E-Ticaret Sitelerinde KVKK ve Çerez Politikası Uyumu

E-ticaret, KVKK ve elektronik ticaret mevzuatının kesişiminde yer alan bir alandır. Müşteri kayıtları, ödeme bilgileri, çerez verileri, e-posta gönderimi ve hedefli reklam gibi pek çok faaliyet birbirinden bağımsız değil, birbirine bağlı yükümlülükler doğurur. Antalya merkezli e-ticaret işletmelerine yıllardır danışmanlık veren hukuk büromuz olarak, bu rehberde e-ticaret sitelerinin uyum sağlaması gereken temel hukuki çerçeveyi açıklıyoruz.

E-Ticaret İşletmesinin Veri Koruma Açısından Konumu

Bir e-ticaret işletmesi, müşterilerinin kişisel verilerini çeşitli aşamalarda işler:

• Kayıt ve giriş işlemlerinde,
• Sipariş verme sürecinde (ad, adres, telefon, e-posta),
• Ödeme aşamasında (kart bilgisi),
• Sevkiyat sırasında (kargo şirketiyle paylaşım),
• Pazarlama faaliyetinde (e-bülten, hedefli reklam),
• Müşteri davranış analizinde (çerez ve takip aracı),
• İade ve şikayet süreçlerinde.

Her aşama, KVKK çerçevesinde değerlendirme gerektirir.

Kayıt Aşamasında Yükümlülükler

Aydınlatma Metni

Müşteri kayıt olurken aydınlatma metni sunulmalıdır. Metin:

• Veri sorumlusunun kim olduğunu,
• Hangi verilerin işlendiğini,
• Hangi amaçlarla işlendiğini,
• Kimlere aktarılacağını (kargo, ödeme servisleri, bulut sağlayıcıları),
• Saklama süresini,
• İlgili kişinin haklarını

açık biçimde belirtmelidir. "Kabul ediyorum" tikinin önüne yerleştirilen aydınlatma metni en çok tercih edilen uygulamadır.

Açık Rıza Metni

Aydınlatma metninden ayrı olarak, pazarlama amaçlı veri işleme için açık rıza alınmalıdır. Bu rıza:

• Kayıt süreci için zorunlu kılınmamalıdır (ön onay tikiyle gizli rıza alınamaz),
• Geri çekilebilmelidir,
• Belirli bir konuya ilişkin olmalıdır (e-posta pazarlama, SMS, hedefli reklam ayrı ayrı).

Çerez (Cookie) Politikası

Web sitesindeki çerezler kişisel veri işleme niteliğindedir. KVKK ve uluslararası standartlara uygun çerez yönetimi:

Çerez Bandosu (Banner)

Site ilk ziyarette çerez bilgilendirme bannerı göstermelidir. Banner:

• Hangi çerezlerin kullanıldığını açıklamalı,
• Zorunlu ve opsiyonel çerezleri ayırt etmelidir,
• Kullanıcının opsiyonel çerezleri ayrı ayrı kabul etme seçeneğini sunmalıdır,
• Tek tıkla kabul / red kolaylığı sağlamalıdır.

Çerez Politikası Metni

Sitede ayrı bir sayfada detaylı çerez politikası yer almalıdır. Politikada:

• Kullanılan tüm çerezlerin listesi,
• Çerez sağlayıcısı (kendi siteniz vs. üçüncü taraf),
• Çerezin amacı,
• Saklama süresi,
• Kullanıcının çerez tercihlerini değiştirme yöntemi

açıklanmalıdır.

Üçüncü Taraf Çerezler

Google Analytics, Facebook Pixel, Hotjar gibi üçüncü taraf araçlar kişisel veri işlemekte ve yurt dışına aktarmaktadır. Bu araçların kullanımı için:

• Açık rıza alınmalı,
• Yurt dışı veri aktarımı için KVKK'da öngörülen mekanizmalardan birinin uygulanması gerekir.

Sipariş ve Ödeme Aşaması

Sipariş verme sırasında müşteri verisi:

• Sözleşmenin kurulması ve yerine getirilmesi amacıyla işlenir — sözleşme hukuki sebebi yeterlidir,
• Ödeme bilgilerinin saklanması, ek güvenlik tedbirleri gerektirir,
• PCI-DSS gibi uluslararası standartlara uygun ödeme altyapısı tercih edilmelidir,
• Ödeme servis sağlayıcılarıyla veri işleyen sözleşmesi yapılmalıdır.

