preloader image

No Widget Added

Please add some widget in Offcanvs Sidebar

İletişime Geç

E-Ticarette KVKK Ne Demek? KVKK Uyumlu e-Ticaret için Bunlara Dikkat!

  • Home
  • Seo Marketing
  • E-Ticarette KVKK Ne Demek? KVKK Uyumlu e-Ticaret için Bunlara Dikkat!
Global_Admin 1 Ocak 2025 Comments (0)

E-Ticaret doğası gereği kişisel verileri işleyen ekosisteme sahiptir. Dolayısıyla online satışta KVKK Kanunu, yani açılımı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu çevrim içi gelir elde etmeyi düşünen ve hâlihazırda online mağazası olan herkesi ilgilendirir. Aslında kişisel veri işleyen tüm tüzel ve gerçek kişileri de kapsar. Kanun hükümlerine uygun hareket etmek yaşanabilecek olası hukuki olumsuzlukları en aza indirecektir. A’dan Z’ye dijitalleşme yolundaki çağımızda Kişisel Verileri Koruma Kanunu daha da önem kazanacak. Kişisel verilere saygı duymak zaten her zaman etik bir davranış iken e-ticarette önemi daha büyük. Bu nedenle yazının devamında KVKK mevzuatını çevrim içi mağazalar özelinde inceledik.

Dolayısıyla online satışta KVKK Kanunu, yani açılımı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu çevrim içi gelir elde etmeyi düşünen ve hâlihazırda online mağazası olan herkesi ilgilendirir.

Oranj GLOBAL

KVKK Ne Demek?

Türkiye’de kişisel verilerin işlenmesi, saklanması ve korunmasına ilişkin kuralları belirleyen 6698 sayılı Kişisel Verileri Koruma Kanunu anlamına gelir. 7 Nisan 2016’da yürürlüğe giren kanunun asıl amaçları; kişisel verilerin korunarak özel hayatın gizliliğinin sürdürülmesi, verilerin adil, doğru, güncel olarak işlenmesini sağlama, kişisel verilerin belirli, açık ve meşru amaçlar için toplanmasını sağladıktan sonra verilerin gerekli süre boyunca saklanmasını ve amacına ulaşıldığında silinmesini zorunlu kılmaktır. Bu kurallara uymayan herkes KVKK ihlali yapmış sayılır. Dolayısıyla kanunun uygulanmasıyla birlikte insanlar ve işletmelerin hayatına birlikte veri sorumlusu, kişisel veri, bilgi güvenliği benzeri kavramlar girmiştir.

Günümüzde özellikle üçüncü taraflar tarafından toplanan ve işlenen bu verilerin korunması büyük önem taşır. Çünkü kişisel veriler, yanlış ellere geçtiğinde bireylerin özel hayatı ve güvenliği ciddi şekilde tehlikeye girebilir. İşte tam da bu sebeple, Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu), Avrupa’da GDPR (Genel Veri Koruma Tüzüğü) gibi düzenlemeler hayata geçirilmiştir. Bu yasalar, bireylerin kişisel verilerini koruma altına alarak, şeffaf, güvenli ve adil bir veri işleme süreci sağlanmasını amaçlar.

KVKK Zorunluluğu Olan Şirketler Kimlerdir?

Hangi sektörde olursanız olun, eğer kişinin adı, soyadı, telefonu, adresi, e-postası, T.C. kimlik numarası, sağlık bilgisi gibi kişisel verileri topluyorsanız KVKK kapsamındasınız. Kısacası veri işleyen her işletmeye zorunludur.

KVKK Kapsamındaki Kişisel Veriler Nelerdir?

İnternette işlem yapan bireylere ait her türlü bilgiyi ifade eder. Kişinin doğrudan veya dolaylı yoldan kimliğinin belirlenmesini sağlayan tüm bilgiler kişisel veridir. Buna sadece isim ve e-posta adresi değil; konum bilgisi, etnik köken, cinsiyet, biyometrik veriler, dini inançlar, web çerezleri (cookies), politik düşünceler benzeri daha hassas bilgiler de dahildir.

KVKK Kanunu Kimleri İlgilendirmektedir?

