-
Teknolojinin hızla gelişmesiyle birlikte değişen tüketici alışkanlıkları ve ihtiyaçlarına karşılık, ticari hayatta da dijital dönüşüm zorunlu hale gelmiş ve işletmeler mal ve hizmetlerini elektronik ortamda tüketiciye sunmaya başlamıştır. Bununla birlikte, işletmeler ve tüketici dijital piyasalarda buluşmuş yepyeni iş modelleri ortaya çıkmıştır.
Ülkemizin Avrupa Birliği’ ne uyum sürecinde olduğu ve dijital dönüşümün global salgın nedeniyle hızlandığı bu dönemlerde, yapılan yasal düzenlemelerin de önemi artmıştır. Yeni gelişmeler karşısında işletmelerin kavramsal tanımlarının açık ve net bir şekilde yapılması, yükümlülüklerinin çerçevesinin belirgin olması hukuk güvenliği bakımından zaruridir.
İşletmeler uzaktan pazarlamaya elverişli bir sistem içerisinde, mal ve hizmetlerini sunma ve pazarlama imkanı elde ederken, tüketici bulunduğu yerden dilediği mal ve hizmeti satın alma kolaylığını elde etmiş ticaretin elektronik ortamda yapılması kavramı ortaya çıkmıştır.
Elektronik ticaret, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“ETDHK”) un 2. Maddesinin birinci fıkrasının a bendinde “fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyet” şeklinde tanımlanmıştır.
Elektronik ticaret, işlemlerden en az birinin elektronik ortamda gerçekleştirilmesi kaydıyla; reklam ve pazar araştırması, sipariş ve ödeme, teslimat olmak üzere üç aşamadan oluşmaktadır. Bahsi geçen üç aşamanın birinde, işlemin tamamlanabilmesi bakımından, hizmet sağlayıcı veya aracı hizmet sağlayıcı, tüketiciye ait ad, soyad, adres, ödeme bilgileri, vs. gibi verilerini talep etmesi bir gereklilik olarak kabul edilmelidir. Bu nedenlerle, temel hak ve özgürlüklerin korunması kapsamında, verisi işlenen kişinin özel hayatının gizliliği, hizmet sağlayıcı ve aracı hizmet sağlayıcıların tabi olduğu yükümlülüklerin kanun koyucu tarafından yasalarla düzenlenmesi önemini ortaya koymaktadır.
Dijital dönüşüm, ticari faaliyetlerle birlikte ve bağlantılı olarak, işletmelerin pazarlama ve reklam stratejilerini de etkilemiş, hedef kitleye ulaşmak ve ürünlerini sunmak açısından büyük kolaylık sağlamıştır. Mal ve hizmetlerin tüketiciye bireyselleşmiş haliyle sunulması için algoritmalar kullanılmaya başlanmış, algoritmaların tasarlanması için gerekli alt yapının temelini kişilerin verileri oluşturmuştur.
Elektronik ticaret sayesinde elde edilen bu veriler, verilerin değeri de göz önünde bulundurulduğunda, kişinin temel hak ve özgürlüklerinin korunması bakımından da yasal düzenlemeler yapılması zorunlu hale gelmiştir.
Ülkemizde elektronik ortamda ekonomik faaliyette bulunan hizmet sağlayıcı ve aracı hizmet sağlayıcıların yükümlülükleri, ETDHK, Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik (“Yönetmelik”) ve 6638 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile düzenlenmiştir.
- HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILARIN ELEKTRONİK TİCARET MEVZUATI KAPSAMINDA YÜKÜMLÜLÜKLERİ
Elektronik ticaret; ETDHK’ nın tanımlar başlıklı 2. maddesinin birinci fıkrasının a bendinde tanımlanmaktadır. Buna göre; elektronik ticaret, mal ve hizmetleri elektronik ortamda alıp-satma, üretim zinciri ve planlaması oluşturma, tanıtım yapma, reklam verme ve bilgilendirme, sipariş verme, pazarlama sayılanlarla sınırlı olmaksızın elektronik ticaretin kapsadığı etkinlikler olarak sıralanmıştır. Tanımdan da anlaşılacağı üzere elektronik ticaretin kapsamı oldukça geniştir.
Aynı maddenin devamında ise hizmet sağlayıcı, “elektronik ticaret faaliyetinde bulunan gerçek ve tüzel kişiler” aracı hizmet sağlayıcı ise “başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamı sağlayan gerçek ve tüzel kişiler olarak” tanımlanmıştır.
