Makale
7499 sayılı yasa ile getirilen KVKK reformu, kişisel verilerin yurt dışına aktarımında köklü değişiklikler yaratmış ve veri işleyenleri de idari para cezalarından sorumlu tutmuştur. Ayrıca, elektronik ticaret aracı hizmet sağlayıcılarına veri taşınabilirliği ve haksız rekabetin önlenmesi bağlamında yeni yasal yükümlülükler getirilmiştir.
KVKK Reformu Işığında Veri Aktarımı ve Aracı Hizmet Sağlayıcı Sorumlulukları
Hızla dijitalleşen ticari hayat, kişisel verilerin korunması ve güvenli bir şekilde aktarılması ihtiyacını her geçen gün daha da derinleştirmektedir. Türkiye'de 8. Yargı Paketi olarak bilinen 7499 sayılı Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kapsamlı bir reform süreci hayata geçirilmiştir. Bu yasal reformun en kritik yapı taşlarından birini, kişisel verilerin yurt dışına aktarılması rejimi ve bu süreçte yer alan aktörlerin genişletilen hukuki sorumlulukları oluşturmaktadır. Uluslararası veri aktarımında açık rızanın istisnai bir kural haline getirilmesi ve kademeli bir aktarım rejiminin benimsenmesi, uygulamadaki birçok tıkanıklığı gidermeyi hedeflemektedir. Diğer yandan, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında yapılan güncel değişiklikler ile elektronik ticaret aracı hizmet sağlayıcı konumundaki platformlara, elde ettikleri verilerin kullanımı ve veri taşınabilirliği noktasında çok ciddi yasal sınırlar çizilmiştir. Bir hukuk bürosu merceğinden bakıldığında, şirketlerin hem yeni aktarım kurallarına hem de e-ticaret mevzuatındaki aracı sorumluluklarına ivedilikle uyum sağlaması, olası yüksek idari para cezalarından kaçınmak adına büyük bir hukuki zorunluluktur.
KVKK Reformu Çerçevesinde Yurt Dışına Veri Aktarımı
Kişisel verilerin yurt dışına aktarılması mevzuatımızda uzun süredir uygulamada tıkanıklıklara yol açan, özellikle bulut bilişim hizmetleri ve küresel sunucular kullanan şirketleri hukuki belirsizliklerle zorlayan bir konuydu. Gerçekleştirilen reform ile birlikte, 6698 sayılı Kanun'un 9. maddesinde Avrupa Birliği Genel Veri Koruma Tüzüğü sistematiğiyle uyumlu, yepyeni bir kademeli aktarım rejimi inşa edilmiştir. Yeni düzende, yurt dışına kişisel veri aktarımı için öncelikli olarak Kişisel Verileri Koruma Kurulu tarafından verilecek bir yeterlilik kararı aranmaktadır. Kurul, sadece bir ülke için değil, o ülke içerisindeki belirli bir sektör veya uluslararası kuruluş için de yeterlilik kararı verebilecektir. Yeterlilik kararının bulunmadığı durumlarda ise devreye uygun güvenceler girmektedir. İlgili kişinin aktarım yapılacak ülkede haklarını kullanabilme ve etkili kanun yollarına başvurabilme imkanının bulunması kaydıyla; standart sözleşmeler, bağlayıcı şirket kuralları veya Kurul onaylı taahhütnameler gibi uygun güvencelere dayanılarak veri aktarımı hukuka uygun şekilde gerçekleştirilebilmektedir. Bu yeni sistemde, açık rıza genel bir veri aktarım şartı olmaktan çıkarılarak, yalnızca uygun güvencelerin de sağlanamadığı arızi durumlar için uygulanabilecek istisnai bir mekanizmaya dönüştürülmüştür.
