Anasayfa/ Makale/ E-Ticarette Veri Sorumlusu Satıcının Hukuki Yükümlülükleri

E-Ticarette Veri Sorumlusu Satıcının Hukuki Yükümlülükleri

E-ticaret süreçlerinde kişisel verileri işleyen satıcıların, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında aydınlatma, veri güvenliğini sağlama ve imha gibi çeşitli hukuki yükümlülükleri bulunmaktadır. Bu makalede veri sorumlusu satıcıların online satışlarda dikkat etmesi gereken temel KVKK sorumlulukları detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK

Dijitalleşmenin hız kazanmasıyla birlikte hayatımızın ayrılmaz bir parçası haline gelen e-ticaret sektörü, beraberinde hukuki uyum süreçlerini de zorunlu kılmıştır. Online alışveriş platformları üzerinden mesafeli satış sözleşmesi akdeden ve bu süreçte tüketicilere ait kişisel verileri işleyen satıcılar, hukuken veri sorumlusu sıfatını haizdir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına elde ettikleri verilerin korunmasına yönelik birtakım emredici yükümlülükler yüklemiştir. Söz konusu bu yükümlülüklerin ihlali, satıcıları ciddi idari para cezalarıyla karşı karşıya bırakabilmektedir. Satıcıların tüketici ile olan hukuki ilişkisinde sadece borçlar hukuku yahut tüketici mevzuatı kapsamında değil, aynı zamanda kişisel verilerin korunması hukuku standartlarında da özenli davranması şarttır. Bu bağlamda, bir e-ticaret satıcısının veri sorumlusu sıfatıyla uymakla mükellef olduğu temel kuralların, aydınlatma yükümlülüğünden başlayıp verilerin imhasına kadar uzanan geniş bir yelpazede ele alınması, yasal uyumluluğun sağlanması için hayati bir önem taşımaktadır.

Aydınlatma Yükümlülüğünün Yerine Getirilmesi

Veri sorumlusu satıcının en temel yükümlülüklerinden ilki aydınlatma yükümlülüğüdür. İlgili mevzuat uyarınca, kişisel verilerin elde edilmesi anında tüketicinin açık, sade ve anlaşılır bir dille bilgilendirilmesi gerekmektedir. E-ticaret sitelerinde genellikle ön bilgilendirme formları veya aydınlatma metinleri aracılığıyla yapılan bu bilgilendirmenin, açık rıza alınması sürecinden ayrı yürütülmesi şarttır. Şeffaflık ilkesinin bir yansıması olan bu yükümlülük yerine getirilirken; veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile tüketicinin sahip olduğu haklar net bir biçimde ifade edilmelidir. Önceden hazırlanmış metinlerde meydana gelen değişikliklerde, örneğin gizlilik politikasının veya işleme amacının güncellenmesi durumunda, aydınlatma işleminin yenilenmesi ve etkilenen kişilere derhal bildirilmesi hukuki bir zorunluluktur.

Veri Güvenliğini Sağlama Yükümlülüğü

E-ticaret ekosisteminde kişisel verilerin hukuka aykırı şekilde işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek, veri sorumlusunun en asli sorumluluklarındandır. Kanun'un emredici düzenlemesine göre satıcılar, veri güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almak mecburiyetindedir. Özellikle siber saldırılar veya veri sızıntıları karşısında satıcının alacağı önlemler, hem kendi hukuki sorumluluğunu hafifletecek hem de tüketici güvenini tesis edecektir. Veri güvenliğinin ihlali halinde satıcılar aleyhine yüksek tutarlarda idari para cezalarına hükmedilebilmektedir. Ayrıca satıcı, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, bu tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumlu tutulmaktadır. Alınması gereken başlıca teknik ve idari tedbirler şunlardır:

  • Siber güvenliğin sağlanması adına ağ güvenliği ve uygulama güvenliğinin tesis edilmesi.
  • Düzenli risk analizlerinin yapılması ve güvenlik açıklarına karşı sızma testleri gerçekleştirilmesi.
  • Çalışanlara veri gizliliği ve güvenliği konusunda düzenli eğitimler verilmesi.
  • Saklanan verilerin kaybolması ihtimaline karşı güvenli yedekleme işlemlerinin yürütülmesi.
  • İhtiyaç duyulmayan verilerin azaltılarak kişisel veri minimizasyonunun sağlanması.

Kişisel Verilerin İmhası ve Sır Saklama

Veri sorumlusu satıcının dikkat etmesi gereken bir diğer husus, işleme amacı ortadan kalkan verilerin akıbetidir. Hukuka ve dürüstlük kuralına uygunluk, doğru ve güncel olma, belirli, açık ve meşru amaçlara yönelik olma gibi genel ilkelere uygun davranmakla yükümlü olan satıcı, işlenme şartları ortadan kalkan verileri re'sen veya tüketicinin talebi üzerine imha etmek zorundadır. İmha yükümlülüğü; kişisel verilerin geri dönüştürülemeyecek şekilde silinmesi, ilgili dosya veya sistemin tamamen yok edilmesi yahut başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli bir kişiyle ilişkilendirilemeyecek şekilde anonim hale getirilmesi yollarıyla gerçekleştirilebilir. Diğer taraftan, satıcının ve yetkilendirdiği veri işleyenlerin, öğrendikleri kişisel bilgileri hukuka aykırı şekilde başkasına açıklamaması ve işleme amacı dışında kullanmaması gerekmektedir. Görevden ayrıldıktan sonra dahi devam eden bu sır saklama yükümlülüğünün ihlali, cezai ve hukuki yaptırımlara zemin hazırlamaktadır.