Hizmet sağlayıcılar, ETDHK kapsamında tüketicilere sundukları hizmetler esnasında, çerezler sayesinde kullanıcıların lokasyon, IP, zaman bilgisi ziyaret süresi gibi kişi ile eşleştirilebilecek verilerinin yanı sıra, alışveriş veya üyelik gerektiren durumlarda kişiye ilişkin kişisel bilgilerini de temin edebilmektedirler. KVKK uyarınca; kişisel veri olarak tanımlanan bu veriler, ilgiliden talep edildiğinden işlenmesi de söz konusu olmaktadır.
Hizmet sağlayıcının, kişisel verilere ilişkin koruma yükümlülüğü ilk olarak ETDHK’ nın 10. maddesi ile hüküm altına alınmıştır. Hükmün gerekçesine göre, hizmet sağlayıcılara sorumluluklar yüklenerek objektif özen yükümlülüklerine uygun davranması beklenir.
Hizmet sağlayıcının, ilgili kişiye ait yukarıda sayılan kişisel verileri işlemesine ilişkin usul ve esaslar Yönetmelik’ in 10. maddesi ile düzenlenmektedir. İlgili Yönetmelik hükmü uyarınca hizmet sağlayıcı, elektronik ticaret faaliyeti esnasında elde ettiği ve dolayısıyla işlediği kişisel verilerin muhafazasından sorumludur. Buna göre hizmet sağlayıcı bu verilerin hukuka aykırı olarak elde edilemesini ve işlenmesini engellemeye yönelik gereken tedbirleri almalıdır. Söz konusu tedbirler hem idari hem de teknik tedbirleri kapsamaktadır.
Aynı maddenin ikinci fıkrasında ise, verisi işlenen ilgilinin açık rızası olmaksızın bu kişisel verilerin üçüncü kişilerle paylaşılamayacağı, işlenemeyeceği ve başka amaçlarla kullanılamayacağı düzenlenmektedir.
- 2.HİZMET SAĞLAYICILARIN KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA YÜKÜMLÜLÜKLERİ
Hizmet sağlayıcının kişisel verileri işleyen olarak yükümlülükleri ve işleme sırasında uyması gereken usul ve esaslar Kişisel Verilerin Korunması Kanunu’ nda düzenlenmiştir.
KVKK’ da kişisel veri, ulusal ve uluslararası düzenlemelerdeki tanıma paralel olarak “kişiye ilişkin belirli ya da belirlenebilir nitelikteki her türlü bilgi” olarak tanımlanmaktadır. Bu kapsamda kişilere ait ad, soyad, cinsiyet, yaş, elektronik posta adresi, telefon numarası, meslek gibi bilgiler kişisel veri niteliğinde kabul edilebilecektir. Kanun’ da korunmak istenen gerçek kişi, dolayısıyla gerçek kişiye ait kişisel verilerdir. Bu bakımdan tüzel kişilere ait ticari unvan ve adres gibi bilgiler kişiyle ilişkilendirilmediği sürece Kanun kapsamında değildir. Ancak tüzel kişiliğe ait olmakla birlikte ilgili kişiyi işaret eden veriler de Kanun kapsamında korunmaktadır.
Kanun tanımından da anlaşılacağı üzere bir verinin kişisel veri olabilmesi için kişiyi belli etmesi gerekir. Burada ki kıstas, verinin kişiyi doğrudan işaret etme veya kayıt ile ilişkilendirebilme niteliğidir. Son olarak Kanun, kişiyi, doğrudan veya dolaylı belirli yada belirlenebilir yapan her türlü bilgiyi kişisel veri olarak tanımlayarak ifadeyi son derece geniş tutmuştur.
KVKK’ nın tanımlar başlıklı maddesinde, kişisel veriler üzerinde gerçekleştirilen bir çok eylem veri işleme olarak tanımlanmıştır. Bu eylemler sınırlı sayıda olmayıp, veri üzerindeki her türlü işlemi kapsamaktadır. Bununla birlikte kişisel verilerin işlenmesi ise KVKK’ nın 5. maddesinin birinci fıkrasına göre ilgili kişinin açık rızasına bağlanmıştır. Bu nedenle kişinin açık rızası bulunmadan verilerin işlenmesi hem ETDHK ve Yönetmeliğin hem de KVKK’ nın ilgili hükümlerine aykırılık teşkil edecektir.
