Kişisel Verileri Koruma Kurumu'nun (KVKK) şŞİşçŞirketlere uyguladığı temel ceza miktarı nedir?

Kurul tarafından verilen cezalar milyonlarca lirayı bulabilmektedir. Aydınlatma yükümlülüğünün iİhlali halinde 47.303 TL'den 946.308 TL'ye kadar, Veri Güvenliği yükümlülüğünün iİhlalinde ise 141.934 TL'den 9.463.213 TL'ye (her yıl yeniden değerleme oranına göre güncellenir) kadar idari yaptırım uygulanır.

E-ticaret sitemde sadece kargo isim, adres alıyorum. Yine de KVKK'ya tabi miyim?

Evet. Bir kimseyi belirli veya belirlenebilir kılan her türlü bilgi (isim, numara, e-posta, sipariş geçmişi ve IP adresleri dahil) Kişisel Veridir. Sitenizi ziyaret eden potansiyel müşteri dahi sisteminizle verisini paylaşmış olur ve aydınlatma politikasına tabişçidir.

Açık Rıza ve Aydınlatma Metni aynı yerde olabilir mi?

Hayır. Kurul kararlarına göre aydınlatma yükümlülüğü tek taraflı bir n bilgilendirmedir. Oysa onay gerektiren 'açık rıza' farklı bir pencerede veya sekmekte aktif rıza (opt-in) ile alınmalıdır. İkisinin tek kutucukta onaylatılması (battaniye rıza) geçersizdir.

E-Ticaret Şirketlerinde KVKK Uyum Projesinin Adımları

E-Ticarette Büyük Veri ve Hukuki Riskler

Günümüzde elektronik ticaret (e-ticaret) ekosistemi, ürünlerin alım satımından öte; kişisel verilerin devasa boyutlarda işlendiği, analiz edildiği ve dijital pazarlama için sınıflandırıldığı bir yapı haline gelmiştir. İnternet sitesine bırakılan T.C. Kimlik numarasından, kargo adresine, kredi kartı alışveriş alışkanlıklarından IP adresi ve cihaz lokasyonuna kadar alınan her bilgi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bağlamında korunmaktadır.

Özellikle dijital platform ve pazaryeri girişimleri, "Kişisel Veri iİhlali" sebebiyle KVKK Kurulu tarafından kesilen milyonlarca liralık idari para cezalarıyla iflas noktasına gelebilmektedir. Bursa merkezli Ekser Hukuk uzmanlığı kapsamında ticaret şŞİşçŞirketlerine verdiğimiz hukuk danışmanlığı pratiğimizde, KVKK uyum sürecinin basit bir "gizlilik politikası" metnini siteye kopyalamaktan ibaret olmadığını sıklıkla tecrübe etmekteyiz.

KVKK Uyum Projesi’nin Temel Adımları

Hukuk ve bilişim güvenliği departmanlarının entegre bir şekilde çalışması gereken bu uyum sürecinde şu yasal adımlar kusursuz atılmalıdır:

1. Veri Envanteri Çıkarılması: E-ticaret şirketinin müşteriden, tedarikçiden, kuryeden ve şirket personelinden HANGİ veriyi, HANGİ kanun maddesine dayanarak, NE KADAR süreyle tutup, KİME aktAraağının haritalanması (Data Mapping) işlemidir.
2. Aydınlatma Metinlerinin Organizasyonu: "KVKK Aydınlatma Metni" tek bir adet belge değildir. Üyelik paneli, Satış ödeme sayfası, Bülten aboneliği pop-Up'ı, Çağrı merkezi sesli mesajı ve çalışanların bordro imzası dahi ayrı ve zgün aydınlatma metnini ("Katmanlı Aydınlatma" kuralı) gerektirir.
3. Açık Rıza Algoritmasının Düzenlenmesi: Pazarlama faaliyeti, SMS gnderimi ve yurt dışı lokasyonlu bulut sunuculara (AWS, Google Cloud vb.) yedekleme yapılıyorsa "açık rıza" onay kutucukları UX tasarımına uygun entegre edilmelidir.

