin Korunması Kanunu, kişisel verilerin nasıl korunacağı yönünde çerçeveleri düzenleyen ve kişisel verilerle ilgilenen, kişisel verileri işleyen kurum, kuruluş ve kişilerin uyması gerekli olan yükümlülükleri ana hatlarıyla çizen ilk yasal düzenlememizdir. Özellikle yaşamış olduğumuz salgın nedeniyle alışveriş kültürümüz tamamen değişikliğe uğramış böylelikle alışveriş için elde edinilen ya da kampanyalarda toplanılan kişisel veriler hususunda e-ticaret şirketleri de birer veri sorumlusu haline gelmiştir.

E-ticaret ve/veya E-İhracat faaliyetinde bulunabilmek için ise e-ticaret şirketi kurulması zorunludur. Bu şirketler, bir şahıs şirketi olabileceği gibi sermaye şirketi niteliğinde kurulabilirler. E-ticaret şirketleri faaliyetlerini, internet siteleri aracılığıyla gerçekleştirirlerken sitede görüntülenen ürünlerin ödemelerini, sitenin sahip olduğu alt yapı hizmetiyle sağlarlar. Bu ticari alt yapı doğrudan şirketin sahip olduğu bir sistem veya site üzerinden olabileceği gibi aracı konumunda bulunan pazaryerleri aracılığı ile de yapılabiliyor. Bu itibarla bu şirketlerin mahiyeti, ödeme sisteminde kullandıkları altyapı veya aracı kullanıp kullanmadıkları hususu ne olursa olsun KVKK kapsamındaki yükümlülükleri gündeme gelecektir.
“Elektronik Ticarete İlişkin Esas ve Usulleri” düzenleyen 23.10.2014 tarihli ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 10. maddesine göre e-ticaret şirketleri “….yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur.

Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.” hükmü ile açıkça e-ticaret şirketi objektif özen yükümlülüğü ile elde edilen verilerin saklanması ve güvenliğinden doğrudan sorumludurlar. Aynı kanun devamında e-ticaret şirketinin yapmış olduğu işlemler ve sunmuş olduğu hizmetler nedeniyle elde ettiği kişisel verileri üçüncü kişilere aktarılabilmesi, yetkisiz kişilerle paylaşılmaması veya bunları başka amaçlarla kullanabilmesi için doğrudan veri sahibinden onay alması büyük önem taşımaktadır.

Aksi halde E- ticaret şirketleri hukuki ve cezai sorumluluk ile karşı karşıya kalacaklardır.


E-ticaret şirketlerinde genellikle veri sahiplerinin; ad, soyad, adres, telefon, TC kimlik numarası, ödeme bilgileri, ilgi alanları gibi bilgiler doğrudan alışveriş sırasında ya da site üzerinden üyelik oluşturma esnasında istenilebilmektedir. Kullanıcıların e-ticaret sitelerini ziyaretleri sırasında çerezler vasıtasıyla da görüntülenen sayfa sayısı, ziyaret süresi, site gezinme alışkanlıkları, lokasyon, IP, zaman bilgisi gibi kişi ile eşleştirilebilecek bilgiler toplanmakta ve ilgili sayfa kapatılsa dahi yine tarayıcıya atanmış olan çerezler sayesinde kullanıcı izlenmeye devam edilmektedir.

Burada ayrıca ve önemle belirtmek gerekir ki sitelerde gösterilen çerez politikası değil çerezler onaylanır. Bu çerezlerin neler olduğu, hangilerinin zorunlu olarak alınması gereken çerezlerden olduğu ya da hangilerinin alternatif çerezler olduğu açıkça belirtilmelidir. Keza site kapanmış olsa bile tarayıcıya atanmış olan çerezler sayesinde kullanıcı hâlihazırda izlenilebilecektir.


E-ticaret şirketlerinde veri sorumlusu, elektronik ticari faaliyette bulunan hizmet sağlayıcı yani e-ticaret şirketinin kendisidir. Bu itibarla veri sorumlusu olan e-ticaret şirketi, veri sahiplerini aydınlatma yükümlülüğüne tabidir. E-ticaret şirketinin ilgili kanun gereğince aydınlatma yükümlülüğünün eksiksiz olarak yerine getirilmiş olması için, kişisel verileri işlenen kişiler, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi şüpheye yer vermeyecek şekilde açık olmalıdır.

Bununla birlikte e-ticaret sitelerinin; Veri güvenliğine ilişkin idari ( Kişisel Veri İşleme Envanterinin Hazırlanması, Kurumsal Politikalar (erişim, bilgi güvenliği, kullanım, saklama, imha vb.), sözleşmeler (veri sorumlusu – veri sorumlusu arasında, veri sorumlusu – veri işleyen arasında), gizlilik taahhütnameleri, risk analizleri iş sözleşmesi, disiplin yönetmenliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgiyi kişiyi bilgilendirme süreçleri, itibar yönetimi vb.), eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun) ve teknik tedbirleri (siber güvenliğin sağlanması, kişisel veri güvenliğinin takibinin yapılması, bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması vb.) almaları, herhangi bir veri ihlali olduğunda bu ihlali kurula derhal veya 72 saat içerisinde bildirmeleri, veri sorumluları siciline kaydolmaları ve veri sorumlularının başvurularına süresinde cevap vermeleri büyük önem taşımaktadır.