Mesafeli Sözleşme Yükümlülükleri

E-ticaret kapsamında satış, mesafeli sözleşme kabul edilir ve elektronik ticaret mevzuatına tabidir. Yükümlülükler:

• Ön bilgilendirme — ürün özellikleri, fiyat, kargo, teslimat süresi, cayma hakkı vb.,
• Cayma hakkı — kural olarak teslimden itibaren belirli bir süre,
• İade prosedürü — cayma halinde,
• Sipariş onayı ve sözleşme metninin müşteriye gönderilmesi.

E-Bülten ve SMS Pazarlama

Türkiye'de elektronik ticari ileti gönderimi (e-posta, SMS, anlık mesaj) İYS (İleti Yönetim Sistemi)'ne kayıt zorunluluğuna tabidir. Yükümlülükler:

• Önceden açık rıza alınmadan ticari ileti gönderilemez,
• Ret hakkı her iletide kolayca kullanılabilir olmalı,
• Reddedilen kullanıcıya yeniden ileti gönderilmemelidir,
• İYS üzerinden onayların doğrulanması ve kayıt altına alınması zorunludur.

İYS uyumsuzluğu için ağır idari para cezaları uygulanmaktadır.

Hedefli Reklam ve Yeniden Pazarlama

Müşterinin sitedeki davranışına göre hedefli reklam göstermek (Facebook, Google Ads vb.) için:

• Açık rıza alınmalı,
• Aydınlatma metninde bu amaç açıkça belirtilmelidir,
• Yurt dışı veri aktarımı kuralları dikkate alınmalıdır,
• Çerez banner'ında kullanıcı bu çerezi reddedebiliyor olmalıdır.

Veri İhlal Bildirim Yükümlülüğü

E-ticaret sitesi siber saldırıya, veri sızıntısına veya veri ihlaline maruz kaldığında:

• En kısa sürede Veri Koruma Kurulu'na bildirim yapılmalı,
• Etkilenen müşterilere ihlal bildirilmeli,
• Olayın etkisini azaltmak için somut tedbirler alınmalıdır.

İhlali gizlemek veya geç bildirmek, ek yaptırımlara yol açar.

VERBİS Kaydı

E-ticaret işletmesinin müşteri sayısı ve veri işleme yoğunluğu belirli eşikleri aştığında VERBİS kaydı zorunludur. Kayıt:

• Hangi tip verilerin işlendiğini,
• Hangi amaçlarla,
• Kimlerle paylaşıldığını,
• Saklama sürelerini

beyan eder. Kayıt sonrası kişisel veri saklama ve imha politikası hazırlanmalıdır.

Yabancı Müşterilere Hizmet ve GDPR

Avrupa'daki müşterilere ürün satan Türk e-ticaret işletmeleri, AB GDPR kurallarına da uyum sağlamak zorundadır. GDPR, KVKK ile pek çok benzerliğe sahip olmakla birlikte ek yükümlülükler getirir:

• Veri Koruma Görevlisi (DPO) atanması belirli koşullarda,
• Veri Koruma Etki Değerlendirmesi (DPIA) zorunluluğu,
• AB içinde temsilci atanması.

Tüketici Hakem Heyeti ve Mahkemesi

E-ticaret kapsamında müşteri uyuşmazlıklarında:

• Belirli tutar altındaki ihtilaflar Tüketici Hakem Heyeti'nde,
• Daha büyük ihtilaflar Tüketici Mahkemesi'nde görülür,
• Müşteri kendi yerleşim yerinde dava açabilir; bu, Antalya'da iş yapan işletme için ülke çapında dava ihtimali yaratır.

Şikayet yönetimi ve müşteri ilişkileri biriminin bu süreçlere hazırlıklı olması, hukuki maliyetleri azaltır.

Pratik Uyum Adımları

1. Aydınlatma metni sitenin başlıca sayfalarına eklenmesi.
2. Çerez banner ve çerez politikası sayfası kurulması.
3. İYS kaydı ve onay yönetiminin kurulması.
4. Mesafeli sözleşme süreçlerinin mevzuata uygun düzenlenmesi.
5. VERBİS kaydı ve kişisel veri saklama imha politikası.
6. Veri işleyen sözleşmeleri — ödeme, kargo, hosting hizmetleriyle.
7. Veri ihlal müdahale planı.
8. Çalışan eğitimi.

Hukuki Destek

Antalya'da e-ticaret işletmeleri için MONA HUKUK olarak baştan sona uyum hizmeti sunuyoruz: aydınlatma metni ve çerez politikası hazırlığı, İYS koordinasyonu, mesafeli sözleşme metinleri, KVKK uyumu ve gerektiğinde GDPR ek hizmetleri. Hızla büyüyen e-ticaret pazarında hukuki temellerinizi sağlamlaştırarak, sürdürülebilir büyüme için risk yönetiminizi profesyonel zemine oturtuyoruz.

Danışmanlık için contact@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.