Anasayfa/ Makale/ E-Ticarette Veri Güvenliği, İmha Rejimi ve Sorumluluklar

E-Ticarette Veri Güvenliği, İmha Rejimi ve Sorumluluklar

Elektronik ticarette veri güvenliğinin sağlanması, siber saldırılara karşı alınacak tedbirler ve sözleşme bitiminde kişisel verilerin imhası süreçleri büyük önem taşımaktadır. KVKK ile ETDHK arasındaki saklama süreleri çatışması ve veri ihlallerinin hukuki sonuçları, aracı hizmet sağlayıcılar için ciddi yaptırımlar barındırmaktadır.
search
5 dk okuma Yayınlanma: Güncelleme:
CEZA HUKUKU KVKK

E-ticaret platformlarının sunduğu hizmetlerin temelinde veri akışı yatmaktadır. Alıcılar ve satıcılar, platformu kullanabilmek için pek çok kişisel veriyi aracı hizmet sağlayıcı ile paylaşmaktadır. Ancak bu durum, kişisel verilerin gizliliği ve güvenliği açısından ciddi riskleri de beraberinde getirmektedir. Aracı hizmet sağlayıcıların en temel yükümlülüklerinden biri, kullanıcıların verilerini siber saldırılara ve hukuka aykırı erişimlere karşı korumaktır. Veri güvenliğinin sağlanamaması, hem sözleşmeye aykırılık hem de kişisel verilerin korunması mevzuatı kapsamında büyük bir hukuki ihlal anlamına gelmektedir. Platformların hukuki ve idari sorumlulukları, sözleşmenin sona ermesinden sonra da verilerin imha rejimine ilişkin kurallarla devam etmektedir. Özellikle veri silme ve yok etme talepleri ile e-ticaret mevzuatı kapsamında öngörülen on yıllık saklama süreleri arasındaki çatışma, uygulamada platformlar için kritik bir yasal mesele haline gelmiştir.

Siber Saldırılar ve Veri İhlallerinde Hukuki Sorumluluk

Aracı hizmet sağlayıcılar, kullanıcılardan elde ettikleri kişisel verileri güvenle saklamakla yükümlüdür. Olası bir siber saldırı veya güvenlik zafiyeti sonucunda verilerin üçüncü kişilerin eline geçmesi, platformun koruma ve sır saklama yükümlülüklerinin ihlali demektir. Ödeme hizmeti sağlayıcısı gibi ifa yardımcılarının neden olduğu sızıntılardan dahi aracı hizmet sağlayıcı bizzat sorumludur. Bu tür ihlaller sonucunda doğabilecek başlıca hukuki ve idari sonuçlar şunlardır:

  • Sözleşmeye Aykırılık ve Tazminat: Veri sızıntısı nedeniyle doğan maddi ve manevi zararların, sözleşmeye aykırılık hükümlerine dayanılarak tazmin edilmesi mümkündür.
  • Haklı Sebeple Derhal Fesih: Kullanıcılar, güvenlik zafiyetinin ortaya çıkması sebebiyle platform ile aralarındaki sözleşmeyi haklı sebeple derhal sona erdirme hakkına sahip olurlar.
  • İdari ve Cezai Yaptırımlar: İhlaller, Kişisel Verileri Koruma Kurulu tarafından verilecek ağır idari para cezalarına ve Türk Ceza Kanunu uyarınca cezai yaptırımlara sebebiyet vermektedir.

KVKK ve ETDHK Kapsamında Veri İmha Rejimi Çatışması

Sözleşme ilişkisi sona erdiğinde, kişisel verilerin işlenmesini gerektiren hukuki sebepler de kural olarak ortadan kalkmaktadır. Mevzuat gereğince, işlenme sebebi ortadan kalkan verilerin veri sorumlusu konumundaki aracı hizmet sağlayıcı tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Ancak bu noktada, elektronik ticaret düzenlemeleri ile veri koruma kanunu arasında dikkat çekici bir uyuşmazlık doğmaktadır. E-ticaret kanunu, aracı hizmet sağlayıcılara platform üzerinden gerçekleştirilen iş ve işlemlere ilişkin elektronik kayıtları on yıl süreyle saklama yükümlülüğü getirmektedir. Dolayısıyla, bir kullanıcı hesabının kapatılmasını ve verilerinin tamamen silinmesini talep etse dahi, kanuni saklama süresi dolmadan bu kayıtların tümüyle yok edilmesi hukuken mümkün olmamaktadır.

