5. E-Ticaret hukukunda sicile kayıt yükümlülüğü(VERBIS)

VERBİS yükümlülüğü şu anda çokça konuşuluyor. KVKK olarak adlandırdığımız Kişisel Verilerin Korunması Kanunu genellikle sadece VERBİS kayıtla ilişkilendirilir. Ancak, KVKK sadece VERBİS'ten ibaret değildir. VERBİS kaydolmak herkesin yükümlülüğü müdür? Hayır, belli şartlar vardır. Şu anda bu şartlar kurumlar tarafından daha çok istisna olarak uygulanabilmektedir. Ancak, şu anda eğer çalışan sayınız yıllık olarak 50'den fazla ise veya yıllık mali bilanço toplamı 25 milyon liradan yüksekse, bu şartlardan birini sağlıyorsanız VERBİS'e kaydolmanız gerekmektedir. Temmuz 2020 itibarıyla, bu kayıt için son tarih şu an için 30 Eylül 2020'dir.

 

Ayrıca, yurt dışında yerleşik bir veri sorumlusuysanız, yani yurtdışında bir web sitesi kurmuşsanız ve Türkiye'deki kişilerin kişisel verilerini işliyorsanız, Türkiye'de bir kişisel veri işleme faaliyetiniz varsa VERBİS'e kaydolmanız gerekmektedir. Bir de, istisnalar burada ana faaliyet konusuna girmez, ancak ana faaliyetiniz özel nitelikli veri işlemek ise, örneğin bir sağlık uygulamasıysanız, yine VERBİS'e kaydolmanız gerekebilir.

 

Kamu kurumları arasında bu yükümlülük geçerli olup e-ticaretle çok ilgili değildir. Ayrıca, noterler, vakıflar, dernekler, sendikalar, avukatlar gibi bazı kişiler bu yükümlülükten istisna tutulmaktadır ve e-ticaret ile ilgili değillerdir. Genel olarak kabul edilen istisna şu şekildedir: Yıllık çalışan sayısı, bu bir hesaplama yöntemiyle kolayca şirketinizin mali müşavirleri veya KDV uzmanları tarafından belirtilebilir. Eğer yıllık çalışan sayınız 50'den fazla ise veya yıllık mali bilanço toplamı bu istisnaların birini sağlıyorsanız, VERBİS'e kaydolmalısınız. Bugün değil, yarın eğer bu istisnalara giriyorsanız, o zaman kayıt yükümlülüğü sizin için başlamış olur. VERBİS yükümlülüğü de bu şekildedir.

 

Şimdi, Kişisel Verilerin Korunması Kanunu ilgili kişi haklarını getirmiştir. Bu, kişilerin artık işlediğiniz verilerle ilgili haklara sahip oldukları anlamına gelir. Yani, kişiler artık sizinle, yani veri sorumlusu olarak e-ticaret sitenizle iletişime geçerek çeşitli taleplerde bulunma hakkına sahiptir. Bu talepler genellikle detaylı haklardır, ancak en sık karşılaşılan talepleri gözden geçirelim.

 

İlgili kişi, size başvurarak kişisel verilerinin işlenip işlenmediğini sorgulayabilir, hangi kişisel verilerinin talep ettiğinizi size bildirmenizi isteyebilir, bu verileri hangi amaçla işlediğinizi size sorma hakkına sahiptir ve bu verileri kimlerle paylaştığınızı öğrenme hakkına sahiptir. Ayrıca, işlediğiniz kişisel verilerin silinmesini talep etme hakkına da sahiptir. Eğer sizin hatalı bir şekilde kişisel verilerini işlemeniz sonucunda ilgili kişi zarar görmüşse, zararın giderilmesini talep etme hakkı da vardır.

 

Bunlar dışında, en sık kullanılan hakları burada belirtmeye çalıştım. İlgili kişi haklarından bahsettik. Peki, ilgili kişi size bir talepte bulunduğunda bahsettiğimiz taleplerle ilgili olarak ne yapmanız gerekiyor? Bu talebi 30 gün içinde ücretsiz olarak yanıtlamanız gerekmektedir. Ancak, bazı durumlarda ek maliyet gerektiren durumlar olabilir, ancak genel prensip olarak ücretsiz bir şekilde sonuçlandırmanız gerekmektedir.

