Kategori: blog

KVKK KAPSAMINDA AÇIK RIZA

Son yıllarda sıklıkla adını duyduğumuz 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verileri işleyen tüm gerçek ve tüzel kişiler için, KVKK uyum kapsamında veri sahiplerinin açık rızalarını alma yükümlülüğü getirmiştir. Bu yükümlülük veri sorumlularının tüm veri işleme süreçlerini yeniden tasarlama zorunluluğunu da beraberinde getirmiştir. İşte bu noktada KVKK ile birlikte gelen en temel kavram olan açık rıza kavramını detaylı anlamak, KVKK’ya doğru şekilde uyum sağlamak açısıdan çok önemlidir. Yazımızın devamında kavramın detaylarını sizlerle paylaşmak isteriz.

Kişisel Verilerin İşlenmesinde Açık Rıza Nedir?

KVKK kapsamında açık rıza, kişilerin kişisel verilerinin işlenmesine yönelik olarak verdikleri onayı ifade etmektedir. Kişilerin sahip oldukları kişisel verilerin işlenmesine, kendi istekleri ile veya karşı tarafın talebi üzerine onay vermeleri KVKK kapsamında açık rıza vermeleri anlamına gelir. Açık rızanın, kişisel verileri işlenen kişinin –kanunun tanımına göre veri sahibinin- olumlu irade beyanını içermesi gerekmektedir. Verilen açık rıza ile ilgili kişisel verilerin hangi sınırlarda işlenebileceği, bu verileri işlemenin kapsamının ne olacağı, veri işlemenin nasıl olacağı ve ne kadar süre devam edeceği de belirlenebilmektedir.

Diğer kanunlardaki düzenlemeler saklı kalmakla birlikte, KVKK anlamında açık rızanın verilmesi şekle tabi değildir. Buna göre açık rıza ilgili kişi tarafından yazılı olarak verilebileceği gibi, elektronik ortamda veya sözlü olarak da verilebilir. Burada önemli olan nokta şudur ki, herhangi bir ihtilaf durumunda açık rızanın varlığını ispat yükü veri sorumlusunun üzerindedir.

Açık Rızanın Geçerlilik Unsurları Nelerdir?

KVKK 3. Maddede yer alan tanımına göre açık rızanın zorunlu 3 unsuru şunlardır:

  • Belirli bir konuya ilişkin olması
  • Bilgilendirmeye dayalı olması
  • Özgür iradeyle açıklanması.

Yukarıda belirtilen unsurları içermeyen rıza geçerli kabul edilmeyecektir. Şimdi bu unsurların detaylarına kısaca göz atalım:

Verilen rızanın belirli bir konuya ilişkin olabilmesi için, veri sahibine yapılan aydınlatmada verinin hangi sebeple ve amaçla alındığının açıkça belirtilmesi önem taşır. Bu aydınlatma sonrasında veri sahibinin de rızasını yine açık şekilde ve belirli konuya yönelik olarak vermesi gerekir. Aksi takdirde verilen rızanın neye ilişkin olduğunun kesin olarak belirlenememesi ve muğlak olması nedeniyle açık rıza verilmemiş kabul edilecektir. Ayrıca belirtmek gerekir ki, veri sorumlusunun verileri yurtdışına aktarmak gibi, veri üzerinde gerçekleştireceği ikincil işlemler için veri sahibinden tekrar açık rıza alması gerekecektir. Aynı gereklilik verilerin işlenme amacının değişmesi durumunda da söz konusu olacaktır.

Belirli bir konuyla veya işlemle sınırlı olmayan, genel nitelikteki açık rızalar “battaniye rıza” olarak adlandırılmaktadır. Örneğin “her türlü ticari işlem” veya “her türlü bankacılık işlemi” için veri işlenmesine rıza vermek belirli bir konuyu işaret etmediği için hukuken geçerli kabul edilmeyecektir.

Veri sahibinin açık rıza verdiği veri işleme faaliyeti konusunda veri sorumlusu tarafından detaylı şekilde bilgilendirilmiş olması gerekir. Yapılan bilgilendirmenin anlaşılabilir olması önemlidir. Burada bahsedilen “anlaşılabilirlik” somut olaya ve hedef kitleye göre değişiklik gösterecek olmakla birlikte, genel olarak bilgilendirme yapılırken sade bir dil kullanılması, mesleki ve teknik dilden kaçınılması ve gerekli görülen hallerde teknik terimlerin veri sahibine açıklanması gibi kriterlerden bahsedilebilir. Bilgilendirmenin herhangi bir yerde veri sahibi tarafından erişilebilir durumda olması yeterli olmayıp, doğrudan veri sahibine yapılması gerekir. Aksi halde yapılan veri işleme faaliyeti hukuka aykırılık teşkil edecektir.

Bir rıza beyanının hukuken geçerli kabul edilebilmesi için özgür irade ile verilmesi gerekliliği yalnızca KVKK kapsamında değil tüm mevzuat açısından önem taşır. Buna göre veri sahibi rızasını verirken cebir veya tehdit görmemiş olmalı, ayrıca hile ile kandırılmamış olmalı ve taraflardan birinin hatası bulunmamalıdır. Açık rıza verilirken sayılan bu durumlardan herhangi birinin varlığının tespit edilmesi durumunda rızayı ne ölçüde sakatladığının her somut olaya göre ayrıca değerlendirilmesi gerekmektedir. Unutmamak gerekir ki her ne kadar mevzuat veri sahibinin haklarını korumak için azami çabayı gösterse de, pratikte veri sorumlusu çoğunlukla veri sahibinden daha güçlü konumdaki bir kişi olarak karşımıza çıkmaktadır. Bu husus göz önüne alındığında somut olaylarda veri sahibine karşı doğrudan bir cebir veya tehdit uygulanmasa dahi, gücün getirdiği bir “dayatma” durumu olabileceği aşikardır. Böyle bir durumda yine açık rızanın özgür iradeye dayandığından bahsetmek mümkün olmayacak ve irade beyanı hukuken sakat olacaktır.

Açık rızanın yukarıda sayılan unsurlardan birini haiz olmaması durumunda kişisel veriler hukuka aykırı şekilde işlenmiş sayılır ve buna karşı KVKK şikayet imkanı bulunmaktadır.

Açık Rıza Geri Alınabilir mi?

Açık rıza vermek kişiye sıkı sıkıya bağlı bir haktır. Ayrıca kişisel verilerinin işlenmesi ile ilgili haklar tamamen veri sahibine aittir. Bu nedenle veri sahibi verdiği rızayı dilediği zaman geri almakta özgürdür. Burada üzerinde durulması gereken önemli nokta, rızanın geri alınmasının ileriye yönelik bir sonuç doğuracağıdır. Buna göre rızayı geri alma beyanı veri sorumlusuna ulaştığı andan itibaren ileriye dönük olarak hüküm doğurur. Veri sorumlusunun geri alma beyanı kendisine ulaştığı andan itibaren, o zamana kadar açık rızaya dayalı olarak gerçekleştirdiği tüm veri işleme faaliyetlerini durdurması gerekir.

Açık Rıza Ve Aydınlatma Yükümlülüğü İlişkisi

Veri sahibinin kişisel verilerinin işlenmesine açık rıza verirken bu konuda veri sorumlusu tarafından veri işleme faaliyetinin amacı, kapsamı ve sınırları hakkında detaylıca bilgilendirilmesi gerekmektedir. Bu noktada veri sorumlusunun aydınlatma sorumluluğu söz konusudur. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. Maddesi uyarınca veri sorumlusunun aydınlatma yükümlülüğü ile veri sahibinden açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir.

Uygulamada açık rızanın alınması çeşitli şekillerde mümkündür. Örnek vermek gerekirse işverenlerin hem iş başvurusu yapan adayların hem de halihazırda çalışanlarının kişisel verilerinin işlenmesi için onların açık rızasını almaları gerekir. İş başvurusu yapan adaylardan açık rızaları başvuru sırasında internet üzerinden alınabilirken, çalışanlar iş sözleşmeleri kapsamında yazılı şekilde açık rıza verebilirler. Ticaret hayatında kişisel verilerin işlenmesi için müşterilerden ve tedarikçilerden açık rızaları yine genellikle yazılı şekilde alınmaktadır.

E-Ticaret Kapsamında Kişisel Verilerin Korunması

Kişisel verilerin korunması konusuna Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da da ayrıca yer verilmiştir. Buna göre e- ticaret faaliyetinde bulunan gerçek ve tüzel kişiler ile başkalarına ait ticari faaliyetlerin yapılmasına e-ticaret ortamını sağlayan gerçek ve tüzel kişiler, yaptıkları işlemler nedeniyle elde ettikleri kişisel verilerin saklanmasından ve güvenliğinden sorumlu tutulmuşlardır. Elde ettikleri kişisel verileri veri sahibinin açık rızası olmaksızın üçüncü kişilere iletmeleri ve başka amaçlarla kullanmaları yasaktır.

Güncel mevzuat gelişmeleri sonrası e-ticaret şirketlerin ilgili kanun kapsamında internet sitelerinde kişisel verilerin korunması politikalarına ve buna bağlı olarak iletişim iznine yer verme konusunda hassasiyetlerinin arttığını gözlemlemek mümkündür. Bu iletişim izinlerinde veri sahiplerinin kişisel verilerinin işlenme amaçları ve hangi hukuki sebeplere dayanılarak işlendikleri, işlenen kişisel verilerin belirtilen amaçlar kapsamında aktarılabileceği 3. kişiler, kişisel veri toplama yöntemleri, resmi makamlarla kişisel veri paylaşım politikaları, çerez (cookie) kullanımları, verileri işlenen veri sahiplerinin hakları, iletişim izninde değişiklik yapılabilecek haller, iletişim izninin kabulüyle veri sahibinin nelere onay verdiği ve kanun kapsamında başvurulabilecek veri sorumlusunun iletişim bilgileri gibi bilgiler yer alır.

İnternet üzerinden alışverişi tercih eden tüketicilerin ve buna bağlı olarak e-ticaret yapan firmaların sayısı günümüzde oldukça artmış olması nedeniyle, e-ticaret alanında kişisel verilerin korunması önem taşımaktadır. E-ticaret sitelerinin de faaliyetleri sırasında elde ettikleri kişisel verileri işlemeleri için veri sahibinin açık rızasını almaları gerekir. Bunun için üyelik sırasında kişisel verilerin işlenmesi ile ilgili detaylı aydınlatma metni kullanıcılara sunulduktan sonra, buna açık rıza verdiklerini gösteren “Evet” veya “Kabul ediyorum” gibi tıklama yöntemleri yaygın olarak kullanılmaktadır.

