E-Ticarette Kişisel Verilerin Korunması

E-Ticarette Kişisel Verilerin Korunmasıyla ilgili Tanımlar

• ETDHK = 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Kurul = Kişisel Verilerin Korunması Kurulu
• KVKK = 6698 Sayılı Kişisel Verilerin Korunması Kanunu
• 108 Sayılı Sözleşme = “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”

Günümüzde, elektronik iletişim sistemi ticari yaşam da dahil akla gelebilecek her alanda büyük öneme sahiptir. Bu sayede firmalar, hiçbir aracı kurum ya da kuruluşa gereksinim duymaksızın birbirleriyle ve/veya alıcılarla iletişime geçebilmektedir. Ancak, elektronik ticaretin kendisinden beklenen yararı gerçekleştirebilmesi bu alanda ticari faaliyette bulunanlar için güvenli ve şeffaf bir ortamın oluşturulmasına bağlıdır. Elektronik ticaretin pandemiyle birlikte çok daha hayatımıza entegre olduğu bu süreçte, kişisel verilerimizin hizmet sağlayıcılar tarafından mevzuata uygun şekilde işlenmesi de büyük önem taşımaktadır.

Çalışmamızda Elektronik Ticaret kavramı ile Kişisel Verilerin Korunması kavramları değerlendirilip bu konulardaki mevzuat hükümleri incelenecek ve uygulama alanı bulabilecek mevzuat hükümlerine yer verilecektir.

Anahtar Kelimeler = Kişisel Veri, Kişisel Verilerin İşlenmesi, Açık Rıza, Elektronik Ticaret, Saklama Süresi

GİRİŞ

Elektronik ticaret (e-ticaret) tüketicilerin günümüzde en yoğun biçimde tercih ettiği alışveriş biçimidir. Teknolojinin çok hızlı bir biçimde gelişmesine paralel olarak cihazlar sahibini çok daha iyi tanımakta ve alışveriş tercih, isteklerine göre önerilerde bulunabilmektedir. Pandemi sürecinde de uzaktan çalışma, uzaktan öğrenim gibi yaşam stilleri hayatımıza adapte oldukça elektronik ticaret çok hızlı bir gelişim göstermiştir. Bu nedenle hizmet sağlayıcılar(satıcı) tarafından müşterilerin (ilgili kişi) kişisel verilerinin işlenmesinde, muhafaza edilmesinde ve saklama sürelerinde uyulması gereken bazı belli başlı yükümlülükler bulunmaktadır. Bu çalışmamızda, söz konusu yükümlülüklere uyulması, aksi takdirde karşılaşabilecek bazı yaptırımlardan bahsedilecektir.

1. Elektronik Ticaret

Elektronik Ticaretin kendisinden beklenen fayda ve özeni sağlayabilmesi bu alanda ticari faaliyette bulunanlar için güvenilir ve şeffaf bir ortamın oluşturulmasına bağlıdır. Bu sektörde bazı kötü niyetli kişilerin e-ticaretin sunduğu imkanların kötüye kullanılmasını engelleme ve tüketicilerin güvenliğini sağlamak için yasal düzenlemelere ihtiyaç duyulmuştur.

Elektronik Ticaret Hakkında Yasal Düzenlemeler

Elektronik ticarete ilişkin hukuk sistemimizdeki yasal düzenleme, 6356 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’dur. Söz konusu kanun 23/10/2014 Tarihinde kabul edilmiş olup 1/5/2015 Tarihinde ise yürürlüğe girmiştir. Söz konusu kanun, e-ticaret işlemlerinde güvenli, şeffaf ve yatırımcılar açısından cazip olması hasebiyle önemli bir adımdır. Bu Kanunun uygulanmasına ilişkin olarak Resmi Gazetede yayınlanan ve yürürlükte bulunan yönetmelikler ise, “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” (RG., T. 15/07/2015, S. 29417; Ticari Elektronik İleti Yönetmeliği) ile “Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik”tir. (RG., T. 26/08/2015, S. 29457; Hizmet Sağlayıcılar Yönetmeliği).

