Makale

Elektronik ticaret platformları kimlik, iletişim ve ödeme bilgileri gibi son derece kritik öneme sahip büyük hacimli kişisel verileri işlemektedir. Bilişim hukuku perspektifiyle değerlendirildiğinde, veri sorumlusu ve veri işleyen konumundaki e-ticaret aktörleri, hukuka aykırı erişimleri ve veri sızıntılarını önlemek adına 6698 sayılı Kişisel Verilerin Korunması Kanunu'na tam uyum sağlamakla mükelleftir. E-ticaret operasyonlarının temelinde yatan teknolojik mimari, sıklıkla yabancı menşeli bulut bilişim sistemleri ve sınır ötesi sunucuların kullanılmasını gerektirmekte, bu durum da kişisel verilerin yurt dışına aktarılmasını ticari bir zorunluluk haline getirmektedir. Yakın zamanda yürürlüğe giren KVKK Reform Yasası olarak anılan 7499 sayılı Kanun, yurt dışına veri aktarım rejimini Avrupa Birliği normları ile uyumlu hale getirerek baştan aşağı yenilemiştir. Etkin bir hukuk uygulamasında işletmelerin, öngörülen yüksek idari para cezalarından ve siber güvenlik risklerinden korunabilmesi için güvenlik tedbirlerini eksiksiz uygulaması ve yeni aktarım usullerine hukuken adapte olması gerekmektedir.

E-Ticarette Kişisel Veri Güvenliğinin Sağlanması

Kanun'un veri güvenliğine ilişkin maddesi uyarınca veri sorumluları, uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır. Siber tehditlerin ve saldırı yöntemlerinin sürekli evrim geçirmesi, e-ticaret sitelerini dinamik bir savunma kalkanı inşa etmeye zorlamaktadır. Özellikle bilgi sistemlerine yönelik uygulanması gereken teknik tedbirler kapsamında; güvenlik duvarları, antivirüs ve antispam yazılımlarının kullanılması, düzenli sızma (penetrasyon) testlerinin yaptırılması oldukça kritiktir. E-ticaretin can damarı olan çevrim içi ödeme aşamalarında, kredi kartı gibi hassas finansal bilgilerin güvenliğini tesis etmek için SSL ve EV SSL sertifikaları, 3D Secure ile PCI DSS standartları gibi gelişmiş kriptografik protokollerin kullanımı hukuki bir özen yükümlülüğüdür. İşletme içinden sızabilecek verileri denetim altında tutmak için Veri Kaybı Önleme (DLP) yazılımları entegre edilmeli, sisteme erişimlerde ise yetki matrislerine dayalı çok faktörlü kimlik doğrulama sistemleri mutlaka kurgulanmalıdır.

E-Ticaret Sitelerinde Alınması Gereken İdari Tedbirler

Siber güvenliği merkeze alan teknik araçlar, ancak kurumsal yapıyı güçlendiren etkin idari tedbirler ile desteklendiğinde hukuka uygunluk sağlayabilir. Hukuki risk analizi çerçevesinde e-ticaret şirketleri, ilk adım olarak tüm veri akışını barındıran bir kişisel veri işleme envanteri hazırlamalıdır. İhtiyacın ötesinde veri depolamanın siber güvenlik riskini artıracağı gerçeğinden yola çıkılarak, veri minimizasyonu prensibiyle örtüşen kişisel veri saklama ve imha politikaları yürürlüğe konulmalıdır. İhlallerin büyük oranda personel hatalarından kaynaklanabilmesi sebebiyle, tüm çalışanların düzenli aralıklarla veri güvenliği farkındalık eğitimlerine tabi tutulması şarttır. İşletmenin bilişim altyapısını sağlayan aracı hizmet sağlayıcılar veya kargo firmaları gibi üçüncü partilerle yapılacak veri işleme ve gizlilik sözleşmeleri, cezai şartlar ve denetim mekanizmalarıyla güçlendirilmelidir. Ayrıca şirket içinde yaşanabilecek bir sızıntıya karşı, idari mercilere kanuni süresinde bildirim yapmayı garantileyen kurumsal bir acil durum müdahale planı oluşturulmalıdır.

KVKK Reformu Sonrası Yurt Dışına Veri Aktarımı

E-ticaret firmalarının küresel ölçekli hizmet modelleri, yurt dışı lokasyonlu sunucuların veya uluslararası pazar yerlerinin kullanımı sebebiyle kişisel verilerin yurt dışına aktarımını kaçınılmaz kılmaktadır. Kanun'un ilgili maddesinde yapılan son köklü yasal değişiklikler, açık rızayı kural olmaktan çıkarıp Avrupa Birliği veri koruma standartlarına paralel kademeli bir aktarım rejimi getirmiştir. Hukuki uygulamada öncelik, Kişisel Verileri Koruma Kurulu tarafından ilan edilecek yeterlilik kararı bulunan güvenli ülkelere, uluslararası kuruluşlara veya sektörlere veri aktarımının yapılmasıdır. Söz konusu yeterlilik kararının bulunmadığı ancak veri işleme şartlarının sağlandığı ülkeler için ise uygun güvencelerin sağlanması yoluyla yurt dışına veri aktarımı hukuka uygun hale gelmektedir. Gündelik e-ticaret operasyonlarında sıkça kullanılacak olan standart sözleşmelerin, hukuken taraflarca imzalanmasını izleyen beş iş günü içinde KVK Kurumu'na bildirilmesi zorunluluğu yasal bir yükümlülük olarak tanımlanmıştır.

Yurt Dışı Veri Aktarımında Kullanılabilecek Uygun Güvenceler

Yeterlilik kararı bulunmayan hallerde veri sorumlularının başvurabileceği uygun güvenceler, hukuki denetimi gerektiren detaylı mekanizmalardır. Çok uluslu bir e-ticaret grup şirketi söz konusuysa, grup içi aktarımlar Kurul onayından geçen bağlayıcı şirket kuralları (BCR) vasıtasıyla güvenli bir zemine taşınabilir. Yabancı menşeli bir e-posta veya müşteri ilişkileri yönetimi yazılımından hizmet alan yerli e-ticaret şirketleri için ise, Kurul tarafından matbu olarak yayınlanan standart sözleşmeler imzalanarak hukuka uygunluk sağlanır. Bu mekanizmaların hiçbirinin uygulanabilir olmadığı oldukça dar ve spesifik çerçevedeki e-ticaret işlemlerinde ise arızi nitelikteki aktarım şartları gündeme gelebilecektir. Arızi durumlarda, aktarımın olası risklerine dair alıcı aydınlatılarak muvafakati alınabilecek ya da sözleşmenin ifası gibi kısıtlı gerekçeler kullanılabilecektir. Ancak e-ticaret hukuku pratiğinde asıl mesai, sınır ötesi veri transfer etki analizlerinin yapılması ve taahhüt edilen güvenlik düzeylerinin yasal belgelerle güvence altına alınması sürecinde yaşanacaktır.