E-Ticaret Sitelerinde Gizlilik Politikası Zorunluluğu

E-Ticaret Sitelerinde Gizlilik Politikası Zorunluluğu: Veri Güvenliği ve Şeffaflık

Bir e-ticaret sitesine girdiğinizde, arka planda sessiz sedasız çalışan devasa bir veri toplama mekanizması işler. Müşterinin hangi ürüne baktığı, IP adresi, konumu, kredi kartı bilgisi, adı ve adresi saniyeler içinde sisteminize akar. Bu veriler, e-ticaretin yakıtıdır; ancak kontrolsüz kullanımı "veri ihlali" demektir.

Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), e-ticaret sitelerine "Şeffaflık" ve "Hesap Verilebilirlik" zorunluluğu getirmiştir. Sitenizin en altındaki "Gizlilik Politikası" linki, sadece bir süs değildir; sitenizin yasal anayasasıdır. İstanbul, Kartal ve Anadolu Yakası'ndaki e-ticaret girişimcileri için; kopyala-yapıştır metinlerin yarattığı riskleri ve yasal olarak bulunması gereken "Gizlilik ve Veri Güvenliği" standartlarını detaylandırıyoruz.

Gizlilik Politikası Nedir ve Neden Zorunludur?

Dünya genelinde "Privacy Policy" olarak bilinen metin, Türk hukukunda KVKK kapsamındaki "Aydınlatma Yükümlülüğü" ile örtüşür. E-ticaret sitesi sahibi (Veri Sorumlusu), siteyi ziyaret eden kullanıcıya (İlgili Kişi) şu soruların cevabını vermek zorundadır:

1. Ben kimim? (Şirket bilgileri)

2. Senin hangi verilerini topluyorum?

3. Bu verileri ne amaçla kullanacağım? (Sipariş teslimi, pazarlama, analiz vb.)

4. Verilerini kiminle paylaşıyorum? (Kargo firması, ödeme kuruluşu, bulut sağlayıcı vb.)

5. Verilerini ne kadar süre saklayacağım?

6. Hakların neler? (Silme, düzeltme, bilgi alma)

Bu bilgileri içermeyen bir e-ticaret sitesi, KVKK'nın 10. maddesini ihlal etmiş sayılır ve idari para cezası ile karşılaşır.

Gizlilik Politikası ile KVKK Aydınlatma Metni Farkı

Uygulamada sıkça karıştırılan bu iki kavramı netleştirmek gerekir:

• Gizlilik Politikası (Privacy Policy): Genellikle sitenin genel veri işleme yaklaşımını, çerez kullanımını ve güvenlik önlemlerini anlatan, daha geniş kapsamlı ve kullanıcı dostu bir metindir. Global standartlara (GDPR vb.) uyum için kullanılır.

• Aydınlatma Metni: KVKK'nın aradığı spesifik şartları taşıyan, hukuki dili daha baskın olan metindir. İdeal Olan: Sitenizde "Gizlilik Politikası ve KVKK Aydınlatma Metni" başlığı altında, her iki gerekliliği de karşılayan tek ve kapsamlı bir metin yayınlamaktır.

Çerez (Cookie) Politikası: "Beni Takip Etme" Hakkı

E-ticaret siteleri, kullanıcı deneyimini artırmak ve yeniden pazarlama (Remarketing) yapmak için "Çerez" kullanır.

• Zorunlu Çerezler: Sepete ürün atmak, ödeme yapmak için gereken teknik çerezlerdir. Onay gerekmez, sadece bilgi verilir.

• Pazarlama ve Analiz Çerezleri: Google Analytics, Facebook Pixel gibi kullanıcının gezdiği sayfaları takip eden çerezlerdir. Bunlar için kullanıcının "Açık Rızası" şarttır.

Yasal Zorunluluk: Siteye ilk girişte, ekranın altında veya ortasında beliren bir "Çerez Yönetimi Paneli" (Cookie Banner) olmalı ve kullanıcıya "Kabul Et" veya "Reddet" seçeneği sunulmalıdır. "Sitemizi kullanarak çerezleri kabul etmiş sayılırsınız" ifadesi hukuken geçersizdir.

Gizlilik Politikasında Bulunması Gereken Temel Başlıklar

Profesyonel ve yasalara uygun bir gizlilik politikasında şu başlıklar mutlaka yer almalıdır:

1. Veri Sorumlusunun Kimliği

Şirketin tam unvanı, adresi, telefon numarası ve MERSİS numarası.

2. Toplanan Veri Kategorileri

• Kimlik Bilgisi: Ad, soyad.

• İletişim Bilgisi: Telefon, e-posta, adres.

• İşlem Güvenliği: IP adresi, log kayıtları, şifre bilgileri.

• Finansal Bilgi: Kredi kartının (maskelenmiş) bilgileri, IBAN.

3. Veri Aktarımı

Kullanıcının verisinin kime gittiği gizlenemez.

• "Adres bilginiz, teslimat için X Kargo firmasıyla paylaşılmaktadır."

• "Ödeme bilginiz, tahsilat için Iyzico/PayTR vb. ile paylaşılmaktadır."