Elektronik ticarette alıcıların güven problemini en aza indirebilmek amacıyla Gümrük ve Ticaret Bakanlığı tarafından yakın zamanda çıkarılan ve yürürlüğe giren “Elektronik Ticarette Güven Damgası Hakkında Tebliğ” (RG., T. 06/06/2017, S. 30088) ile “Elektronik Ticaret Bilgi Sistemi ve Bildirim Yükümlülükleri Hakkında Tebliğ” (RG., T. 11.08.2017, S. 30151) de bu alanda yer alan önemli ve özel düzenlemeler arasında olup, söz konusu tebliğlerin dayanakları ETDHK m. 11 ve Hizmet Sağlayıcılar Yönetmeliği m. 16’dır.

E- ticarete ilişkin uygulamaların kendine has yönleri nedeniyle tek bir hukuk alanı veya tek bir kanun tarafından düzenlenmesi mümkün değildir. Bu nedenle e-ticaretin, ETHDK ve ilgili anılan yönetmelikler haricinde Tüketici Hukuku, Fikri Mülkiyet Hukuku, Kişisel Verilerin Korunması Hukuku, Ticaret Hukuku, Vergi Hukuku, Bankacılık Hukuku gibi hukuk sahaları tarafından düzenlenmekte olması daha makuldür.

Mevcut çalışmamızda ETHDK ve KVKK’da yer alan ve çalışmamızın konusuna ilişkin maddelere değinilecek olup, gerektiği ölçüde diğer mevzuat hükümlerine de atıf yapılacaktır.

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Amaç ve Kapsamı, Temel Kavramlar

Amaç ve Kapsam

İşbu Kanunun temel amacı elektronik ticarete ilişkin usul ve esasları düzenlemektir. (ETDHK m1/1)[1]

Yine bu kanun ticari iletişimi, hizmet sağlayıcı ve aracı hizmet sağlayıcıların sorumluluklarını, elektronik iletişim araçlarıyla yapılan sözleşmeler ile elektronik ticarete ilişkin bilgi verme yükümlülüklerini ve uygulanacak yaptırımları kapsar (ETDHK m1/2). Bu kapsamda söz konusu kanunun temel amaçları şu şekilde sıralanabilir: Hizmet sağlayıcı ve aracı hizmet sağlayıcı kurumlar ve yükümlülükleri, ticari elektronik iletiler ve bunların gönderilme usulleri ve son olarak da kişisel verilerin korunmasıdır.

Kanunda Yer Alan Kavramlar (ETDHK m2)

Kanunda,

“Elektronik Ticaret” Fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyet

“Ticari İletişim” Alan adları ve elektronik posta adresi dışında, mesleki veya ticari faaliyet kapsamında kazanç sağlamaya yönelik olarak elektronik ticarete ilişkin her türlü iletişim,

“Ticari Elektronik İleti” Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler,

“Hizmet Sağlayıcı” Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişiler,

“Aracı Hizmet Sağlayıcı” Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişiler ve

“Bakanlıklar” Gümrük ve Ticaret Bakanlığı, olarak tanımlanmıştır.

E-Ticarette Kişisel Verilerin Korunması

Kişisel Veri, ilgili kişinin kimlik, sağlık, mali bilgileri ile özel hayatına ilişkin bilgiler ve benzeri verilerden oluşmaktadır.

ETDHK’nın 10. maddesi gereğince, Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcı “Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur.” Aynı maddenin ikinci fıkrasında ise, Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcıların, kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemeyeceği ve başka bir amaçla kullanamayacağı hüküm altına alınmıştır.

ETDHK 2014 yılında yayımlanıp 2015 yılının mayıs ayında yürürlüğe girmiştir. Ancak E-Ticarette Kişisel Verilerin Korunması Kanunu, ETDHK’dan daha sonra yürürlüğe girdiğinden, 6698 Sayılı Kişisel Verilerin Korunması Kanunu‘nda yer alan hükümleri de incelemenin çalışmamız açısından faydalı olacağı kanaatindeyiz.

2. Kişisel Verilerin Korunması

Globalleşen dünyada, insanların bilgiye ulaşabilmeleri artık çok daha kolay hale gelmiştir. Herkes internet aracılığıyla dünyanın bir diğer ucundaki politik tartışmalardan veya spor müsabakalarından anında haberdar olabilmektedir. Bilgiye ve insanlara ait kişisel verilere ulaşmanın bu kadar rahat hale gelmesi, devletleri de hukuki olarak kişisel verileri korumaya mecbur hale getirmiştir.

Kişisel Verilerin Korunması Hakkında Yasal Düzenlemeler

Türkiye, Avrupa Konseyi tarafından hazırlanan 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni imzaya açıldığı tarih olan 28 Ocak 1981 tarihinde imzalamış ancak sözleşme 1 Ekim 1985 Tarihinde yürürlüğe girmiştir. Söz konusu sözleşme akit devletlerinin bir taahhüdü ise, taraf devletlerin kişisel verilerin korunmasına ilişkin bir kanun çıkarması gerekliliğidir. 

Kişisel Verilerin Korunması Kanunu Amaç ve Kapsamı, Temel Kavramlar

Amaç ve Kapsam

Kişisel Verilerin Korunması Kanunu m1’e göre 6698 Sayılı KVKK’nın amacı; “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” Kanunun kapsamı ise, “kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Genel Bakış ve Temel Kavramlar

Türkiye, söz konusu 108 sayılı sözleşmeyi imzalamasından tam 35 yıl sonra, kendi kişisel verilerin korunması kanununu çıkarabilmiştir. Ancak, Kişisel Verilerin Korunmasına ilişkin olarak 7.3.2016 tarihinde 6698 sayılı kanunu yürürlüğe girerek hukuk sistemimize kazandırılmıştır. 108 Sayılı sözleşme de, aynı sene içinde, KVKK’nın yayımlanmasından hemen önce 17 Mart 2016 tarihinde 29656 sayılı Resmi Gazetede yayımlanarak iç hukuka dahil edilmiştir.[2]  Önceki  süreçte,  Türkiye haricinde bu sözleşmeyi imzalamış bulunmasına rağmen onay işlemlerinin tamamlanmaması nedeniyle yürürlüğe koymayan başkaca ülke bulunmamaktaydı. 108 sayılı sözleşme ve Ek Protokol temel hak ve özgürlükleri konu alan uluslararası bir anlaşmadır. Anayasa’nın 90. Maddesi kapsamında değerlendirildiğinde, kanunlar ile bu sözleşme arasında bir ihtilafın yaşanması halinde söz konusu antlaşma hükümleri esas alınacaktır.[3]

Çalışmamızla ilgili gerekli olması açısından, KVKK’da yer alan bazı tanımlar şu şekildedir:

“Açık Rıza” = Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza,

“İlgili Kişi” = Kişisel verisi işlenen gerçek kişi,

“Kişisel Veri” = Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin gerçek kişinin adı soyadı, doğum tarihi, T.C. Kimlik No, Pasaport No, E-Posta Adresi, sesi, görüntüsü vb. kişisel veridir. Söz konusu bilgiler sınırlı olmayıp her türlü bilgi kişisel veri olarak değerlendirilebilir. Kişisel veriye ilişkin şu Yargıtay ilamında belirtilen hususlar önem arz etmektedir =

“Kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir.[4]

“Özel Nitelikli Kişisel Veri” = Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

“Kişisel Verilerin İşlenmesi” = Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

“Veri İşleyen” = Veri sorumlusunun verdiği yetkiye dayanarak onun adına verileri işleyen gerçek veya tüzel kişi ve

“Veri Sorumlusu” = Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Veri İşlemede Uyulması Gereken Temel İlkeler (KVKK m4)

“Hukuka ve dürüstlük kurallarına uygun olma” = Kişisel veriler, hukuka uygun olarak (lawfully) şekilde işlenmelidir. Bu ilke esas olarak, kişisel verilerin işlenmesine izin veren bir kanun hükmü bulunmadıkça, işlemenin yasak olmasını (Verbot mit Erlaubnisvorbehalt) ifade etmektedir. Benzer şekilde, Anayasamızın 20. maddesinde de belirtilmiş olduğu üzere, “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.”

