Mobile logo
Top

E-Ticaret Şirketleri Kişisel Verileri İşlerken Nelere Dikkat Etmelidir?

Bilgi Bankası Nasıl? Veri Koruma Yazı

E-Ticaret Şirketleri Kişisel Verileri İşlerken Nelere Dikkat Etmelidir?

Her ne kadar ülkemizde geçmişi çok eskiye dayanmasa da; kişisel verilerin korunması hukuku, e-ticaret alanında faaliyet gösteren şirketlerin en çok dikkat etmesi gereken alanların başında geliyor. Zira e-ticaret şirketleri müşterilerinin ve tüketicilerin kimlik, adres ve iletişim bilgilerini almakta hatta big data ve yapay zeka araçlarıyla müşterilerini analiz etmekte, sınıflandırmakta ve buna göre yeni stratejiler belirlemekte. Benzer şekilde, özellikle ticaret hacminin artması ile birlikte birçok personel istihdam edilmekte / freelancer’lar ile çalışılmakta ve ister istemez bunların da kişisel verileri işlenmekte. Bunlar göz önüne alındığında e-ticaret şirketlerinin Kişisel Verileri Koruma Kurumu’nun öncelikli olarak denetleyeceği işletmelerin başında olacağı öngörülmektedir.

Her ne kadar kişisel verileri işlemek yasak olmasa da; bunların kişisel verilerin korunması hukukuna uygun şekilde işlenmemesi halinde 6 yıla varan hapis cezalarına, milyonlarca TL’lik idari para cezalarına ve tazminatlara maruz kalınabilecektir. Bu noktada sayılan yaptırımlarla karşılaşmamak için e-ticaret şirketlerinin riayet etmesi gereken başlıca yükümlülükler aşağıdaki şekilde sıralanabilir:

Alınması gereken bu tedbirler yazının devamında daha detaylı şekilde açıklanacaktır.

Bunlara Bütün E-Ticaret Şirketleri Uymalı mı?

Evet. Zira e-ticaret alanında faaliyet gösteren bütün şirketler kişisel veri işlemekte ve dolayısıyla kişisel verilerin korunması hukuku kapsamına girmektedir. Bu noktada kapsam ve yükümlülüklerin daha iyi anlaşılabilmesi için öncelikle birkaç temel kavramı tanımlayalım:

Kişisel veri: Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü veridir. Dolayısıyla personelin TC kimlik numarası kişisel veri iken müşterinin cep telefonu numarası, fotoğrafı  veya hangi üyenin hangi kıyafeti incelediğine ilişkin bilgi de kişisel veridir. Bu kapsamda kişisel verinin hangi bilgileri kapsadığına ilişkin daha detaylı bilgi için “Kişisel Veri Nedir” başlıklı yazımızı inceleyebilirsiniz.

Kişisel verilerin işlenmesiÇok fazla detaya girmeden açıklamak gerekirse veri işlemek, tamamen veya kısmen otomatik yollarla veya bir veri kayıt sisteminin parçası olmak koşuluyla otomatik olmayan yollarla veri üzerinde gerçekleştirilen her türlü faaliyettir.

Dolayısıyla genel kanaatin aksine bir faaliyetin veri işleme sayılması için, kişisel veriler üzerinde derin tahlil ve analizler yapılması gerekmiyor olup personelin özlük dosyasını tutmak veya müşterilerin mail adreslerini sadece toplamak dahi bir veri işleme faaliyetidir.

Bu yüzden e-ticaret şirketlerinin kişisel veri işlediğine dair herhangi bir şüphe bulunmamalıdır. Veri işlemeye dair daha detaylı bilgi edinmek için “Kişisel Verilerin İşlenmesi Nedir?” başlıklı yazımızı inceleyebilirsiniz.

 E-Ticaret Şirketlerinin Yükümlülükleri Nelerdir?

