Anasayfa/ Makale/ Aracı Hizmet Sağlayıcıların KVKK Kapsamındaki Yükümlülükleri

Aracı Hizmet Sağlayıcıların KVKK Kapsamındaki Yükümlülükleri

Elektronik ticaret pazar yerlerinde faaliyet gösteren aracı hizmet sağlayıcılar, veri sorumlusu sıfatıyla KVKK kapsamında önemli yükümlülüklere tabidir. Bu makalede, aracı hizmet sağlayıcıların aydınlatma, veri güvenliğini sağlama ve Veri Sorumluları Siciline kayıt yükümlülükleri hukuki bir perspektifle detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK HUKUKA AYKIRILIK AYDINLATMA YÜKÜMLÜLÜĞÜ

Elektronik ticaret pazar yerlerinin yaygınlaşmasıyla birlikte, bu platformları işleten aracı hizmet sağlayıcıların tüketici verilerini işlemesi kaçınılmaz hale gelmiştir. Geleneksel ticaretin yerini hızla alan bu dijital dönüşüm sürecinde, taraflar arasında kurulan mesafeli sözleşmeler kapsamında milyonlarca gerçek kişinin bilgisi işlenmektedir. Hukuk sistemimizde, kişisel verilerin hukuka aykırı şekilde ele geçirilmesi ve işlenmesinin önlenmesi amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bu bağlamda, platformları işleten ve tüketiciler ile satıcıları bir araya getiren aracı hizmet sağlayıcılar, kural olarak veri sorumlusu sıfatını haizdir. Veri sorumlusu olmalarının doğal bir sonucu olarak, bu aktörlerin mevzuat kapsamında yerine getirmesi gereken hayati yasal görevleri bulunmaktadır. Bu yükümlülüklerin ihlali, idari para cezaları gibi ciddi yaptırımların yanı sıra, e-ticaret platformunun güvenilirliğinin zedelenmesine de yol açmaktadır. Dolayısıyla, aracı hizmet sağlayıcıların uyum süreçlerini titizlikle yönetmeleri, hem yasal bir zorunluluk hem de ticari itibarın korunması açısından kritik bir öneme sahiptir.

Aydınlatma Yükümlülüğü

Veri sorumlusu konumundaki aracı hizmet sağlayıcıların en temel yasal görevlerinden biri aydınlatma yükümlülüğünün yerine getirilmesidir. Elektronik ticaret faaliyetleri sırasında, kişisel verilerin toplanması ve işlenmesi aşamasında ilgili gerçek kişilerin mutlaka bilgilendirilmesi gerekmektedir. Kanun uyarınca veri sorumlusu, bu işlemi ispatlanabilir bir yöntemle yerine getirmek zorundadır. Elektronik ortamda sunulan metnin illa yazılı olması gerekmez; açık ve anlaşılır bir yöntem izlendiği sürece video, bilgi şeması veya sesli anlatım gibi araçlar da tercih edilebilir. Ancak e-ticaret pazar yerlerinde bu yükümlülük genellikle erişilebilir bir aydınlatma metni aracılığıyla gerçekleştirilmektedir. Metinde, veri sorumlusunun kimliği ve verilerin hangi hukuki sebeplere dayanılarak işlendiği açıkça belirtilmelidir. Şeffaflık ve hesap verebilirlik ilkeleri gereği, bilgilendirmenin muğlak ifadelerden uzak, kesin ve belirli amaçları ortaya koyan bir yapıda hazırlanması temel hukuki bir zorunluluktur.

Aydınlatma Metninde Bulunması Gereken Asgari Unsurlar

Aydınlatma yükümlülüğünün mevzuata uygun şekilde yerine getirilmiş sayılabilmesi için Kişisel Verileri Koruma Kurulu tarafından belirlenen bazı asgari unsurların ilgili kişiye eksiksiz şekilde aktarılması şarttır. Bir aracı hizmet sağlayıcı tarafından hazırlanan metinlerde şu hususlara yer verilmelidir:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği ile iletişim bilgileri.
  • Kişisel verilerin hangi belirli, açık ve meşru amaçlarla işleneceği.
  • İşlenen kişisel verilerin kimlere ve hangi hukuki amaçlarla aktarılabileceği.
  • Kişisel veri toplamanın yöntemi ve Kanun'da belirtilen hukuki sebebi.
  • İlgili kişinin Kanun'un ilgili maddesinde sayılan hakları.

Bu şartların eksikliği veya muğlak ifadeler barındırması, aydınlatma faaliyetini hukuka aykırı hale getirecektir. İleride ortaya çıkabilecek farklı amaçlar için verilerin işlenebileceği izlenimi yaratan, sınırları tam çizilmemiş bilgilendirmeler mevzuata aykırılık teşkil eder ve ciddi idari para cezalarına sebep olabilir.

Veri Güvenliğine İlişkin Yükümlülükler

Elektronik ticaret platformlarında, kullanıcıların üyelik oluşturma ve sipariş süreçlerinde isim, adres, iletişim ve özellikle ödeme bilgileri gibi hassas verileri işlenmektedir. Aracı hizmet sağlayıcılar, işledikleri bu verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişilmesini önlemekle yükümlüdür. Bu bağlamda, veri güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbirin alınması yasal bir emirdir. Özellikle kredi kartı ile yapılan ödemelerde bilgisayar korsanlığı ve kimlik hırsızlığı gibi risklere karşı, 3D Secure gibi güvenli ödeme altyapılarının ve SSL sertifikalarının kullanılması hayati önem taşır. Kurul tarafından yayımlanan rehberler ışığında, ağ kaynaklarına yetkisiz erişimlerin engellenmesi ve veri sızıntılarına karşı proaktif önlemlerin alınması, veri sorumlusu olan e-ticaret pazar yeri işletmecisinin asli görevlerindendir. Alınan bu teknik ve idari tedbirler, yalnızca mevzuata uyumu değil, aynı zamanda tüketicilerin sisteme duyduğu güveni de tahkim eder.

Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü

Kişisel verileri işleyen aracı hizmet sağlayıcıların yerine getirmesi gereken bir diğer önemli yasal düzenleme, Veri Sorumluları Siciline kayıt zorunluluğudur. Kurul gözetiminde Başkanlık tarafından kamuya açık olarak tutulan bu sicil, veri işleme faaliyetlerinde şeffaflığın sağlanması ve denetlenebilirliğin artırılması amacına hizmet eder. Veri sorumlusu sıfatını haiz gerçek veya tüzel kişiler, veri işleme faaliyetine başlamadan önce mutlaka sicile kaydolmak mecburiyetindedir. Kayıt esnasında kimlik ve adres bilgileri, verilerin işlenme amacı, veri kategorileri, yurt dışına aktarım durumları ve veri güvenliği tedbirleri gibi detaylı bilgilerin sisteme işlenmesi zorunludur. Sicile kaydedilen bu bilgilerde herhangi bir değişiklik meydana gelmesi halinde, veri sorumlusunun söz konusu değişikliği yedi iş günü içerisinde sisteme işlemesi kanuni bir mecburiyettir. Bu kayıt yükümlülüğünün zamanında ve doğru şekilde yerine getirilmemesi, aracı hizmet sağlayıcılar açısından ağır idari para cezalarının uygulanması sonucunu doğuracaktır.

Pazar yerinde sadece aracı firmayım, KVKK kuralları beni de bağlar mı? expand_more
Elektronik ticaret pazar yerlerini işleten aracı hizmet sağlayıcılar, mevzuatımız kapsamında kural olarak veri sorumlusu sıfatını taşımaktadır. Platformunuz üzerinden alıcı ve satıcıları bir araya getirirken milyonlarca gerçek kişinin verisini işlediğiniz için kanuni yükümlülüklere doğrudan tabisiniz. Bu sebeple aydınlatma yükümlülüğü, veri güvenliği ve sicile kayıt gibi temel yasal görevleri eksiksiz yerine getirmeniz yasal bir zorunluluktur. Aksi takdirde hem ciddi idari para cezalarıyla karşılaşabilir hem de e-ticaret platformunuzun güvenilirliğini ve ticari itibarını zedeleyebilirsiniz.
Müşteriye sadece "verileriniz işlenir" şeklinde kısa bir yazı sunmam yeterli mi? expand_more
Hayır, bu kadar kısa ve sınırları tam çizilmemiş muğlak bir bilgilendirme yapmak hukuka aykırılık teşkil etmektedir. Kanuna göre aydınlatma metninde veri sorumlusu olarak kimliğinizi, verilerin hangi meşru amaçlarla işlendiğini ve kimlere hangi hukuki sebeple aktarılabileceğini açıkça belirtmeniz şarttır. Ayrıca kişisel veri toplamanın yöntemini, hukuki sebebini ve ilgili kişinin kanundan doğan haklarını da eksiksiz olarak metne dahil etmeniz gerekmektedir. Bu asgari unsurları barındırmayan veya ileride farklı amaçlarla kullanılabileceği izlenimi veren metinler sebebiyle ağır idari para cezalarıyla karşı karşıya kalabilirsiniz.
Sitemden müşterilerin kredi kartı bilgileri çalınırsa sorumlusu ben miyim? expand_more
Evet, veri sorumlusu sıfatıyla işlediğiniz isim, adres ve özellikle ödeme bilgileri gibi hassas verilerin yetkisiz kişilerin eline geçmesini önlemek asli yasal görevinizdir. Kurul rehberleri ışığında, siber saldırılara ve veri sızıntılarına karşı proaktif önlemler alarak uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbiri almalısınız. Özellikle kredi kartı ödemelerinde 3D Secure gibi güvenli altyapılar ve SSL sertifikaları kullanmanız hukuki bir emirdir. Bu güvenlik yükümlülüklerini yerine getirmediğiniz takdirde doğacak sızıntılardan doğrudan hukuki sorumluluğunuz doğacak ve ciddi cezalarla karşılaşabileceksiniz.
E-ticaret yapıyorum, devlete veri kaydı yaptırmam falan gerekiyormuş, doğru mu? expand_more
Kesinlikle doğrudur; veri sorumlusu sıfatını haiz olduğunuz için veri işleme faaliyetlerinize başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolmanız yasal bir mecburiyettir. Bu sicile verilerin işlenme amacı, veri kategorileri, aktarım durumları ve aldığınız veri güvenliği tedbirleri gibi detaylı bilgileri girmelisiniz. Üstelik sisteme kaydettiğiniz bu bilgilerde herhangi bir değişiklik olması halinde, durumu yedi iş günü içerisinde sicile işleyerek güncellemeniz de kanuni bir gerekliliktir. Bu kayıt yükümlülüğünün zamanında ve doğru şekilde yerine getirilmemesi, işletmeniz açısından ağır idari para cezalarının uygulanmasına neden olacaktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir