E-Ticarette Kişisel Verilerin Korunması; (“KVKK”), Avrupa Birliği’nin (“AB”) 95/46/EC sayılı Direktif’i (“Direktif”) esas alınarak yazılmıştır ve 07.04.2016 tarihinde yürürlüğe alınmıştır. AB’de Direktif yürürlükteyken her ülke iç hukukunda detaylı düzenlemeler yapmıştır. Ancak AB’de Direktif’in yerini Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (“GDPR”) düzenlemesi almış olup 25.05.2018 tarihinde yürürlüğe girmiştir. Direktif’in aksine, GDPR tüm Avrupa pazarlarındaki kişisel verilerin kullanımını kapsayan detaylı bir düzenlemedir.
Bir başka ifadeyle, GDPR’ın yürürlüğe girmesiyle tek bir düzenleme altında ülkeler arasında yeknesaklık sağlanmıştır. Türkiye’nin Direktif paralelinde çerçeve bir düzenleme getirmiş olması sebebiyle Türk hukukunda detaylı düzenlemeler ikincil mevzuat ile yerine getirilmektedir.E-Ticarette Kişisel Verilerin Korunması sektörde en önemli kurallar arasında yer almaktadır.
KVKK’nın 12. maddesinde, veri sorumlularının uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir. E-ticarette kişisel verilerin korunması teknik ve idari tedbirlerin maliyeti sebebiyle, işletmelerin bir kısmının gerekli uyum çalışmasını yapmak üzere henüz ihtiyaç duyulan eylem planlarını gerçekleştiremediği görülmektedir.
• Özel sektörde faaliyet gösteren her türlü şirket (holdingler, grup şirketleri, yabancı sermayeli şirketler, büyük ölçekli şirketler, KOBİ’ler vb.) faaliyet konusuna veya büyüklüğüne bakılmaksızın KVKK’ya tabidir. Ayrıca kamu kurum ve kuruluşları da KVKK’ya tabidir. Kurul öncelikle özel sektördeki farkındalık düzeyini artırmaya odaklanmıştır. Kamu kurumlarında da aynı şekilde farkındalık düzeyinin arttırılması sağlanmalıdır.
E-ticaret işlemlerinde müşterilerden alınacak ticari elektronik ileti izni ile KVKK gereğince alınması gereken açık rıza ile ilgili olarak piyasada farklı uygulamalar mevcuttur. Bazı firmalar söz konusu izinleri birlikte alırken bazı firmaların ise ayrı ayrı aldığı gözlemlenmektedir.
• Şirketler tarafından açık rızanın ön şart olarak öngörülmesi, örneğin sözleşmelerin içerisinde açık rızanın da alınması, açık rıza vermeyen kişilerle sözleşme ilişkisi kurulmaması, hizmet verilmemesi, ürün satışı yapılmaması KVKK’ya aykırılık teşkil etmektedir.
• KOBİ’ler için KVKK’ya ilişkin bilgilendirme ve bilinçlendirme çalışmaları yapılarak farkındalığın arttırılması sağlanmalıdır. Buna ek olarak şirketlerde KVKK’ya ilişkin uzmanlık eğitimleri ve standartları belirlenmesi için çalışmalar da yapılmalıdır (örneğin, IAPP sertifikasyonu).
• Acentelik, bayi vb. şeklinde faaliyetini sürdüren ve bir veri sorumlusuna bağlı hareket eden şirketlerin KVKK uyumu kapsamında hukuki niteliklerinin (veri işleyen/veri sorumlusu) tespit edilmesi, buna ilişkin olarak bu şirketlerin bilinçlendirilmesi ve hukuki niteliklerine uygun bir şekilde KVKK uyum çalışması yapmalarının sağlanması gerekmektedir. Ayrıca, veri sorumlusu/veri işleyebilirliği
• Türk Ticaret Kanunu uyarınca B2B kapsamında değerlendirilen şirketlere ilişkin Kurul tarafından detaylı bir rehber veya karar yayımlanması ve bu konudaki soru işaretlerinin giderilmesi gerekmektedir. Özellikle B2B işlemler sebebi ile gerçek kişi şahıs şirketlerinin tabi olacağı şartların netleştirilmesi gerekmektedir. En ayırımının daha net bir şekilde yapılabilmesi için mevzuatta yer alan düzenlemelerin bu kapsamda daha ayrıntılı bir şekilde yeniden ele alınması gerekmektedir.
• Tacirler arası işlemlerde tacirlere veya şirket çalışanlarına, hissedarlarına, yöneticilerine ilişkin kişisel verilerin münhasıran ticari iş ilişkisi dahilinde işlenmesi halinde TTK kapsamında değerlendirilmesi gerekmektedir. Bu kapsamda söz konusu kişilerin aydınlatma, açık rıza vb. KVKK tahtında hukuki yükümlülüklerinin bulunmaması gerektiği değerlendirilmektedir.
E-ticarette kişisel verilerin korunması kurulun bazı regüle sektörlerin (örneğin; bankacılık, sigorta vb.) KVKK ile ilgili açık olmayan konu başlıklarında yaptığı başvurulara yönelik paylaşımlarının, şeffaf şekilde diğer sektörlerce de bilinmesinin sağlanması önem taşımaktadır. Kurul tarafından kişisel verilerin yurt dışına aktarımına ilişkin olarak güvenli ülkeler listesi henüz açıklanmamıştır. Güvenli ülkeler listesinin açıklanması beklenmektedir.