“Doğru ve gerektiğinde güncel olma” = Kişisel veriler, doğru ve gerektiğinde güncel olmalıdır. Bunun yanı sıra, kişisel veriler işlendikleri amaçlar göz önünde bulundurularak, doğru olmayan kişisel verilerin gecikmeye neden olmaksızın silinmesi veya düzeltilmesiyle ilgili gerekli adımlar atılmalıdır. Bununla birlikte verinin doğru olması, ilgili kişinin sosyal imajı üzerinde etkili olup başkalarının algısında etki doğurabileceğinden oldukça önemlidir. Kişisel verilerin doğru olması, bireylerin temel hak ve özgürlüklerinin, ekonomik menfaat ve manevi bütünlüğün korunmasını sağlayacaktır.[5]

“Belirli, açık ve meşru amaçlar için işlenme” = Belirli amaç, gerekli veri koruma önlemlerinin uygulanmasını sağlamak ve işleme faaliyetinin kapsamını sınırlandırmak amacıyla yeterince tanımlanmış amaçtır. İşleme için aynı anda birden fazla amaç gerçekleştiriliyorsa, bu amaçların birbiri ile ilgili olmaları durumuna her bir amacın ayrı ayrı belirtilmesi gerekli değildir. Bununla birlikte meşru amaç kavramı ise, en geniş anlamıyla hukuka uygunluğu ifade eder.

“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”(Veri Minimizasyonu İlkesi) = Kişisel veriler, işlendikleri amaçla ilişkili olarak yeterli olmalıdır. İşlendikleri amaçla ilgili yeterli olma ifadesi, dar anlamı ile ölçülülüğü ifade etmektedir. Ayrıca ilgili kişinin kişisel verilerinin korunması hakkında en az müdahale edecek yöntemin seçilmesi gerekmektedir.[6] Örnek verecek olursak, bir spor salonu üyesinin tesise girişte güvenlik amacıyla parmak izinin alınması ölçülü değildir. Spor salonuna girişte güvenliğin sağlanması üye giriş kartıyla da sağlanabileceğinden parmak izi gibi daha komplike bir verinin işlenmesi ilgili kişinin kişisel verilerin korunması hakkında müdahale olarak değerlendirilebilir.

“ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” = Kişisel veriler, ilgili kişinin belirlenebilmesini sağlayan bir şekilde kişisel verilerin işlenme amaçlarının gerekli olduğu süreyi aşmadan muhafaza edilmelidir. Bankacılık Kanununun

m. 42 hükmüne göre, “alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağı” düzenlenmiştir. Bu hüküm kapsamında, ilgili kişinin banka nezdindeki son işleminin üzerinden 10 yıllık süre boyunca kişisel verilerin saklanması gerekmektedir. Saklama süresine ilişkin olarak şu karar örnek oluşturabilir: (Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı Kararı Özeti)

Kanuni Hak ve Yükümlülükler

İlgili Kişinin Hakları (m11)

Kanunun 11. maddesi, ilgili kişinin haklarını düzenlemiştir. İlgili kişi veri sorumlusuna başvuruda bulunarak her zaman kendisi ile ilgili,

• Kişisel verilerinin işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Veri Sorumlusunun Aydınlatma Yükümlülüğü (m10)

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkili kişi, ilgili kişilere;

• Veri sorumlusunun ve varsa temsilcisinin kimliği
• Kişisel verilerin hangi amaçla işleneceği
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
• Kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddedeki diğer hakları ile ilgili bilgi vermekle yükümlüdür.