1) Veri Sorumluları Siciline Kaydolmak

Genel kural olarak tüm veri sorumluları (E-ticaret şirketleri veri sorumlusudur, veri sorumlusu ile ilgili daha detaylı bilgi için tıklayınız), Veri Sorumluları Sicili’ne kaydolmakla mükelleftir. Bu kapsamda e-ticaret şirketlerinin Sicile kaydolabilmek için bir kişisel veri işleme envanteri oluşturması, irtibat kişisi belirlemesi zorunludur. Kayıt yükümlülüğe uyulmaması halinde e-ticaret şirketlerine 1.000.000 TL’ye kadar idari para cezasına hükmedilebilecek olup daha detaylı bilgi için Veri Sorumluları SiciliKişisel Veri İşleme Envanteri ve İrtibat Kişisinin Sorumlulukları Nelerdir başlıklı yazılarımızı inceleyebilirsiniz.

(Not: Kişisel Verileri Koruma Kurulu Veri Sorumluları Sicili’ne kayıt zorunluluğuna yönelik birtakım istisnalar getirebilecek olmakla birlikte birçok e-ticaret şirketinin sorumluluktan muaf tutulmayacakları kanaatindeyiz.)

2) Açık Rıza Almak veya Diğer Veri İşleme Şartlarına Sahip Olmak

Kişisel verilerin işlenebilmesi için 6698 sayılı Kanun’un 5. maddesinde ortaya konulan veri işleme şartlarından en az birinin mevcudiyeti şarttır. İşleme faaliyetlerinde kural, veri sahibinin açık rızasının alınmasıdır. Ancak Kanunveri sahibinin kendi bilgilerini alenileştirmesi, yasal yükümlülüklerin yerine getirilmesi veya fiili imkansızlık gibi bazı istisnai hallerde veri sahibinin açık rızasını aramamaktadır. (Açık rızanın gerekmediği istisnai haller için tıklayınız)

Konuya e-ticaret şirketleri açısından bakılacak olursa, elbette söz konusu şirketlerin veri işleme faaliyetlerinde açık rızanın gerekmediği haller mevcut olacaktır. Örneğin, mesafeli satış sözleşmesinden doğan teslim yükümlülüğünün yerine getirilebilmesi için alıcının adresinin işlenmesi halinde onaya gerek bulunmaz.

Ancak e-ticaret şirketlerinin müşterileri ve web sitesi kullanıcıları hakkında profilleme faaliyetleri yürüttüğü, kullanıcıların tarayıcılarına çerezler yerleştirdiği, kimi zaman üçüncü kişilerden pazarlama listeleri temin ettiği, bireylere sıklıkla elektronik ticari ileti gönderdiği göz önüne alınırsa veri işleme faaliyetlerinin çoğunluğunu pazarlama amacıyla gerçekleştirdiği ortaya çıkacaktır. Pazarlama amacıyla gerçekleştirilen veri işleme faaliyetlerinde açık rıza alınmasının zorunlu olduğu gerek Türk hukukunda gerekse Avrupa Birliği hukukunda ifade edilmektedir. E-ticaret şirketlerinin elektronik pazarlamada dikkat etmesi gereken hususlara ilişkin detaylı bilgi için tıklayınız.

Kanun’da yer alan istisnai veri işleme şartlarının bulunmadığı ve veri sahibinin açık rızasının alınmadığı hallerde e-ticaret şirketinin kişisel verileri hukuka aykırı olarak işlemesi muhtemel olup sorumlular hakkında 4.5 yıla kadar hapis cezasına hükmedilme olasılığı mevcuttur.

Dolayısıyla e-ticaret şirketlerinin hangi faaliyetlerinde açık rızaya ihtiyaç bulunduğu dikkatli bir şekilde tespit edilmeli ve veri sahiplerinden Kanun’a uygun açık rızaları alınmalıdır. Konuyla ilgili daha detaylı bilgi için Açık Rıza Nedir? başlıklı yazımızı inceleyebilirsiniz.

3) Veri Sahibinin Aydınlatılması

Her ne kadar veri sahibinden açık rıza alınsa veya (kanuni gereklilik gibi) diğer veri işleme şartlarından birine sahip olunsa da bunlar tek başına yeterli olmayıp veri sahipleri, kişisel veriler işlenmeye başlanmadan önce veya en geç veri işleme esnasında Kanun’da düzenlenen asgari konuları kapsayacak biçimde aydınlatılmalıdır. Bu kapsamda örneğin müşterilerinin adreslerini belirli bir süre boyunca bulutta tutacak bir e-ticaret şirketi henüz verileri elde etmeden önce veri sahibinin haklarını, veri işleme amacını, verilerin hangi amaçla kimlere aktarılacağı gibi hususlarda müşteriyi bilgilendirmekle mükelleftir.

