E-Ticaret hukukunda kişisel verilerin korunması

Siber güvenliğinizi son teknoloji çözümler ile güvence altına alın!

Dijital Tarım, içinde bulunan sensör ve modüller aracılığı ile kurulu olduğu alana özel havadan ve topraktan aldığı verileri analiz ederek size ‘en iyi zamanlama’ önerileri sunar ve erken uyarı sistemisayesinde ürün zaiyatını en aza indirir.

Merhaba, ben Avukat Nevzat Anıl. Bugünkü eğitimimizde kişisel verilerin korunması konusunu anlatacağım. Daha çok e-ticaret açısından ele alacağım. Öncelikle kişisel veri nedir, ondan bahsedelim. E-ticaret hayatımıza ne zaman girdi?

2016 yılında çıkan Kişisel Verilerin Korunması Kanunu'nu mutlaka duymuşsunuzdur. Aslında diğer sektörlerde olduğu gibi e-ticaret sektöründe de önemli bir değişikliğe yol açan bir kanun oldu. Neden? Öncelikle tanımlardan bahsedelim. Kişisel veri, bir kişinin kimliğini belirli veya belirlenebilir hale getiren her türlü bilgidir.

Ne demek istiyorum? Örneklerle açıklayalım: bir kişinin adı, soyadı, telefon numarası, e-posta adresi, ev adresi, yaşadığı yer, pasaport numarası, e-ticaret üzerinden yaptığı alışverişler, tercihleri ve yaptığı tıklamalar gibi bilgiler. Bu bilgiler sayesinde o kişiyle ilgili elde ettiğimiz segmentler ve çerezler aracılığıyla elde ettiğimiz veriler de kişisel veri olarak adlandırılır.

Ayrıca, bir kişi sizin çağrı merkezinizi aradığında yapılan tüm görüşme kayıtları, kişinin sağlık bilgileri (eğer alınıyorsa), desteklediği siyasi parti veya hangi takımı tuttuğu gibi bilgiler de kişisel veri olarak kabul edilir. Kapsam oldukça geniştir. Üç temel unsurumuz bulunmaktadır.

Birincisi, gerçek bir kişiye ilişkin bilgi olması gerekmektedir. Yani, bu kişisel veri sadece insanlarla ilgili bilgileri içerir. Şirketler, dernekler ve benzeri ticari veriler bu eğitimin kapsamına girmez ve kişisel veri olarak kabul edilmez. İkincisi, söz konusu verinin kişinin kimliğini belirli veya belirlenebilir hale getirmesi gerekmektedir.

Örneğin, siz "Nevzat Anıl" dediğinizde beni rahatlıkla tanıyabilirsiniz. Ancak bazen, kişinin adı sizin elinizde olmayabilir. Ancak bu bilgiyi bir araya getirerek kişiyi belirleyebiliyorsanız veya "işte takım elbiseli avukat olan, 1.80 boyunda bir kişi" dediğinizde tek bir kişiyi hedefliyorsanız, yine kişisel veri riski bulunmaktadır. Buna dikkat etmek önemlidir.

Ve dediğim gibi, kişisel veri sınırlı değildir, kimlik bilgileri, iletişim bilgileri, sağlık verileri gibi her türlü kişiye ilişkin bilgiyi kapsar. Peki, bunu biraz e-ticaret ortamında özelleştirirsek, bir e-ticaret sitesinde veya e-ticaret işleten bir şirkette hangi kişisel verilerin işlendiğini düşünelim.

En önemlisi müşteri verilerini işleyebiliyor olabilirsiniz. Bu verileri nasıl işleyebilirsiniz? İşte alışveriş bilgilerini işleyebilirim. Alışveriş sırasında müşterinin adını ve soyadını alıyorum, satın aldığı ürünün ne olduğunu öğreniyorum, ne kadar para ödediğini öğreniyorum, nasıl ödediğini öğreniyorum. Örneğin, kapıda ödeme mi, banka kartıyla mı, kredi kartıyla mı ödeme yapıldı? Alışveriş detaylarından bahsetmek istiyorum.