Kişisel Verilerin Korunması Kanunu herkesi ilgilendirir. Çünkü kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar. Yani hem bireyleri hem de şirket, dernek, vakıf, kamu kurumları gibi kurumsal yapıları kapsar. Doktor, avukat, serbest çalışan olarak müşterisinin, danışanının kişisel verilerini toplayan kişiler gerçek kişilere örnek olabileceği gibi müşteri bilgilerini toplayarak çeşitli kampanya mesajları yollayan e-ticaret sitesi, müşterilerinin finansal bilgilerini saklayan banka şirket konuyla direkt ilişkilidir.

Aynı zamanda belediyeler, bakanlıklar, okullar, hastaneler, nüfus müdürlükleri, emniyet, mahkemeler gibi devlet kurumları, görevleri gereği topladıkları kişisel verilerden dolayı KVKK’ya tabidir. Üyelerinin bilgilerini saklayan dernek, vakıf, sendika gibi kuruluşlar da aynı sorumluluktadır. Özetle müşteri, çalışan, tedarikçi verisi toplayan her türlü şirketi, -küçük veya büyük fark etmeksizin- ilgilendirir.

KVKK Onayı Nedir?

Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenebilmesi için ilgili kişiden (veri sahibinden) alınan açık rızayı ifade eder. Kişisel verilerin toplanması, saklanması, paylaşılması ve işlenmesi dahil tüm işlemler ilgili kişinin onayına bağlıdır. İşte bu onay, KVKK onayı veya açık rıza olarak adlandırılır.

Başka ifadeyle kişisel verilerin işlenmesi adına açık, özgür iradeye dayalı ve bilgilendirilmiş şekilde verilen hukuki izindir. Şirketler, kurumlar ve girişimler, veri toplamadan önce mutlaka bu onayı almak zorundadır. Ancak onayın geçerli olabilmesi aşağıdaki şartların yerine getirebilmesine bağlıdır:

  1. Kişisel verilerin hangi amaçla işleneceği açıkça belirtilmeli. Genel, belirsiz onaylar geçerli sayılmaz. Örneğin; “Size özel kampanya ve bildirimler için e-posta adresinizi kullanmamıza izin veriyor musunuz?” ifadesi geçerlidir.
  2. Kişi, hangi verisinin, ne amaçla, kimler tarafından, ne kadar süreyle kullanılacağı hakkında önceden aydınlatılmalı.
  3. Kişi zorlanmadan, baskı altında kalmadan kendi isteğiyle onay vermeli. Aksi durumda geçerli sayılmaz.

KVKK Metni Nedir?

Günümüzde internette alışveriş yaparken, bir kursa kayıt olurken veya yalnızca form doldururken bile kişisel bilgileriniz istenir. Ad, e-posta adresi, telefon numarası, hatta bazen adres ve sağlık bilgileri. Peki, bu bilgilerin nasıl kullanılacağını, kimlerle paylaşılacağını ve ne kadar süreyle saklanacağını hiç düşündünüz mü? İşte tam da bu noktada KVKK Metni devreye girer.

Kişisel Verilerin Korunması Kanunu kapsamında, sizinle yani veri sahibiyle şirket veya kurum arasında kurulan bilgilendirme köprüsüdür. Kısacası, sizin hangi verinizin, hangi amaçla, nasıl ve ne süreyle işleneceğini anlatan resmî ve şeffaf bir belgedir. Metnin içeriğinde aşağıdaki bilgiler mutlaka bulunmalıdır:

  • Hangi verilerin toplandığı (İsim, e-posta, IP adresi, vs.)
  • Verilerin hangi amaçlarla kullanıldığı (Hizmet sunmak, iletişim kurmak, reklam göndermek gibi)
  • Verilerin kimlerle paylaşılabileceği (İş ortakları, tedarikçiler, kamu kurumları)
  • Verilerin saklama süresi (Ne kadar süreyle sistemde kalacağı)
  • Veri sahibinin hakları (Erişim, düzeltme, silme, itiraz etme hakları)
  • Veri sorumlusunun iletişim bilgileri (Karşı tarafın başvurabileceğiniz kişi veya birim)

KVKK Metni Nasıl Hazırlanır?