KVKK’da düzenlenen açık rıza kavramının bir yansımasını Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-ticaret Kanunu”)’da görmekteyiz. İletişim veri kategorisinde anılan kişisel veriler kapsamında veri sahibi ile iletişime geçmek için ayrıca ve özel alınması gereken ve amaç ile sınırlı olarak iletişim kurmayı esas alan düzenlemeler söz konusudur. Ticari elektronik iletilerin gönderilmesi konusunda, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-ticaret Kanunu”) kapsamında alıcıların onayının alınması gereklidir. Buna göre esnaf ve tacirler dışındaki kişilere ticari ileti gönderilebilmesi için alıcıların yazılı olarak veya elektronik iletişim araçlarıyla onaylarının alınması gerekir.

Gönderilen ticari iletiler verilen onay ile sınırlı kalmalıdır. E-ticaret şirketleri gönderdikleri ticari iletilerde kendi iletişim bilgilerine yer vermeli ve alıcıların dilediği zaman bu iletilerin gönderimini reddedebilmeleri için gereken bilgileri iletmelidir. Alıcılar ticari iletileri almaktan herhangi bir sebep göstermeksizin vazgeçme hakkına sahiptir. Bu durumda en geç 3 iş günü içinde ticari iletilerin gönderiminin durdurulması gerekir.

Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller

Kanunlarda açıkça öngörülmesi durumunda veri sahibinin açık rızası alınmadan kişisel veriler işlenebilmektedir. 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5. maddesinde düzenlenen kolluğun şüphelilerin parmak izini alma yetkisi,İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması, Vergi Usul Kanunu gereği fatura üzerinde ad soyad bilgisine yer verilmesi bu duruma örnek olarak gösterilebilir.

Veri sahibinin bilincinin kapalı olması durumu gibi, açık rıza alınmasının fiili olarak imkansız olması durumunda yine açık rıza aranmayacaktır. Bilincini kaybeden bir kişinin hayatını korumak amacıyla ad soyad, kan grubu, telefon numarası gibi kişisel verileri işlemek bu duruma örnek olarak verilebilir.

Sözleşmelerin kurulması ve ifası için gereken kişisel veriler, yalnızca sözleşme kapsamında kullanılmaları koşuluyla, veri sahibinin açık rızası olmadan işlenebilir. Örneğin sözleşmeden doğan para borcunun ödenebilmesi için banka hesap bilgilerinin alınması veya teslimin gerçekleşmesi için adres bilgisinin alınması bir zorunluluktur.

Kişisel veri sahibi tarafından aleni hale getirilmiş ise, bu verinin işlenmesi için yine ayrıca açık rıza aranmayacaktır. Veri sorumlusunun kendisine tanıtım ve reklam yapılması için iletişim bilgisi bırakan müşterisinin iletişim bilgisini yalnızca bu amaçla işlemesi bu duruma örnek olarak verilebilir.

Veri sorumlusu kendisine ait yükümlülükleri yerine getirebilmek için de kişisel verileri saklamak durumunda olabilir. Örneğin bir okulun öğrencileriyle ilgili gereken bilgilendirmeleri yapabilmesi için velilerin iletişim bilgilerini saklaması gerekir.  Veri sorumlusunun çalışanlarına ücretlerini ödemesi için çalışan hesap bilgilerini işlemesi de bu duruma örnek olarak verilebilir.

Veri sorumlusunun bir hakkının kurulması, kullanılması veya korunması adına veri sahibinin verilerini kullanması zorunluluğu söz konusu olduğunda yine açık rıza aranmayacaktır. Eski bir çalışanı hakkında tarafına haciz ihbarnamesi gönderilen veri sorumlusunun kişinin Şirket ile hizmet akdinin sona erdiğini bildirmesi de bu duruma örnek olarak verilebilir.

Veri sorumlusunun meşru menfaatleri için zorunlu olması halinde veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla açık rıza olmaksızın veri işleme hakkına sahiptir. Şirket’in işyeri güvenliğini sağlamak için çalışanların kişisel verilerini işlemesinin zorunlu olması halleri bu duruma örnek olarak verilebilir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜ KVKK KAPSAMINDA İNCELEME

Günlük hayatta birçok işlem yapılırken kişisel verilerin başkalarıyla paylaşılması söz konusu olmaktadır. Modern hayatın geldiği bu noktada kişisel verilerin hukuki koruma altına alınması ihtiyacı doğmuştur. Bu amaçla yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, kişisel verileri işleyecek olan gerçek ve tüzel kişilerin -kanunun deyimiyle veri sorumlularının- öncelikle veri sahiplerini aydınlatma yükümlülüğü bulunuyor.

KVKK Kapsamında Aydınlatma Nedir?

Kişisel verileri işleyen tüm gerçek ve tüzel kişilerin, KVKK kapsamında veri sahiplerinin açık rızalarını almaları gerekmektedir. Veri sahibinin açık rızası olmaksızın yapılan veri işleme faaliyetleri hukuken geçerli kabul edilmeyecektir. Kişisel verilerin işlenmesi için gereken açık rızanın geçerlilik unsurlarından biri bilgilendirmeye dayalı olmasıdır. Bu noktada veri sorumlusunun aydınlatma yükümlülüğü karşımıza çıkmaktadır. Kişisel verilerin işlenmesinde kanun veri sorumlusuna aydınlatma yükümlülüğü getirmektedir. Bu yükümlülük KVKK m.10’da düzenlenmiştir. Veri sorumlusu yapılacak olan veri işleme faaliyetinin detayları hakkında veri sahibini bilgilendirmelidir.

Yapılan bilgilendirmenin veri sahibi tarafından “anlaşılabilir” nitelikte olması, aydınlatma yükümlülüğünün yerine getirildiğinin kabulü için büyük önem taşımaktadır. Elbette ki burada bahsettiğimiz “anlaşılabilirlik” hedef kitleye ve somut olaya göre değişiklik gösterecektir. Bununla birlikte yapılan bilgilendirmede genel olarak sade bir dil kullanılması, teknik kelimeler ile mesleki jargondan kaçınılması ve ihtiyaç duyulan yerlerde teknik terimlerin veri sahibine açıklanması gibi kriterler hukuki geçerlilik değerlendirilirken göz önünde bulundurulacak temel kriterler olarak sayılabilir.

Burada dikkat edilmesi gereken bir diğer husus da bilgilendirmenin doğrudan veri sahibine yapılması zorunluluğudur. Aydınlatma metninin veri sahibinin ulaşabileceği herhangi bir yerde bulunuyor olması yeterli değildir. Veri sorumlusu aydınlatma metnini doğrudan veri sahibine sunmakla mükelleftir. Uygulamada özellikle karşılaştığımız hatalardan biri de bu husustur. Örneğin KVKK Uyum danışmanlığı sürecinde titiz çalışmalar sonucu web site üyeliğinde işlenen kişisel veriler hakkında veri sahibine gösterilmesi için hazırladığımız aydınlatma metinlerinin üyelik aşamasında veri sahibine gösterilmediğini, web sitesinde herhangi bir yerde paylaşıldığını görmekteyiz. Önemli olan muhataba en geç veri elde edildiği sırada bu aydınlatmanın yapılmasının sağlanmasıdır. Aksi halde aydınlatma doğru şekilde yapılmamış olacaktır.

Aydınlatma Metninde Nelere Yer Verilmelidir?

Veri sorumlusu veya bu konuda yetkilendirdiği üçüncü bir kişi, aşağıda belirtilen konulara aydınlatma metninde yer vererek, verileri işlenecek olan veri sahiplerini bilgilendirmelidir:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği:

Burada veri sorumlusu olan şirketin tam unvanı, MERSİS numarası ve iletişim bilgileri gibi asgari kimlik bilgilerine yer verilmesi gerekir.

  1. Kişisel verilerin hangi amaçla işleneceği:

Kişisel verilerin işlenme sebepleri aydınlatma metninin bu bölümünde detaylandırılır. Örneğin şirket ile veri sahibi arasında akdedilen satış veya hizmet sözleşmesinin yerine getirilebilmesi, iş yeri güvenliğinin sağlanabilmesi, kanunlar kapsamında hukuki yükümlülüklerin yerine getirilebilmesi, sözleşme kapsamında ödemelerin yapılabilmesi gibi amaçlar tek tek bu metinde belirtilir.

Örneğin şirketler çalışanlarının ad, soyad gibi kimlik bilgileri ile adres, iş veya özel e-posta adresi, ve telefon numarası gibi iletişim bilgilerini işleyebilmektedir. Ayrıca yine şirketler tarafından çalışanlarının kimlik doğrulama ve hesap erişimi için kullandıkları parola ve benzer güvenlik ve işlem bilgilerinin de işlenmesi gerekebilir. Çalışanların aileleri ve yakınları ile ilgili veriler de (eş durumu, çocuk sayısı, vb.) yine şirketler tarafından işlenen kişisel veriler arasında yer alır.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’nde kişisel verileri işleme amaçları kategoriler halinde belirtilmiştir. Burada çok sayıda alt kategori bulunmakla birlikte başlıca insan kaynakları süreçlerinin planlanması, eğitim faaliyetlerinin yürütülmesi, mal veya hizmet alım/satım süreçlerinin yürütülmesi, hukuk işlerinin takibi, vb. amaçlar sayılabilir. KVKK’ya uyum tüm kişisel veri işleme operasyonlarınızdaki amaçlarınızı sorgularken VERBİS’te belirlenen bu amaçlar da size rehberlik edecektir. Ayrıca yine amaçlarınızı belirlerken amaçlarınızın meşru ve ölçülü olmasına dikkat etmeniz gerekmektedir. Bu hususun somutlaşması açısından Mobil Uygulamalarda Veri Toplama ve İşleme’nin yasal boyutu yazımızı inceleyebilirsiniz.