Ayrıca, müşteri olmasa bile potansiyel müşterilerden bilgi almak amacıyla bir bilgi formumuz olabilir. Bu form aracılığıyla müşterilerden adlarını, soyadlarını, telefon numaralarını, e-posta adreslerini alıyoruz.

Bu veriler de kişisel veri kapsamına girer. Talep ve şikayet kanallarımız da bulunabilir. Müşterilere “Bize yazın, talep ve şikayetlerinizi bildirin” gibi kanallar sunuyoruz. Bu kanallardan aldığımız her türlü talep ve şikayet içeriği de kişinin şikayetini yazdığı mesajlar olarak kabul edilir ve kişisel veri olarak değerlendirilir.

Bunun dışında, bir web sitesinde hangi bilgilerin işlenebileceği konusuna değinelim. Örneğin, üye olanlardan aldığınız kullanıcı adı ve parola gibi bilgiler de kişisel veri olarak kabul edilir. Üye olurken kişinin bir kullanıcı adı belirlediği veya bir parola oluşturduğu durumlar da tabii ki kişisel veri sayılır.

2020 yılında Kişisel Verilerin Korunması Kurumu’nun verdiği bir kararla artık çerezler yoluyla elde edilen verilerin de kişisel veri olarak kabul edildiğini belirtmek gerekir. Çerezlerle ilgili ayrıntılara başka bir eğitimimizde yer vereceğiz, bu yüzden detaylara girmeyeceğim.

Genellikle e-ticaret ortamında olmasa da, e-ticaret firması işleten bir şirket olarak, muhtemelen bazı tedarikçilerle çalışıyorsunuz. Bu tedarikçiler işle ilgili olanlar olabilir, örneğin kargo firmaları veya depo hizmeti sağlayan kişiler. Bu tür şirketlerin çalışanları da adlarını, soyadlarını, telefon numaralarını, e-posta adreslerini işliyorsanız, bu veriler de kişisel veri sayılır.

Aynı şekilde, bir şirket iseniz muhtemelen bir mali müşavirle çalışıyor veya bir avukatla çalışıyorsunuz. Bu kişilerin kişisel verilerini işlediğinizde, bu işlemler kişisel veri işleme olarak kabul edilir.

Son olarak, bazen tek kişilik platformlarda olabilirsiniz, ancak genellikle platformunuzu yönetirken çalışanınız olur. Bu çalışanlarınızın işe alım sürecinden başlayarak, özlük bilgileri ve maaş bordroları gibi konularda kişisel verilerini işleyebilirsiniz. Hatta daha sonra hukuki süreçlerde de bazı kişisel verilere ihtiyaç duyabilirsiniz.

 Yani, bu kanun sizin için ne anlam ifade ediyor diye düşündüğünüzde, öncelikli olarak aklınıza gelenler genellikle bir e-ticaret sitesinde bu verileri işleyenlerdir. Bunun yanı sıra, özel nitelikli kişisel veri olarak adlandırdığımız bir kavram da bulunmaktadır. Kanuna göre, kişisel veri kavramının yanı sıra daha hassas ve özel nitelikli kişisel verilerin de çok daha sıkı saklama ve koruma şartlarına tabi olduğunu belirtmek gerekir.

 Özel nitelikli kişisel veriler, kişinin etnik kökeni, siyasi düşünceleri, dini inançları veya mezhebi gibi kişinin kimliğinin arka planında yer alan bilgilerdir. Örneğin, kişinin kimliğinde İslam veya Hristiyan gibi bir bilgi yazıyorsa, bu bilgiler özel nitelikli kişisel veri olarak kabul edilir. Bu madde sadece Türk mevzuatında bulunmaktadır, Avrupa mevzuatında bulunmamaktadır.

