BİZİ ARAYIN

WEB SİTELERİNİN KVKK YÜKÜMLÜLÜĞÜ

Bu yazımızda web sitelerinin KVKK yükümlülüğü, bir internet sitesinde bulunması gereken ortak hukuki metinleri ve son olarak kişisel verilerin ihali halinde web sitelerine karşı başlatılabilecek hukuki aksiyonları ele alacağız.

GİRİŞ

Kişisel Verilerin Korunması Kanunu ile ülkemizde kişisel verilerin korunması, işlenmesi ve silinmesine ilişkin önemli düzenlemeler getirilmiştir.

KVKK.m.3/1-d’ye göre kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Yani web sitesine giren ziyaretçinin adı, soyadı, yaşı, telefon numarası, adresi ve benzeri her türlü bilgisi bu ziyaretçinin kişisel verisidir.

Bu çerçevede web siteleri de ziyaretçilerin kişisel verilerini korumalıdır. Bu korumayı yerine getirirken mevzuat gereği, web sitelerinde bulunması gereken bazı sözleşme ve politikalar mevcuttur.

Bu metinlerin bazıları Kişisel Verilerin Korunması Kanunu nedeniyle zorunluyken bazı metinlerse General Data Protection Regulation (Genel Veri Koruma Regülasyonu, GDPR) nedeniyle oluşturulmalıdır. Söz konusu bu metinler web sitesinin faaliyet alanına göre çeşitlilik göstermektedir fakat bazı ortak sözleşme ve politikalar da mevcuttur.

WEB SİTELERİNİN KİŞİSEL VERİLERİ SAKALAMA YÜKÜMLÜLÜKLERİ NELERDİR?

Günümüzde sadece ülkemizde değil, tüm dünya çapında web siteleri birçok alanda kişisel veri toplamaktadırlar. Web siteleri aracılığıyla toplanan bu kişisel verinin korunması, işlenmesi veya saklanması ise KVKK kapsamına girmektedir.

Uzmanlar, kişisel veriye ulaşan neredeyse tüm web sitelerinin KVKK anlamında risk barındırdığını ifade etmektedirler. Bu sebeple kişisel veriye ulaşan her web sitesi KVKK kapsamında bazı gerekleri yerine getirmek zorundadır.

KVKK.m.4/2’de kişisel verilerin işlenmesi ile ilgili bazı temel ilkelere yer verilmiştir. Bu hükme göre kişisel verilerin hukuka ve dürüstlük kurallarına uygun şekilde alınması, güncel ve doğru olması, belirli, meşru ve açık amaçlarla işlenmesi ve işlendikleri amaçla ölçülü şekilde alınmaları gerekmektedir. Ayrıca alınan kişisel veriler amaçlarına göre yeterli sürelerde muhafaza edileceklerdir.

Bu ilkelere ek olarak, kişisel veri alınırken KVKK.m.5 gereği kişilerin açık rızasının alınması zorunludur. Bunun yanında her durumda kişisel verisi alınan kişi KVKK.m.10 doğrultusunda aydınlatılmalıdır. Yani web sitelerinde de kişisel veri alınırken bu hususlara dikkat edilmelidir.

Elde edilen kişisel verilerin saklanması ya da korunması konusunda web sitelerine büyük sorumluluk düşmektedir. İşlemek üzere alınan kişisel verilerin neler olduğunun, verinin ne amaçla işlendiğinin ve kimlere aktarılacağının dahi internet sitelerinde yer alması gerekmektedir. Bu sebeplerle e-ticaret veya blog sitesi fark etmeksizin kişisel veri toplayan web siteleri, ileride para cezaları ile karşılaşmamak için bu web sitelerinde bulunması gereken hukuki metinleri bir diğer başlıkta ele alacağız. Bu doğrultuda bu metinleri dört adımda derledik ve bu adımların özenle uygulanması önem arz etmektedir.

KVKK BAKIMINDAN WEB SİTELERİNDE BULUNMASI GEREKEN HUKUKİ METİNLER NELERDİR?

  1. Gizlilik Politikası (Privacy Policy)

Veri toplayan her web sitesinin faaliyet alanına bakılmaksızın bir gizlilik politikası hazırlaması gerekmektedir. Bu politikada genel olarak kullanıcıların kişisel verilerinin nasıl toplandığı, işlendiği, nasıl korunduğu ve hangi ortaklarla paylaşıldığının gösterilmesi gerekir. Söz konusu bu metin GDPR’a uygun biçimde düzenlenmelidir.