Kişisel verileri toplayan şirketlerin, hangi veriyi, neden, nasıl ve kimlerle paylaşacağını şeffaf şekilde açıkladığı resmi belge anlamına gelen KVKK aydınlatma metni hazırlanırken “​​Sizden hangi bilgileri alıyoruz, ne yapıyoruz, kiminle paylaşıyoruz, ne kadar saklıyoruz?” gibi sorulara yanıt verecek şekilde yazılmalıdır. Bu amaçla bulunan hazır metinlerin yanı sıra yukarıdaki maddelere uygun bir yazıyı işletmenize göre oluşturabilirsiniz.

KVKK Kapsamında Bulunan Tam İstisna Halleri Nelerdir?

Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi için kural olarak açık rıza gerekir. Ancak aşağıdaki durumlarda, yani tam istisna hallerinde, kişisel veriler açık rıza alınmadan da işlenebilir:

  • Kişisel verinin işlenmesi herhangi bir kanunda açıkça belirtilmişse, açık rıza almaya gerek yoktur. Örneğin Vergi Kanunu’na göre fatura keserken müşteri bilgileri alınabilir.
  • Kişi bilincini kaybetmiş, rıza veremeyecek durumda ve veri işlenmezse hayati risk doğacaksa, açık rıza aranmaz. Acil servisteki baygın bir hastanın bilgilerine erişilmesi en iyi örnektir.
  • Eğer kişisel veriler, sözleşmenin yapılması veya yerine getirilmesi için zorunluysa, açık rıza gerekmez. e-Ticaret sitesinden alınan ürün kargoya verilirken adres bilgisinin kullanılması buna örnek verilebilir.
  • Kurum veya kişinin kanundan doğan yükümlülüğü gereği veri işlemesi gerekiyorsa, rıza aranmaz (İşverenin çalışan bilgilerini SGK’ya bildirmesi).
  • Eğer kişi, kişisel verisini herkesin görebileceği şekilde kamuya açıklamışsa, açık rıza olmadan işlenebilir (Sosyal medyada herkese açık paylaşılan iletişim bilgileri).
  • Hakkın korunması amacıyla kişisel verilerin işlenmesi gerekiyorsa, açık rıza alınmasına gerek yoktur (Mahkemede alacak davası açarken borçluya ait bilgilerin kullanılması).
  • Veri sorumlusunun hem haklı hem de meşru bir menfaati varsa ve bu işlem kişinin temel haklarına zarar vermiyorsa, veri işlenebilir (İş yerinde çalışanlara önceden bilgi vermek kaydıyla güvenlik kameralarının çalışması).

KVKK’dan Muaf Olunan Hâller Nelerdir?

Kişisel verilerin tamamen kişisel veya ailevi amaçlarla işlenmesi, anonimleştirilmiş verilerle yapılan bilimsel, tarihî, sanatsal veya istatistiksel çalışmalar, milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik gibi devletin kritik konuları, soruşturma, kovuşturma, yargılama ve infaz işleri, basın özgürlüğü çerçevesinde ve hukuka uygun şekilde yapılan haber, sanat, edebiyat faaliyetleri bu kanundan muâf durumlardır.

KVKK Eğitimi Zorunlu mu?

6698 sayılı Kişisel Verilerin Korunması Kanunu içinde, “Eğitim almak zorunludur” şeklinde açık bir ifade yoktur. KVKK 12. madde kapsamında, kişisel verilerin güvenliğini sağlama yükümlülüğü veri sorumlusuna aittir. İdari tedbirlerin en başında çalışanlara KVKK bilinci kazandırmak, farkındalık oluşturmak ve eğitim vermek gelir.

Kişisel veri işleyen tüm kurum ve kuruluşların, çalışanlarına KVKK ve veri güvenliği hakkında bilgilendirme eğitimi vermesi faydalı olacaktır. Aksi halde veri ihlali yaşandığında, eğitim vermemiş olması veri sorumlusunun kusuru olarak kabul edildiğinden cezai sorumluluk doğar. KVKK eğitimleri özellikle VERBİS kaydı zorunlu olan firmalar açısından eğitim ve farkındalık oluşturma yükümlülüğü çok daha önemlidir.

KVKK e-Ticaret Siteleri için Ne Anlama Geliyor? Neden Önemli?