Veri Güvenliğine İlişkin Yükümlülükler (m12)

Veri Sorumlusu,

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
• Kişisel verilerin muhafazasını sağlamak amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.
• Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
• Veri sorumlusu, kendi kurum veya kuruluşunda, KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
• Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri güvenliği kapsamında ifade edilmesi gereken bir başka husus ise, 5809 Sayılı Elektronik Haberleşme Kanunu’dur(EHK). Bu Kanunun 51. maddesinde ilgili sektörde kişisel verilerin işlenmesi ve gizliliğinin korunmasına dair düzenlemelere yer verilmiştir.

5809 Sayılı Elektronik Haberleşme Kanunu madde 51

(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur.

(2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır.

(6)Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir.

(12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur.

Ancak bu sektör bakımından yakın zamanda getirilen bir yenilik olarak; Bilgi Teknolojileri ve İletişim Kurumu tarafından, “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik” hazırlanmıştır. 04.12.2020 Tarihli ve 31324 sayılı Resmi Gazete’de yayımlanan yönetmelik, 04.06.2021 tarihi itibarıyla yürürlüğe girecektir.

Yine bu konuda son zamanlarda yaşanan Yemeksepeti’nde kayıtlı bulunan üyelere ait kişisel verilerin bir siber saldırı sonucunda çalınması durumu göze çarpmaktadır. Veri sorumlusu sıfatını haiz Yemeksepeti A.Ş., Kuruma bulunmuş olduğu veri ihlalinde;

18.03.2021 tarihinde kimliği veri sorumlusunca belirlenemeyen şahıs veya şahıslar tarafından Yemeksepeti’ne ait bir uygulama sunucusuna erişildiğini ve 25.03.2021 tarihinde gelen alarmlar neticesinde şüpheli bir davranışın tespit edildiğini

Yemeksepeti’ne ait bir web uygulama sunucusu üzerinde bir açıklık bulunduğu, bu açıklıktan yararlanılarak, uygulama kurulduğu ve komut çalıştırılmak suretiyle sunucuya erişilebildiği

İhlalden tam olarak 21.504.083 kişinin etkilendiğini ve bu kişilerin kişisel verilerin kısmi olarak veri sorumlusunca belirlendiği ve söz konusu verilerin kullanıcı adı, adres, telefon, e- posta, şifre, IP bilgileri olduğunun değerlendirildiği

Kredi kartı bilgilerinin tamamen güvenli olarak saklandığı ve bu konuda bir güvenlik sorunu bulunmadığı, kredi kartı saklama hizmetinin veri sorumlusundan bağımsız Mastercard tarafından sağlandığı,[7]  hususları ifade edilmiştir. Böyle ihlallerin yaşanmasında çok büyük bir etken de kullanıcıların çok kolay bir şekilde tahmin edilebilecek parolalar tercih etmeleridir.

Kanun Kapsamında Yaptırımlar

Suçlar (KVKK m17)

Kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. madde hükümleri uygulanır. TCK kapsamında söz konusu suçlar,

• Kişisel Verileri Hukuka Aykırı Olarak Kaydetme
• Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
• Saklama süresi sona ermiş olmasına rağmen Kişisel Verileri Yok Etmeme

Söz konusu suçların; kamu görevlisi tarafından ve görevinin sağladığı yetki kötüye kullanılmak suretiyle ve belirli bir meslek veya sanatın sağladığı kolaylıktan faydalanarak işlenmesi halinde, verilecek ceza yarı oranında artırılacaktır.

Kabahatler (KVKK m18)

• Kanunda yer alan aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000-100.000 TL,
• Kanundaki veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000-1.000.000 TL,
• Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000-1.000.000 TL ve
• Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000-1.000.000 TL tutarında idari para cezası verilecektir.

ETDHK ve KVKK Birlikte Yorumlanması

Yukarıda da ifade ettiğimiz üzere, ETDHK 2014 yılında yürürlüğe girmiştir. Söz konusu kanunda yer alan 10. madde E-Ticarette Kişisel verilerin korunmasını konu almaktadır. Bununla birlikte 2016 senesinde, e-ticarette kişisel verilerin korunması kanunu yürürlüğe girmiş olup çok daha kapsamlı bir düzenleme meydana getirmiştir. Bir somut uyuşmazlığa hangi kanun hükmünün uygulanacağı hususunda belirsizlik meydana gelebilir.