Uygulamada Gizlilik Politikası, KVKK.m.10’da düzenlenen Aydınlatma Metni ile sık sık karıştırılmaktadır. Ancak Aydınlatma Metni, KVKK’da düzenlenen bir yükümlülüktür.  Gizlilik Politikası ise Aydınlatma Metni’ne göre daha genel kapsamlıdır. Özetle GDPR’a uygun olarak hazırlanan bir Gizlilik Politikası, doğrudan doğruya KVKK yükümlülüğünün yerine getirilmesi anlamına gelmemektedir.

Bu açıklamalarımıza ek olarak, web sitesinde yer alan metnin adının ne olduğundan ziyade içeriğinin ne olduğu daha da önemlidir. Bu duruma örnek göstermemiz gerekirse “KVKK Aydınlatma Metni” başlıklı bir metnin içeriği KVKK.m.10’a uygun olarak hazırlanmadıysa bu metin “genel nitelikte gizlilik politikası” olarak kabul edilecektir.

  1. Aydınlatma Metni

Aydınlatma Metni, dayanağını KVKK.m.10’dan alır. Aydınlatma Metni, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4’üncü maddesine uygun olarak hazırlanması gereken bir metindir.

Söz konusu bu metin kişisel verilerin elde edilmesi sırasında, ilgili faaliyete ilişkin olarak hazırlanması gereken bir metindir. Bu hususu bir örnekle açıklamamız gerekirse uçak bileti almak için bir web sitesine giren kullanıcıya biletleme ekranında gösterilmesi gereken Aydınlatma Metni, uçak bileti alım işlemine ilişkin olmalıdır. Bu aşamada kullanıcıya gösterilen Aydınlatma Metni bilet alma işlemine özgü değildir. Bu metin genel bir Aydınlatma Metni ise, Tebliğ’e uygun olmaz ve KVKK’ya aykırılık oluşturur.

  1. Çerez Politikası (Cookie Policy)

Çerez Politikası, GDPR’a göre hazırlanması gereken politikalardan bir diğeridir. Çerezler, bir web sitesi ziyaret edildiği zaman kullanıcılara ait bazı bilgilerin, kişilerin terminal cihazlarında depolanmasına izin veren düşük boyutlu, zengin metin biçimli text formatlarıdır.

Yani Çerez Politikası ile web sitesinde çalıştırılan çerezlerin hangi verileri nasıl topladığına ilişkin olarak bilgilendirme yapılır. Çerezlerle ilgili olarak aydınlatma metni açık, sade ve anlaşılır yapılmalıdır. Ziyaretçilerden açık rıza alınmasına dikkat edilmeli ve söz konusu bu rızalar açık uçlu ve belirsiz rızalar olmamalıdır. Ayrıca bir web sitesini ilk defa ziyaret eden kişinin sadece web sitesine girmiş olması ile kişisel verilerinin işlenmesi için açık rıza gösterdiği kabul edilmeyecektir.

Çerezler, Gizlilik Politikası’nın içerisinde bir alt başlıkta sunulabileceği gibi, ayrı bir politika olarak da sunulabilir. Buna ek olarak çerez kullanımına izin verip vermemek tamamen ziyaretçinin takdirine bırakılmalıdır. Bu nedenle çerezler varsayılan olarak kapalı tutulmalı, kullanıcının rızası alındıktan sonra çalıştırılmaya başlamalıdır.

  1. Açık Rıza Metni

Açık rıza, KVKK.m.3’de düzenlenmiştir. Hükme göre açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” manasına gelmektedir.

Açık rıza, temel bir hukuka uygunluk sebebidir ve bu sebeple usulüne uygun olarak alınan açık rıza, kişisel veri sahibinin verilerini işlemeye imkân verir.

Burada kanun koyucu, hukuka uygunluk için sadece rızayı yeterli görmeyip rızanın “açık rıza” aramıştır. Bu yüzden ziyaretçinin ya da kullanıcının rızası tereddütte yer vermeyecek şekilde, sair olmalıdır.

Bu duruma bir örnek vermek gerekirse, “İletişim formundan bize ulaşmanız halinde belirttiğiniz e-posta adresine sonradan ticari ileti göndermemizi kabul edersiniz.” biçiminde bir rıza alınması hukuka aykırıdır ve açık rıza anlamına gelmez. Kullanıcının aktif ve açık bir hareketle onay vermesi gerekmektedir.

Açık rıza metinine doğru bir örnek vermek gerekirse “İletişim formundan bize ulaşmanız halinde belirttiğiniz e-posta adresine sonradan ticari ileti göndermemize onay veriyor musunuz?” şeklinde bir ifade geçerli bir açık rıza alınmasıdır.