KVKK, e-ticaret yapan her işletmenin gündeminde olması gereken bir konu. Çünkü e-ticaret, doğası gereği kişisel veri işler. e-Ticaret siteleri müşteri bilgileri, ödeme bilgileri, adres, telefon, e-posta türü birçok kişisel veriyi toplar, işleyip saklar. Üyelik oluşturma, sipariş, kargo ve pazarlama faaliyetlerinde kişisel veri kullanımı kaçınılmazdır. Bunların ötesinde KVKK uyumlu olmak hukuki bir zorunluluktur. Aksi durumda ciddi para cezaları ve marka itibarına zarar verecek yaptırımlar olabilir.

Özellikle ticari ileti izinleri (e-posta, SMS), çerez politikaları, açık rıza benzeri konularda net kurallara uymak gerekir. Öte yandan şunu da unutmamak gerek: Müşteriler artık kişisel bilgilerinin nasıl işlendiğini önemsiyor. Güvenli ve şeffaf bir veri politikası, müşteri güvenini artırır. Gizlilik politikası ve açık veri işleme izni sunmayan sitelerde alışveriş yapma oranının düşme eğiliminde olması şaşırtıcı değildir.

e-Ticaret Sitelerinde Kişisel Veri Toplarken Uymanız Gereken Kurallar Nelerdir?

Dijital dünyada her şey hızla ilerlerken, müşterilerin güvenini kazanmak da bir o kadar önemli hale geldi. Özellikle e-ticaret siteniz üzerinden kişisel veri toplarken dikkat etmeniz gereken bazı yasal ve etik kurallar var. Unutmayın, müşterileriniz size sadece ürünler için değil, güven duyması sebebiyle de geliyor. İşte bu güveni korumanız adına bilmeniz gereken temel kurallar:

  1. Müşteriler hangi bilgileri neden istediğinizi bilmeli. Bu nedenle şeffaf ve açık olmak gerek. Örneğin; sipariş oluştururken adres bilgisi istemeniz doğal ama e-posta toplarken “Size özel kampanyalardan haberdar etmek için” gibi net açıklamalar yapmanız gerekir.
  2. “Ne kadar çok veri olursa, o kadar iyi olur” düşüncesi yanlıştır. Müşterilerinizden sadece gerçekten ihtiyacınız olan bilgileri isteyin. Örneğin, dijital ürünü indirmeleri için ev adresini istemek, hem gereksizdir hem de müşteriyi rahatsız edebilir. Dolayısıyla gerektiği kadar veri toplamak daha sağlıklıdır. Az veri, çok güven prensibi her zaman kazanır.
  3. Kişisel verileri toplamadan önce, hangi amaçla, ne kadar süreyle, kimlerle paylaşılacağını açıkça belirtmelisiniz.
  4. Bazı durumlarda (Örneğin, reklam ve pazarlama faaliyetleri için) açık rıza almanız gerekir. “Kampanyalardan haberdar olmak istiyorum” gibi onay kutuları, önceden işaretlenmiş olmamalı; müşteri kendi isteğiyle seçmelidir.
  5. Topladığınız kişisel verileri korumak sizin sorumluluğunuzda. Güçlü şifreleme, güvenli sunucular ve düzenli güncellemelerle veri ihlâllerini önlemelisiniz. Aksi takdirde, güven kaybı telafisi mümkün olmayan zararlar verebilir.
  6. Müşterilerinizin bilgilerine erişme, düzeltme, silme hakkı vardır. Onlara bu hakları nasıl kullanacaklarını basit ve anlaşılır şekilde sunun.
  7. Verileri üçüncü taraflarla (Kargo şirketi, ödeme altyapısı vb.) paylaşırken, yalnızca hizmet ile ilgili gerekli bilgileri aktarın. Müşterinizin izni dışında asla paylaşım yapmayın.

e-Ticaret Sitelerinde Çerez Politikası Nasıl Hazırlanır?

e-Ticaret sitenizi ziyaret eden her müşteri misafir gibi görülmeli. Onları nasıl karşılayıp deneyim sunuyorsanız, çerezler (cookies) de bu deneyimin sessiz ama etkili bir parçasıdır. Ancak, müşterinizin dijital ayak izini takip ederken dürüst, şeffaf ve yasalara uygun olmanız gerekir. İşte tam da bu yüzden doğru çerez politikası hazırlamak hayati önem taşır. Peki, müşterilerinizin güvenini sarsmadan, yasalara uygun çerez politikanızı nasıl oluşturabilirsiniz?