  1. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği:

Kişisel verilerin işlenmesinde belirli bir veri sorumlusuna açık rıza verdikten sonra, bu verilerin üçüncü kişilere aktarılmasının gerektiği durumlar sıklıkla doğmaktadır. Bu noktada verilerin paylaşılacağı üçüncü kişilerin kimler olduğu, hangi verilerin aktarılacağı ve ne amaçla aktarılacağı konusunda veri sahipleri bilgilendirilmelidir. Bu bilgilendirme yine aydınlatma metni aracılığıyla mümkün olabilecektir. Örneğin fatura gönderimi yapılabilmesi için kargo şirketlerine, ihtilaf halinde savunma hakkının kullanılabilmesi için veri sorumlusunun avukatlarına veya fatura süreçlerinin yürütülebilmesi için mali müşavirlik şirketlerine kişisel verilerin aktarılması söz konusu olabilir. Bu örnekler çok çeşitli olabileceği gibi, aydınlatma metninde tüm olasılıkların tek tek sayılması önem taşımaktadır. Aksi halde kişisel verilerin hukuka aykırı şekilde üçüncü kişilere aktarımı söz konusu olacaktır.

  1. Kişisel veri toplamanın yöntemi ve hukuki sebebi:

Aydınlatma metninde kişisel verilerin hangi yöntemle toplandığı bilgisine de yer verilmelidir. Örneğin müşteri hizmetleri ile yapılan görüşmelerde sıklıkla karşımıza çıktığı üzere, müşterilerin konuşmalarının kayıt altına alınması bir veri işleme faaliyetidir. Telefon görüşmelerinin kayıt altına alınma amacı ise hizmet kalitesinin sağlanması ve herhangi bir ihtilaf yaşanması durumunda bu kayıtlara başvurulabilmesidir. Bir diğer örnek internet ve sosyal medya aracılığı ile verilerin toplanması olabilir. Burada kişisel verilerin toplanma yönteminin yanı sıra hangi hukuki sebeple toplandıkları da önem taşımaktadır. Buna yönelik en yaygın örnek veri sahibi ile veri sorumlusu arasında kurulan sözleşmenin ifa edilmesi için kişisel verilerin toplanıyor olmasıdır.

  1. Veri sahibinin kanunda belirtilen diğer hakları:

Burada veri sahibinin KVKK m.11 kapsamında veri sorumlusunun yaptığı veri işleme faaliyetine karşı sahip olduğu haklar söz konusudur. Bu haklar şu şekilde sıralanabilir:

– Kişisel verilerinin işlenip işlenmediğini öğrenme,

– Kişisel verilerin işlenmiş olması durumunda buna yönelik bilgi talep etme,

– Kişisel verilerinin işlenme amacını ve bu amaca uygun şekilde kullanıp kullanılmadığını öğrenme,

– Yurt içinde ve/veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri öğrenme (varsa),

– Kişisel verilerinin eksik veya yanlış işlenmiş olması durumunda gerekli düzeltmelerin yapılmasını talep etme ve bu kapsamda yapılan düzeltmelerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

– Kişisel verileri KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmakla birlikte, bunların işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel verilerinin silinmesini veya yok edilmesini isteme ve yine bu kapsamda yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

– İşlenen verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi yoluyla aleyhine bir sonuç ortaya çıkmış olması durumunda bu sonuca itiraz etme,

– Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde, zararın giderilmesini talep etme.

Aydınlatma Yükümlülüğünün Yerine Getirilme Yöntemleri

Aydınlatma yükümlülüğü veri sorumlusu tarafından sözlü veya yazılı şekilde yerine getirilebileceği gibi, ses kaydı dinletilmesi ve çağrı merkezi gibi elektronik bir ortam kullanılmak suretiyle de gerçekleştirilebilir. Belirtmek gerekir ki veri sorumlusunun yetkilendirdiği bir üçüncü kişi de aydınlatma yükümlülüğünü yerine getirebilir. Ayrıca veri sahibinin kişisel verilerinin işlenmesi konusunda aydınlatılması gerekliliği, ilgili kişinin talebine bağlı değildir.

Uygulamada yaşanması muhtemel ihtilafların çözümü açısından aydınlatma yükümlülüğünün yazılı şekilde yerine getirilmesi pratik olacaktır. Bu noktada karşımıza “KVKK aydınlatma metni” kavramı çıkmaktadır.

E-ticaret sitelerinde veri sahiplerinin aydınlatılması genel olarak kişisel verilerin korunması hakkında ayrılan bir sayfa aracılığıyla sanal ortamda yapılır. Bunun dışında şirketler de yine internet sitelerinde bu aydınlatma metinlerine yer vermektedirler. Burada aydınlatma metninin kolayca erişilebilir olması önem taşır. İnternet sitelerinde çerezler yoluyla toplanan kişisel veriler hakkında ayrı bir sayfa ayrılmadan, veri sahibi sayfalarda gezinirken kenarda açılan pop-up pencereler aracılığıyla da aydınlatma sorumluluğu yerine getirilebilir.

Buna ek olarak veri sorumlusu veya yetkilendirdiği kişi tarafından sözlü bilgilendirme yapılması, bina girişinde bir bilgilendirme levhası asılması, kamera kaydı alınan durumlarda kameranın altına yine bir bilgilendirme yazısı asılması gibi yöntemlerle de aydınlatma yükümlülüğü yerine getirilebilecektir. Çağrı merkezlerinde sıkça karşılaştığımız, görüşme öncesi veri sahibine bilgilendirme amaçlı dinletilen ses kayıtları da yine veri sorumlusunun aydınlatma yükümlülüğünün bir parçasıdır.

Aydınlatma yükümlülüğünün yerine getirilmesi konusunda önemli noktalardan biri de veri sahibinin bilgilendirilmesi ile açık rızasının alınmasının ayrı ayrı yapılması gereken işlemler olduğudur. Zira aydınlatma yükümlülüğünün amacı ilgili kişinin kişisel verilerinin işlenmesi hakkında bilgilendirilmesi iken, açık rıza alınmasındaki amaç veri sorumlusu tarafından gerçekleştirilen veri işleme faaliyetlerinin hukuki olarak temellendirilmesidir. Dolayısıyla veri sahibi olan kişinin aydınlatma metni aracılığıyla kişisel verilerin işlenmesine ilişkin bilgi sahibi olması, metinde yer alan hususlara onay verdiği anlamını taşımamaktadır. Bunun için ayrıca açık rıza vermesi gerekir. İşlemeye konu olan kişisel verilerin doğrudan veri sahibinden değil de bir üçüncü kişiden elde edilmesi durumunda, yine veri sahibinin aydınlatılması yükümlülüğü devam edecektir.

VERBİS KAYDI VE KİŞİSEL VERİ İŞLEME ENVANTERİ

Bu yazımızda KVKK kapsamında getirilen yükümlülüklerden biri olan Kişisel Veri İşleme Envanteri hazırlama ve VERBİS kayıt zorunluluğu gibi yükümlülüklerinden bahsedeceğiz. Teknolojinin hayatımıza girmesiyle geçmişten beri tarihi, politik ve ekonomik olarak önemi olan kişisel veriler, aynı zamanda ticari bir değer kazanmıştır. Modern yeniliklerin kişisel verileri her alanda farklı şekilde değerlendirilme ve işlemeye açık hale getirilmesi karşısında gerçek kişinin hukuki koruma altına alınması zorunluluğu doğmuştur. Bu amaçla yürürlüğe konulan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na kişisel verileri işleyen tüm gerçek ve tüzel kişilerin uyması gerekmektedir.  Kişisel verileri işleyecek olan veri sorumlularının bu yükümlülükleri eksiksizce yerine getirmeleri KVKK’ya uygun veri işleme yönetimi ve aykırılıkların doğurduğu sonuçlar itibariyle büyük önem taşımaktadır. Kişisel Veri İşleme Envanteri hazırlama ve VERBİS kayıt zorunluluğu en önemli yükümlülüklerin başında gelmektedir.

Kişisel Veri İşleme Envanteri Nedir?

Kişisel Veri İşleme Envanteri’nin ne olduğu Veri Sorumluları Sicili Hakkında Yönetmelik’te (“Yönetmelik”) açıkça belirtilmiştir. Buna göre veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini detaylandırdıkları belge, Kişisel Veri İşleme Envanteri’dir (“Envanter”). Envanter oluşturmak veri sorumlusunun veri işleme süreçlerinin detaylı bir analizini yapmayı gerektirir. Bu kapsamda veri sorumlularının, organizasyonel yapısı kapsamında varsa finans, müşteri ilişkileri, insan kaynakları, reklam ve pazarlama, ithalat ve ihracaat, depo, e-ticaret ve bunlar gibi birimler özelinde detaylı kişisel veri işleme analizi yapmaları ve her veri kategorisi üzerinde asgari olarak aşağıdaki hususları ayrı ayrı değerlendirmeleri gerekir. Söz konusu detaylandırmada aşağıdaki hususların belirtilmesi gerekir:

  • Veri kategorisi
  • Kişisel verileri işleme amaçları
  • İlgili verileri işlemeye dayanak olan hukuki sebepler
  • Eğer varsa ilgili kişisel verilerin aktarıldığı alıcı grubu
  • İlgili kişisel verilerin işlenmesinin amacına hizmet edebilmesi için gereken azami muhafaza süresi
  • İşlenen kişisel verilerin yabancı ülkelere aktarımı öngörülüyorsa hangi verilerin aktarımının yapılacağı ve bu aktarım sürecinde verilerin güvenliği için alınacak güvenlik önlemlerinin detayları.

Buna göre Envanter aslında bir tür rapor olarak tanımlanabilir. Bu raporda kişisel verileri işlemekte olan veri sorumluları tüm süreçleri değerlendirir ve süreçler kapsamındaki faaliyetlerini detaylandırır. Bunu yaparken her faaliyetle ilgili olarak işlenen kişisel veriler tek tek belirlenir. İlgili kişisel verilerin ne amaçla ve hangi hukuki sebebe dayanarak işlendiği, üçüncü kişilere aktarılıp aktarılmadığı, eğer aktarıldıysa kime aktarıldığı bilgisi, işlenen kişisel verilerin kime ait olduğunun yanı sıra verilerin saklanma süresi, yurtdışına aktarılıp aktarılmadığı ve buna yönelik alınan güvenlik önlemlerinin neler olduğu detaylı analiz yapılarak Envanter’de belirtilir.