Kanımızca söz konusu iki kanun arasında tam olarak bir Özel Kanun-Genel Kanun ilişkisi yoktur. ETDHK m10 ve KVKK birbirine zıt hükümler olmayıp daha ziyade birbirini tamamlar, destekler nitelikte hükümlerdir. Bu itibarladır ki, KVKK yürürlüğe girdiğinde ETDHK’da yer alan kişisel verilerin korunmasına ilişkin hüküm ilga edilmemiştir.

Bununla birlikte söz konusu iki düzenleme arasında ince bir fark bulunmaktadır. KVKK’da yer alan kişisel veri, yalnızca “gerçek kişiye” ait kişisel veriyi ifade etmekte iken, ETDHK m10’da yer alan kişisel veri ifadesi daha kapsayıcı bir şekilde “hem gerçek hem de tüzel kişileri” ifade etmektedir.[8]

3. Örnek Kararlar

Amazon Kararı (27/02/2020 – 2020/173)

• Söz konusu kararda, 6563 Sayılı ETDHK Kapsamına Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcı niteliğindeki www.amazon.com.tr‘nin KVKK’ya aykırılık teşkil ettiği suretiyle kurula başvuruda bulunulmuştur. Amazon sitesi incelendiğinde, ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken reklam, kampanya veya promosyon amacıyla ticari elektronik ileti gönderebilmek için açık rota alınmadığı ve açık rıza dışında bir işleme amacına yer verilmediği görülmektedir. Sitenin elektronik iletişimler başlıklı maddesi de incelendiğinde, amazon.com.tr adresini yalnızca ziyaret eden bir kişinin dahi ilgili hükümleri kabul ettiği ve sadece internet adresini ziyaret etmekle iletişime onay verdiği şeklinde bir uygulamaya gidilmekte olduğu görünmektedir.
• Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu kapsamda kullanıcılara elektronik ticari ileti göndermenin KVKK m5 f2’de yer alan “Bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği ve alışveriş yapmak için zorunlu olan üyelik hesabı açmaya yönelik “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmanın da özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyeceği belirtilmiştir. Nitekim kurulun karar özetleri bölümünde, “Açık rızanın Hizmet Şartına Bağlanması” başlığı altında hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı belirtilmiştir.

Kurul, söz konusu iddialara binaen 16.05.2019 Tarihinde resen inceleme başlatılmasına karar vermiş olup veri sorumlusu Amazon ise 17.07.2019 tarihinde cevaben;

Hukuka aykırı olarak ticari elektronik ileti gönderildiğine ilişkin iddiaların dayanaktan yoksun olduğunu, söz konusu iddiaların herhangi bir kanıtlayıcı belgeye dayandırılmadığını ve başvuranın söz konusu taleplerini Ticaret Bakanlığına iletmesi gerektiğini

Amazon Türkiye’nin, müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla “Kullanım Koşulları” ve “Gizlilik Bildirimi” metinlerini sunduğunu, ayrıca yalnızca hesabın oluşturulmasından sonra kayıtlı müşterilerle iletişime geçildiğini ve müşterilerin sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz.”)

Amazon’un kayıtlı müşterilerine ticari elektronik ileti almak istedikleri alanları kolayca tercih edebilme imkanı tanıdığı veya istedikleri zaman ticari elektronik almayı reddetmeleri için imkan sağladığını ve kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından / aktarılabileceğinden sadece haberdar olmadığı ve aynı zamanda “Gizlilik Bildirimi”ni onaylayarak da bu hususu kabul etmiş olduklarını ve iddiaların asılsız olup amazon.com.tr‘nin mevzuata aykırı şekilde kişisel verileri işlediği/aktardığı iddialarını reddetmiştir.

Ayrıca, konuya ilişkin olarak kurula başvuruda bulunan şahsın Ticaret Bakanlığı’na da aynı konuya ilişkin yapmış olduğu başvurusu da Bakanlığın 17.04.2019 Tarihli 43541135 sayılı yazısı ile “konunun KVKK çerçevesinde değerlendirilmesi” talebiyle kurula iletilmiştir. Söz konusu şikayete ilişkin iddialar, mevzuat hükümleri çerçevesinde değerlendirilmiştir.