On Yıllık Saklama Süresinde Uygulanacak İmha Yöntemi

Emredici yasal düzenlemeler karşısında aracı hizmet sağlayıcıların, kullanıcıların veri imha taleplerini nasıl yönetecekleri hayati bir konudur. On yıllık kanuni saklama süresi dolmadan verilerin tamamen silinmesi veya yok edilmesi e-ticaret mevzuatına aykırılık teşkil edeceğinden, bu süreçte başvurulması gereken yegâne hukuki ve teknik yöntem verilerin anonim hale getirilmesidir. Anonimleştirme işlemi, kişisel verilerin başka verilerle eşleştirilse bile hiçbir şekilde belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesini ifade eder. Böylece hem kanun uyarınca elektronik kayıtların on yıl boyunca muhafaza edilmesi yükümlülüğü eksiksiz yerine getirilmiş hem de kullanıcının kişisel verisi geri döndürülemez biçimde ortadan kaldırılarak veri koruma mevzuatına uyum sağlanmış olur. Aracı hizmet sağlayıcılar, saklama süresi dolana dek söz konusu anonimleştirilmiş verilerin güvenliğini en üst düzeyde korumaya devam etmelidir.

İnternetten alışveriş yaptığım site hacklenmiş, bilgilerim çalındı. Dava açabilir miyim? expand_more
E-ticaret platformları, sizden elde ettikleri kişisel verileri siber saldırılara karşı güvenle saklamakla yükümlüdür. Eğer bir güvenlik zafiyeti veya siber saldırı sonucunda verileriniz üçüncü kişilerin eline geçerse, aracı hizmet sağlayıcının koruma ve sır saklama yükümlülüğü ihlal edilmiş olur. Bu veri sızıntısı neticesinde uğradığınız maddi ve manevi zararların tazmini için sözleşmeye aykırılık hükümlerine dayanarak dava açma hakkınız bulunmaktadır. Ayrıca bu güvenlik ihlali size, platform ile aranızdaki sözleşmeyi haklı sebeple derhal feshetme imkânı da tanımaktadır.
E-ticaret sitesindeki hesabımı kapattım, bilgilerimi hemen silmek zorundalar mı? expand_more
Sözleşme ilişkiniz sona erdiğinde kural olarak kişisel verilerinizin işlenme sebebi ortadan kalkar ve tarafınızca aksi talep edilmese dahi mevzuat gereği bu verilerin imha edilmesi gerekir. Ancak e-ticaret mevzuatı, aracı hizmet sağlayıcılara platformdaki işlemlere ilişkin elektronik kayıtları on yıl boyunca muhafaza etme zorunluluğu getirmektedir. Bu kanuni saklama süresi dolmadan verilerinizin platformdan tamamen silinmesi veya yok edilmesi hukuken mümkün değildir. Yine de platformlar, bu on yıllık süreçte verilerinizi hiçbir gerçek kişiyle ilişkilendirilemeyecek şekilde anonim hale getirmek ve güvenliğini en üst düzeyde korumakla yükümlüdür.
Kart bilgilerim alışveriş sitesinin ödeme aracısından sızmış. Kimi şikayet edeceğim? expand_more
İşlem yaptığınız e-ticaret platformu, sunduğu hizmetlerde kullandığı yardımcı kuruluşların veri güvenliğinden de mesuldür. Ödeme hizmeti sağlayıcısı gibi ifa yardımcılarının sebep olduğu veri sızıntılarından aracı hizmet sağlayıcı bizzat sorumludur. Bu nedenle hak ihlaline uğradığınızda doğrudan işlemi gerçekleştirdiğiniz e-ticaret platformuna karşı yasal haklarınızı arayabilirsiniz. İlgili platform, bu ihlal sebebiyle Kişisel Verileri Koruma Kurulu tarafından verilecek idari para cezaları ve Türk Ceza Kanunu kapsamındaki yaptırımlarla karşı karşıya kalacaktır.
Alışveriş sitesi bilgilerimi 10 yıl saklayacakmış, bunu engelleme hakkım yok mu? expand_more
Elektronik ticaret düzenlemeleri gereğince, e-ticaret platformlarının işlem kayıtlarını on yıl boyunca saklaması emredici bir yasal zorunluluktur. Siz verilerinizin sistemden tamamen silinmesini talep etseniz dahi, kanuni saklama süresi dolmadan bu kayıtların yok edilmesi e-ticaret kanununa aykırılık teşkil edeceğinden talebiniz bu yönüyle tam olarak karşılanamaz. Ancak veri sorumlusu, yasal muhafaza süresi boyunca verilerinizi sizin kimliğinizle eşleştirilemeyecek biçimde, yani anonim hale getirerek saklamak zorundadır. Anonimleştirme işlemi sayesinde kişisel veriniz geri döndürülemez biçimde ortadan kaldırılmış olacağı için veri koruma mevzuatına uygun bir koruma sağlanmış olur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir