24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki düzenlemeler doğrultusunda Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu kapsamda, Veri Sorumlusu sıfatını haiz e-ticaret şirketleri elde ettiği verilerle ilgili gerçekleştirdiği faaliyetlerden sorumlu tutulmaktadır.

KVKK ile kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gereken usul ve esaslar düzenlenmiştir. Bunlardan e-ticaret şirketlerinin de yerine getirmesi gereken yükümlülüklerden belki de en önemlisi 10. Maddede düzenlenen aydınlatma yükümlülüğüdür.

Konu ile ilgili Kişisel Verilerin Korunması Kurulu’nun Bir E-ticaret Şirketinin Aydınlatma Yükümlülüğü Yerine Getirmemesi Sebebiyle 27.02.2020 Tarihli 2020/173 Numaralı Kararı Şu Şekildedir:

‘’Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.[1]’’

Aydınlatma yükümlülüğünün eksiksiz olarak yerine getirilebilmesi için ilgili kişi, KVKK m. 10’da belirtilen hususlara dair eksiksiz olarakbilgilendirilmelidir. İlgili kişiye karşı aydınlatma yükümlülüğü yerine getirilirken yukarıda sayılan hususlardan birinin yer almaması halinde aydınlatma yükümlülüğü yerine getirilmiş sayılmaz. Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi mümkündür. Genellikle e-ticaret faaliyeti icra eden şirketler bu yükümlülüklerini internet sitelerinde aydınlatma metni yayımlayarak yerine getirmektedir.

Hukuki Sebebin Belirlenmesi ve Açık Rıza

Açık rıza yükümlülüğü KVKK’nın 5. Maddesinde düzenlenmiştir. Buna göre, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Dolayısıyla kural olarak açık rıza alınmaksızın herhangi bir kişisel veri işlenmesi mümkün değildir. Ancak aynı maddenin devamında e-ticaret şirketlerini yakından ilgilendiren birtakım istisnalar yer almaktadır. 5. Maddenin 2. Fıkrasının c bendinde şu istisnai hüküm yer almaktadır: 

• “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” 

Buna binaen e-ticaret sitesinin icra etmekte olduğu faaliyetler kapsamında ilgili kişi ile aralarında akdedilecek bir sözleşmeye istinaden, işlenmesi gerekli olan kişisel veriler açık rıza yükümlülüğü kapsamına girmemektedir. Dolayısıyla işbu veriler veri sorumlusunca ilgili kişilerden açık rıza alınmaksızın işlenebilecektir. Ancak sözleşme kurulması veya ifasıyla doğrudan ilgili olmayan ilgili kişilere ait veriler bakımından kural olarak açık rıza alınması gerektiği unutulmamalıdır.

Çerez Politikası Yükümlülüğü

Çerezler, internet sitesini ziyaret eden kullanıcıların tercihlerine dayalı olarak site içeriğini ziyaretçiler için bireyselleştirmeyi sağlayan dosyalardır. Çerez kullanımı açısından ilgili kişiye yapılacak olan bilgilendirme, ilgili kişinin web sitesini ziyareti ile birlikte aynı anda yapılmalıdır. Böylece aydınlatma yükümlülüğü, en geç kişisel verilerin işlenmesi sırasında yerine getirilmiş olacaktır.

Kullanıcı bilgilendirilirken; hangi çerezlerin ne amaçla kullanılacağı hususlarının açıklanması gerekmektedir. Kullanıcılar, çerezlerin kendi cihazlarında saklanacağına dair bilgilendirilmelidir. Bilgilendirme yapılırken, çerezlerin kullanılma yöntemi ve kullanıcının reddetme imkânı olabildiğince kullanıcı dostu olmalıdır.

Ayrıca, çerez faaliyetlerinin herkesin anlayacağı bir anlatımla açıklanması konusunda özen gösterilmelidir. Sitede kullanılan bütün çerezleri gösteren uzun tablolarda veya detaylı listelerde kullanıcıların dikkate almak isteyeceği türden bilgiler bulunmalıdır.

Güvenliği Sağlama Yükümlülüğü

Veri sorumlusunun bir diğer önemli yükümlülüğü işlenen kişisel verilerin güvenliğini sağlama yükümlülüğüdür. Veri güvenliğine ilişkin yükümlülükler KVKK m. 12’de düzenlenmiştir. Veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Kişisel Verilerin Korunması Kurulu’nun Bir E-ticaret Şirketinin Veri Güvenliğini Sağlamaya Yönelik Gerekli Teknik ve İdari Tedbirleri Almaması Gerekçesiyle Vermiş Olduğu 17.09.2020 Tarihli 2020/715 Numaralı Kararı:

’’Veri sorumlusu tarafından her ne kadar bahsi geçen e-posta adreslerinin ve şifrelerinin internet sitesi üzerinden ele geçirilmediği ve ihlalden etkilenen herhangi bir kimlik, iletişim veya müşteri işlem bilgisinin bulunmadığı belirtilse de ilgili kişilerin hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin bozulduğu ve söz konusu durumun da veri ihlali oluşturduğu,

Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının veri ihlalinden sonra sınırlandırıldığı, bahsi geçen sınırlandırma tedbirini önceden almış olması halinde internet ortamında sıkça rastlanan saldırı neticesinde ihlalin gerçekleşmesinin önlenebileceği ya da ihlalin etkisinin azaltılabileceği, bunun da veri sorumlusunun veri ihlali öncesinde veri güvenliğini sağlamaya yönelik alması gereken teknik tedbirleri yeterli ve gerekli düzeyde almadığının göstergesi olduğu,

değerlendirmelerinden hareketle; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına karar verilmiştir.[2]’’

Veri Sorumluları Siciline Kaydolma Yükümlülüğü

KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince, veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan ve sicile kayıt yükümlülüğü olan veri sorumlularının veri işlemeye başlamadan önce kendilerini kayıt ettirecekleri bir sicil olarak tanımlanmıştır. Veri sorumlusu olan e-ticaret şirketinin, Veri Sorumluları Sicili (VERBİS)’ne kaydolması zorunludur. Veri sorumlusu e-ticaret şirketi, aşağıdaki hususları içeren bir bildirimle Veri Sorumluları Siciline başvurabilecektir.

Sonuç olarak, hızla gelişen e-ticaret sektöründe KVKK hükümleri büyük önem taşımaktadır. E-ticaret sitesinin niteliği ve sunmuş olduğu hizmetler her somut olay bakımından farklılıklar içermekte olup veri sorumlusu olan e-ticaret sitelerinin yükümlülükleri de farklılık gösterebilecektir. Özellikle üyelik özelliğinin olup olmaması, e-ticaret sitesinin Pazar yeri olarak kurgulanıp kurgulanmadığı, yurtdışına aktarım gibi KVKK bakımından özellik arz eden durumların öncelikle incelenmesi gerekmektedir. Bu bakımlardan veri sorumlusunun herhangi bir yükümlülüğünü yerine getirmemesi veya ihmal etmesi sonucunda KVKK 18.maddeye göre idari para cezalarının uygulanmakta olduğu unutulmamalıdır.

[1] Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 27.02.2020 Tarihli 2020/173 K. Numaralı https://kvkk.gov.tr/Icerik/6739/2020-173

Erişim Tarihi:02.09.2020

[2] Bir e-ticaret şirketinin veri ihlal bildirimi Hk. https://kvkk.gov.tr/Icerik/7017/2020-715

Erişim Tarihi:02.09.2021