Bu açıklamalarımıza ek olarak uygulamada yapılan büyük hatalardan biri ise sınırsızca alınan açık rızadır. Bu rıza belirli bir konuya ilişkin olmaksızın sınırsızca alınmamalıdır. Ancak açık rıza belirli bir konuya ilişkin alınmalıdır. Ziyaretçi ya da kullanıcının açık rızayla olsa dahi kişisel bir verisini tarafınızla paylaşması, bu verinin sınırsızca işlenebileceği anlamına gelmemektedir.

KİŞİSEL VERİ İHLALİ DURUMUNDA WEB SİTELERİNE KARŞI BAŞLATILABİLECEK HUKUKİ YOLLAR NELERDİR?

  • Veri Sorumlusuna Başvuru Hakkı ve Kullanılması

KVKK.m.11’e göre herkesin veri sorumlusuna başvurarak kendisi ile ilgili hangi verilerin ne şekilde işlendiğini öğrenme hakkı vardır. İlgili madde gereği kişi, veri sorumlusuna; Kişisel verisinin işlenip işlenmediğini, eğer kişisel verisi işlenmişse buna ilişkin ayrıntılı bilgi talebi vb. taleplerde bulunabilir.

İlgili kişi, kişisel verisinin KVKK ve diğer kanuni düzenlemelere aykırı olarak işlenmesi durumunda ortaya çıkan zararın giderilmesini de yine veri sorumlusundan talep edebilir.

Kişisel verisi ihlal edilen kişi, veri sorumlusuna başvururken soru ve taleplerini ücretsiz olarak yöneltir. Veri sorumlusu 30 günlük süre içerisinde en hızlı şekilde bu talebe karşılık verme yükümlülüğü altındadır. Yani en kısa süre içinde ama en geç 30 gün içinde soruya cevap verecek veya problemi çözecektir.

Veri sorumlusu kural olarak bu işlemi ücretsiz olarak gerçekleştirir. Ancak olağan dışı bir masraf ortaya çıktığı zaman Kurulun belirlediği ücret tarifesi üzerinden ücret talep edebilir.

Veri sorumlusuna başvuru iki şekilde olabilir. İlk başvuru şekli yazılı bir bildirimdir. Islak imza içeren belge ile yazılı olarak başvuru yapılabilir. Bunun dışında güvenli elektronik imza ile yapılan bir başvuru da geçerli olacaktır. Bunların haricinde Kurul, başka başvuru prosedürü belirleme hakkına sahiptir.

  • Doğrudan Mahkemeye Başvuru

Kişisel verilerin ihlal edilmesi ile ilgili konular çoğu durumda kişilik hakkının ihlali anlamına gelmektedir. Kişilik hakkının ihlal edildiği hallerde kanun gereği başvuru ve Kurula şikayet prosedürlerinden ayrı olarak direkt mahkemeye başvurulabilir. Özetlememiz gerekirse genel hükümler kapsamında manevi tazminat davası açmak mümkündür.

  • KVKK Şikayeti Hakkı ve Kullanılması

Veri sorumlusuna yukarıda anlatıldığı şekilde başvuru yapıldıktan sonra veri sorumlusundan gelen bu cevaplara göre;

  • Başvurunun ve talebin reddedilmesi
  • Cevap verilmesi ama verilen cevabın yetersiz olması
  • Süresi içerisinde cevap verilmemesi

durumlarında başvurucu, 30 gün içerisinde Kişisel Verileri Koruma Kuruluna şikayette bulunabilir. Bu 30 günlük süre, ilgili kişinin gelen cevabı öğrendiği anda başlar. Eğer ilgili kişi cevabı öğrenememiş ise veri sorumlusunun cevap vermesinden itibaren 60 gün içerisinde bu hak her türlü sona erer.

Kurul, kendisine gelen şikayet üzerine gerekli incelemeyi yapmak için hazırlıklara başlamalıdır. Ancak Kurul, bazı hallerde şikayet olmaksızın re’sen inceleme başlatma yetkisine sahiptir.

Kurula verilecek KVKK şikayet dilekçesinin özenle hazırlanması önem arz etmektedir. Çünkü Dilekçe Hakkının Kullanılmasına Dair Kanun düzenlemelerinde yer alan şartları barındırmayan bir dilekçe Kurul tarafından incelemeye dahi alınmaz.

Veri sorumluları, Kurulun talep ettiği belgeleri 15 gün içerisinde Kurula gerektiği şekilde teslim etme yükümlülüğü altındadır.

Kurul, şikayet üzerine talebi inceler ve ilgililere bir cevap verir. Eğer ilgili şikayeti, Kurul 60 gün içerisinde cevaplandırmazsa talep reddedilmiş sayılır. Eğer Kurul inceleme sonucunda hak ihlali veya Kanuna aykırılık olduğu kanaatine varırsa, veri sorumlusuna bunun giderilmesi için talimat verir. Veri sorumlusunun bu kararı 30 gün içerisinde yerine getirme yükümlülüğü vardır.