Kişisel verileri işleyen veri sorumlularına Envanter hazırlama yükümlülüğü getirilmesindeki amaç, bu süreçte KVKK’ya uyumlu olarak hareket etmelerini sağlamaktır. Bu sayede kanuna aykırı bir kişisel veri işlenmesi durumunda bunun kolaylıkla tespit edilmesi ve önlenmesi hedeflenmektedir. Envanter aslında veri sorumlularının KVKK’ya uyumluluk konusunda kendi kendilerini denetleyebilmelerine olanak sağlayan bir mekanizmadır.

Kişisel Veri İşleme Envanteri Hazırlamakla Yükümlü Olanlar

Yönetmelik, 5. Maddesinin 1. Fıkrasının (ç) bendi ile Envanter hazırlamakla yükümlü olanları belirlemiştir. Buna göre sicile kayıtla yükümlü olan veri sorumluları, Envanter hazırlamakla yükümlü olan kişilerdir. Kişisel verileri işlenen ilgili kişilerin başvuruları yanıtlanırken ve açıklayacakları açık rızanın kapsamı belirlenirken, Envanter’e dayalı olarak sunulan ve Veri Sorumluları Sicili’nde yayınlanan bilgiler esas alınır. Veri sorumlularının ayrıca Envanter’e uygun olarak, kişisel veri saklama ve imha politikası da belirlemeleri gerekir.

VERBİS Nedir ve VERBİS Kayıt Yükümlülüğü Kimler İçin Öngörülmüştür?

VERBİS, “Veri Sorumluları Sicili Bilgi Sistemi”nin kısaltmasıdır. KVKK kapsamında

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları,
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları,
  3. Yurtdışında yerleşik veri sorumluları ve
  4. Kamu kurum ve kuruluşlarının,

VERBİS’e kayıt olma zorunlulukları bulunmaktadır. Veri işleyen gerçek ve tüzel kişilerin VERBİS’e kayıt olmaları ve veri işleme faaliyetlerine ilişkin bilgileri kategorik olarak sisteme kayıt etmeleri önem taşımaktadır. Bu sayede kişisel verileri işleyen gerçek ve tüzel kişilerin veri sorumlularının kimler olduğu açıklanmış olmakla birlikte, kişisel verileri koruma noktasında nasıl bir plan yaptıkları da sisteme girilmiş olur.

Gerçek veya tüzel bir kişi olabilen “Veri Sorumlusu”, kişisel verilerin işlenme amacını ve bunların nasıl işleneceğini belirler. Buna göre veri işleme faaliyetinin neden yapıldığı ve yapılma yönteminin ne olduğu sorularının muhatabı olan kişi veri sorumlusudur. Verileri işleyen bir tüzel kişi ise, tüzel kişinin kendisi bizzat veri sorumlusu olur. Veri işlemeden doğan her türlü hukuki sorumluluk tüzel kişiye aittir. Bu noktada kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri arasında bir ayrım yapılmamıştır.

VERBİS Kayıt Zorunluluğu İstisnaları

Yukarıda da açıklandığı üzere kişisel verileri işleyen gerçek ve tüzel kişilerin VERBİS kayıt zorunluluğu vardır. Bununla birlikte KVKK m.16 Kişisel Verileri Koruma Kurulu’na (“Kurul”), VERBİS’e kayıt zorunluluğu konusunda istisnalar getirme yetkisi vermektedir. Kurul kararı ile VERBİS’e kayıt zorunluluğundan muaf tutulan gerçek ve tüzel kişiler şunlardır:

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  2. Noterler,
  3. Siyasi partiler,
  4. Avukatlar,
  5. Gümrük müşavirleri,
  6. Arabulucular,
  7. Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler,
  8. Dernekler, vakıflardan ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  9. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar.

VERBİS’e Kayıtta İrtibat Kişisi Kimdir ve Sorumlulukları Nelerdir?

Kişisel Verileri Koruma Kurumu ile veri sorumluları arasındaki iletişimin sağlanabilmesi amacıyla “İrtibat Kişisi” kavramı doğmuştur. Yönetmelik irtibat kişisini “İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.” şeklinde tanımlar.

Buna göre irtibat kişisi, Envanter üzerinde bir güncelleme yapılması gerektiği zaman VERBİS’e girerek ilgili düzenlemeyi yapacak olan kişidir. Bununla birlikte veri sorumlusunun veri işleme faaliyetlerinden doğan sorumluluk tamamen kendisine ait olup, irtibat kişisi bu faaliyetler nedeniyle sorumlu tutulamaz. İrtibat kişisi yalnızca iletişim aracılığı yapmakla yükümlüdür.

Gerçek kişi olan veri sorumluları, irtibat kişisi olarak kendilerini belirleyebilirler. Tüzel kişi olan veri sorumluları ise, şirket içinden veya dışından olması önem arz etmeksizin herhangi bir gerçek kişiyi irtibat kişisi olarak atayabilirler. Bununla birlikte irtibat kişisinin 18 yaşından büyük olması, Türkiye’de yerleşik olması ve Türkiye Cumhuriyeti vatandaşı olması zorunludur.

Bir gerçek kişi birden fazla veri sorumlusunun irtibat kişisi olamayacağı gibi, bir veri sorumlusunun da birden fazla irtibat kişisi ataması mümkün değildir. Veri sorumlusu, irtibat kişisini dilediği zaman değiştirme hakkına sahiptir.

KVKK VERBİS Kayıt Kategorileri Nelerdir?

VERBİS’e işlenmesi gereken veriler kategorilere ayrılmıştır. Buna göre veri kategorileri genel hatlarıyla şunlardır:

Kimlik: Nüfus cüzdanı, ikametgah, ehliyet, pasaport, avukatlık kimliği, evlilik cüzdanı ve benzeri dokümanlarda yer alan, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen ad-soyadı, T.C. kimlik numarası, uyruk bilgisi, anne baba adı, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, kan grubu, sicil no., vergi numarası, unvan, biyografi gibi bilgileri ifade eder.

İletişim: Telefon, elektronik posta, faks numarası,  sosyal medya hesapları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Lokasyon: Uydu yön bulma sistemleri marifetiyle belirlenen belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen konum bilgisini ifade eder.

Özlük: Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, izin, kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün,grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri       ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans, eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta,  imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Hukuki işlem: Haciz ihbarnamesi ve benzeri mahkeme/icra daireleri evrakları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Müşteri işlemleri: İrsaliye, fatura bilgileri ve sipariş bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Fiziksel mekan güvenliği: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

İşlem güvenliği: İnternet trafik verileri, ağ hareketleri, IP adresi, ziyaret verileri, zaman ve tarih bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Risk yönetimi: Ticari, teknik ve idari risklerin yönetilmesi için kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veri türlerini ifade eder.

Finans: Banka  hesap  numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder

Mesleki deneyim: Çalışanın eski çalıştığı yerler ve edindiği mesleki sertifikalar gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Pazarlama: Çerez teknolojisi ile edinilen kullanıcı davranışları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Görsel ve işitsel kayıtlar: Fotoğraf, ses ve görüntü kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Irk ve etnik köken: Kişinin ırk ve kökenini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Siyasi düşünce: Kişinin desteklediği siyasi parti ve görüşler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Felsefi İnanç, Din, Mezhep Ve Diğer İnanç: Kişinin benimsediği din, mezhep ve inançlarını gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kılık ve Kıyafet: Kişinin benimsediği kılık kıyafet stili kapsamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Dernek üyeliği: Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf üyeliği: Kişinin üye olduğu vakıfları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika üyeliği: Kişinin üye olduğu sendikaları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık: Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Cinsel hayat: Kişinin cinsel yönelimleri kapsamındaki kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Ceza mahkûmiyeti ve güvenlik tedbirleri: Kişinin uğradığı ceza mahkumiyeti ve güvenlik tedbirlerini belirten sabıka kaydı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Biyometrik ve Genetik veri: Kişinin parmak izi, avuç içi, retina, yüz tarama, ses gibi verilerini ve genetik bilgilerini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

VERBİS Kaydı İçin Son Tarih Ne Zamandır?

VERBİS kayıt şartları uyarınca sisteme kayıt olmakla yükümlü olan veri sorumluları için, Kurul tarafından bu yükümlülüğün başlangıç ve bitiş tarihleri belirlenmiştir. Bununla birlikte bitiş tarihleri birkaç kere uzatılmış olup, en son 23 Haziran 2020 tarihinde VERBİS kayıt süresi olarak aşağıdaki son güncel tarihler belirlenmiştir. Buna göre:

  1. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için, VERBİS kayıt süresi 30 Eylül 2020 tarihi itibariyle dolmuştur. Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuş olup söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.
  2. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumluları için ise VERBİS kayıt süresi 31 Mart 2021 tarihine kadar uzatılmıştır.

VERBİS’e Nasıl Kayıt Olunur?

Kişisel Verileri Koruma Kurumu’nun internet sitesi olan www.kvkk.gov.tr üzerinden ilgili adımlar takip edilerek VERBİS kayıt işlemi tamamlanabilir.

VERBİS’e Kayıt Yaptırmamanın Cezai Sonuçları Nelerdir?

KVKK uyarınca VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket eden gerçek ve tüzel kişi veri sorumluları için, 2020 yılı için 36 bin TL ile 1 milyon 802 bin TL arasında idari para cezası öngörülmüştür. Bu cezalar her yıl güncellenmektedir.

 

KVKK IŞIĞINDA TEMEL KAVRAMLAR

Kişisel verilerin önemi ve bu önem üzerine inşa edilen 6098 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) biz hukukçuları ve aslında veri sahibi gerçek kişiler de dâhil herkesi ziyadesiyle ilgilendiren bir konu olarak gündemimize girdi. Uygulamada hala birçok veri işleyen kurum ve kuruluşun mevzuattaki gelişmelerden ve yaptırımlardan bihaber olduğunu gözlemlesek de 12 Ocak 2017’de Kişisel Veri Koruma Kurulu’nun yemin ederek göreve başlamasıyla dikkatlerin daha da yoğunlaştığı kişisel verilerin korunması konusu ve KVKK, hem veri sahipleri hem de veri sorumluları için büyük önem arz ediyor.