Veri sorumlusu ise KVKK’ nın 3. maddesinde “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi’’ olarak tanımlanmıştır. İlgili düzenlemeye göre veri sorumlusunun kamu veya özel hukuk kişisi olması önem arz etmez. Önemli olan hangi tür verilerin hangi amaç ve yöntemlerle toplanacağına dair karar veren kişinin belirlenmesidir. Her somut olayda ayrıca tespit etmek gerekmekle birlikte, hizmet sağlayıcı, KVKK kapsamında veri sorumlusu olarak nitelendirilir.
Veri işleyen ise veri sorumlusu ile aynı tüzel veya gerçek kişi olabileceği gibi, veri sorumlusunun verdiği yetki ile veriyi işleyen bir başka kişi de olabilir. Örneğin, elektronik ticarette kullanılan ödeme sistemlerinde, ödeme hizmeti sağlayan şirket, son kullanıcı ile yaptıkları sözleşmeler dolayısıyla veri sorumlularıdır. Veri sorumlusunun ve veri işleyenin tespitinde her durum kendi içindeki şartlara göre değerlendirilmelidir.
Hizmet sağlayıcı ETDHK kapsamındaki faaliyetleri dolayısıyla temin ettiği kişisel verileri, KVKK uyarınca işlemesi, silmesi, anonim hale getirmesi ve aktarması bakımından, kişisel verilerin hukuka aykırı işlenmesini önlemek ve veri sahiplerinin haklarını korumak amacıyla, veri sorumlusu sıfatıyla belirli yükümlülüklere tabi tutulmuştur.
KVKK uyarınca veri sorumlusunun, dolayısıyla ETDHK kapsamında hizmet sağlayıcının yükümlülükleri detaylarıyla açıklanacağı üzere aşağıdaki gibi sıralanabilir.
- KVKK’ nın 5. maddesi uyarınca açık rıza alma yükümlülüğü,
- KVKK’ nın 10. maddesi uyarınca aydınlatma yükümlülüğü,
- KVKK’ nın 12. maddesi uyarınca veri güvenliğine ilişkin yükümlülüğü,
- KVKK’ nın 13. maddesi uyarınca ilgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü
- KVKK’ nın 16. maddesi uyarınca veri sorumlusu siciline kayıt yükümlülüğü
2.1 Açık Rıza Alma Yükümlülüğü
Çalışmanın önceki bölümünde de değinildiği üzere, kişisel veriler ancak ilgilinin rızasının bulunduğu hallerde işlenebilir. KVKK’ nın 5. maddesi uyarınca ilgilisinin açık rızası alınmaksızın kişisel veri işlenemeyecektir
KVKK kapsamında işlemenin hukuka uygun kabul edilebilmesi için kişinin bu işleme açık rıza göstermesi gerekir. Bu kapsamda açık rıza KVKK’ nın 5. maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmaktadır. Açık rıza, ilgili kişinin kişisel verilerinin işlemesi ile ilgili yeterli bilgi sahibi olarak, sadece bilgi sahibi olduğu işlemle sınırlı olmak üzere tereddüde yer bırakmayacak şekilde açıkladığı irade beyanıdır.
Aynı maddenin ikinci fıkrasında ilgilisinin açık rızasının aranmayacağı sınırlı istisnai haller hüküm altına alınmıştır. Bu hallerin varlığı hariç olmak üzere işlenecek her türlü kişisel veri bakımından açık rıza alınması ön şarttır. Bununla birlikte özel nitelikli kişisel veriler istisna kapsamındaki hallerde dahi kişinin açık rızası olmaksızın işlenemez.
İlgili kişinin açık rızasını özgür irade ile açıklandığının kabulü için, açık rızanın hiç bir ön şarta bağlanmaması gerekir. Yani açık rıza mal veya hizmeti temin etmenin ön koşulu olarak ileri sürülmemelidir. Aksi halde, açık rıza özgür iradeyle açıklanmış olmayacak ve bu hükmün ihlali anlamına gelecektir.
2.2 Aydınlatma Yükümlülüğü
KVKK’ nın 10. maddesi uyarınca aydınlatma yükümlülüğü, veri sorumlusu bakımından emredici mahiyette bir yükümlülük olarak düzenlenmiştir. İlgili düzenlemeye göre, hizmet sağlayıcı veri sorumlusu sıfatıyla, kendi veya temsilcisinin kimliği, verileri işleme amacı, yöntemi ve hukuki sebebi, verilerin kimlere ve hangi amaçla aktarılabileceği ve KVKK’ nın 11. maddesi kapsamında sahip olduğu hakları ile ilgili kişiyi aydınlatma yükümlüdür.