 Bunun yanı sıra, kişinin kılık ve kıyafeti gibi özellikler de özel nitelikli kişisel veri sayılır. Örnek olarak, kişinin tesettürlü olduğuna dair bir bilgi veya kipe taktığına dair bir bilgi verilebilir. Kişinin üye olduğu dernek, vakıf veya sendika gibi bilgiler de özel nitelikli kişisel veri sayılır. Genellikle bu tür bilgiler kişilerin kimliklerinde yer alır, bu yüzden bir CV gibi bir yerde bu bilgileri işlediğinizde özel nitelikli veri işlemiş olabilirsiniz, bu konuda dikkatli olmak önemlidir.

 Sizinle en çok ilgili olanı ise kişinin sağlığıyla ilgili her türlü bilgidir. Eğer kullandığınız e-ticaret platformu sağlıkla ilgili verileri topluyorsa veya kişinin sağlığıyla ilgili bir bilgiye sahipseniz, özel nitelikli veri işlemiş olabilirsiniz. Cinsel hayatıyla ilgili bilgiler, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili bilgiler (sabıka kaydı, adli sicil kaydı vb.) ve genetik veriler de özel nitelikli veri olarak kabul edilir. Yani parmak izi, yüz okuma, göz okuma, avuç içi okuma gibi her türlü bilgi özel nitelikli veri sayılıyor.

Peki, kişisel verinin ne olduğunu anladım. Şimdi kişisel veri işleme dediğimiz şey ne demekten bahsedelim. Kısacası, bir kişisel veri üzerinde yapacağınız her türlü işlem, o veriyi alma, işleme, tutma, aktarma gibi faaliyetlere işleme diyoruz.

Peki, örnek verin derseniz... Örnek veriyorum, kişinin alışveriş sürecinde verilerinizi toplamanız bir işleme sürecidir. Üye olması için size bazı üyelik formunda bilgi doldurması da bir kişisel veri işleme sürecidir. Başka ne olabilir? Kişilerden talep ve şikayet toplarsınız, web siteniz üzerinden bu da bir işleme sürecidir. Kişilere ticari iletişim yapmak için e-posta göndermek de bir kişisel veri işlem sürecidir. Ya da aldığınız bilgileri saklarsınız. Örneğin, mevzuattan kaynaklanan bir yükümlülük nedeniyle tüketici faturalarını on yıl süreyle saklıyorsunuz. Saklama da bir işleme faaliyetidir. Ayrıca, e-ticaret dünyasının vazgeçilmezi olan üyelerin bilgilerini raporluyor, analiz ediyor ve kişiselleştirilmiş pazarlama yapabilmek için profil oluşturuyorsunuz. Bu da bir işleme faaliyetidir.

Şimdi kişisel veriler hangi şartlarda işlenebilir? Biraz bunlara bakalım. Kanunda temel bazı şartlar var. Birincisi, bunları hukuka ve dürüstlük kurallarına uygun olarak işlemen lazım. İkincisi, doğru ve gerektiğinde güncel olması lazım. Kişiyle ilgili güncel bilgileri işte olman gerekiyor ve doğru bilgilerle kişiyle ilgili gerçeğe aykırı bir veri tutmam gerekiyor. Üçüncüsü, işlediğin amaçla sınırlı olması lazım. Yani bir veri topluyorsan ileride de bunu aynı amaçla kullanabilirim diye düşünerek verileri toplamak gerekiyor. Dördüncüsü, işlediğin amaç için gerekli olan süreyle sınırlı olarak saklamak gerekiyor. Yani işin bitince verileri silmen gerekiyor. Bunlar temel ilkelerimiz.

Şimdi veri işlemenin şartlarına bakalım. Temelde ikiye ayrılıyor: birincisi, bir kişisel veriyi işlemek istiyorsanız bir platformda iki şartımız var. Birincisi, ya kişilerden izin alacaksınız, ikincisi kanundaki istisnalara dayanacaksınız. Diyelim izin almak istiyoruz, diğer istisnalara girmiyoruz. Ne yapmamız lazım? İzni belirli bir konuya ilişkin, yani kişiye "şuna ilişkin senden izin alıyorum, üyelik hizmetlerine ilişkin alıyorum" ya da "sana ticari ileti göndermek için izin alıyorum" demeniz lazım. Mutlaka kişiyi aldığınız konuyla ilgili bilgilendirmeniz gerekiyor. Bu da aydınlatma metni demek, ona da birazdan geleceğiz.