Bu konuda kısaca Türkiye’deki gelişmelere bakacak olursak, 2004 yılında kişisel verilerin hukuka aykırı kaydedilmesi Türk Ceza Kanunu’nda suç olarak tanımlandı. 2010 yılında herkesin kişisel verilerinin korunmasını isteme hakkı bir anayasal hak olarak tanındı. Bu hakkın nasıl kullanılacağı veya kişisel verilerin işlenmesine ilişkin sınırlamaların neler olacağı bu konuda çıkarılacak bir kanuna bırakıldı. Gerçekten de hem Türk Ceza Kanunu’ndaki suç tanımının iyi anlaşılması hem de bu konudaki anayasal hakkın sağlıklı şekilde kullanılması için konunun temel prensiplerini ve detaylarını belirleyecek bir kanuna ve beraberinde yayımlanacak yönetmeliklere ihtiyaç vardı. Nihayetinde yıllardır merakla beklediğimiz kanun olan KVKK 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlandı ve tüm hükümleriyle 7 Ekim 2016 tarihinde yürürlüğe girdi.

Kişisel verilerin korunması ve KVKK, mühim ve detaylandırıldıkça derinleşen bir konu olduğundan bitimsiz bir yazıya mahal vermemek adına, KVKK ile birlikte hayatımıza giren kavramları ve konuyla ilgili temel prensipleri bu yazımda özetle sizlerle paylaşacağım.

  1. Kişisel veri nedir?

Kişisel verilerin korunma prensiplerini iyi anlamak adına kişisel verinin bir gerçek kişiyi belirli hale getiren veya belirlenebilir kılan her türlü veri olduğunun altını çizmek gerekir. Bu kapsamda tüzel kişilerin verilerinin kişisel verilere konu olmadığını – örneğin bir anonim şirketin ticari sırlarının kişisel veri olamayacağını- kişisel veriden söz etmek için gerçek kişiden yani insandan söz etmek gerektiğini görmekteyiz. Ayrıca bu veriler öyle veriler olmalıdır ki; veri sahibi gerçek kişiyi ortaya çıkarmalı ya da ortaya çıkarmaya elverişli hale getirmelidir. İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün istatistiklerine göre Türkiye’de 33.000 Mehmet Yılmaz adında gerçek kişi olduğu bilgisinden yola çıkarak yalnızca Mehmet Yılmaz adının kişisel veriye karşılık gelmeyeceğini, bu ad ile birlikte bahsettiğimiz kişiyi belirli kılacak adres, yaş, meslek gibi diğer kişisel verilere de ihtiyacımız olduğunu söyleyebiliriz. Bu kapsamda işlenen veriler değerlendirilirken, eldeki verileri bu en temel prensibi gözeterek değerlendirmek gereklidir.

KVKK’da bir de özel nitelikli kişisel veriler tanımlanmıştır ve bu kişisel veriler daha hassas bir korumaya tabi tutulmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Kısaca açıklamak gerekirse;

Irk ve etnik köken: Kişinin ırk ve kökenini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Siyasi düşünce: Kişinin desteklediği siyasi parti ve görüşler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Felsefi İnanç, Din, Mezhep Ve Diğer İnanç: Kişinin benimsediği din, mezhep ve inançlarını gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kılık ve Kıyafet: Kişinin benimsediği kılık kıyafet stili kapsamında kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Dernek üyeliği: Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf üyeliği: Kişinin üye olduğu vakıfları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika üyeliği: Kişinin üye olduğu sendikaları belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık: Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Cinsel hayat: Kişinin cinsel yönelimleri kapsamındaki kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

Ceza mahkûmiyeti ve güvenlik tedbirleri: Kişinin uğradığı ceza mahkumiyeti ve güvenlik tedbirlerini belirten sabıka kaydı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Biyometrik ve Genetik veri: Kişinin parmak izi, avuç içi, retina, yüz tarama, ses gibi verilerini ve genetik bilgilerini gösteren kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verileri ifade eder.

  1. Açık rıza ve aydınlatma yükümlülüğü nedir?

KVKK’daki bir diğer önemli kavram ise “açık rıza” kavramıdır. Kural olarak kişisel verilerin işlenmesinin hukuka uygun olması için açık rızanın alınması gereklidir. Veri sorumlusu öncelikle verisini işleyeceği ilgili kişiyi veri sorumlusunun kimliği, kişisel verileri hangi amaçla işleyeceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin Kanun’dan doğan hakları konularında aydınlatmakla yükümlüdür. Veri sorumlusu bu aydınlatma yükümlülüğünü yerine getirdikten sonra ilgili kişi “şüpheye mahal vermeyecek şekilde” ve “özgür iradesiyle” kişisel verilerinin işlenmesine onay vermelidir. Aydınlatma yükümlülüğünün gerçekleştirilmesi ve akabinde şüphesiz bir özgür iradeyle onay verilmesiyle açık rıza hukuka uygun şekilde alınmış olacaktır. Kanun veya yönetmeliklerde açık rızanın alınma şekli ile ilgili bir düzenleme bulunmadığından, veri sorumluları bu rızayı yazılı veya sözlü alabileceklerse de herhangi bir uyuşmazlık durumunda açık rızanın alındığının ispatı veri sorumlusu tarafından yapılması gerekeceği gözden kaçırılmamalıdır.

  1. Kişisel veri işleme kapsamı nedir?

Aydınlatma yükümlülüğünü yerine getirmeyi ve ilgili kişiden açık rıza almayı gerektiren fiiller; kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma ya da kullanılmasını engellemedir. Bu fiillerin yalnızca birini gerçekleştirmek ya da birden çoğunu gerçekleştirmek arasında açık rıza almak açısından bir fark bulunmamaktadır. Örneğin kişisel veriyi yalnızca muhafaza etmek de muhafaza edip, sınıflandırarak aktarmak da açık rıza almayı gerektirecektir.

  1. Açık rıza gerektirmeyen istisnalar Kanun’da düzenlenmiş midir?

KVKK’da kişisel verileri işlemek için açık rıza gerektirmeyen bazı istisnalar düzenlenmiştir. Kanunlarda açıkça öngörülmesi durumunda açık rıza almak gerekmeyecektir. Örneğin Sosyal Güvenlik ve İş Hukuku mevzuatı gereği işçi hakkında tutulması işverenlere zorunlu hale getirilmiş kişisel veriler için işçinin onayını almak gerekmeyecektir.

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda da açık rıza aranmayacaktır. Örneğin; hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde de açık rıza aranmayacaktır. Örneğin bir e-ticaret şirketinin müşterisine satın aldığı ürünü göndermesi için adres bilgisinin kaydedilmesi ifa için zorunludur. Bu durumda da bu verinin kaydedilmesi için açık rızanın varlığı aranmayacaktır.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verinin işlenmesinin zorunlu olması ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması da açık rızanın aranmadığı istisnalardandır.

İçinde bulunduğumuz dijital çağda paylaşılan veriler düşünüldüğünde dikkate ve tartışmaya değer istisnalardan biri de kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olmasıdır. Bir örnekle açıklamak gerekirse; bir kişinin herkese açık sosyal medya hesaplarında kendisine dair paylaştığı fotoğraflar, bilgiler, bulunduğu konumlar gibi birçok veri, kişi kendisi bu verileri alenileştirdiği için açık rızası olmaksızın işlenebilecektir.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması da açık rıza gerektirmez. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir.

  1. Özel nitelikli kişisel verileri işleme sınırlamaları nelerdir?

Kural olarak özel nitelikli kişisel veriler de açık rıza olmaksızın işlenemez. Kanun özel nitelikli kişisel verilerin işlenmesi için de bir takım istisnalar getirmiştir. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.

Sağlık ve cinsel hayata ilişkin kişisel verilerin ise daha sınırlı hallerde işlenmesine izin verilmiştir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bir başka yazımızda KVKK’nın getirdiği diğer hükümlere ve yaptırımlara değinmek umuduyla kişisel verilerin korunması konusunda tedbir almayan veri sorumlularına daha fazla geç kalmaksızın veri gizliliği ve güvenliğine ilişkin politikalarını oluşturmayı tavsiye ediyorum. bu yazıda bahsettiğim kavramları öğrenmenin, veri koruma stratejilerini oluştururken veri sorumlularının aynı zamanda hukuk uygun hareket etmelerini sağlamasını umut ediyorum.

                                                                                                                   Av. Seval Sönmez Durmuşoğlu

ETİCARETTE GÜVEN DAMGASI

Dijitalage’de bu linkte yayımlanan Eticarette Güven Damgası ile ilgili yazımı aşağıda sizlerle paylaşıyorum.

Ticaretin mevzuat düzenlemeleri ile birlikte en net şekilde sınırlarının belirlendiği hallerin başında şüphesiz ticaretin e hali geliyor. Mevzuat kapsamında bu sınırlar hakkında elektronik ticaret faaliyetlerinde tüketicilerin hakları, reklam tanıtım faaliyetlerinde uyulması gereken kurallar, kişisel verilerin hukuka uygun işlenmesi gibi konuları konuşuyorduk. 7 Haziran 2017 tarihinde Resmi Gazete’de yayımlanan Elektronik Ticarette Güven Damgası Hakkında Tebliğ ile birlikte e-ticarette güvenlik ve hizmet kalitesi standartları konusu da gündemimize dâhil oldu.

Tüketicilerin e-ticaret kanalıyla aldığı ürünlerle ilgili yaşadığı sorunlar, tüketici şikâyetlerinin çözümsüz kalması, e-ticaret sitelerinin uğradığı siber saldırılar, kullanıcıların kredi kartı bilgilerinin yeterince korunmamasından kaynaklanan veri hırsızlığı ve akabinde gerçekleşen bilişim sistemleri aracılığıyla dolandırıcılık suçları gibi birçok konu e-ticaret sektöründe güvenlik ve kalite arayışını beraberinde getirdi. E-ticaret sektörünün gelişmesiyle birlikte güvenlik ve kalite ile ilgili yaşanan endişeler ve bu endişelerin çözümü noktasında çalışmalara başlandı. Güven damgası tam da bu noktada gündemimize girdi.

Güven damgası; e-ticaret şirketleri ve mevzuatta başkalarına ait iktisadî ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ya da tüzel kişiler olarak tanımlanan aracı hizmet sağlayıcılar daha açık bir ifadeyle “pazar yeri modeli” ile çalışan e-ticaret siteleri için müşterilerine “benden korkmadan güvenle alışveriş yapabilirsin” mesajını verecek olan bir elektronik işarettir.

