Makale
E-ticaret süreçlerinde kişisel verileri işleyen satıcıların, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında aydınlatma, veri güvenliğini sağlama ve imha gibi çeşitli hukuki yükümlülükleri bulunmaktadır. Bu makalede veri sorumlusu satıcıların online satışlarda dikkat etmesi gereken temel KVKK sorumlulukları detaylıca incelenmektedir.
E-Ticarette Veri Sorumlusu Satıcının Hukuki Yükümlülükleri
Dijitalleşmenin hız kazanmasıyla birlikte hayatımızın ayrılmaz bir parçası haline gelen e-ticaret sektörü, beraberinde hukuki uyum süreçlerini de zorunlu kılmıştır. Online alışveriş platformları üzerinden mesafeli satış sözleşmesi akdeden ve bu süreçte tüketicilere ait kişisel verileri işleyen satıcılar, hukuken veri sorumlusu sıfatını haizdir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına elde ettikleri verilerin korunmasına yönelik birtakım emredici yükümlülükler yüklemiştir. Söz konusu bu yükümlülüklerin ihlali, satıcıları ciddi idari para cezalarıyla karşı karşıya bırakabilmektedir. Satıcıların tüketici ile olan hukuki ilişkisinde sadece borçlar hukuku yahut tüketici mevzuatı kapsamında değil, aynı zamanda kişisel verilerin korunması hukuku standartlarında da özenli davranması şarttır. Bu bağlamda, bir e-ticaret satıcısının veri sorumlusu sıfatıyla uymakla mükellef olduğu temel kuralların, aydınlatma yükümlülüğünden başlayıp verilerin imhasına kadar uzanan geniş bir yelpazede ele alınması, yasal uyumluluğun sağlanması için hayati bir önem taşımaktadır.
Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Veri sorumlusu satıcının en temel yükümlülüklerinden ilki aydınlatma yükümlülüğüdür. İlgili mevzuat uyarınca, kişisel verilerin elde edilmesi anında tüketicinin açık, sade ve anlaşılır bir dille bilgilendirilmesi gerekmektedir. E-ticaret sitelerinde genellikle ön bilgilendirme formları veya aydınlatma metinleri aracılığıyla yapılan bu bilgilendirmenin, açık rıza alınması sürecinden ayrı yürütülmesi şarttır. Şeffaflık ilkesinin bir yansıması olan bu yükümlülük yerine getirilirken; veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile tüketicinin sahip olduğu haklar net bir biçimde ifade edilmelidir. Önceden hazırlanmış metinlerde meydana gelen değişikliklerde, örneğin gizlilik politikasının veya işleme amacının güncellenmesi durumunda, aydınlatma işleminin yenilenmesi ve etkilenen kişilere derhal bildirilmesi hukuki bir zorunluluktur.
Veri Güvenliğini Sağlama Yükümlülüğü
E-ticaret ekosisteminde kişisel verilerin hukuka aykırı şekilde işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek, veri sorumlusunun en asli sorumluluklarındandır. Kanun'un emredici düzenlemesine göre satıcılar, veri güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almak mecburiyetindedir. Özellikle siber saldırılar veya veri sızıntıları karşısında satıcının alacağı önlemler, hem kendi hukuki sorumluluğunu hafifletecek hem de tüketici güvenini tesis edecektir. Veri güvenliğinin ihlali halinde satıcılar aleyhine yüksek tutarlarda idari para cezalarına hükmedilebilmektedir. Ayrıca satıcı, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, bu tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumlu tutulmaktadır. Alınması gereken başlıca teknik ve idari tedbirler şunlardır:
- Siber güvenliğin sağlanması adına ağ güvenliği ve uygulama güvenliğinin tesis edilmesi.
- Düzenli risk analizlerinin yapılması ve güvenlik açıklarına karşı sızma testleri gerçekleştirilmesi.
- Çalışanlara veri gizliliği ve güvenliği konusunda düzenli eğitimler verilmesi.
- Saklanan verilerin kaybolması ihtimaline karşı güvenli yedekleme işlemlerinin yürütülmesi.
- İhtiyaç duyulmayan verilerin azaltılarak kişisel veri minimizasyonunun sağlanması.
Kişisel Verilerin İmhası ve Sır Saklama
Veri sorumlusu satıcının dikkat etmesi gereken bir diğer husus, işleme amacı ortadan kalkan verilerin akıbetidir. Hukuka ve dürüstlük kuralına uygunluk, doğru ve güncel olma, belirli, açık ve meşru amaçlara yönelik olma gibi genel ilkelere uygun davranmakla yükümlü olan satıcı, işlenme şartları ortadan kalkan verileri re'sen veya tüketicinin talebi üzerine imha etmek zorundadır. İmha yükümlülüğü; kişisel verilerin geri dönüştürülemeyecek şekilde silinmesi, ilgili dosya veya sistemin tamamen yok edilmesi yahut başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli bir kişiyle ilişkilendirilemeyecek şekilde anonim hale getirilmesi yollarıyla gerçekleştirilebilir. Diğer taraftan, satıcının ve yetkilendirdiği veri işleyenlerin, öğrendikleri kişisel bilgileri hukuka aykırı şekilde başkasına açıklamaması ve işleme amacı dışında kullanmaması gerekmektedir. Görevden ayrıldıktan sonra dahi devam eden bu sır saklama yükümlülüğünün ihlali, cezai ve hukuki yaptırımlara zemin hazırlamaktadır.
Tüketici Başvurularını Cevaplama ve Sicile Kayıt
KVKK uyarınca, kişisel veri sahibi olan tüketicilerin veri sorumlusuna yöneltecekleri talepleri karşılama borcu, önemli bir idari yükümlülüktür. Tüketici tarafından yöneltilen veri işlenme durumu, aktarılan üçüncü kişiler veya verilerin düzeltilmesi gibi taleplere, en kısa sürede ve en geç otuz gün içinde ücretsiz olarak yanıt verilmesi yasal bir mecburiyettir. Söz konusu sürelere riayet edilmemesi veya yetersiz, eksik yanıtlar verilmesi, satıcıların idari yaptırım kararlarıyla karşılaşmasına yol açabilir. Ek olarak, kanunda belirtilen istisnalar haricindeki tüm veri sorumlusu e-ticaret firmaları, faaliyetlerine başlamadan önce Veri Sorumluları Siciline kayıt olmak ve güncel bir veri işleme envanteri hazırlamak zorundadır. Bu sisteme kayıt olunmaması yahut gerçeğe aykırı bildirimler yapılması, satıcı hakkında idari yaptırım uygulanmasına neden olacak bir diğer kritik kanuni uyum ihlalidir.