Makale
E-ticarette kişisel verilerin korunması, siber tehditler karşısında hayati öneme sahiptir. Bu yazıda, elektronik ticaret aktörlerinin veri güvenliği yükümlülükleri, veri ihlal bildirim süreçleri ile karşılaşılabilecek hukuki, idari ve cezai yaptırımlar uzman avukat perspektifiyle incelenmektedir.
E-Ticarette Veri Güvenliği, İhlal Bildirimi ve Hukuki
İnternet kullanımının artması ve e-ticaretin yaygınlaşması, kullanıcıların kişisel veri güvenliği sorununu her geçen gün daha da kritik bir hale getirmektedir. Çevrim içi platformlar üzerinden gerçekleştirilen satış ve ödeme işlemlerinde, kullanıcıların kredi kartı bilgileri, iletişim ve kimlik gibi hassas kişisel verileri işlenmektedir. Bu verilerin yetkisiz üçüncü kişiler tarafından ele geçirilmesini engellemek ve veri güvenliğini sağlamak, elektronik ticaret ortamlarını yöneten aktörler için yasal bir zorunluluktur. Zararlı yazılımlar, kimlik hırsızlığı ve oltalama gibi siber tehditler, e-ticaret ekosistemine olan güveni zedeleyebilmektedir. Bu nedenle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında öngörülen idari ve teknik tedbirlerin titizlikle uygulanması şarttır. Mevzuata aykırı hareket eden veri sorumluları, ciddi hukuki, idari ve cezai yaptırımlar ile karşı karşıya kalabilmektedir.
E-Ticarette Alınması Gereken Veri Güvenliği Tedbirleri
KVKK madde 12 uyarınca, veri sorumlusu sıfatını haiz e-ticaret aktörleri, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere erişilmesini önlemekle yükümlüdür. Bu amaçla, risk ve tehditlerin önceden belirlenmesi, çalışanların eğitilmesi, veri güvenliği politikalarının oluşturulması ve kişisel verilerin olabildiğince azaltılması gibi idari tedbirler alınmalıdır. Ayrıca, siber güvenliğin tesisi adına güvenlik duvarları, şifreleme yöntemleri ve güvenli giriş katmanları gibi teknik tedbirler hayata geçirilmelidir. İhlallerin hızlı tespiti için kullanıcıların log kayıtlarının düzenli tutulması ve saklanması kritik bir gerekliliktir. Özellikle e-ticaret sitelerinin kullandığı bulut depolama hizmetleri gibi dış kaynaklı veri işleyenlerle yapılacak kişisel veri işleme sözleşmelerinde, sorumluluk sınırları net bir şekilde belirlenmeli ve yeterli güvenlik önlemlerinin varlığı periyodik olarak denetlenmelidir. Aksi halde, sistemdeki güvenlik açıklarından veri sorumlusu doğrudan sorumlu tutulacaktır.
Veri İhlal Bildirimi Usulü ve Süreleri
Alınan tüm idari ve teknik önlemlere rağmen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri ihlali bildirimi sürecinin ivedilikle işletilmesi yasal bir zorunluluktur. Veri sorumluları, ihlali öğrenmelerinden itibaren en geç 72 saat içinde durumu Kişisel Verileri Koruma Kuruluna bildirmek zorundadır. Aynı zamanda, ihlalden etkilenen ilgili kişilere de makul olan en kısa sürede, açık ve sade bir dille doğrudan bildirim yapılması gerekmektedir. Eğer ilgili kişilere doğrudan ulaşılamıyorsa, ihlal duyurusunun veri sorumlusunun kendi internet sitesinde ilan edilmesi şarttır. Kurul kararlarına göre, sunucu güvenliğindeki aksaklıklar, güncel olmayan güvenlik duvarları ve personele eğitim verilmemesi, veri ihlallerinde idari tedbirsizlik ve teknik zafiyet olarak değerlendirilmekte ve ağır yaptırımlara yol açmaktadır. Bu sürecin şeffaf yönetilmesi oldukça mühimdir.
Yaptırımlar: Hukuki, İdari ve Cezai Boyutlar
Kişisel verilerin güvenliğini sağlama yükümlülüğünü ihlal eden e-ticaret firmaları için mevzuatımız çok yönlü bir sorumluluk rejimi öngörmektedir. İlgili kişilerin veri ihlalleri sebebiyle uğradıkları zararlar, hukuki sorumluluğun temelini oluştururken, idari ve cezai yaptırımlar kamu otoritesinin denetim gücünü yansıtır. Bu bağlamda e-ticaret şirketlerinin karşılaşabileceği temel yaptırımlar şu şekilde özetlenebilir:
- Hukuki Yaptırımlar: Kişisel verileri hukuka aykırı işlenen kullanıcılar, genel hükümlere göre maddi ve manevi tazminat davası açarak zararlarının giderilmesini talep edebilirler.
- İdari Yaptırımlar: Kurul tarafından, veri güvenliğini sağlama yükümlülüğüne aykırılık halinde yüksek meblağlara varan idari para cezaları uygulanmaktadır. Ayrıca, elektronik ticaret mevzuatına aykırı eylemler için Ticaret Bakanlığınca da idari cezalar kesilmektedir.
- Cezai Yaptırımlar: Türk Ceza Kanunu kapsamında, kişisel verileri hukuka aykırı olarak kaydeden, başkasına veren, yayan veya ele geçiren, silme yükümlülüğünü ihlal eden failler hakkında hapis cezası yaptırımları tatbik edilmektedir.
Hak Arama Yolları ve İdari Cezaların Kapsamı
E-ticaret kullanıcıları, veri güvenliğinin ihlal edildiğini düşündüklerinde öncelikle veri sorumlusu olan e-ticaret firmasına başvurmak zorundadır. Başvurunun reddedilmesi, yetersiz bulunması veya yasal 30 günlük süre içerisinde cevaplanmaması hallerinde, Kurula şikayet hakkı doğmaktadır. Kurul, yapacağı inceleme sonucunda veri güvenliği ihlali tespit ederse, ihlalin boyutu, şirketin ekonomik durumu ve kusur oranını dikkate alarak idari para cezası uygular. Ayrıca telafisi güç zararların varlığı halinde, veri işleme faaliyetinin tamamen durdurulmasına yönelik ihtiyati tedbir niteliğinde ilke kararları da alınabilmektedir. Bu yaptırımlarla birlikte, e-ticaret faaliyetlerini kayıt altına alan Elektronik Ticaret Bilgi Sistemi (ETBİS) veya İleti Yönetim Sistemi (İYS) gibi zorunlu araçların yükümlülüklerine uyulmaması da idari yaptırımların tesis edilmesine neden olmaktadır.