  • Adli Yargıda Başlatılabilecek Hukuki Yollar

Kişisel verilerle ilgili gerçekleştirilen fiiller bazen yukarıda ifade ettiğimiz gibi şikayete konu olurken bazı durumlarda adli vaka yani ceza mahkemesinde görülmesi gereken bir nitelik kazanmaktadır.

KVKK.m.17’ye göre kişisel verilerle ilgili işlenen suçlar TCK.m.135-140 hükümlerine göre cezalandırılır. TCK.m.135-140’da düzenlenen bu suçlar ve öngörülen cezalar;

  • TCK 135 Kişisel Verilerin Kaydedilmesi Suçu

KVKK’ya aykırı biçimde kişisel veri işlemek TCK 135 hükmü uyarınca suç teşkil eder.

Öngörülen ceza; alt sınırı 1 yıl ve üst sınırı 3 yıl olan hapis cezasıdır.

Bu kişisel verilerin siyasi, felsefi veya dini görüş, ırk köken bilgisi, ahlaki eğilimler, cinsel durum ve sağlık durumu veya sendikal bağlantı konularına ilişkin olması durumunda ceza arttırılır.

  • TCK 136 Kişisel Verileri Hukuka Aykırı Olarak

    Verme veya Ele Geçirme Suçu:

Kişisel verilerin aktarılması KVKK’ya uygun olarak yapılmalıdır. Bu çerçevede kişisel verilerin hukuka aykırı olarak başkasına aktarılması veya yayılması ya da kişisel verilerin hukuka aykırı olarak ele geçirilmesi suç teşkil etmektedir.

  • TCK 138 Kişisel Verileri Yok Etmeme Suçu:

KVKK kapsamında kişisel verilerin belirli süreler içerisinde yok edilmesi gerekmektedir. Bu yükümlülüğe uymayarak kişisel verilerin yok edilmemesi TCK 138 anlamında suç teşkil eder.

Öngörülen ceza; alt sınırı 1 yıl ve üst sınırı 2 yıl olan hapis cezasıdır.

SONUÇ

Bu yazımızda web sitelerinin kişisel veri saklama yükümlülüklerini, bir internet sitesinde bulunması gereken ortak hukuki metinleri ve son olarak kişisel verilerin ihali halinde web sitelerine karşı başlatılabilecek hukuki aksiyonları ele aldık.

Son yıllarda kişisel verilerin doğru biçimde alınması ve veri sorumluları tarafından işlenmesi çok gündemde olan hususlardır. Aslında bunun sebebi tüm insanlığın günden güne daha da teknolojiye bağımlı hale gelmesiyle internet üzerinden gerçekleştirilen suçların artmasıdır.

Bu suçlardan vatandaşlarımızı korunmak için veri sorumlusu olan web sitelerine büyük bir sorumluluk düşmektedir. Web siteleri, ileride kişisel veri ihlalleri sebebi ile aleyhlerine dava yöneltilmemesi için uzman hukukçulardan ve uzman kişisel verileri koruma uzmanlarından destek almalıdırlar.

İzmir avukat olarak, hukuki konularda size rehberlik etmek ve sorularınıza cevap vermek için buradayız. Diğer yazılarımıza göz atmak için linke tıklayabilirsiniz.

Yaz Stajyeri Dilek OĞUZ

Av. Şükran Şevval KURNAZ

Sosyal Medyada Bizi Takip edin

https://www.facebook.com/kapitalhukuk

https://www.instagram.com/kapitallegal/

https://tr.linkedin.com/company/kapi%CC%87tal-hukukv

Son Yazılar

AVUKATLIK HİZMETLERİMİZ

Hukuki Yardım Al

Danışmak istediğiniz her konuda bize ulaşın!

BİZE ULAŞIN

kapital-hukuk-logo

Kapital Hukuk, değişen dünya düzeninde müvekkillerinin; özellikle “Özel Hukuk” olarak tabir edilen kişiler arası hukuki uyuşmazlıklarında hukuki destek veren ve sadece ilgi alanlarında uzmanlaşan Türk Hukuk Bürosudur. 2014 Yılında çalışma alanlarına göre departmanlara bölünerek kurumsal bir yapıya dönüştü.

Popüler aramalar: İzmir avukatİzmir boşanma avukatıHukuk bürosuİzmir icra avukatı

Facebook-f Twitter Instagram Linkedin Envelope Phone-alt

Site Haritası

Çalışma Alanlarımız

Bize Ulaşın

odeme-sayfasi-1

2014 – 2024 © Tüm hakları saklıdır. Kapital Hukuk