HUKUKİ YAYINLAR

KVKK Kararları Kapsamında E-Ticaret Uygulamarının Değerlendirilmesi

Günümüzde teknolojik gelişmeler sonucunda birçok inovatif ticaret yollarına başvurulmaktadır. Bu kapsamda yer alan elektronik ticaret kuruluşları, son günlerde yaşadığımız pandemi sebebiyle arz talep noktasında en sık tercih edilen araçlar arasında yerini almaktadır. E- ticaret sitelerinin  yaşanan bu süreç sonrasında da giderek önemini arttıracağı düşünülmektedir.

Kimlik bilgileri, iletişim bilgileri, ödeme bilgileri ve ürün tercih bilgileri bakımından tehdit altında bulunan tüketicilerin mağduriyetine yol açmamak adına, e-ticaret kuruluşlarının Kişisel    Veri Koruma Mevzuatına riayet etmeleri önem arz etmektedir.
Söz konusu olguya ışık tutmak açısından aşağıda ilgili Kişisel Veri Koruma Kurul kararları incelenerek ele alınacaktır.

 1-)KVKK’nın10. ve 12. maddeleri hakkındaki düzenlemelerine muhalefete ilişkin27.02.2020 tarihli ve 2020/173 sayılı kararına göre özetle; “…Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru sonucunda…Veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,…Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TLidari para cezası uygulanmasına, veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve  uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.”[1]Kanunun 10. maddesinde yer alan aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir hak olarak karşımıza çıkmaktadır. Kanunun 12 nci maddesinin birinci fıkrasında ise; “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü düzenlenmektedir.

İşbu düzenlemeleri yerine getirirken Kanunun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Hakkında Tebliğine uygun hale getirilmesi gerekmektedir. Kararda da görüldüğü üzere uygulamalardaki yükümlülüğün yerine getirilmesindeki en sık rastlanılan durum metnin sade, açık bir dil ile oluşturulmaması ve veri sorumlusunun, ‘kişisel verilerin işlenmesi’ hususunu eksiksiz ve tam olarak net bir ifade ile yansıtmamış olmasıdır. Ayrıca diğer bir düzenleme olan Kanunun 12. maddesi gereği bu risklerin önüne geçilebilmesi için gerekli zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerekmektedir.

2-KVKK’nın  4. maddesi hakkındaki düzenlemesine muhalefete ilişkin 06.02.2020 tarihli ve 2020/86 sayılı kararına göre özetle;” Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikâyet başvurusu Şikayet dilekçesi ekinde sunulan KEP delilinden veri sorumlusunun ilgili kişinin başvurusunu, kendisine iletilmesinden yedi dakika sonra okuduğunun anlaşıldığı, Kurulun talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre, veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kuralına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmadığı değerlendirilmiş olup, Kanunun 15 inci maddesinin (5) numaralı fıkrası hükümlerine aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (c) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.”[2] Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu ilkeler; “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma “, “ Belirli, açık ve meşru amaçlar için işlenme”, “ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” , “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”  şeklinde sıralanmıştır. Veri işleme faaliyeti hangi hukuki sebebe/işleme şartına dayanırsa dayansın tüm veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Söz konusu kararda önemli bir yer tutan “Hukuka ve dürüstlük kurallarına uygun olma” ilkesi ile; kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu belirtmektedir. Kanunda öngörülen ilgili kişinin veri işlenmesi faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi zorunluluk arz etmektedir.

 3-)KVKK’nın10. maddesihakkındaki düzenlemesine muhalefete ilişkin 08.07.2019 tarihli ve 2019/206 sayılı kararına göre özetle; “…Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları hakkında… Kurul Kararı ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına karar verilmiştir.”[3]Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı olarak ortaya çıkan özgür irade beyanından ibarettir. Kavram içerisinde yer alan unsurlardan birinin eksikliği dahi açık rızanın varlığını ortadan kaldırmaya yetmektedir. Kişisel veri işlenmesi hususunda ‘Aydınlatma Yükümlülüğünün’ yerine getirilmesi olmazsa olmaz şartlar içerisinde yer almaktadır.

 İşbu şartı yerine getirirkenAydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğine uygun hale getirilmesi gerekmektedir. Bunlarla birlikte, Tebliğin 5. maddesi gereğikişisel veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olması durumunda, veri sorumlusunun aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesigerekmektedir.

4-)KVKK’nın12. maddesi hakkındaki düzenlemelerine muhalefete ilişkin 16.05.2019 tarihli ve 2019/141[4] sayılı kararına göre özetle;”… Clickbus Seyahat Hizmetleri A.Ş.'nin veri ihlal bildirimi hakkında bilgilendirmede, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL, öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL, olmak üzere toplam 550.000 TL idari para cezası uygulanmasına, karar   verilmiştir.

Veri kayıt sistemlerinde kişisel veri güvenliğine ilişkin çeşitli riskler ortaya çıkabilmektedir. Bu risklerin önüne geçilebilmesi için gerekli zaman, kaynak ve uzmanlığın sağlanarak uygun teknik ve idari tedbirlerin alınması gerekmektedir.Öyle ki, söz konusu tedbirleri idari ve teknik olarak sınıflandırıp genel bir yol haritası belirlenerek içeriğin her veri sorumlusunun kendi ihtiyaçları doğrultusunda doldurulması ile önemli bir konfor alanı sağlamış olacaktır.

 
Bu süreçte idari ve teknik tedbirler olarak özelleştirilmesi gereken başlıklar sırasıyla; Veri İşleyenler ile İlişkilerin Yönetimi, Kişisel Verilerin Mümkün Olduğunca Azaltılması, Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi, Mevcut Risk ve Tehditlerin Belirlenmesi, Çalışanların Eğitilmesi ve Farkındalık Çalışmaları ; Siber Güvenliğin Sağlanması,  Kişisel Veri Güvenliğinin Takibi, Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması,  Kişisel Verilerin Bulutta Depolanması, Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı, Kişisel Verilerin Yedeklenmesi olarak   karşımıza çıkmaktadır.

Değerlendirme

  1-)Aydınlatma yükümlülüğü, gizlilik bildirimi ve çerez politikaları içeriği basit ve anlaşılır olmalıdır.

  2-)Aydınlatma yükümlülüğü ve çerez politikalarına erişim kolay olmalıdır.

  3-)Aydınlatma yükümlülüğünün yerine getirilip ilgili kişiye tebliğinin ispatı da veri sorumlusuna aittir.

  4-)Sahip olunan verilere yönelik bir saldırı gerçekleştiyse, veri sahibi kişilere ivedilikle bildirim yapılmalıdır.

  5-)Veri güvenliğinden kaynaklı sorumluluk, veriye sahip olan tarafa aittir. Bu sebeple, teknik ve idari tüm önlemleri almalıdır.

Dünya’da ve ülkemizde kişisel verilerin korunması konusu her geçen gün önemini arttırmaktadır. Bu noktada, Kurul e-ticaretin mevzuata uygun şekilde yürütülmesi için temel teşkil edecek kararlar vermiştir. Öyleyse, teknolojiden faydalanmanın önüne geçebilecek olan siber tehditlere maruz kalmamak adına Kurulca verilen her kararın bir deneyim olarak değerlendirilerek uyulması, veri güvenliğini sağlarken sosyal yaşam ve hukuk alanında ülke gelişimine katkı sağlayacağı unutulmamalıdır.