  1. Neden Çerez Kullandığınızı Açıklayın:

KVKK çerez yönetiminden zorunluluğundan ziyade çerezleri etkili iletişim araçları gibi kullanabilirsiniz. Müşterileriniz “Bu site benim hakkımda hangi bilgileri topluyor?” diye merak eder. İşte bu yüzden, çerez politikasında neden çerez kullandığınızı net dille anlatmalısınız. Örneğin “Size daha iyi alışveriş deneyimi sunabilmek için çerezler kullanıyoruz.” gibi samimi ama basit açıklamalarla başlayabilirsiniz.

2. Ne Tür Çerezler Olduğunu Belirtin:

Her çerez aynı amaçla kullanılmaz. O yüzden müşterilerinize ne tür çerezler topladığınızı sade bir dille anlatın. Örneğin; zorunlu çerezler sitenin çalışması için gereken oturum açma, sepet işlemleri gibi işlemlere uygundur. Ziyaretçilerin siteyi nasıl kullandıklarını görmek amacıyla tercih edilen performans çerezleri gibi.

3. Çerezlerle Hangi Verileri Aldığınızı İfade Edin:

Müşterinin hangi bilgilerini topladığınızı açıkça belirtin.

4. Çerezlere Nasıl İzin Verilip Reddedileceğini Gösterin:

Çerezler konusunda müşterinize seçme hakkı tanımalısınız. Politikanızda çerez tercihlerini nasıl yönetebileceklerini anlatmalısınız.

5. Kimlerle Paylaşıldığını Söyleyin:

Eğer Google, Facebook gibi üçüncü taraflardan çerez kullanıyorsanız, bunu mutlaka açıklayın.

KVKK’ya Uyumlu e-Posta ve SMS Pazarlama Nasıl Yapılır?

e-Posta ve SMS pazarlama, müşteriye doğrudan ulaşmanın en güçlü yollarından biri. Ancak KVKK nedeniyle, dilediğiniz kişiye istediğiniz mesajı göndermek mümkün değil. İşte uygulayabileceğiniz adımlar:

  • Açık rıza almadan asla hiçbir mesaj göndermeyin.
  • Topladığınız onayları kanıtlayabilecek şekilde saklayın.
  • Onay isterken müşteriye ne tür mesajlar göndereceğinizi açıkça belirtin.
  • Her mesajda kolayca vazgeçme (Cayma) hakkı tanıyın. Yani her e-posta ve SMS’in içinde abonelikten çıkma seçeneği olmalı.
  • Sadece pazarlama faaliyeti için gerekli bilgileri toplayın.
  • Gönderilerinizi yasal süreçlere uygun planlayın (Saat kısıtlaması, makul sıklıkta mesaj vb.).
  • Verilerinizi güvenli sunucularda saklayın.
  • Türkiye’de ticari elektronik ileti göndermek isteyen herkesin İleti Yönetim Sistemi (İYS)’ne kayıt olması gerekiyor. Böylece müşteriler, İYS üzerinden onay verip iptal edebilir.

e-Ticaret Siteleri için KVKK Kapsamında Müşteri Verisi Saklama Süreleri Ne Kadar?

Sipariş, fatura, ödeme gibi satışa ilişkin veriler Türk Ticaret Kanunu (TTK) ve Vergi Usul Kanunu (VUK) gereği 10 yıl boyunca saklanmak zorunda. Müşteri hesap ve üyelik bilgileri ilişki devam ettiği sürece kullanılabilir. Pazarlama amaçlı alınan izinler (Açık Rıza) ise geçerli olduğu sürece saklanabilir. Ziyaret, oturum açma, sepet bilgisi gibi çerezler ve IP kayıtları genelde maksimum birkaç ay saklanmalı.

Sonuçta KVKK uyumlu e-ticaret hem yasadaki cezai durumlarla karşılaşmamak hem de müşteri memnuniyeti açısından kritiktir. Dolayısıyla “Veriyi sonsuza kadar saklarım” mantığı KVKK’ya aykırıdır. İşiniz bittiğinde, süre dolduğunda silmek zorundasınız.

img

Global_Admin

Leave a Comment

Your email address will not be published. Required fields are marked *