Üçüncüsü, bu rızanın özgür iradeyle verilmesi lazım. Yani bu ne demek? E-ticaret üzerinden çok basit bir örnek vereyim. Bir mal veya ürünü satmak için, bu ürünü satın almak için kişiden izin istemek şart koşamazsınız. Kişilere "bu rızayı vermezsen sana ürün satmıyorum" diyemezsiniz, mutlaka bir seçim hakkı olması gerekiyor.

Peki her türlü veriyi işlemek için izin almam gerekiyor mu? Hayır, bunun bazı istisnaları var. Bazıları çok ilgili değil, e-ticaret platformlarıyla ilgili birkaçını bahsedeyim. Birincisi, kanunlar tarafından açıkça öngörülmesi lazım. Örnek veriyorum, yer sağlayıcılar yani barındırma hizmeti sunanlar için kanun koyucu demiş ki "bu trafik bilgilerini bir yıl saklamalısın." Bunun için zaten mevzuatta hüküm olduğu için bir izin almaya gerek yok.

İkincisi, çok istisnai bir durum: kişinin iznine açıklanamayacak durumlarda o kişinin hayatı ya da beden bütünlüğü için zorunluysa işleyebiliriz. Çok tipik bir örnek verilir: Bir afet durumu oluştuğunda, kişinin cep telefonu üzerinden konum bilgisine erişmem gerekiyor. O zaman izin malı mıyım? Hayır, izin almaya gerek yok.

Üçüncüsü, sözleşmenin kurulması ve ifası için gerekli olan veri işlemleri. Bu bizimle biraz ilgili. Örnek veriyorum, e-ticaretten bir satış sözleşmesi kuracağım, bir satış işlemi yapacağım. Benim sözleşmeden kaynaklanan yükümlülüğümü yerine getirmek için kişinin kargo ev adresini bilmem gerekiyor ya da adını soyadını bilmem gerekiyor ki sözleşme kurulsun. Bu bilgileri almanız için izin almaya gerek yok.

Ya da sizin bir hukuki yükümlülüğünüz olur, örnek veriyorum: Bir işverenseniz, tabii ki çalışanların maaşlarını ödemek için çalışanlarınızın banka hesap bilgilerini bilmem gerekiyor ya da eğer bu veri kişinin kendisi tarafından alenileştirilmişse, yani siz ondan istemeden o sizinle bir şekilde paylaşmışsa alenileştirilmiş bir ortamda, diyelim bir web sitesinde, o zaman bu alenileştirme amacına uygun şekilde bu verileri izin almadan kullanabilirsiniz. Bu istisna çok dikkat edin! Çok dar yorumlanır, genellikle yetkili kuruma başvurmanız gerektiği için kullanmadan önce mutlaka bir uzmana danışın.

Bir diğeri, bir hakkın tesisi ve kullanılmasıyla korunması için veri işleminin zorunlu olması. Bu ne demek? Yani bir veri işleme sürecindeki veri, ileride bu kişi ile aramızda örnek veriyorum bir yargılama veya hukuki uyuşmazlık durumunda bu veriye ihtiyaç duyabilirim.

Çalışanım işten ayrıldı, hemen çalışana ait tüm verileri silmeli miyim? Hayır, karşılıklı bir talep olmasa da iş hukuku uyuşmazlığı durumunda bu verileri sizinle ihtiyacımız olabileceği için kendimizi savunma hakkımızı kullanmak için tabii ki saklayabilirsiniz.

Son bir istisnamız var, ona da kısaca meşhur menfaat istisnası diyoruz. Bu genelde diğer istisnalar yoksa rıza almadan önce son kapı olarak görülüyor, ama buna çok dikkat etmek lazım. Veriyi işlemek için verisini işleyeceğiniz kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla bir meşru menfaatiniz varsa gerçekten açıklayabildiğiniz, ispat edebileceğiniz meşru menfaatiniz varsa bu verileri işleyebilirsiniz.