Bursa yerel mahkeme uygulamaları ve Kurul İlke Kararları neticesinde çok sık rastlanan bir hata da Opt-Out yntemidir. E-ticaret sitelerinde nceden 'okudum kabul ediyorum' kutucuğu işaretli (check-box) olarak kullanıcıdan onay alınıyorsa bu rıza geçersiz sayılır ve iİhlal cezası kesilir (Açık Rıza 'Opt-in/Aktif hamle' ilkesi gereği kullanıcı tarafından serbest iradeyle tıklanarak tiklidir).

VERBİS Kayıt Yükümlülüğü ve Çerez (Cookie) Kararları

Kanunla sınırları çizilmiş yıllık mali bilanço tutarı (Son güncellemelerle genellikle 100 milyon TL'den fazla) veya yıllık çalışan sayısını (50 kişi) aşan şŞİşçŞirketlerin "Veri Sorumluları Sicil Bilgi Sistemi"ne (VERBİS) kayıt olması kanuni bir mecburiyettir. Aksi takdirde çok ağır idari para cezaları direkt şirket tüzel kişiliğine verilir.

Bunun dışında güncel ve çok dikkat eken konulardan biri de Çerez (Cookie) Kullanımıdır. E-ticaret siteleri "Google Analytics", "Facebook Pixel" gibi üçüncü parti izleme araçlarıyla kullanıcının hareketlerini analiz eder. Bu veriler reklam şŞİşçŞirketlerine satıldığı için Avrupa GDPR kurallarına paralel olarak Türkiye'de de kurulan "Çerez (Cookie) Ynetim Panelleri" zorunlu hale gelmiş, "Kabul Et / Reddet / Özelleştir" seçeneklerinden oluşan gelişmiş çerez onay mekanizmaları dikte edilmiştir.

Siber nlemler, Hukuki İdari Tedbirlerin Gücü

Eğer bir online satış mağazasının veri tabanına siber saldırı (Ransomware vb.) yapılır ve müşterilerin kredi kartı, şifre verileri sızdırılırsa şirket, "veri iİhlal bildirimini" en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu'na bildirmelidir. Aksi takdirde olay basına yansrsa kesilecek idari ceza katlanarak artar. KVKK sürecinin idari ayaklarına ynelik hazırladığımız iç ynergeler ve şirket "veri imha politikaları" bu tür krizlerin sarsıntısız atlatılmasını sağlamaktadır.

Elektronik ticaret altyapılarınızda veri kanunlarına sıfır iİhlal uyumu için profesyonel destek almak adına hukuki analizlerini yapan Şirketler Hukuku birimimize ulaşabilirsiniz.

Sıkça Sorulan Sorular (SSS)

KVKK'nın şŞİşçŞirketlere uyguladığı temel ceza miktarları nedir?

Kurul, Aydınlatma yükümlülüğü (m.10) iİhlali için onbinlerce liradan başlayan cezalar uygularken, Veri Güvenliği (m.12) yükümlülüğünün iİhlali veya veri sızıntılarında her yıl yeniden değerleme ile artmakla birlikte milyonlarca liralık devasa cezalar tatbik edebilmektedir.

E-ticaret sitemde sadece isim ve kargo adresi alıyorum, KVKK'ya tabi miyim?

Evet, elbette tabisiniz. Gerek bir kişiyi "belirli" veya bir veritabanında "belirlenebilir" kılan (IP adresi, telefon numarası, sipariş geçmişi dâhil) tüm izler salt "Kişisel Veri" tanımına girer ve yasanın koruması altındadır.

Açık Rıza (Onay) ve Aydınlatma Metinleri tek bir yerde olabilir mi?

Hayır, Kurul "battaniye rıza" olarak bilinen bu durumu geçersiz bulmuştur. Aydınlatma tek taraflı bir n bilgilendirmedir (Kabul şartı gerekmez); oysa Açık Rıza kişin aktif iradesiyle (Opt-in) seçilerek beyan edilmek zorundadır. Ayrıştırılmalıdır.