Bu işareti almak bir zorunluluk değil; bununla birlikte güven damgası alabilmek için e-ticaret şirketlerinin Güven Damgası Sağlayıcı’ya ilgili koşulları sağlayarak başvurması gerekmektedir.

  1. Mevzuata Uyumlu Süreçler

İlgili koşulları sağlamanın ilk şartı e-ticareti ilgilendiren hemen her mevzuata uygun süreçlerin tasarlanmasıdır. Şöyle ki bu süreçler Banka Kartları ve Kredi Kartları Kanununa, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanuna, Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanuna, Tüketicinin Korunması Hakkında Kanuna, Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna, Kişisel Verilerin Korunması Kanununa ve bu kanunların ikincil düzenlemeleri ile elektronik ticaret ortamında satışı yasak olan ya da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararlara uygunluğun denetlenerek şekillendirilmesi öngörülmüştür.

Bu düzenleme e-ticaret sitelerine aslında tüm süreçlerin hukuka uygunluğunun denetimini detaylı şekilde yapılmasını şart koşuyor. Bir örnekle açıklamak gerekirse; bir e-ticaret sitesinin mesafeli sözleşmesinin kusursuz olması yetmez. Sipariş onayı da mevzuata uygun şekilde sözleşme ile birlikte müşteriye iletilmelidir. Müşteriden elektronik iletişim araçları ile kendisiyle iletişime geçmek için onay alırken aynı zamanda kişisel verilerini işlemek için ayrı bir onay alınmalıdır. Bu verdiğim örnek güven damgası için tasarlanması gereken süreçlere bir ışık tutuyorsa da mevzuattaki tüm yükümlülükleri açıklamakta tabi ki yetersiz kalmaktadır. Dolayısıyla güven damgası almak isteyen e-ticaret şirketlerinin e-ticaret sitelerini tüm süreçleri hukuka uygun olarak tasarlanması zorunlu hale gelmiştir.

  1. Siber Güvenlik ile İlgili Alınması Gereken Önlemler

Güven damgası almak için siber güvenliğe ilişkin bazı yükümlülükler getirilmiştir. E-ticaret şirketleri kişisel veri ve ödeme bilgisi içeren her türlü işlemin internet sitesi ve mobil sitede Gerçek veya tüzel kişilerin yasal belgelere göre kimlik doğrulamasını sağlayan ve sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan EV SSL serfikasını, uygulamada ise Sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan SSL ile gerçekleştirilmesini sağlamakla yükümlüdür. Buna göre e-ticaret şirketlerinin özetle mobil ve internet siteleri için EV SSL sertifikasını, uygulamalar için SSL sertifikasını almaları gerekmektedir.

Bir diğer siber güvenliğe ilişkin gereklilikse sızma testlerine ilişkindir. E-ticaret siteleri güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standardları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin doğrulama testi yaptırmaları gerekmektedir.

  1. Sitede Sağlanan İçeriklere İlişkin Tedbirler

İçerik pazarlamasının ön plana çıktığı bu günlerde içeriklerin hukuka uygunluğu da önemli tartışma konularından biridir. Tebliğ ile birlikte e-ticaret şirketlerine elektronik ticaret ortamında çocukların fiziksel, zihinsel, ahlaki, psikolojik ve toplumsal gelişim özelliklerini olumsuz yönde etkileyebilecek içeriğe yönelik tedbirleri alma yükümlülüğü de yüklenmiştir.

  1. Sipariş Takip Süreçlerine İlişkin Tedbirler

Her ne kadar e-ticaret mevzuatı kapsamında sipariş süreçlerine ilişkin yükümlülükler detayları ile belirlense de güven damgası almak için mevzuata uyumun yanı sıra bazı hususların üzerinde özellikle durulmuştur. Güven damgası almak isteyen e-ticaret şirketleri elektronik ticarete konu malın stok bilgisi, içeriği, malzemesi, ölçüleri gibi özelliklerine, kullanımına ve varsa garantisine, teknik desteğine ve bunların kim tarafından sağlanacağına ilişkin detaylar ile gerçek boyutlarının anlaşılmasını mümkün kılan görselleri, tedarik, kargo ve teslimat süresi gibi hususları, sipariş alıcıya teslim edilinceye kadar siparişin durumu hakkında gerekli bilgileri ve kargo takip imkânını sunar ya da sunulmasına olanak sağlamakla yükümlü hale getirilmiştir.

  1. Alıcı Hakları Hakkında Tedbirler

E-ticaret şirketlerinin güven damgası ile ilgili yerine getirmesi gereken bir diğer koşul elektronik ticarete konu mal veya hizmeti satın alan ya da satın alma amacıyla hareket eden gerçek veya tüzel kişinin siparişi hakkında bilgi alabilmesi, talep ve şikâyetlerini internet tabanlı iletişim yöntemlerinden en az biri ve telefon aracılığıyla iletebilmesi için müşteri hizmetleriyle iletişim imkânı sunmaktır. E-ticaret şirketleri talep ve şikâyetlerin etkin bir şekilde yönetilmesini, sonuçlandırılmasını ve konuya ilişkin alıcının bilgilendirilmesini sağlamakla yükümlüdür.

  1. E-ticarete Konu Hizmetin Sağlayıcısı Hakkında Tedbirler

Güven damgası almak isteyen e-ticaret şirketlerinin elektronik ticarete konu hizmetin kim tarafından sağlanacağı, kapsamı ve süresi gibi bilgileri sunması ya da sunulmasına olanak sağlaması şart koşulmuştur.

Ayrıca güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcının gerçek kişi olması halinde kendisinin ve yetkili temsilcisinin, tüzel kişi olması halinde ise yöneticilerinin ve yetkili temsilcilerinin Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama, kaçakçılık veya bilişim suçlarından mahkûm olmaması gerekliliği düzenlenmiştir.

Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcı iflas etmiş ise itibarın iadesinin sağlanmış olması da bir diğer gereklilik olarak düzenlenmiştir.

DEĞERLENDİRME

Güven damgası almak her ne kadar zorunlu değilse de, alıcılar nezdinde güven damgası olan e-ticaret siteleri tercih sebebi olacağından, birçok e-ticaret şirketinin güven damgası almak isteyeceği kanaatindeyim. Yukarıda özetle yer verdiğim güven damgası almak için yerine getirilmesi gerekenler okunduğunda güven damgası almanın çok da kolay olmadığını, birçok site için baştan süreçlerin hukuka uygun tasarlanması zorunluluğunu söylemek mümkün.

Bu koşullar altında e-ticaret sektöründe mevzuata ilişkin bu gelişmeler elbette farklı düşünce ve eleştirileri de beraberinde getirdi. Bir görüş güven damgasının daha güvenli bir ortamda alışverişe olanak sağlayacağı ve daha iyi bir e-ticaret hizmet kalitesi yaratacağı yönünde vücut buldu. Bir başka görüş ise; mevzuattaki e-ticarete ilişkin her alanda yapılan düzenlemeler ve getirilen sınırlamalar e-ticaret şirketlerinin yükünü ağırlaştırdı ve bu sebeple e-ticaret sektöründe çığır aşan bir büyümenin gerçekleşmesi zorlaştı. Her iki görüşün de haklı bulduğum tarafları olmakla birlikte mevzuattaki bu düzenlemelerin Türkiye’de e-ticareti gerçekten güvenilir ve katma değerli bir alan haline getirmesini umut ediyorum.

E-TİCARETTE DİJİTAL PAZARLAMANIN HUKUKİ SINIRLARI

E-ticaret Türkiye Dergisi Kasım- Aralık sayısında yayınlanan “E-ticarette Dijital Pazarlamanın Hukuki Sınırları” konu başlıklı eticaret hukuku avukatı olarak ele aldığım yazımı bilginize sunuyorum.

E-ticaret Türkiye

Türkiye’de e-ticaret pazar hacmi her geçen yıl önemli şekilde artıyor ve e-ticaret sektöründe faaliyet gösteren şirketler pazarda kalıcı bir yer edinmek için çaba göstermeye devam ediyor. Bu çaba kapsamında müşteri kazanmanın ve sadık müşteriler yaratmanın en önemli araçlarından biri şüphesiz ki dijital pazarlama yöntemleri.

Müşterilerin ilgisini arama motoru aramalarında faydalı bir içerik sunarak kazanmak, arama motorlarında ilk sayfalarda yer alarak ilk tercih edilenlerden olmak, müşterilerin web site ziyareti sırasında incelediği ürünleri diğer web sitelerde gezintisi sırasında karşısına çıkarmak ve sosyal ağ reklamları ile tercih edilir olmak gibi pazarlama yöntemleri sene sonu cirolarında önemli farklar yaratıyor. Kanaatimce dijital pazarlamanın e-ticaret şirketleri için önemi böylesi ortadayken, şirketlerin bu alandaki faaliyetlerini hukuki çerçevede mercek almak da bir o kadar önem arz ediyor. Bu yazıda arama motoru reklamları, içerik pazarlaması ve yeniden pazarlama modellerini hukuken mercek altına alıyor olacağım.

  1. Arama Motoru Reklamları

    e-ticaret ve marka ihlali

Arama motoru reklamları temel olarak; reklam verenin ürün, hizmet ve markalarıyla ilgili arama motoru kullanıcılarının arama butonuna girebileceği “anahtar kelimeleri” reklam sözcüğü olarak belirlemesi ve bu anahtar kelimeler arandığında arama motorunun ilk sayfasında veya diğer sayfalarında verilen reklamın gösterilmesi şeklinde çalışan bir reklam modelidir. Bu yöntem ile sunulan ürün, hizmet ve markalara ilgisi olan müşteri adaylarına ulaşmak ve ilgili e-ticaret sitesine ziyaretçi kazanmak kolaylaşır. Bu yöntemi kullanırken yaşanan en büyük hukuka aykırılıklardan bir tanesi rakip şirketlerin tescil edilmiş markalarının anahtar kelime olarak kullanılması ve rakip şirketin markasıyla rakip şirketin müşterilerinin kazanılmasıdır.

556 Sayılı Markaların Korunması Hakkında Kanun Hükmünde Kararname’nin 9/2-(d) maddesine göre marka sahibi markayı kullanmakta meşru bir hakkı olmayan kişinin markanın aynı veya benzerinin internet ortamında ticari etki yaratacak biçimde, alan adı, yönlendirici kod, anahtar sözcük veya benzeri biçimlerde kullanılmasını engelleme ve bu tür bir kullanımda marka haklarına tecavüzünün tespitine, tecavüzün önlenmesine internet sitesi tanıtımlarında rakip şirketin markalarını kullanmasının önlenmesini talep etme ve maddi ve manevi zararlarının tazminini talep etme hakkına sahiptir.