Burada genellikle işte suç örneği verilir, işte birleşme-devralma işlemi olacak bir şirket başka bir şirketi satın alacak; tabii ki hukuki inceleme için A Şirket'in içindeki verileri işleyip, o sırada bazı kişisel verileri işleme hakkının olduğu düşünülüyor. Bu yüzden tek tek insanlardan izin almaya gerek yok deniyor.

Peki, az önce bahsettiğimiz özel nitelikli verileri işlemek için şartlar nelerdir? Onlara bakalım. Yine her zaman dediğimiz gibi izin alarak özel nitelikli bir veriyi işleyebiliyoruz. Diğer bazı şartlar da var, bunlar sağlık ve cinsel hayata ilişkin veriler hariç, onların da ayrı bir koruması var, ama bunun dışındaki diğer veriler burada bahsettiğimiz ırk, etnik köken vesaire gibi verileri sadece kanunda izin veriliyorsa işleyebilirsiniz.

Bir kişinin sağlık ya da cinsel hayatıyla ilgili bir veriyi işliyorsanız, diyelim e-ticaret sisteminizde bir hizmet vermek istiyorsunuz, şuna çok dikkat edin: ya izin alacaksınız ya da burada bahsedilen amaçlar ki en önemlisi kamu sağlığının korunması, koruyucu hekimlik, tedavi bakım hizmetleri ya da sağlık hizmetleri gibi amaçlardan biriyle işlem yapmanız lazım ve ancak saklama yükümü altında olan kişiler ya da yetkili kurumlar tarafından işleyebilir, bu saklama yükümü genellikle en basit şekilde hekimlere veriliyor.

Özetle, özel nitelikli verileri işliyorsanız çok dikkat edin, çok daha sıkı şartlara tabii olmanız gerekiyor. Şimdi kişisel verilerin korunmasında bu kişisel verileri aldım, işledim; hangi şartlarda üçüncü bir kişiye aktarabilirim, ona bakalım? Öncelikle temel şartımız ya yine kişiden izin alacaksın ya da az önce bahsettiğimiz gibi diğer istisnalardan birine dayanman lazım. Yani bir sözleşme ilişkisinden kaynaklanacak mecburi bir paylaşım olacak ya da kanun uyarınca paylaşmak gerekebilir.

Gelin örneklere bakalım, daha rahat anlayabiliriz. Diyelim ki benim bir web sitem var ve sistemin tamamını ben zaten bir üçüncü kişi şirketin sunucusunda barındırmak istiyorum. Kendime ait ayrı bir sunucu maliyetine katlanmak istemiyorum. Üçüncü bir kişiye, yani bir şirkete barındırmak için bir aktarım talebinde bulunabilirim. Bir diğer örnek olarak, tedarikçilerimiz olabilir. Diyelim bir müşterinizle aranızda bir tüketici mahkemesi uyuşmazlığı oldu ve bu verileri avukatınıza ya da faturalarınızı mali müşavirlerinizle, muhasebecilerinizle paylaşmanız gerekiyor. Bunlar şirket dışında üçüncü kişilerse, aktarım örneklerinde rıza veya istisnalardan birine dayanmak gerekiyor.

Başka bir aktarım örneği de şöyle olabilir: Eğer bir web sitesi işletiyorsanız, zaten e-fatura entegrasyonu nedeniyle faturalarınızı Gelir İdaresi Başkanlığı ile paylaşmış oluyorsunuz veya iş ortaklarınız olabilir. Diyelim ki bir sipariş aldınız, o siparişi siz mi tüketicinin adresine götürüyorsunuz? Hayır, bir kargo şirketiyle ya da kuryeyle anlaşıyorsunuz. Sizin adınıza götürüyorlar. Peki bunun için ne yapmam lazım? Benim o verileri kargo şirketine aktarmam gerekiyor. İşte bu durumda da bahsettiğimiz gibi rıza veya istisnaları kullanarak aktarım yapmanız gerekiyor.