• Açık Rızaya İlişkin İnceleme = Kurulun yaptığı incelemede, amazon.com.tr adresine üyelik profili oluşturularak, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş, üyelik oluşturulurken bilgilerin girilmesi sırasında ilgili kişiden(müşteri) herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının üzerine, “Hesabım > İletişim Tercihleri > Genel Ayarlar” başlığında, “e postalar şu anda ….. adresine gönderiliyor” ifadesinin yer aldığı ve “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda yer aldığı, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı tespit edilmiştir. Bu kapsamda, üyelik oluşturulurken herhangi bir açık rıza alınması uygulamasının bulunmadığı ve başkaca bir işleme amacının da yer almadığı tespit edilmiştir.
• Kanunda Yer Alan İlkelere İlişkin İnceleme = Veri sorumlusu(Amazon), “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini açıkça hizmet şartına bağlamaktadır. Sözleşmenin taraflarına ilişkin kişisel verilerin işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızanın üyelik ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının, diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, söz konusu uygulamanın KVKK’nın 4. maddesinde yer alan “Hukuka ve Dürüstlük kurallarına uygun olma” ve “İşlenme amacı ile bağlı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği tespit edilmiştir.
• Kişisel Verilerin Aktarılmasına İlişkin İnceleme = Veri sorumlusunun(Amazon) “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek en sonda “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer almaktadır. Metinde belirtildiği şekilde, ilgili kişinin(müşteri) kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir. Ayrıca belirtilmelidir ki, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez. Dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmektedir. Açık rıza alınmaksızın aktarılan verilerin rızanın geri alınması varsayımında akıbetinin ne olacağı da ayrıca bir tartışma konusudur.
• Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin inceleme = Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiş olsa da “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”) belirtilerek ilgili kişilerin rızasının alındığı veri sorumlusunca iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceği değerlendirilmektedir.

Kanuni olarak açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır.

Bu kapsamda değerlendirildiğinde, “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı görülmektedir. Mevzuat çerçevesinde veri sorumlusunun kişisel verilerin yurt dışına aktarılması hususunda ilgili kişilerin açık rızasını alması gerekmekte olmasına rağmen veri sorumlusunun böyle bir yola başvurmadığı ve gizlilik bildiriminde kabul edilmiş varsayılan hususların ise açık rıza olarak değerlendirilemeyeceği aşikardır.

SONUÇ = Yukarıda belirtilen hususlar ışığında Kurul,

• Veri Sorumlusu Amazon hakkında KVKK’nın 12. maddesi çerçevesinde yer alan yükümlülüklere aykırı faaliyette bulunduğu nedeniyle KVKK’nın 18. maddesi f(1) (b) kapsamında 1.100.000 TL idari para cezası uygulanmasına karar vermiştir.
• Bununla birlikte Kurul, KVKK’nın 10. maddesi kapsamında düzenlenen aydınlatma yükümlülüğüne aykırı faaliyet gösteren veri sorumlusu hakkında yine 100.000 TL idari para cezası uygulanmasına ve
• Veri sorumlusunun “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesi ve uygulamalarını Kanuna uygun hale getirip sonrasında kurula bilgi vermesi yönünde talimat vermesine karar vermiştir.

Açık Rıza Bulunmaksızın Ticari Elektronik İleti Gönderilmesi Hakkında Karar (31.05.2019 – 2019/162)

• Bir anonim şirketin, (veri sorumlusu) ilgili kişinin açık rızası bulunmamasına rağmen şikayetçiye ait telefon numarasına reklam amaçlı bir kısa mesajın SMS gönderilmesi nedeniyle kurula başvuru yapılmıştır.
• Kurul tarafından yapılan inceleme sonucunda, şikayetçinin kişisel verisi olan cep telefonu numarası bilgisinin veri sorumlusu tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının KVKK kapsamında bir veri işleme faaliyeti olduğu, veri işleme faaliyetinin ise kanunun 5. veya 6. maddede yer alan işleme sebeplerinden birine dayanması gerektiği, ancak şikayet konusu kısa mesajın herhangi bir işleme şartına dayanmadığı tespit edildiğinden,
• Kurul tarafından veri sorumlusu anonim şirket hakkında, “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almadığı için, KVKK m12 f(1)(a) bendine aykırılık nedeniyle, KVKK’nın m18f(1)(b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,” karar verilmiştir.