 

Size başvurulduktan sonra verilerin silinme talebini 30 gün içinde yanıtladınız. Ancak, kişinin sizin cevabınızdan itibaren 30 gün içinde Kurula başvurarak taleplerini yerine getirmediğinizi şikayet etme hakkı bulunmaktadır. Bir diğer yükümlülük ise kişisel verilerin imha edilmesi yükümlülüğüdür. Bu ne demek? Kısacası, kişisel verilerin işlenmesi ihtiyacının sona erdiği zaman veya size izin verilen saklama süresinin sona erdiği zaman, bu verileri silmeniz, yok etmeniz veya imha etmeniz gerekmektedir.

 

Bu yöntemlerden herhangi birini kullanabilirsiniz: silme, yok etme, anonim hale getirme. Detaylı bilgilere KVKK rehberlerinden erişebilirsiniz. Kişisel verilerin korunması kanununda hangi cezalar bulunmaktadır? Bahsettiğimiz yükümlülükleri yerine getirmemenin yaptırımları nelerdir? Avrupa Birliği mevzuatından farklı olarak, kanunumuzda hapis cezaları da bulunmaktadır.

 

Yani sadece idari para cezaları değil, yaptığınız eylemin niteliğine bağlı olarak değişebilen hapis cezaları da söz konusu olabilir. Bu cezalar, Türk Ceza Kanunu'nda yer alan maddeler uyarınca uygulanmaktadır. Ceza mahkemeleri, bu konuda kararlar vermeye başlamışlardır. Her türlü ihlalde değil, ancak önemli bir konu olduğunda ve savcılığa intikal etmişse, 6 yıla kadar hapis cezalarıyla karşılaşabilirsiniz.

 

Daha da önemlisi, idari para cezalarından bahsedelim. Kişisel Verileri Koruma Kurumu, yaklaşık üç-dört yıldır ağır para cezaları uygulamaya başlamıştır. Bu cezalar her yıl değişmektedir ve para cezalarının alt ve üst limitleri arasında farklılıklar bulunmaktadır. 2020 itibariyle, bu cezalar yaklaşık olarak 9 bin liradan 1 milyon 800 bin liraya kadar değişebilmektedir. Bu cezalar, işletmenizin büyüklüğüne, yaptığınız ihlalin niteliğine, kapsamına ve kaç kişiyi etkilediğine göre değişebilmektedir.

 

Bu nedenle, bu yükümlülüklere dikkat etmek ve uyum sağlamak önemlidir. Şimdi KVKK kanundaki saydığımız yükümlülükleri çok kısaca özetlemek gerekirse, ben bir e-ticaret sitesi ya da veri işletme sorumlusuyum. Ne yapmam gerekiyor? İlk olarak, hangi kişisel verileri işlediğimi tespit etmem ve önlem alabilmem için genellikle bir veri işleme envanteri hazırlamam gerekiyor.

 

İkincisi, işlediğim verileri belirledikten sonra, bu işleme ilişkin aydınlatma metinleri hazırlamam gerekiyor. Gerekli durumlarda, örneğin ticaret için, kişilerden izin almak da gerekebilir. Bunu da yaptım ve düzenlemeleri aldım. Peki bir diğer yükümlülüğüm ne? Verileri aldım, uygun sürede işledim, işlemin amacı sona erdi ve artık ihtiyacım kalmadıysa, diğer süreçlerde saklamak yerine verileri imha etmem gerekiyor.

 

Bunu da yerine getirdim. Ayrıca, kanun KVKK  benden ne istiyor? Kanun, envanter ve veri imha politikası hazırlamamı ve gerektiği durumlarda VERBİS'e kaydolmamı istiyor. Onu da yaptım. Peki başka ne yapmam lazım? Verileri güvenli bir şekilde saklamam ve aktarmam gerekiyor. Bunun için güvenlik önlemleri almalıyım. Bunlar, teknik önlemlerin bir kısmı olduğu gibi idari önlemler de gerektirebilir.

 

Örneğin, KVKK sözleşmesi, gizlilik sözleşmesi gibi düzenlemeleri imzalamak da gerekebilir. Başka ne yapmalıyım? Kendi kurumum veya firma bünyesinde periyodik olarak bazı eğitimler düzenlemeli ve teknik kontroller yapmalıyım. Tabii ki, çok fazla yükümlülük var, ancak temel olarak KVKK'ye uyum sağlamamız için önemli olan bu temel yükümlülüklerdir.

Av.Nevzat Ali Anı ・ 6 dk