Bunun yanı sıra, kişisel verilerin yurtdışına aktarılması da bir konudur. Kişisel verilerin yurtdışına aktarılması, kısaca Türkiye dışına verilerin aktarılması anlamına gelir. Bu durumda daha hassas bir koruma gerekmektedir. Genellikle ana şartımız ya izin almak ya da birazdan bahsedeceğim istisnalardan birini kullanmaktır. Peki, bir web sitesi işletiyorsanız ve yurtdışına aktarım yapmak isterseniz, bir örnek veriyorum: IT departmanı tarafından kullanacağınız bir sunucu için yurtdışındaki bir hosting firmasıyla anlaştınız ve verilerinizi orada tutmak istiyorsunuz, bu durumda kanunen bir aktarım olarak kabul edilir, hatta sadece sizin işinize ait bile olsa orada tutmak aktarım sayılır. Benzer şekilde, bir kargo şirketine aktaracaksınız, yurtdışına bir sipariş teslim edeceksiniz ve yurtdışındaki kargo şirketiyle paylaşacaksınız, yine aktarım sayılır.

Şimdi yurtdışına aktarmak için ne yapmak lazım? Çok sıkı şartlar vardır. Birincisi, işlediğimiz kişiden izin almanız gerekebilir. İkincisi, sadece Kanun Kurulu tarafından kişisel verilerin korunması konusunda güvenli ülke olarak kabul edilen bir ülkeye aktarabilirsiniz. Ancak bu güvenli ülkelerin hangileri olduğu hala 2020'den beri açıklanmadı. Eğer aktaracağınız tarafın rızasını almadınız ve güvenli ülkeler de belirlenmediyse, o zaman nasıl aktarım yapabilirsiniz? Kurul bazı taahhütnameler yayınladı ve bu taahhütnameleri sizin ve aktaracağınız yurtdışındaki şirketin imzalayıp, Kurula başvurarak bu aktarım için izin almanız gerekiyor. Yurtdışına aktarım şu an itibariyle, 2 Temmuz 2020 itibariyle sorunlu bir konudur. Şu an için bu yöntemleri kullanmıyorsanız, rıza almaktan başka bir çareniz yoktur. Bu taahhütname örnekleri web sitesinde mevcuttur.

Şimdi yeni bir kısma geçelim. Kişisel Verilerin Korunması Kanunu'nda tanımlanan kişiler ve roller nelerdir? Temelde kanunda üç farklı kişi tanımlanmıştır. Birincisi, ilgili kişidir. Ne demek bu? Yani istediğiniz kişiye ait kişisel verilere sahip olan kişiyi ifade eder. Örneğin, web sitenizdeki müşterileriniz, ziyaretçileriniz ya da şirketinizde çalışanlarınız, hepsine "ilgili kişi" denir. Bu kavramı sıklıkla duyacaksınız.

Bunun dışında, bir veri sorumlusu ve bir de veri işleyen kavramları tanımlanmış. Veri sorumlusu ne demek? Kısacası, veri kayıt sisteminin yönetiminden sorumlu olan kişidir. Bu ne demek? Yani, e-ticaret sitesi işleten bir firmaysanız, anonim şirket, limited şirket veya gerçek kişi olmanız fark etmez, kayıt sisteminin yönetiminden sorumlu olan kişiye veri sorumlusu diyoruz. Genellikle e-ticaret platformu işletenler veri sorumlusu olarak kabul edilir. Bir de veri işleyen kavramları vardır ki aslında veri sorumlusunun yardımcılarıdır. Yani, veri işleme konusunda veri sorumlusunun talimatlarına göre hareket eden kişiler veya firmalardır. Örnek olarak, sizin hosting şirketiniz, yani benim verilerimi benim adıma saklamanızı istediğiniz hosting firmaları veya müşteri şikayetleri için çağrı merkezi çalışanları gibi. Sistem sizde olsa da, onlar size destek verdikleri için veri işleyen olarak adlandırılırlar. Şimdi kanunla ilgili yükümlülüklerden bahsedelim. Kişileri tanımladık, rolleri tanımladık, peki kanun bize hangi yükümlülükleri getiriyor? Detaylara girmeden önce belirtmek gerekir ki, kişilere aydınlatma yapmalı ve gerekiyorsa rıza almalısınız.

