E-ticaret faaliyetleri, doğası gereği yoğun şekilde kişisel veri işleme içerir. Üyelik formları, sipariş süreçleri, ödeme sistemleri ve pazarlama faaliyetleri; veri sorumlusu olarak işletmelere 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında önemli yükümlülükler yükler. Bu nedenle e-ticaret siteleri için KVKK uyumu yalnızca bir formalite değil, idari para cezaları ve itibar risklerini önleyen temel bir zorunluluktur.
Bu yazıda, e-ticaret sitenizin KVKK’ya uyumunu sağlamak için dikkat etmeniz gereken temel adımlar yer almaktadır.
1. Aydınlatma Yükümlülüğünün Yerine Getirilmesi
KVKK’nın 10. maddesi uyarınca veri sorumluları, kişisel verilerin işlenmesi sırasında ilgili kişileri bilgilendirmekle yükümlüdür. E-ticaret sitelerinde bu yükümlülük genellikle:
- Üyelik sayfasında
- Sipariş oluşturma aşamasında
- İletişim formlarında
yer alan aydınlatma metinleri ile yerine getirilir.
Aydınlatma metninde şu unsurlar açıkça belirtilmelidir:
- Veri sorumlusunun kimliği
- Kişisel verilerin hangi amaçla işleneceği
- Verilerin kimlere ve hangi amaçla aktarılabileceği
- Hukuki sebep
- İlgili kişinin hakları
Eksik veya genel ifadeler içeren metinler, KVKK’ya uyum açısından yeterli kabul edilmez.
2. Açık Rıza Süreçlerinin Doğru Kurgulanması
Her veri işleme faaliyeti açık rıza gerektirmez. Ancak özellikle:
- Ticari elektronik ileti gönderimi
- Pazarlama ve kampanya faaliyetleri
- Üçüncü taraflarla veri paylaşımı
gibi durumlarda açık rıza alınması zorunludur.
Açık rızanın geçerli olabilmesi için:
- Belirli bir konuya ilişkin olması
- Bilgilendirmeye dayanması
- Özgür iradeyle verilmesi
gerekmektedir.
Önceden işaretli kutular veya hizmet şartına bağlanan rızalar hukuka aykırı kabul edilmektedir.
3. Çerez (Cookie) Politikası ve Yönetimi
E-ticaret siteleri, kullanıcı deneyimini geliştirmek ve analiz yapmak amacıyla çerez kullanır. Ancak çerezler aracılığıyla da kişisel veri işlendiğinden, KVKK kapsamında değerlendirilir.
Bu nedenle:
- Zorunlu olmayan çerezler için açık rıza alınmalı
- Kullanıcılara çerez tercihlerini yönetme imkanı sunulmalı
- Detaylı bir çerez politikası oluşturulmalıdır
Özellikle Google Analytics gibi araçların kullanımı, veri aktarımı boyutuyla ayrıca değerlendirilmelidir.
4. Veri Güvenliği Tedbirlerinin Alınması
KVKK’nın 12. maddesi uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür.
E-ticaret siteleri açısından bu tedbirler:
- SSL sertifikası kullanımı
- Güçlü parola politikaları
- Yetki matrisi oluşturulması
- Veri erişim loglarının tutulması
- Düzenli sızma testleri
şeklinde somutlaştırılabilir.
Veri ihlallerinin önemli bir kısmı, bu tedbirlerin eksikliği nedeniyle ortaya çıkmaktadır.
5. VERBİS Kaydı Yükümlülüğü
Belirli kriterleri sağlayan e-ticaret işletmeleri için Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı zorunludur.
Genel olarak:
- Çalışan sayısı 50’den fazla olan veya
- Yıllık mali bilanço toplamı belirli sınırın üzerinde olan
işletmeler bu yükümlülük kapsamına girer.
Ancak her somut olayın ayrıca değerlendirilmesi gerekir. Yanlış veya eksik kayıt, idari yaptırımlara yol açabilir.
6. Veri Saklama ve İmha Politikası
Kişisel veriler, işlendikleri amaç ortadan kalktığında silinmeli, yok edilmeli veya anonim hale getirilmelidir.
E-ticaret sitelerinde sık yapılan hatalardan biri, verilerin süresiz olarak saklanmasıdır. Bu durum KVKK’ya açıkça aykırıdır.
Bu nedenle işletmelerin:
- Saklama sürelerini belirlemesi
- Periyodik imha süreçleri oluşturması
- Bu süreçleri dokümante etmesi
gerekmektedir.
Sonuç: KVKK Uyum Süreci Bir Defalık Değildir
E-ticaret siteleri için KVKK uyumu, yalnızca metin hazırlamakla sınırlı değildir. Bu süreç:
- Teknik altyapı
- Hukuki dokümantasyon
- Operasyonel süreçler
ile birlikte ele alınmalıdır.
Aksi halde, veri ihlalleri ve idari para cezaları ile karşılaşılması kaçınılmaz olabilir.
E-ticaret faaliyetleriniz kapsamında KVKK uyum sürecinin değerlendirilmesi ve yapılandırılması için hukuki destek alınarak siz de risklerinizi yönetebilir, operasyönel süreçlerinizin ve müşterilerinizin güvenliğini sağlayarak şirketinizi ağır para cezalarından koruyabilirsiniz.