4. Veri Güvenliği Tedbirleri

Kullanıcıya güven vermek için alınan teknik önlemler (SSL Sertifikası, 3D Secure ödeme, güvenlik duvarları) belirtilmelidir.

5. İlgili Kişinin Hakları (Başvuru Yolları)

Kullanıcının verisini sildirmek veya bilgi almak için şirkete nasıl başvuracağı (KEP adresi, e-posta vb.) yazılmalıdır.

Kopyala-Yapıştır Metinlerin Tehlikesi

Kartal ve çevresindeki birçok yeni e-ticaret girişimcisi, büyük pazaryerlerinin (Trendyol, Hepsiburada vb.) veya rakip sitelerin gizlilik politikalarını kopyalayıp kendi sitelerine yapıştırmaktadır. Bu, çok ciddi bir hukuki risktir.

Neden?

• Her sitenin veri akışı farklıdır. Kopyaladığınız sitede "Yurt dışına veri aktarımı vardır" yazıyordur ama siz aktarmıyorsunuzdur. Bu durumda "Yanıltıcı Beyan" vermiş olursunuz.

• Kopyaladığınız metinde o şirketin adı unutulabilir (Sıkça rastlanır).

• Çerez türleriniz farklı olabilir. Bu tür uyumsuzluklar, Kişisel Verileri Koruma Kurulu denetimlerinde veya şikayet üzerine yapılan incelemelerde doğrudan ceza sebebidir.

Somut Vaka Analizi: Hatalı Çerez Politikası Cezası

Olay: İstanbul Anadolu Yakası'nda faaliyet gösteren bir e-ticaret sitesi, kullanıcılarına "Çerezleri Kabul Et" butonu sunmuş ancak "Reddet" seçeneği sunmamıştır. Kullanıcı reddetmek istese bile siteyi kullanmak için kabul etmeye zorlanmıştır. Ayrıca pazarlama çerezleri, kullanıcı siteye girer girmez (onay vermeden) aktif hale gelmiştir.

Hukuki Süreç:

1. Şikayet: Bir kullanıcı, tarayıcı eklentileriyle sitenin kendisini izinsiz takip ettiğini tespit edip KVKK Kuruluna şikayet etmiştir.

2. Karar: Kurul, "Açık Rıza"nın özgür iradeyle verilmediğini (zorlama olduğunu) ve aydınlatmanın yetersiz olduğunu belirtmiştir.

3. Yaptırım: Şirkete, veri güvenliği yükümlülüklerine aykırılıktan dolayı idari para cezası kesilmiş ve çerez sistemini düzeltmesi için süre verilmiştir.

Sıkça Sorulan Sorular

Gizlilik politikası olmadan site açarsam ne olur? Siteniz erişime kapatılmaz ancak ilk şikayette veya denetimde KVKK (Aydınlatma Yükümlülüğüne Aykırılık) ve ETK kapsamında ciddi para cezaları alırsınız. Ayrıca güven vermediği için müşteri kaybedersiniz.

Üyelik sözleşmesi ile gizlilik politikası aynı şey mi? Hayır. Üyelik sözleşmesi satış şartlarını düzenler; gizlilik politikası ise verilerin korunmasını düzenler. İkisi ayrı ayrı onaylatılmalıdır.

Sitemde kredi kartı saklamıyorum, yine de zorunlu mu? Evet. Kart saklamasanız bile isim, adres, telefon ve IP adresi işliyorsunuz. Bunlar kişisel veridir ve politika zorunludur.

İngilizce sitem var, politikayı çevirmeli miyim? Eğer hedef kitleniz yabancılar ise evet. Ancak Türk kullanıcıya hitap ediyorsanız Türkçe metin zorunludur. Çeviri yaparken GDPR (Avrupa Veri Koruma Tüzüğü) kurallarına da dikkat edilmelidir.

Mobil uygulamam var, web sitesinden farklı mı? İçerik olarak benzerdir ancak sunum şekli farklıdır. Mobil uygulamada, uygulama marketlerine (App Store, Google Play) yüklerken gizlilik politikası linki zorunludur. Ayrıca uygulama içinde de erişilebilir olmalıdır.

 

E-ticaret sitelerinde "Gizlilik Politikası", sadece yasal bir zorunluluk değil, müşteriye duyulan saygının ve kurumsallığın göstergesidir. Veri güvenliğine önem veren, şeffaf bir işletme imajı, satışlarınıza da olumlu yansır.

Unutmayın; internette hiçbir şey gizli kalmaz. Hatalı veya eksik bir politika, uzman bir göz tarafından saniyeler içinde tespit edilebilir.

Kartal Avukat olarak, Bilişim ve E-Ticaret Hukuku alanındaki  ; sitenizin veri akışını analiz ediyor, size özel Gizlilik Politikası, Çerez Politikası ve KVKK Aydınlatma Metinlerini hazırlıyoruz. İşletmenizi hukuki risklerden arındırmak için bizimle iletişime geçebilirsiniz.

Kartal Bilişim Avukatı

---