Standart Sözleşmeler ve Veri İşleyenlerin Genişleyen Sorumluluğu
Reform sürecinin ticari hayatı en çok etkileyecek ve uygulamada en sık başvurulacak hukuki araçlarından biri şüphesiz standart sözleşmeler olacaktır. Yurt dışındaki veri alıcısı ile Türkiye'deki aktaran taraf arasında imzalanacak olan bu sözleşmeler, kişisel verilerin korunmasına ilişkin asgari güvenceleri taahhüt altına almaktadır. Ancak kanun koyucu, bu noktada çok sıkı bir şekil şartı öngörerek, imzalanan standart sözleşmelerin en geç beş iş günü içinde Kişisel Verileri Koruma Kurumu'na bildirilmesini zorunlu kılmıştır. Bu yükümlülüğün ihlali, şirketleri çok ciddi idari para cezalarıyla karşı karşıya bırakacaktır. Reformun getirdiği en radikal değişikliklerden bir diğeri ise, veri işleyen sıfatını haiz olan gerçek veya tüzel kişilerin sorumluluk dairesinin genişletilmesidir. Yeni kanuni düzenleme ile birlikte, kişisel verilerin yurt dışına aktarılmasında standart sözleşmeleri bildirme yükümlülüğü sadece veri sorumlularına değil, aynı zamanda veri işleyenlere de yüklenmiştir. Bildirim yükümlülüğünün yerine getirilmemesi halinde, veri işleyenler idari para cezalarından bizzat sorumlu tutulabilecektir.
Elektronik Ticaret Aracı Hizmet Sağlayıcıların Veri Sorumlulukları
KVKK reformunun yanı sıra, elektronik ticaret pazar yerlerinin işleyişini düzenleyen mevzuat kapsamında da aracı hizmet sağlayıcıların verilere ilişkin yükümlülükleri detaylı olarak kurala bağlanmıştır. Özellikle 6563 sayılı Kanun'da yapılan değişiklikler ile haksız rekabetin önüne geçmek ve piyasadaki gücün kötüye kullanılmasını engellemek amacıyla elektronik ticaret aracı hizmet sağlayıcı konumundaki şirketlere katı veri sınırlamaları getirilmiştir. Bu platformlar, elde ettikleri verileri yalnızca aracılık hizmetlerinin sunulması amacıyla kullanmakla sınırlandırılmış olup; bu verileri elektronik ticaret hizmet sağlayıcılar ile rekabet etmek için kesinlikle kullanamayacaklardır. Bunun yanı sıra aracı hizmet sağlayıcılar, sundukları içerik bakımından kural olarak hukuka aykırılıklardan sorumlu tutulmasalar da, bir hukuka aykırılıktan haberdar olmaları halinde içeriği gecikmeksizin yayımdan kaldırmak ve durumu ilgili idari mercilere bildirmek gibi proaktif yükümlülüklere tabi kılınmışlardır. Bu durum, aracı platformların veri ve içerik yönetiminde çok daha sıkı bir hukuki uyum programı yürütmelerini mecburi kılmaktadır.
E-Ticarette Veri Taşınabilirliği ve Uygulama Arayüzü Yükümlülüğü
Elektronik ticaret pazar yerlerinde faaliyet gösteren orta, büyük ve çok büyük ölçekli işletmeler bakımından veri taşınabilirliği devrim niteliğinde bir hak olarak mevzuatımıza girmiştir. Kanuni düzenlemeler, belirli bir işlem hacmini aşan elektronik ticaret aracı hizmet sağlayıcılara, satıcıların platform üzerinde elde edilen ticari verilerini bedelsiz ve etkin bir şekilde taşıyabilmelerine imkan tanıyan uygulama programlama arayüzü kurma zorunluluğu getirmektedir. Aracı platformlar, kendilerine iletilen bu veri taşıma taleplerini, alıcıların kişisel bilgilerini tamamen anonimleştirerek en geç on beş gün içinde karşılamakla mükelleftir. Bu yükümlülük sayesinde satıcılar, bir platforma bağımlı kalmaktan kurtularak ticari faaliyetlerini daha özgür bir rekabet ortamında sürdürebilme imkanına kavuşmaktadır. Veri taşınabilirliği kapsamında satıcılara erişim ve taşıma hakkı sunulması gereken temel ticari veriler aşağıda sıralanmaktadır:
- Satıcı tarafından satışa sunulan ürünlerin satış, iade, özellik ve görsel verileri ile müşteri soruları ve değerlendirmeleri.
- Aracı platform tarafından elde edilen dönemsel bazlı en çok tercih edilen ürün istatistikleri ve alıcıların anonimleştirilmiş demografik verileri.
- Ürünleri ayırt etmeye yarayan tekilleştirilmiş numara ve aracı platformun oluşturduğu performans değerlendirme puanları.