Yargıtay da bir kararında Google üzerinde davacının markaları sorgulanınca sonuç sayfasının ilk sırasında sponsor bağlantı kısmında davacı marka metinleri ve bu metinlerin altında davalının internet adresi yer alması ve bu sitenin davalıya ait internet adresine bağlantı içermesi sebebiyle bu şekildeki kullanımın başkasının markasından paraziter şekilde yararlanma mahiyetinde olduğunu kabul etmiş ve bu şekilde marka kullanımının 556 Sayılı KHK’nın 9/2-(d) gereğince marka sahibinin iznine tabi olduğunu belirtmiştir.

Bu bilgiler ışığında e-ticaret sitelerinin arama motorlarına reklam verirken üçüncü kişilerin marka haklarını ihlal etmemelerini aksi halde önemli maddi ve manevi tazminat talepleri ile karşılaşabileceklerini ya da kendi marka haklarının bu türde bir ihlali söz konusu olduğunda mevzuattan doğan önemli haklarının olduğunu belirtmekte fayda görmekteyim.

  1. İçerik Pazarlaması

    e-ticaret ve içerik pazarlaması

Dijital pazarlamanın en güncel alanlarından biri de içerik pazarlaması. Birçok e-ticaret sitesi gerek sosyal medyada gerek çeşitli bloglarda yazı, video, fotoğraf ve gif gibi içerikler ile müşterilerine fayda sunmaktadır. İçerik pazarlaması faaliyetlerinde paylaşılan içeriklerin yukarıda da bahsettiğim üzere üçüncü kişilerin marka haklarını ihlal etmesi ya da üçüncü kişilerin eserlerinden hukuka aykırı şekilde alıntılar yaparak eser sahiplerinin fikri haklarını ihlal etmesidir.

Bu ihlallerin sonucunda hakları ihlal edilen tarafın ihlalin tespitini, önlenmesini, durdurulmasını isteme ve maddi ve manevi tazminat talep etme hakları gündeme gelecektir. Dolayısıyla özellikle içeriklerde marka işareti, film ve dizilerden kesit, TV programları ve reklamlardan kesit, müzik eserleri, video oyunlarından kesit, spor müsabakalarından kesit, karikatür, ilim ve edebiyat eserlerinden kesit kullanırken kullanılan bu unsurların sahiplerinin 556 Sayılı Markaların Korunması Hakkında Kanun Hükmünde Kararname’den ya da 5846 sayılı Fikir ve Sanat Eserleri Kanunu’ndan doğan marka hakları ya da eser sahipliği hakları olabileceğine dikkat etmek gereklidir. Kullanılan unsurun marka ya da eser olduğunu tespit etmek durumunda mevzuattaki düzenlemelere uygun olarak marka veya eser sahibinin iznini almak olası ihlalden kaynaklanan taleplerin önüne geçmeyi sağlayacaktır.

  1. Yeniden Pazarlama (Remarketing)

    e-ticaret ve çerez kullanımı

E-ticaret sitelerinin en çok kullandığı dijital pazarlama yöntemlerinden biri de yeniden pazarlama yöntemidir. Bildiğiniz üzere e-ticaret sitesi kullanıcıların beğendiği ayakkabının her ziyaret ettiği sitede onu takip ediyor olması elbette bir tesadüf değil. Bu yöntem kullanılırken cookie de denilen çerez teknolojisi kullanılır. Basit bir anlatımla çerez teknolojisi, e-ticaret sitesi kullanıcısının bilgisayarının sabit diskine metin dosyası yerleştirmeyi ve bu dosya ile kullanıcının internetteki gezintisinin izlenmesi sağlanır. Bu uygulamanın en basit anlatımıyla dahi, özel hayatın gizliliği, mahremiyet ve en özelde kişisel veri kavramlarıyla ilgili düşündüren bir uygulama olduğunu söylemenin mümkün olduğu kanaatindeyim.

Nitekim Avrupa Birliği’nde Kişisel Verilerin Korunması mevzuatı özelinde “cookie law” olarak bilinen çerez hukuku 2012 yılından beri gündemde ve internet siteleri bu yöntemi kullanmak istediklerinde öncelikle kişilerin rızasını almak durumundadırlar. Ekim ayında tüm maddeleri ile yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kişisel Verilerin Korunması Kanunu”) ile kişisel verilerin işlenebilmesi için veri sahibinin açık rızasının alınması bir zorunluluk olarak öngörülüyor. Henüz çerezler ile ilgili özel bir yönetmelik bulunmamasına rağmen Kişisel Verilerin Korunması Kanunu’nun yorumundan yola çıkarak yeniden pazarlama yapmadan önce çerez kullanımı için kullanıcıların açık rızasını almak gerekeceği kanaatindeyim.

Tüm bu bilgiler aslında en temelde dijital pazarlama yöntemleri kullanırken üçüncü kişilerin temel ve ekonomik haklarını ihlal etme olasılığının her zaman olabileceğini bilmek ve bu ölçüde gerekli hukuki tedbirleri almak gerektiğini söylüyor bize. Hem e-ticaret sektöründe hem de dijital pazarlama sektöründe faaliyet gösteren okurlara bu yazıda paylaştığım görüşlerin tedbir almalarında kolaylık sağlamasını dilerim.

Mobil Uygulamalarda Veri Toplama ve İşlemenin Yasal Boyutu

 

kişisel veriler
kişisel veri

Kişisel Veriler’in Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlandı ve 7 Ekim 2016 tarihi itibariyle tüm hükümleri yürürlüğe girdi. Kişisel veriler’in gizliliği 2010 yılından beri T.C. Anayasası ile korunan bir anayasal hak, daha açık bir ifadeyle bir temel insan hakkı niteliğini taşımaktadır. Bu sebeple Kanun ve beraberinde getirdiği yükümlülükler bir temel hakkın değerlendirmesi olduğu için hepimizi çok ilgilendiriyor ve veri işleyen şirketlere önemli sorumluluklar yüklüyor. Ben de bu yazıda Kanun kapsamında kişisel veriler ve bu verilerin işlenmesi için benimsenen bir temel ilkeyi mobil uygulamalar üzerinden ele alacağım.

Gerçek kişilere ilişkin kişisel veriler’i işlerken temel alınması gereken bu ilke “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi olarak Kanun’da düzenlenmektedir. Bu ilkeyi detaylı incelemeden önce kişisel veriyi “gerçek kişiyi” belirleyen ya da belirlenebilir kılan her türlü veri olarak tanımlamak gerekir. Kişisel veri işlemek ise ya kişisel veriler’i herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ya da tam veya yarı otomatik yollarla yapılabilir. Kişisel veriler’in işlenmesi; elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma veya kullanılmasını engelleme anlamlarına da gelmektedir.

Toplanan veriler amaca uygun mu?

Söz konusu ilkeyi detaylı inceleyecek olursak; kişisel veriler’i işlerken ölçülü davranma prensibinin önemli bir kriter gerektiğini görmekteyiz. Bu da kişisel veriler’in işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kuran ve yöneten kişinin dikkatle seçilmesini gerektirir. Ayrıca bir kişisel veri işleniyorsa, bu verinin toplanma amacına uygun, meşru ve kabul edilebilir bir bağlantısı olması gerekmektedir.

Somutlaştırmak adına bir örnek verelim; ücretsiz yemek tarifleri veren bir mobil uygulamanın, bu uygulamayı akıllı telefonuna yükleyen bir kişinin konum bilgisine, rehberindeki kişilere, kamera görüntülerine veya SMS yazışmalarına ulaştığı ve bu verileri işlediğini varsayalım. Bu verileri işlemenin, uygulamanın amacı ve işlevi olan yemek tarifi sunma ile meşru bir bağının olduğunu ve ölçülü olduğunu söylemek tutarlı bir açıklamaya ihtiyaç duyar. Diğer taraftan kişinin bulunduğu yerdeki restoranların menülerindeki yemekleri veya yemek tariflerini sunan konum tabanlı bir uygulama için kişinin konum bilgisine ulaşmanın ve bu veriyi işlemenin uygulamanın amacıyla bağlantılı ve ölçülü olduğunu kabul etmek mümkündür.

1 milyon TL’ye varan cezalar gelebilir

Bu noktada mevcut Kanun’un bize kısık bir sesle de olsa “ihtiyacın olmayan veriyi işleme!” mesajını verdiğinin ve muhafazakâr yorumlar yapmaya neden olduğunu belirtebilirim. Kanun kapsamında kurulacak olan Veri Koruma Kurumu’na başvuruda bulunulması ve yapılacak bir denetimle uygulama geliştiren şirketin hukuka aykırı veri işlediğine hükmedilmesi sonucunda 1 milyon TL’ye varan para cezaları ile muhatap olunması kanımca çok uzak bir ihtimal değildir. Prensipte değerlendirdiğimizde veri işlerken muhafazakâr yorumlar yapmaya neden olan hükümlerin, uygulamada nasıl karşılık bulacağını ise elbette ilerleyen zamanda daha net göreceğiz.

Özel bir örnekle ele aldığım bu konu; elbette sigortadan sağlığa, e-ticaretten bankacılığa, her sektörde veri işleyen veri sorumlularının kendi veri işleme operasyonları için değerlendirmesi gereken bir konudur. Ekim’den itibaren Veri Koruma Kurumu‘nun kurulmasıyla veri işleme noktasında birçok soru gündeme gelecek ve şirketler kişisel veri işleme prosedürlerini yeni baştan gözden geçirmek ve yenilemek zorunda kalacaklar. Şimdiden rahatlıkla yapabileceğimiz yorum ise şirketler ciddi idari para cezaları ile karşılaşmak istemiyorlarsa veri işleme süreçlerinin hukuka uygunluk denetimi geciktirmeden yapmaları yararlı olacaktır.

Bu yazı Webrazzi’de yayınlanmıştır. Kişisel verilerin işlenmesi ile ilgili Kişisel Verilerin Korunması Kanunu’nun getirdiği yükümlülükler hakkında bilgi edinmek için bu yazımızda yayınlanan videoyu da inceleyebilirsiniz.

Bilişim Suçlarının Teknik ve Hukuki Boyutu

25 Ekim 2016 tarihinde Garnizon Bilgi Güvenliği Limited Şirketi kurucusu bilgi güvenliği uzmanı Alper Başaran ile birlikte  bilişim suçları çerçevesinde;

  • Kuruluşunuzu güvenlik ihlallerine hazır hale getirme,
  • Olay tespiti,
  • Olayın büyümesini/yayılmasını engellemek (containment),
  • Sistemlerin saldırgan ve/veya zararlı yazılımlardan arındırılması,
  • Sistemlerin ihlal öncesi hallerine döndürülmesi,
  • Siber olay müdahalesi kontrol listesi,
  • Windows olay müdahale adımları,
  • Linux olay müdahale adımları,
  • Bilişim suçlarının hukuki çerçevesi,
  • Kanunen tanımlanan siber suçlar,
  • Siber olay sonrası izlenecek hukuki prosedür ve,
  • Örnek dava süreci

başlıkları altında konuştuk. Bilişim avukatı olarak oldukça derinlikli olan bu konuyu kısa sürede aktarmak benim için zorlu olsa da, siber olayların hukuki boyutu kapsamında temel bir bilinç oluşturacak bilgiler verdiğimiz kanaatindeyim. Konuyla ilgilenenler fayda sağlaması açısından webinarın sunumunu sizlerle de paylaşmak istedim. Fayda sağlamasını dilerim.

Kişisel Verilerin Korunması Kanunu

Veri koruma hukuku alanında sizlerle önceki yazılarımda vermiş olduğumuz eğitimlerden bahsetmişitk. Nisan ayında Resmi Gazete’de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun önemli başlıklarını webinarda değerlendirdik. Videosunu ilgililere fayda sağlaması açısından paylaşıyoruz.

Mobil Uygulamalarda erişilen kişisel veriler ve bu uygulamaları geliştirenlerin uyması gereken temel ilkeler ile ilgili yazımıza da buradan ulaşabilirsiniz.

INSTAGRAM’DAN SATIŞ YASAL MI?

Instagram'dan satış yasal mı
Instagram’dan satış yasal mı

Webrazzi’de Instagram’dan satış yapmanın hukuki değerlendirmesini bir avukat gözü ile yaptığım yazıyı sizlerle paylaşmak isterim. Instagram’dan satış yasal mı sorusuna bu yazıda cevap vermekteyim. E-ticaret satış süreçlerinin hukuki boyutunu daha detaylı paylaştığım yazıyı da buradan okuyabilirsiniz. Faydalı olmasını diliyorum.

Instagram’dan aldığınız pantolonun üzerinize olmadığını düşünün veya sipariş ettiğiniz gelin çiçeğinin elinize ulaştığında fotoğrafı ile alakası olmadığını. Size bir çeşit hayaller-hayatlar sendromu yaşatıldığını ve ürünü iade etmek için butik profiline girdiğinizde aşağıdakine benzer açıklamalara rastladığınızı düşünün.instagram-dan-satis-yapmak

Siz veya yakınlarınız buna benzer hikâyeler yaşamış olabilir. Eğer henüz yaşamadıysanız çok yakında yaşayacak olabilirsiniz ve bu durum hukuki açıdan kesinlikle incelemeye değer bir konudur. Öyleyse Instagram’dan satış yasal mı? birlikte inceleyelim.

Instagram’dan satış yapmak

Çılgın emojiler kullanılarak ‘iade yoktur, değişim için 5 gün süreniz vardır‘ vb. açıklamalar Instagram’da aldı başını gidiyor. Peki son yıllarda e-ticaret konusunda en çok konuşulan hususlardan biri olan ‘sosyal e-ticaretin’ hukuki boyutu gerçekten bu mu? Türkiye’de gönül rahatlığıyla Instagram’dan ayakkabı, parfüm veya gözlük alamayacak mıyız? Bu yazıda bu sorulara cevaplar birlikte cevap arayalım.

Instagram’da vergi ödemeden satış

Her şeyden önce Instagram’da yapılan satış faaliyetinin gelir elde etme niyetiyle ticari bir faaliyet olduğunun altını çizmek ve bu sebeple satış yapacak kişilerin vergi mükellefi olduğunu belirtmek gerekir. Hem pastam dursun hem karnım doysun denilemiyor. Vergi mevzuatı bize ‘eğer gelir elde edecekseniz, vergisini de ödeyeceksiniz’ diyor. Şöyle ki Vergi Usul Kanunu’nda satılan mal ve emtialar için fatura kesme yükümlülüğü düzenlenmektedir. Fatura, satıcının gelir elde etmek amacıyla yürüttüğü faaliyet neticesinde elde ettiği gelirin tespiti için önemli olduğu gibi, bundan doğacak vergi yükümlülüğü kapsamında oluşan vergi borcunun belirlenmesinde de önemli bir delil niteliği taşımaktadır.

Satışa başlamadan önce mutlaka fatura kesmek ve mevzuattan doğan vergi yükümlülüğünü yerine getirmek için satış yapacak kişilerin vergi mükellefi olmak adına ilgili tedbirleri alması gereklidir. Bu sebeple Instagram’da bu tür bir satış faaliyetine başlamadan önce mali müşavirlerden konu ile ilgili destek alınması yeni nesil girişimcilere fayda sağlayacaktır.

Instagram’da Satışın Hukuki Niteliği

Bugün Instagram’da, yarın Snapchat’te veya gelecekte adını henüz bilmediğimiz başka bir sosyal ağda benzer durumları yaşamamız mümkün. Fakat hangi mecrada olursa olsun satıcı ve tüketicinin bir araya gelmediği, ürünlerin uzaktan pazarlanması üzerine kurulmuş bir sistem mevcutsa, bu sistem çerçevesinde alıcı-tüketici ve satıcılar arasında kurulacak ilişki mesafeli sözleşmedir. Mesafeli sözleşmeler mevzuatla çerçevesi çok detaylı çizilmiş sözleşmelerdir. Her ne kadar sosyal medyanın ruhuna veya Instagram’ın paylaşım sınırlarına uygunluğu hatta uygulamasının nasıl olacağı tartışılır olsa da hukuki çerçeveden baktığımızda Instagram satışlarında da aşağıda özetle yer verdiğimiz hükümlere uyulması zaruridir.

Ön bilgilendirme

Satışın gerçekleşmesinden önce Instagram butikleri mutlaka şirketleri hakkında ticaret ünvanı, MERSİS numarası, iletişim bilgisi ve benzeri tanıtıcı bilgileri tüketiciye bildirmelidir. Ürün fiyat bilgisi verirken vergi ve nakliye masraflarını da belirtmelidirler. Her ne kadar ‘kesinlikle iade yoktur‘ temalı Instagram butik profilleri günden güne çoğalmaktaysa da bu yanlıştan vazgeçip tüketiciyi cayma hakkından haberdar etmek durumundadırlar.

Talep edilen mal cayma hakkı istisnası kapsamında ise müşterinin cayma hakkı kullanmasının mümkün olmadığı bilgisini de vermek durumundadırlar. Son olarak da sözleşmeden doğabilecek uyuşmazlık durumunda başvurulabilecek Tüketici Hakem Heyeti veya Tüketici Mahkemesi gibi mercileri bildirmek durumundadırlar.

Cayma Hakkı

Satın alınan ürün cayma hakkının istisnaları kapsamında değerlendirilemeyecek bir ürünse tüketicinin Instagram butiğinden aldığı ürünü teslim aldığı tarihten itibaren iade etme hakkı mevcuttur. Dikkat edilmesi gereken nokta; bu hakkın kullanılacağı bilgisini yazılı olarak iletmektir. Bu durumda satıcı, bu bildirimin kendisine ulaştığı tarihten itibaren 14 gün içerisinde ürün bedeli ve kargo masrafını tüketiciye iade etmekle yükümlüdür.

Tüketici cayma hakkını kullanmak istediği halde satıcı bu hakkın kullanılmasını kabul etmiyorsa alınan ürün bedeli 3.000 TL ve altındaysa Tüketici Hakem Heyeti’ne bu bedelin üstündeyse Tüketici Mahkemesi’ne başvurarak konuyu yetkili mercilere taşıyabilecektir.

Sözleşme Şartlarının Bildirilmesi

Instagram’da mevzuata uygun satış yapmanın bir diğer zorluğu da sözleşme şartlarının mutlaka satış öncesinde tüketici tarafından görülmesi ve tüketiciden onay alınması konusudur. Genelde siparişlerin Whatsapp ve benzeri uygulamalarla alındığını görmekteyiz. Burada satıcıların yaratıcı ve pratik çözümler bulup siparişi teyit etmeden önce mutlaka tüketiciye sözleşme koşullarını iletmesi ve iletilen uzaktan iletişim aracına uygun olarak da tüketicinin onayını alması gerekiyor.

Sipariş İle İlgili Yükümlülükler

Tüketici satın almayı gerçekleştirdiğinde siparişin alındığı bilgisinin de tüketiciye gecikmeksizin elektronik iletişim araçları ile bildirilmesi gerekmektedir.

Yukarıda paylaştığımız bilgiler yükümlülüklerin üst başlıkları olmakla birlikte burada kaleme alamadığımız birçok detay düzenleme de mevcuttur. Dolayısıyla Instagram başta olmak üzere alıcı ve satıcıların bir araya gelmeksizin uzaktan iletişim araçları ile kurmuş olduğu mesafeli sözleşmelere dayalı alış verişlerde satış süreçlerinin muhakkak hukuki değerlendirmeden geçirilmesi gerekmektedir. Tüketicilerin ise bu noktada hukuk bilinci kazanmaları yukarıda saydığımız yükümlülüklerin satıcılar tarafından dikkate alınması için önem kazanmaktadır.

Aksi halde ‘benim beğendiğim ürün bu değildi, fotoğraftakine hiç benzemiyor, üzerime olmadı, ayağımı sıktı, nasıl iade olmaz’ gibi şikâyetler alışveriş dünyamızda yankı bulmaya devam edecektir…

Instagram’dan satış yasal mı sorusuna cevap aradığımız bu soruda e-ticaret hukukunu ele aldık. E-ticaret hukuku ile ilgili detaylı bilgi edinme için E-ticarette Satış Süreçlerine İlişkin Hukuki Sorumluluklar yazımızı  bu linkten okuyabilirsiniz.