KVKK veri sahiplerinin haklarını korumak ve kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla veri sorumluları için birtakım yükümlülükler getirmiştir. Bu yükümlülüklere aykırı hareket edilmesi durumunda ise ilgili veri sorumlularına uygulanacak yaptırımlar noktasında idareye geniş bir takdir yetkisi tanınmış olup, veri sorumlularına uygulanacak yaptırımların asgari ve azami hadleri belirtilmek suretiyle idari para cezaları öngörülmüştür.
E-ticaret şirketlerinin KVKK kapsamında yükümlülükleri aşağıdaki şekilde sıralayabiliriz:
KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler asgari olarak KVKK’nın 10. maddesinde sayılan unsurlar hakkında aydınlatılmalıdır. Buna göre veri sorumlusu;
Tebliğ’in 5. maddesinde işbu aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir. Öte yandan Tebliğ’in m.5/1-e hükmü uyarınca, işbu aydınlatma yükümlülüğünün yerine getirildiğine dair ispat mükellefiyetinin veri sorumlusuna ait olduğu açıkça hükme bağlanmıştır. Dolayısıyla yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir. Ancak yazılı yapılması ispat açısından kolaylık sağlayacaktır.
Veri sahibinin açık rızasının alınması Kanun gereğince veri sorumlusunun asli yükümlülükleri arasındadır. Bununla birlikte KVKK’nın m. 5/2 hükmünde sınırlı olarak sayılan hallerde kişinin açık rızası aranmamaktadır.
E-ticaret şirketlerinin e-ticaret sitesi üzerinden ürün/hizmet sağlanması sürecinde kullanıcı ile bir sözleşme akdedilip akdedilmediğini değerlendirmeye sokarak sözleşmenin varlığı durumunda, açık rıza aranmamalıdır. Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır.
Burada aydınlatma yükümlüğünün yerine getirilmesine ve açık rızanın alınmasına ilişkin onayların ayrı ayrı alındığına dikkat çekmek gerekmektedir. Bu durum, Tebliğ’in 5/1-f maddesinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünden kaynaklanmaktadır.
E-ticaret şirketinin ilgili e-ticaret sitesinde, siteyi kullanan müşterinin hangi tür bilgilerinin alındığı, nasıl kullanılacağı ve korunacağı konusunda verilerin korunması ile doğrudan bağlantılı bir gizlilik politikası oluşturması da gerekmektedir. Tüketicilerden bilgiler aktif bir şekilde üyelik oluşturarak alınabileceği gibi çerezler yoluyla pasif olarak da elde edilebilmektedir.
Üyelik oluşturma sırasında elde edilen veriler, Kanun’daki kişisel veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir. Çerez yönteminde, tüketicinin siteyi nasıl kullandığı, IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir.
E-ticaret şirketlerinin gizlilik ve çerez politikalarını farklı yöntemlerle internet sitelerine yansıtmaları söz konusu olabilecektir. Bu çerçevede, çerez politikaları, aydınlatma metni içinde veya tüm politikalar ortak bir metinde yer alabilecektir.
KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan, sicile kayıt yükümlülüğü olan veri sorumlularının; veri işlemeye başlamadan önce kendilerini kayıt ettirecekleri bir sicil olarak tanımlanmıştır. Veri sorumlusu olan e-ticaret şirketleri; Kanunun 16. maddesi gereğince Kurul tarafından belirlenen istisnalar kapsamında olmamak kaydı ile Veri Sorumluları Sicili (VERBİS)’ne kaydolmakla yükümlüdür.