Veri sorumluları, kişisel veriler temin edilmeden evvel ilgili kişileri bilgilendirmelidir. Yapılacak bilgilendirme esnasında ilgili kişinin anlayabileceği bir dil kullanılmalıdır. Buna göre aydınlatma metninde teknik ve hukuki bir dil kullanılmamalı, net, sade, açık muğlak olmayan ifadelerle ilgili kişi amacına uygun olarak bilgilendirilmelidir.
Yükümlülüğün yerine getirilmesine ilişkin usul ve esaslar Aydınlatma Yükümlülüğü’ nün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile hüküm altına alınmakla beraber aydınlatma yükümlülüğü de açık rıza gibi herhangi bir şekil şartına tabi değildir.
Tebliğ’in 5. maddesine göre aydınlatma yükümlülüğü “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği gibi aydınlatma yükümlülüğünün gereği gibi yerine getirildiğinin ispat yükünü de veri sorumlusuna yüklenmiştir. Bu nedenle veri sorumlusu ispatlanabilir herhangi bir vasıtayla bu yükümlülüğünü yerine getirmesi kendisi için önem arz etmektedir. bununla birlikte veri sorumlusu açık rızaya dayalı olarak kişisel veri işlediği hallerde aydınlatma yükümlülüğünü ayrı bir işlemle yerine getirmelidir.
Bu kapsamda, hizmet sağlayıcı KVKK’ nın 10. maddesine uygun surette, düzenlemede belirtilen asgari unsurları içerecek şekilde ilgiliyi aydınlatması, bunun yanında, Tebliğ’in 5. maddesinin birinci fıkrasının f bendi uyarınca açık rıza aranan hallerde aydınlatma metninden ayrıksı tutulmak kaydıyla açık rıza alınması gerekecektir. Bu halde, hizmet sağlayıcı açık rıza alınması ve ilgilileri aydınlatmasına ilişkin yükümlülükleri ayrıştırılarak ifa edilmelidir.
2.3 Veri Güvenliğine İlişkin Yükümlülükler
KVKK’ nın 12. maddesi hizmet sağlayıcının veri güvenliğine ilişkin yükümlülüklerini düzenlemektedir. Maddenin ilk fıkrasına göre veri sorumlusu verileri bizzat işlediği hallerde gerekli her türlü tedbiri almakla yükümlüdür. Maddeye göre bu tedbirler;
- kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- kişisel verilerin muhafazasını sağlamak,
amacına uygun olmalıdır.
Kişisel Verileri Koruma Kurulu’ nun veri güvenliğine ilişkin düzenleme yetkisi bulunmaktadır. Bu nedenle bir takım yükümlülükler ve sektörel olarak işlenen verilere yönelik ilave tedbirler Kişisel Veri Koruma Kurulu tarafından belirlenecektir. KVK Kurulu’ nun düzenleme yetkisi kapsamında Kurul kararları da takip edilmeli, kararlar doğrultusunda gerekli teknik tedbirler alınmalıdır.
KVKK’ nın 12. maddesinin ikinci fıkrasına göre, veri sorumlusu, veri işleyen tarafından yapılan işlemlerden de üçüncü kişi ile beraber müştereken sorumlu olacaktır.
Aynı maddenin 3. fıkrasında ise KVKK, veri sorumlusuna KVKK’ ya uyumluluğun sağlanması bakımından denetleme yapılmasını zorunlu kılmıştır. Veri sorumlusu sıfatıyla hizmet sağlayıcılar öğrendikleri kişisel verileri, KVKK’ nın 12. maddesinin beşinci fıkrası uyarınca başkasına açıklamama ve işleme amacı dışında kullanmamakla yükümlüdür. Bahsi geçen yükümlülük, veri işleyen kişilerin görevleri sona erse dahi devam edecektir.
Maddenin son fıkrasında ise, hizmet sağlayıcı, işlenen kişisel verilerin korunmasına yönelik olarak, bu verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi durumunu, Kişisel Veri Koruma Kurulu’ na bildirmekle yükümlü tutulmuştur.
2.4. Kişisel Verileri Silme, İmha Etme ve Anonimleştirme Yükümlüğü
Hizmet sağlayıcının bir diğer yükümlülüğü ise, veri sorumlusu sıfatıyla hukuka uygun olarak işlediği kişisel verileri amacına uygun olarak kullandıktan ve işlemeyi gerektiren sebepler ortadan kalktıktan sonra silmesi, imha etmesi ve anonimleştirmesi gerekir. Bu yükümlülük ilgili kişinin talebi üzerine veya kendiliğinden yerine getirilebilir.