İkincisi, işlediğiniz verilerin güvenliğini sağlamalısınız. Üçüncüsü, şartları sağlıyorsanız, çünkü bazı istisnalar bulunmaktadır. VERBIS adını çok duymuşsunuzdur, bu bir sicil sistemi olup kaydınızın burada olması gerekiyor. Dördüncü olarak, ilgili kişiler yani verisini işlediğiniz kişiler size başvuru hakkına sahiptirler ve başvurularınıza cevap vermelisiniz. İmha da önemli bir konudur, yani kişisel verilerin işiniz bittiğinde belirli saklama sürelerinin sonunda silinmesi gerekmektedir.

Peki, bunları yapmak için neler yapmanız gerekiyor? Öncelikle kişisel ve işleme envanteriniz olması gerekmektedir. Bu genellikle çok sütun ve satırlı tablolardan oluşur. Bu tablolarda her bir kişisel veri işleme sürecini yazmanız gerekmektedir. Bu veri işleme envanterine sahip olmanız için mutlaka bir uzman yardımı almanız gerekmektedir. Diğer zorunlu politikalar da kanunda belirtilmiştir, en tipik örneği veri saklama ve imha politikasıdır. Eğer bir veri sorumlusuysanız, kişisel verileri nasıl saklayacağınızı ve imha edeceğinizi belirten politikalarınız olması gerekmektedir. Ayrıca, diğer gerekli prosedürlerin ve politikaların da hazırlanması gerekmektedir. En meşhur ve önemlisi de budur, bu yüzden bunu söyledim.

Az önce bahsettiğimiz gibi öncelikle aydınlatma metni hazırlamanız gerekmektedir, veri aktardığınız kişilerle sözleşme yapmanız gerekmektedir. Örneğin, veri işleyenlerle yapılan sözleşmeler. Bir veri ihlali durumunda veya sakladığınız verilerde bir güvenlik açığı oluştuğunda bunu kuruma bildirmeniz gerekmektedir. Biraz daha detaylı şekilde açıklayalım şimdi aydınlatma ve onay yükümlülüğünü. Aydınlatma yükümlülüğü ne demektir? Kişisel verilerin toplandığı sırada, yani topladıktan sonra değil, toplama anında kişilere bu verilerin nasıl işleneceği hakkında bilgilendirme yapmak gerekmektedir.

Bu bilgilendirmede neler olması gerektiğini kısaca açıklayacak olursak; veri sorumlusunun veya bu verileri talep eden kişinin kimliği, hangi kişisel verilerin işleneceği, bu kişisel verilerin hangi amaçlarla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi, hangi hukuki sebebe dayanarak işlendiği ve son olarak ilgili kişinin hakları. Mevzuatta açıkça belirtilmeyen verilerin işlendiği durumlarda bile, kanun bu konuda bilgilendirme yapılmasını istediği için bunları eklemeliyiz. Burada dikkat etmemiz gereken nedir? Rıza ya da diğer istisnalar hakkında daha önce bahsettiğimiz eğitimde belirtildiği gibi, rıza konusu önemlidir. Rıza almasanız dahi veya istisnalara dayansanız dahi her durumda kişilere bilgilendirme yapmalısınız. Bilgilendirme ve rıza alma işlemleri birbirinden ayrı olmalıdır. Peki, ben bir e-ticaret sitesiyim. Hangi durumlarda bilgilendirme yapmam veya rıza almam gerekebilir?