DEĞERLENDİRME VE SONUÇ

Her hizmet sağlayıcı şirketin müşterilerin kişisel verilerini işleyip, çok uzun süreler saklayarak kampanyalardan haberdar etmek ve dolayısıyla alışverişe teşvik etmek istemesi doğaldır. Ancak hukuk düzeni gizlilik ilkesi uyarınca kişisel verilerin üçüncü kişiler tarafından bu kadar uzun süre dayanağı olmaksızın işlenmesine müsaade etmemelidir.

Ülkemiz 108 sayılı sözleşmeyi imzalamasından tam 35 yıl sonra Kişisel Verilerin Korunması Kanunu’nu mevzuata kazandırmıştır. Bu kadar uzun süre boyunca yaşanan ihlallerin ve mağduriyetlerin hukuk güvenliğini zedelediği aşikardır. KVKK doğrultusunda Kişisel Verileri Koruma Kurumu tarafından Amazon, Facebook gibi köklü şirketler hakkında hükmedilen idari para cezaları, kişisel verilerin mevzuata aykırı olarak işlenmesinin bir nebze de olsa önüne geçmiştir.

Önümüzdeki süreçte elektronik ticaretin blockchain teknolojisi ve kripto paraların da işin içine girmesiyle çok daha hızlı bir şekilde gelişeceği ve hayatlarımızda daha entegre şekilde yer alacağı göz önünde bulundurulduğunda, ihlallere ilişkin başvuruların yanı sıra, Kurulun idaresi altında görev alacak ve ihlallere ilişkin resen araştırma da yapacak bir sistemin de e-ticarette kişisel verilerin korunması açısından gerekli olacağı kanaatindeyim.

Av. Mustafa Fahri Kuvan

---

Dipnotlar

[1] Hükmün gerekçesine göre; “Tasarı ile diğer kanunlarda düzenlenmeyen ancak bilgi toplumu ve elektronik ticaretin gereği olan hususların tamamlanması ile elektronik ticaret ve bilgi toplumu hizmetlerine ilişkin hususların düzenlenmesi amaçlanmaktadır”

[2] Ek Protokol de 5 Mayıs 2016 tarihinde yayımlanarak iç hukuka dâhil edilmiştir.

[3] Anayasa 90. maddenin yorum ve uygulamasına ilişkin olarak: Olgun Akbulut, “Güncel Tartışmalar Işığında İnsan Hakları Sözleşmelerinin Türkiye Anayasal Sisteminde Normlar Hiyerarşisindeki Yeri”, Bahçeşehir Üniversitesi Hukuk Fakültesi Dergisi, S: 9/115-116 , Mart-Nisan 2014, sf: 7-45.

[4] Yargıtay 12. Ceza Dairesi, 2015/4349 Esas, 2016/5349 Karar, 30.03.2016

[5] Akgül, A.(2004). Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması. Küzeci, E.(2019). Kişisel Verilerin Korunması. Ankara: Turhan Kitapevi.

[6] Şimşek, O.(2008). Anayasa Hukukunda Kişisel Verilerin Korunması

[7] https://www.kvkk.gov.tr/Icerik/6936/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yemek-Sepeti-Elektronik-

Iletisim-Perakende-Gida-Lojistik-AS [Erişim Tarihi = 08.05.2021]

[8] Demirbaş, Harun (2015). 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Kapsamında Hizmet Sağlayıcılar ve Aracı Hizmet Sağlayıcılarının Yükümlülükleri.