Örneğin Kişisel Verileri Koruma Kurulu’nun Amazon Türkiye hakkında vermiş olduğu kararda; kişisel verilerin işlenmesi alanında birçok konu başlığına yer verildiği ve yine Kurul tarafından verilen kararların 6698 sayılı Kanun’un uygulanması bakımından önemli konulara daha detaylı ifadeler içermektedir. Buna göre ticari ileti gönderimi için alınan onaya ek olarak kişisel verilerin bu anlamda işleme faaliyetine tabi tutulabilmesi için ilgili kişilerden açık rıza alınmamış, “açık rızanın hizmet şartına bağlanması” nın açık rızayı sakatlayacağından bahisle hukuka aykırı şekilde işlendiğini bu sebeple de hukuka aykırı bir veri işleme faaliyeti olduğunun altı çizilmiştir.

Aynı karar devamında web sitesine üyelik esnasında talep edilen verilerin Kanun’un 4. maddesinde yer alan amaçla bağlantılı olma ve ölçülülük ilkesine uygun şekilde toplanması gerektiği, bu kapsamda veri işleme amacıyla bağlantılı olmayan verilerin açık rıza ile hukuka uygun olarak toplandığı gerekçesiyle Amazon’un veri işleme faaliyetinde Kanun’un genel ilkelere aykırılık nedeniyle hukuka aykırı veri işlendiği karar bağlanmıştır.

Tüm bunlar ışığında Amazon’a 1 milyon 200 bin lira idari para cezası uygulanmıştır. Bu itibarla özellikle elektronik ortamda veri işleme faaliyeti gerçekleştiren veri sorumlularının, Kanun’da yer alan tüm madde hükümlerine uygun hareket etmesi gerektiği aksi halde yüksek idari para cezalarına maruz kalınabileceği görülmektedir.


Özetle; günümüze çok hızlı bir gelişim gösteren e-ticaret, büyük küçük her ölçekteki işletmenin ilgi odağı haline gelmiştir. Bu kapsamda e-ticaret şirketlerinin çok sayıda kullanıcının ya da tüketicinin kişisel verilerini işleme faaliyetlerine ilişkin yasal yükümlülükleri eksiksiz yerine getirmeleri büyük önem taşımaktadır.
av.adadengiz@gmail.com

Yorumlar (0)
17
açık
Günün Anketi Tümü
Sitemizden memnun musunuz?
Sitemizden memnun musunuz?
Namaz Vakti 29 Eylül 2021
İmsak 04:58
Güneş 06:17
Öğle 12:26
İkindi 15:47
Akşam 18:25
Yatsı 19:39
Puan Durumu
Takımlar O P
1. Fenerbahçe 7 16
2. Trabzonspor 7 15
3. Altay 7 15
4. Beşiktaş 7 14
5. Hatayspor 7 13
6. Konyaspor 7 13
7. Alanyaspor 7 13
8. Kayserispor 7 11
9. Karagümrük 7 11
10. Galatasaray 7 11
11. Sivasspor 7 9
12. Adana Demirspor 7 9
13. Antalyaspor 7 8
14. Gaziantep FK 7 8
15. Başakşehir 7 6
16. Kasımpaşa 7 6
17. Öznur Kablo Yeni Malatya 7 6
18. Göztepe 7 5
19. Giresunspor 7 2
20. Rizespor 7 1
Takımlar O P
1. Ümraniye 7 19
2. Ankaragücü 7 15
3. Erzurumspor 7 15
4. Eyüpspor 7 13
5. Bandırmaspor 7 12
6. Tuzlaspor 6 11
7. Samsunspor 6 10
8. Kocaelispor 6 10
9. Manisa FK 7 9
10. Menemenspor 7 8
11. Gençlerbirliği 7 8
12. Boluspor 6 7
13. İstanbulspor 6 7
14. Altınordu 7 7
15. Adanaspor 7 6
16. Denizlispor 7 6
17. Balıkesirspor 6 6
18. Bursaspor 7 5
19. Ankara Keçiörengücü 6 4
Takımlar O P
1. Liverpool 6 14
2. Man City 6 13
3. Chelsea 6 13
4. M. United 6 13
5. Everton 6 13
6. Brighton 6 13
7. West Ham 6 11
8. Aston Villa 6 10
9. Brentford 6 9
10. Arsenal 6 9
11. Tottenham 6 9
12. Watford 6 7
13. Leicester City 6 7
14. Wolverhampton 6 6
15. Crystal Palace 6 6
16. Southampton 6 4
17. Newcastle 6 3
18. Leeds United 6 3
19. Burnley 6 2
20. Norwich City 6 0
Takımlar O P
1. Real Madrid 7 17
2. Real Sociedad 7 16
3. Sevilla 6 14
4. Atletico Madrid 7 14
5. Rayo Vallecano 7 13
6. Barcelona 6 12
7. Real Betis 7 12
8. Valencia 7 11
9. Osasuna 7 11
10. Athletic Bilbao 7 10
11. Villarreal 6 8
12. Mallorca 7 8
13. Celta de Vigo 7 7
14. Espanyol 7 6
15. Cádiz 7 6
16. Elche 7 6
17. Levante 7 4
18. Granada 7 3
19. Deportivo Alaves 6 3
20. Getafe 7 0