En yaygın durumları ve aynı anda yapılması gerekenleri söyleyelim. Birincisi, alışveriş işlemi. Eğer bir kişi alışveriş yapıyorsa, alışveriş sırasında bazı verilerini işlediğimiz için ona bir aydınlatma yapmanız gerekir. İkincisi, üyelik işlemi. Eğer web sitenizde üye olma seçeneği varsa, üyelik sırasında bazı verilerini aldığınız için bir aydınlatma yapmanız gerekmektedir. Üçüncüsü, talep veya şikayet topladığınız bir paneliniz varsa, bu şikayetleri yazın, bize yazın ya da bizi arayın gibi yerlerde, hangi kanaldan alıyorsanız o kanalda bir aydınlatma yapmanız gerekmektedir. Eğer web sitesi üzerinden veya başka bir kanaldan iş başvurusu alıyorsanız, genellikle kariyer sekmeli olur web sitelerinde, burada da veri topladığınız için bir aydınlatma yapmanız gerekmektedir. Son olarak, çerez kullanımı da kişisel veri işleme olarak kabul edildiği için çerezlerle veri topluyorsanız, web sitenizde çerez politikası kullanmanız gerekmektedir.

Peki, aydınlatma ve rıza alma her yerde yapılmalı mı? Hayır, genellikle e-ticaret sitelerinin rıza alması gereken konular bunlardır. Burada sadece en yaygın örnekleri kullandım, diğer durumlar da olabilir. Genellikle üyelik sırasında açık bir rıza izni alınması gerekmektedir. Bunun nedeni, bu verilerin çeşitli pazarlama ve satış faaliyetlerine tabi tutulmasıdır. Daha doğru bir pazarlama yapabilmek için izin almanız gerekmektedir.

İkinci olarak, ticari iletişim izni. Eğer bir kişiye posta göndermek için izin alıyorsanız, bu durumda mutlaka açık bir rıza almanız gerekebilir. Ayrıca, internet siteniz üzerinden ticari amaçlı bir iş başvurusu alacaksanız veya ilgili bir başvuruyu saklamak istiyorsanız, bu durumda da yine izin almanız gerekebilir.

Son olarak, çerezler konusunda şunu söyleyebiliriz: Çerezlerle ilgili açık bir yasal düzenleme bulunmamaktadır, ancak kurum kararlarına göre hareket etmek gerekmektedir. Eğer pazarlama takip çerezleri gibi çerezler kullanıyorsanız, artık bunlar için de izin almanız gerekmektedir. Veri güvenliği yükümlülükleri, veri sorumlusu olarak size getirilen bir diğer yükümlülüktür. Kanun koyucu size diyor ki, eğer bir web sitesi sahibiyseniz veya bir veri sorumlusuysanız, bazı veri güvenliği yükümlülüklerini yerine getirmeniz gerekmektedir. Bu yükümlülükler, hukuka aykırı veri işleme işlemlerini önlemek, bu verilere hukuka aykırı erişimi önlemek ve verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbirleri almanızı gerektirir. Kurulun, Kişisel Verileri Koruma Kurulu'nun web sitesinde bu konuda rehberler bulunmaktadır ve bu rehberler oldukça açık ve anlaşılırdır. İlgili tedbirleri almanız, şirketinizin büyüklüğüne bağlı olarak önemlidir.

En tipik örneklerden biri, sizin adınıza veri işleyenler veya veri aktardığınız taraflar varsa (kargo şirketleri, depolama şirketleri, vb.), mutlaka sözleşmeler yapmanız gerekmektedir. Ayrıca, ISO 27001 gibi bilinen sertifikasyonları almanız da faydalı olabilir. Şirket içinde kişisel veri işleme politikaları oluşturmanız gerekebilir ve denetimler yaptırmanız tavsiye edilir. Web sitelerinde genellikle yaygın olarak güvenlik testleri yapılmakta ve uzmanlar tarafından önerilmektedir.

Şifre politikalarının olması da önemlidir. Rehberlerde bahsedildiği gibi, basit şifre belirlemenin engellenmesi faydalı olabilir. Kişilerin hatalı e-postalarla kaydolmasını önlemek için Gmail aktivasyonu gibi yöntemler, kişisel veri işleme hatalarının önüne geçmek için tavsiye edilmektedir. Bir diğer yükümlülük ise, işlediğiniz verilerde bir güvenlik ihlali veya açık olması durumunda, bunu 72 saat içinde ilgili kuruma bildirmeniz gerekmektedir.