Veri sorumluluları bu yükümlülüklerini yerine getirirken, imha politikalarına uygun davranmak zorundadırlar. Hizmet sağlayıcıların imha politikalarını Yönetmelik’ e uygun olarak hazırlamaları gerekir.
2.5. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Veri Sorumluları Sicili (“VERBİS”), KVKK’ nın 16. maddesine göre, veri sorumlularının veri işlemeye başlamadan evvel kayıt yaptırmak zorunda oldukları sistemdir. KVKK’ da herhangi bir ayrım yapılmadığından, sicile kayıt zorunluluğu hem kamu hem de özel hukuk tüzel kişileri için geçerli sayılacaktır.
Veri sorumlularının, yani elektronik ticaret yapan hizmet sağlayıcıların VERBİS’ e kayıtlı olmaları zorunludur. VERBİS’ e kayıt prosedürüne ilişkin usul ve esaslar Veri Sorumluları Sicili Hakkında Yönetmelik ile hüküm altına alınmıştır. Bu yönetmelik ile halka açık olarak tutulacak sicilin oluşturulması ve idaresi amaçlanmaktadır. Bu sayede ilgili kişiler veri sorumlularını bilebilecek ve olası bir ihlalde daha kolay başvuru imkanı doğacaktır.
Bununla birlikte KVKK’ nın 28. maddesinin ikinci fıkrasında düzenlenen istisnai hallerin varlığı halinde sicile kayıt zorunluluğu ortadan kaldırılacaktır. Kişisel Verileri Koruma Kurulu’ na istisnaları belirleme yetkisi de verilmiş olup Kurul verdiği kararla sicile kayıt zorunluluğundan muaf olan veri sorumlularını belirlemiştir.
2.6. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
KVKK’ nın 13. maddesine göre veri sorumlusu, veri sahibi tarafından kendisine iletilen talepleri, talebin tebliğ edildiği tarihten itibaren en geç 30 gün içinde ve mümkün olduğu en kısa süre içerisinde sonuçlandırmakla yükümlüdür. Veri sorumlusu söz konusu bilgilendirmeyi yapmak için ilgili kişiden hiç bir ücret talep edemez.
Veri sorumlusunun bu yükümlülüğüne dair usul ve esaslar, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile ayrıca hüküm altına alınmıştır.
İlgili kişi başvurusu yazılı olabileceği gibi elektronik ortamda da iletilebilecektir.Veri sorumlusu sıfatıyla hizmet sağlayıcı, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir. Bu durumda sonuç yine yazılı olarak veya elektronik ortamdan ilgiliye iletilecektir. Veri sorumlusunun bu başvuruyu reddetmesi, süresinde başvuruya cevap vermemesi veya verilen cevabın yetersiz bulunduğu hallerde ilgili kişinin cevabı öğrendiği tarihten itibaren 30, her halde 60 gün içinde Kurul’ a şikayette bulunma hakkı vardır.
YAPTIRIM
- 3.KVKK uyarınca, kanunun ihlal edilmesi halinde uygulanacak yaptırımlarla ilgili üçlü bir ayrım yapılabilir.
Buna göre ilk olarak KVKK’ nın 18. maddesinde idari yaptırımlar düzenlenmiştir. İlgili hükümde sayılan yükümlülüklerin ihlal edilmesi halinde veri sorumlulularına uygulanacak yaptırım idari para cezasıdır. İlgili madde hükmünde, her bir ihlal için ayrı oranlar belirlenmekle birlikte, Kurul’ un idari para cezalarına ilişkin kararlarına karşı idari yargı yolu açıktır. Kanun kapsamında düzenlenen cezaların yalnızca veri sorumlusu gerçek ve tüzel kişiler bakımından geçerli olduğunu belirtmek gerekir.
KVKK’ nın amacına uygun olarak, korunmak istenen kişiler kanunun ihlal edilmesi halinde uğradıkları maddi ve manevi zararlarının tazminini talep edebileceklerdir. Kaldı ki Kanun’ un 11. maddesinde kişinin zarara uğramış olduğu durumlarda tazminat talep edebileceği düzenlenmiştir.
KVKK’ nın 17. maddesinde ise Türk Ceza Kanunu’ (“TCK”) na atıf yapılarak kişisel verilere ilişkin suçlara TCK’ nın 135. ve 140. maddelerinin uygulanacağı düzenlenmiştir. Aynı maddenin 2. fıkrası ise “ Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” hükmü amirdir.
Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcıların Kişisel Verilerin Korunması Kanunu Kapsamında Yükümlülükleri