Tüketici Başvurularını Cevaplama ve Sicile Kayıt

KVKK uyarınca, kişisel veri sahibi olan tüketicilerin veri sorumlusuna yöneltecekleri talepleri karşılama borcu, önemli bir idari yükümlülüktür. Tüketici tarafından yöneltilen veri işlenme durumu, aktarılan üçüncü kişiler veya verilerin düzeltilmesi gibi taleplere, en kısa sürede ve en geç otuz gün içinde ücretsiz olarak yanıt verilmesi yasal bir mecburiyettir. Söz konusu sürelere riayet edilmemesi veya yetersiz, eksik yanıtlar verilmesi, satıcıların idari yaptırım kararlarıyla karşılaşmasına yol açabilir. Ek olarak, kanunda belirtilen istisnalar haricindeki tüm veri sorumlusu e-ticaret firmaları, faaliyetlerine başlamadan önce Veri Sorumluları Siciline kayıt olmak ve güncel bir veri işleme envanteri hazırlamak zorundadır. Bu sisteme kayıt olunmaması yahut gerçeğe aykırı bildirimler yapılması, satıcı hakkında idari yaptırım uygulanmasına neden olacak bir diğer kritik kanuni uyum ihlalidir.

Müşteriden onay alıyorum zaten, ayrıca aydınlatma metni koymam şart mı? expand_more
Evet, kesinlikle şarttır çünkü aydınlatma yükümlülüğü ile açık rıza alınması süreci birbirinden ayrı yürütülmek zorundadır. Kanun uyarınca, kişisel verilerin elde edilmesi anında müşterinizi açık, sade ve anlaşılır bir dille bilgilendirmeniz gerekmektedir. Bu metinlerde veri sorumlusu olarak kimliğinizi, verileri hangi amaçla işlediğinizi, kimlere aktarabileceğinizi ve tüketicinin haklarını net biçimde ifade etmelisiniz. İlerleyen süreçte işleme amacınızda veya gizlilik politikanızda bir değişiklik olursa bu aydınlatma işlemini yenilemeniz de yasal bir zorunluluktur.
Sitemi başka firmaya yaptırdım, veri çalınırsa cezasını ben mi çekerim? expand_more
Hukuken veri sorumlusu sıfatını siz taşıdığınız için kişisel verilerin güvenliğini sağlamak sizin asli yükümlülüğünüzdür. Verilerin kendi adınıza başka bir tüzel veya gerçek kişi (veri işleyen) tarafından işlenmesi durumunda dahi, gerekli güvenlik tedbirlerinin alınması konusunda veri işleyenle birlikte müştereken sorumlu tutulursunuz. Siber saldırılar karşısında ağ ve uygulama güvenliğini sağlamak, sızma testleri yaptırmak ve düzenli risk analizleri gerçekleştirmek zorundasınız. Bu emredici kurallara riayet edilmemesi ve verilerin sızdırılması halinde hakkınızda çok yüksek tutarlarda idari para cezalarına hükmedilebilir.
Eski müşterilerimin bilgilerini sistemde sonsuza kadar saklayabilir miyim? expand_more
Hayır, hukuka ve dürüstlük kuralına uygunluk ilkeleri gereği verileri ancak işlenme amaçları devam ettiği sürece muhafaza edebilirsiniz. Veri işleme şartları ve amacı ortadan kalktığında, bu verileri re'sen veya müşterinizin talebi üzerine derhal imha etmekle yükümlüsünüz. İmha süreci; ilgili dosyaların geri dönüştürülemeyecek şekilde silinmesi, tamamen yok edilmesi veya kimliği belirli bir kişiyle hiçbir surette ilişkilendirilemeyecek şekilde anonim hale getirilmesi yollarıyla yapılmalıdır. Yetkilendirdiğiniz kişilerin de bu bilgileri işleme amacı dışında kullanmaması ve işten ayrılsalar dahi sır saklama yükümlülüklerine uymaları gerekmektedir.
Müşteri verilerinin silinmesi için mesaj attı, cevap vermesem ne olur? expand_more
Tüketicilerin tarafınıza yönelteceği talepleri karşılamak KVKK kapsamındaki en önemli idari yükümlülüklerinizden biridir. Müşterilerinizden gelen veri silme, düzeltme veya verilerin aktarıldığı kişileri öğrenme gibi başvurulara en kısa sürede ve en geç otuz gün içinde ücretsiz olarak yanıt vermek zorundasınız. Söz konusu kanuni sürelere riayet etmemeniz veya müşteriye yetersiz, eksik bir yanıt vermeniz durumunda idari yaptırım kararlarıyla karşılaşmanız kaçınılmaz olacaktır.
Yeni bir e-ticaret sitesi açıyorum, önceden devlete kayıt yaptırmalı mıyım? expand_more
Kanunda belirtilen bazı istisnai durumlar dışında kalan tüm e-ticaret firmaları, ticari faaliyetlerine fiilen başlamadan önce Veri Sorumluları Siciline (VERBİS) kayıt olmak zorundadır. Bu kayıt sürecinde ayrıca şirketinizin güncel bir veri işleme envanterinin de hazırlanması yasal bir mecburiyettir. Sisteme hiç kayıt olmamanız veya gerçeğe aykırı bildirimlerde bulunmanız, idari para cezası uygulanmasına yol açacak son derece kritik bir kanuni uyum ihlalidir. Yasal uyumluluğun sağlanması için bu süreci faaliyetlerinizden önce eksiksiz olarak tamamlamanız gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir