Makale
Elektronik ticaret pazar yerlerinde faaliyet gösteren aracı hizmet sağlayıcılar, veri sorumlusu sıfatıyla KVKK kapsamında önemli yükümlülüklere tabidir. Bu makalede, aracı hizmet sağlayıcıların aydınlatma, veri güvenliğini sağlama ve Veri Sorumluları Siciline kayıt yükümlülükleri hukuki bir perspektifle detaylıca incelenmektedir.
Aracı Hizmet Sağlayıcıların KVKK Kapsamındaki Yükümlülükleri
Elektronik ticaret pazar yerlerinin yaygınlaşmasıyla birlikte, bu platformları işleten aracı hizmet sağlayıcıların tüketici verilerini işlemesi kaçınılmaz hale gelmiştir. Geleneksel ticaretin yerini hızla alan bu dijital dönüşüm sürecinde, taraflar arasında kurulan mesafeli sözleşmeler kapsamında milyonlarca gerçek kişinin bilgisi işlenmektedir. Hukuk sistemimizde, kişisel verilerin hukuka aykırı şekilde ele geçirilmesi ve işlenmesinin önlenmesi amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bu bağlamda, platformları işleten ve tüketiciler ile satıcıları bir araya getiren aracı hizmet sağlayıcılar, kural olarak veri sorumlusu sıfatını haizdir. Veri sorumlusu olmalarının doğal bir sonucu olarak, bu aktörlerin mevzuat kapsamında yerine getirmesi gereken hayati yasal görevleri bulunmaktadır. Bu yükümlülüklerin ihlali, idari para cezaları gibi ciddi yaptırımların yanı sıra, e-ticaret platformunun güvenilirliğinin zedelenmesine de yol açmaktadır. Dolayısıyla, aracı hizmet sağlayıcıların uyum süreçlerini titizlikle yönetmeleri, hem yasal bir zorunluluk hem de ticari itibarın korunması açısından kritik bir öneme sahiptir.
Aydınlatma Yükümlülüğü
Veri sorumlusu konumundaki aracı hizmet sağlayıcıların en temel yasal görevlerinden biri aydınlatma yükümlülüğünün yerine getirilmesidir. Elektronik ticaret faaliyetleri sırasında, kişisel verilerin toplanması ve işlenmesi aşamasında ilgili gerçek kişilerin mutlaka bilgilendirilmesi gerekmektedir. Kanun uyarınca veri sorumlusu, bu işlemi ispatlanabilir bir yöntemle yerine getirmek zorundadır. Elektronik ortamda sunulan metnin illa yazılı olması gerekmez; açık ve anlaşılır bir yöntem izlendiği sürece video, bilgi şeması veya sesli anlatım gibi araçlar da tercih edilebilir. Ancak e-ticaret pazar yerlerinde bu yükümlülük genellikle erişilebilir bir aydınlatma metni aracılığıyla gerçekleştirilmektedir. Metinde, veri sorumlusunun kimliği ve verilerin hangi hukuki sebeplere dayanılarak işlendiği açıkça belirtilmelidir. Şeffaflık ve hesap verebilirlik ilkeleri gereği, bilgilendirmenin muğlak ifadelerden uzak, kesin ve belirli amaçları ortaya koyan bir yapıda hazırlanması temel hukuki bir zorunluluktur.
Aydınlatma Metninde Bulunması Gereken Asgari Unsurlar
Aydınlatma yükümlülüğünün mevzuata uygun şekilde yerine getirilmiş sayılabilmesi için Kişisel Verileri Koruma Kurulu tarafından belirlenen bazı asgari unsurların ilgili kişiye eksiksiz şekilde aktarılması şarttır. Bir aracı hizmet sağlayıcı tarafından hazırlanan metinlerde şu hususlara yer verilmelidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği ile iletişim bilgileri.
- Kişisel verilerin hangi belirli, açık ve meşru amaçlarla işleneceği.
- İşlenen kişisel verilerin kimlere ve hangi hukuki amaçlarla aktarılabileceği.
- Kişisel veri toplamanın yöntemi ve Kanun'da belirtilen hukuki sebebi.
- İlgili kişinin Kanun'un ilgili maddesinde sayılan hakları.
Bu şartların eksikliği veya muğlak ifadeler barındırması, aydınlatma faaliyetini hukuka aykırı hale getirecektir. İleride ortaya çıkabilecek farklı amaçlar için verilerin işlenebileceği izlenimi yaratan, sınırları tam çizilmemiş bilgilendirmeler mevzuata aykırılık teşkil eder ve ciddi idari para cezalarına sebep olabilir.
Veri Güvenliğine İlişkin Yükümlülükler
Elektronik ticaret platformlarında, kullanıcıların üyelik oluşturma ve sipariş süreçlerinde isim, adres, iletişim ve özellikle ödeme bilgileri gibi hassas verileri işlenmektedir. Aracı hizmet sağlayıcılar, işledikleri bu verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişilmesini önlemekle yükümlüdür. Bu bağlamda, veri güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbirin alınması yasal bir emirdir. Özellikle kredi kartı ile yapılan ödemelerde bilgisayar korsanlığı ve kimlik hırsızlığı gibi risklere karşı, 3D Secure gibi güvenli ödeme altyapılarının ve SSL sertifikalarının kullanılması hayati önem taşır. Kurul tarafından yayımlanan rehberler ışığında, ağ kaynaklarına yetkisiz erişimlerin engellenmesi ve veri sızıntılarına karşı proaktif önlemlerin alınması, veri sorumlusu olan e-ticaret pazar yeri işletmecisinin asli görevlerindendir. Alınan bu teknik ve idari tedbirler, yalnızca mevzuata uyumu değil, aynı zamanda tüketicilerin sisteme duyduğu güveni de tahkim eder.
Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
Kişisel verileri işleyen aracı hizmet sağlayıcıların yerine getirmesi gereken bir diğer önemli yasal düzenleme, Veri Sorumluları Siciline kayıt zorunluluğudur. Kurul gözetiminde Başkanlık tarafından kamuya açık olarak tutulan bu sicil, veri işleme faaliyetlerinde şeffaflığın sağlanması ve denetlenebilirliğin artırılması amacına hizmet eder. Veri sorumlusu sıfatını haiz gerçek veya tüzel kişiler, veri işleme faaliyetine başlamadan önce mutlaka sicile kaydolmak mecburiyetindedir. Kayıt esnasında kimlik ve adres bilgileri, verilerin işlenme amacı, veri kategorileri, yurt dışına aktarım durumları ve veri güvenliği tedbirleri gibi detaylı bilgilerin sisteme işlenmesi zorunludur. Sicile kaydedilen bu bilgilerde herhangi bir değişiklik meydana gelmesi halinde, veri sorumlusunun söz konusu değişikliği yedi iş günü içerisinde sisteme işlemesi kanuni bir mecburiyettir. Bu kayıt yükümlülüğünün zamanında ve doğru şekilde yerine getirilmemesi, aracı hizmet sağlayıcılar açısından ağır idari para cezalarının uygulanması sonucunu doğuracaktır.