Bu yükümlülüğe uyulmaması halinde Kurul, ilgili e-ticaret şirketi hakkında 100.000 TL’ye kadar idari para cezasına hükmedebilecektir. 

Veri sahibinin aydınlatılması ile ilgili daha detaylı bilgi için Aydınlatma Yükümlülüğü Nedir? başlıklı yazımızı inceleyebilirsiniz.

4) Veri İşleme Amacı Ortadan Kalktığında Silme, Yok Etme ya da Anonimleştirme

E-ticaret şirketleri kural olarak, hukuka uygun şekilde elde ettikleri hatta işlemeden önce gerekli aydınlatma yükümlülüklerini de yerine getirdikleri kişisel verileri, bütün işlenme amaçları ortadan kalktıktan sonra silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Yine benzer şekilde şirketlerin kişisel veri saklama ve imha politikası oluşturması ve veri imha periyotları belirlemesi yasal zorunluluktur. Bu kapsamda bir e-ticaret şirketi, zamanında elde etmiş olduğu müşteri mail adreslerini artık herhangi bir gereklilik bulunmamasına rağmen “ilerde lazım olur” şeklindeki bir düşünce ile tutamayacaktır.

Aksi takdirde faaliyet TCK’da sayılan kişisel verileri yok etmeme suçu teşkil edecek olup sorumlular hakkında 1 yıla kadar hapis cezasına hükmedilebilecektir. 

Anonimleştirme ile ilgili daha detaylı bilgi için Kişisel Verilerin Anonim Hale Getirilmesi başlıklı yazımızı inceleyebilirsiniz.

5) Kişisel Verileri Hukuka Uygun Şekilde Aktarma

E-ticaret şirketleri, hukuka uygun şekilde elde etmiş oldukları kişisel verileri üçüncü kişilere aktarmak için 6698 sayılı Kanun’da yurt içinde ve yurt dışına aktarım için ayrı ayrı düzenlenen şartlara uymak zorundadır. Dolayısıyla bir e-ticaret şirketinin kişisel verileri içeren veritabanlarını (başka bir şirketin hâkimiyetindeki) buluta yüklemesi üçüncü kişiye aktarımdır.

Eğer ilgili sunucular yurt dışında ise bu faaliyet yurt dışına aktarım teşkil edecek ve hatta sunucunun bulunduğu ülkenin güvenli ülke olarak ilan edilmemesi halinde Kişisel Verileri Koruma Kurulu’nun izni gerekecektir. 

Benzer şekilde müşteri veri tabanların bir pazarlama listesi olarak üçüncü kişilere temin edilmesi için de Kanun’da yer alan şartlara uyulması zaruridir. Zira kişisel verilerin hukuka aykırı şekilde aktarılması ve elde edilmesi halinde sorumlular hakkında Türk Ceza Kanunu uyarınca 6 yıla kadar hapis cezasına hükmedilmesi gündeme gelecektir.

Detaylı bilgi için Kişisel Verilerin Aktarılması, Kişisel Verileri Yurt Dışına Aktarmak ve İşletmelerin Pazarlama Listeleri Satması başlıklı yazıları inceleyebilirsiniz.

6) Veri Güvenliğine İlişkin Gerekli Tedbirleri Alma

E-ticaret şirketleri kişisel verilerin gerek dijital gerekse de fiziki ortamdaki güvenliğini sağlamak için her türlü teknik ve idari tedbiri almakla mükelleftir.

Örneğin kişisel verileri kendi bünyesindeki bir sunucuda barındıran bir B2B şirketi gerekli teknik ve idari tedbirleri almak zorunda iken aynı zamanda kişisel verileri ayrı bir bulut platformunda barındıran C2C şirketi (her ne kadar kendi yönetiminde olmasa da) veri sorumlusu ile veri işleyenin müteselsil sorumluluğu kuralı gereği bulut platformunun güvenliğinden de sorumludur. 

Bu hususta doğabilecek bir zafiyette Kişisel Verileri Koruma Kurulu tarafından 1.000.000 TL’ye kadar idari para cezasına hükmedilebileceği gibi zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı gündeme gelecektir. Konuyla ilgili daha detaylı bilgi için Bulut Seçiminde Dikkat Edilmesi Gerekenler ve Verileri Dijital Ortamda Tutmak başlıklı yazıları inceleyebilirsiniz.

7) Veri Sahiplerinin Taleplerini Sonuçlandırma

E-ticaret şirketleri, kişisel verilerini işlediği personelin, müşterilerin ve tüketicilerin bilgi taleplerini ve şikâyetlerini en kısa sürede ve en geç 30 gün içinde sonuçlandırmak zorundadır. Aksi takdirde veri sahiplerinin (yani kişisel verisi işlenen tüketici, müşteri veya personelinKurul’a şikâyet hakkı doğacak olup şirket Kurul’un denetimine maruz kalabilecektir. Bu kapsamda kişisel verilerin korunmasıyla ilgili gelebilecek bilgi talepleri ve şikâyetlere karşı e-ticaret şirketlerine etkin bir cevap mekanizması oluşturmaları tavsiye edilmektedir. Konuyla ilgili daha detaylı bilgi için “Veri Sahibinin Hakları Nelerdir?” başlıklı yazımızı inceleyebilirsiniz.

8) Kişisel Verileri Genel İlkelere Uygun İşlemek

Yukarıda sayılan bütün usul ve tedbirlere ilave olarak e-ticaret şirketleri kişisel verileri işleme faaliyetlerinde genel ilkelere riayet etmekle mükelleftir. Bu kapsamda e-ticaret şirketleri kişisel verileri işlerken hukuka ve dürüstlük kuralına uygun davranma, kişisel verileri belirli meşru ve açık amaçlarla işleme, veri işlemede sınırlı ve ölçülülük ilkesine bağlı olma gibi birçok ilkeye uygun hareket etmelidir.

Dolayısıyla örneğin e-ticaret şirketleri gerekli değilse müşterilerinin araç kullanıp kullanmadığına ilişkin bilgi talep edemeyecek veya müşterilerinin memleketine göre değişken fiyat sunamayacaktır.

Genel ilkelere ilişkin daha detaylı bilgi için Açık Rıza Sınırsız Özgürlük Verir mi? başlıklı yazımızı inceleyebilirsiniz.

Bu Tedbirler Fazla mı Abartılı?

Kişisel verilerin korunması hukukunun ülkemizde uzun bir geçmişinin bulunmamasının da etkisiyle ilk bakışta Kanun’un emrettiği tüm bu tedbirler gereksiz derecede abartılı bulunabilmektedir. Belirtmeliyiz ki bu alanda uzman ve deneyimli bir ekipten destek alınması halinde bu yükümlülükler ticari işleyişi aksatmadan oldukça pratik şekilde uygulanabilecektir. Hukukun kişisel verileri korumaya neden bu kadar önem verdiğine ilişkin fikir vermesi adına “Hukuk Neden Kişisel Verileri Koruyor?” başlıklı yazımızı inceleyebilirsiniz.

Toparlamak gerekirse; kişisel verilerin korunması hukuku hukukumuzda oldukça yeni bir alan olup başta e-ticaret şirketleri olmak üzere birçok şirkete önemli görevler yüklemekte ve büyük bir değişimi zorunlu kılmaktadır. Yukarıda sadece başlıcaları sayılmış olmakla birlikte; bu yükümlülüklere uyulmaması halinde 6 yıla varan hapis cezalarına, milyonlarca TL’ye varan idari para cezalarına ve tazminatlara hükmedilebilecek olup e-ticaret şirketlerinin bu yükümlülüklere uyması büyük önem arz etmektedir

19 Şubat 2018
0
0
e-ticaret online satış
Related Posts
SECURITY vs. FREEDOM: THE FIGHT OVER ENCRYPTION
 20 Mart 2023
ICO Accepted a Pet’s Name As Its Handlers Personal Data
 25 Şubat 2023
BİNLERCE İNTERNET SİTESİ DAHA KAYDET TUŞUNA BASMADAN GİRDİĞİNİZ VERİLERİ TOPLUYOR
 17 Mayıs 2022
Oğuz Yavuz
Oğuz Yavuz
Yorum Bulunmuyor

Yorum Yapın