Соответствие KVKK и cookie-политике для интернет-магазинов

E-commerce — это пересечение KVKK и законодательства об электронной торговле. Многие действия — регистрация клиентов, платёжные данные, cookie, рассылки, таргетированная реклама — порождают не разрозненные, а взаимосвязанные обязанности. Как юридическая фирма, годами консультирующая интернет-магазины Антальи, в этом руководстве мы поясняем базовую правовую рамку, которой должен соответствовать e-commerce.

Положение интернет-магазина с точки зрения защиты данных

Интернет-магазин обрабатывает персональные данные клиентов на разных этапах:

• При регистрации и входе,
• При оформлении заказа (имя, адрес, телефон, e-mail),
• При оплате (данные карты),
• При доставке (передача транспортной компании),
• В маркетинге (рассылки, таргетированная реклама),
• В аналитике поведения (cookie и инструменты отслеживания),
• В возвратах и претензиях.

Каждый этап требует оценки в рамках KVKK.

Обязанности на этапе регистрации

Уведомление о конфиденциальности

При регистрации необходимо предъявлять уведомление об информировании (Aydınlatma Metni). В нём чётко указываются:

• Кто является контролёром данных,
• Какие данные обрабатываются,
• В каких целях,
• Кому передаются (доставка, платёжные сервисы, облачные провайдеры),
• Сроки хранения,
• Права субъекта данных.

Лучшая практика — размещение уведомления перед галочкой "Я принимаю".

Явное согласие

Отдельно от уведомления для обработки данных в маркетинговых целях требуется явное согласие. Такое согласие:

• Не должно становиться обязательным для регистрации (заранее проставленная галочка недопустима),
• Должно быть отзывным,
• Должно касаться конкретной темы (отдельно для e-mail, SMS, таргетированной рекламы).

Cookie-политика

Cookie на сайте — это обработка персональных данных. Управление cookie, соответствующее KVKK и международным стандартам:

Cookie-баннер

Сайт должен показывать баннер о cookie при первом визите. Баннер должен:

• Объяснять, какие cookie используются,
• Различать обязательные и необязательные,
• Давать пользователю возможность отдельно соглашаться на необязательные,
• Обеспечивать удобное принятие/отклонение в один клик.

Текст cookie-политики

На отдельной странице должен размещаться подробный текст cookie-политики. В нём поясняются:

• Список используемых cookie,
• Поставщик (свой сайт или сторонний),
• Назначение,
• Сроки хранения,
• Как пользователь может изменить настройки.

Сторонние cookie

Сторонние инструменты, как Google Analytics, Facebook Pixel, Hotjar, обрабатывают персональные данные и передают их за рубеж. Для их использования:

• Необходимо получить явное согласие,
• Применять один из механизмов KVKK для трансграничной передачи.

Этап заказа и оплаты

При оформлении заказа:

• Данные обрабатываются для заключения и исполнения договора — основания договора достаточно,
• Хранение платёжных данных требует дополнительных мер безопасности,
• Предпочтительна платёжная инфраструктура, соответствующая международным стандартам PCI-DSS,
• С поставщиками платёжных услуг необходимо заключать договор о поручении обработки.

Обязанности по дистанционным договорам

Продажи в e-commerce — дистанционные договоры. Обязанности:

• Преддоговорное информирование — характеристики товара, цена, доставка, срок, право отказа и т. д.,
• Право отказа от договора — как правило, в установленный срок с момента получения,
• Процедура возврата — при отказе,
• Подтверждение заказа и направление текста договора клиенту.

E-mail- и SMS-маркетинг

В Турции отправка электронных коммерческих сообщений (e-mail, SMS, мессенджеры) подчиняется обязательной регистрации в İYS (Системе управления сообщениями). Обязанности:

• Без предварительного явного согласия коммерческие сообщения отправлять нельзя,
• В каждом сообщении должна быть удобная возможность отказа,
• Отказавшимся пользователям повторно отправлять нельзя,
• Проверка и фиксация согласия в İYS — обязательны.

За несоблюдение İYS предусмотрены значительные штрафы.

Таргетированная реклама и ремаркетинг

Для показа таргетированной рекламы (Facebook, Google Ads и т. д.) на основе поведения на сайте:

• Необходимо получить явное согласие,
• Эта цель должна быть прямо указана в уведомлении об информировании,
• Должны учитываться правила трансграничной передачи данных,
• Пользователь должен иметь возможность отказаться от такого cookie в баннере.

Обязанность уведомления о нарушениях

При кибератаке, утечке или нарушении:

• В кратчайший срок необходимо уведомить Орган по защите персональных данных (Совет KVKK),
• Уведомить пострадавших клиентов,
• Принять конкретные меры по снижению последствий.

Сокрытие или запоздалое уведомление влечёт дополнительные санкции.

Регистрация в VERBİS

Когда количество клиентов и интенсивность обработки превышают определённые пороги, регистрация в VERBİS обязательна. В реестре указываются:

• Категории обрабатываемых данных,
• Цели обработки,
• Получатели,
• Сроки хранения.

После регистрации необходимо подготовить политику хранения и уничтожения персональных данных.

Обслуживание клиентов в ЕС и GDPR

Турецкие интернет-магазины, продающие товары клиентам в Европе, должны также соблюдать GDPR. GDPR во многом похож на KVKK, но добавляет обязанности:

• Назначение DPO при определённых условиях,
• Оценка воздействия на защиту данных (DPIA),
• Назначение представителя в ЕС.

Совет потребительского арбитража и Потребительский суд

В спорах с клиентами:

• Споры ниже определённой суммы рассматриваются Советом потребительского арбитража (Tüketici Hakem Heyeti),
• Более крупные — Потребительским судом,
• Клиент может подать иск по своему месту жительства; для бизнеса в Анталье это означает возможные процессы по всей стране.

Готовность службы по работе с претензиями и клиентами к этим процедурам снижает юридические затраты.

Практические шаги по соответствию

1. Уведомления об информировании на основных страницах,
2. Cookie-баннер и cookie-политика,
3. Регистрация в İYS и управление согласиями,
4. Юридически корректные процедуры по дистанционному договору,
5. Регистрация в VERBİS и политика хранения/уничтожения данных,
6. Договоры с обработчиками — с платёжными, транспортными и хостинг-провайдерами,
7. План реагирования на нарушения,
8. Обучение сотрудников.

Как Mona Hukuk может помочь

Интернет-магазинам в Анталье MONA HUKUK оказывает полное сопровождение соответствия: подготовка уведомлений об информировании и cookie-политики, координация İYS, тексты дистанционных договоров, соответствие KVKK и при необходимости услуги по GDPR. На быстро растущем рынке мы укрепляем юридический фундамент бизнеса и ставим управление рисками на профессиональную основу для устойчивого роста.

Свяжитесь с нами по адресу contact@monahukuk.com или по телефону +90 (242) 606 14 32, чтобы записаться на консультацию в Анталье.