Türkiye’de E-Ticaret Mevzuat, Profil Oluşturma ve Siber Güvenlik Yükümlülükleri
Türkiye’de e-ticaret, dijital platformlar üzerinden yürütülen ticari işlemleri ifade eder. Bu işlemler fiziksel ürün satışını, dijital hizmetleri, abonelikleri veya aracı platformlar üzerinden gerçekleşen sipariş yönetimini kapsayabilir. E-ticaret büyüdükçe; kişisel verilerin korunması, elektronik ticari ileti, platform sorumlulukları, ödeme hizmetleri ve siber güvenlik konuları şirketler için kritik hale gelir.
Bu sayfa; e-ticareti yöneten ana mevzuatı, üçüncü taraf bağlantılar ve lisanslar başlığındaki temel yaklaşımı, e-imzanın hukuki konumunu, çerezler ile müşteri profili oluşturmanın KVKK ilişkisini ve veri ihlali/siber güvenlik tedbirlerini uygulamaya yakın bir dille toplu şekilde özetler.
6563 e-ticaret iletişimi ve yükümlülüklerin ana çerçevesini belirler.
KVKK çerez/profil dahil kişisel veri işleme esaslarını düzenler.
5651 içerik/yer/erişim/sosyal ağ sağlayıcıların sorumluluklarını belirler.
6493 ödeme hizmetleri ve e-para tarafını düzenler.
5070 e-imzanın hukuki temelini sağlar.
1. İnternetteki Ticareti Hangi Mevzuat Yönetir?
Türkiye’de e-ticarete ilişkin yükümlülükler tek bir kanunda toplanmaz. İş modeline ve süreçlere göre farklı kanunlar birlikte devreye girer. E-ticaret şirketleri genellikle; pazarlama iletişimi, sözleşme süreçleri, platform sorumlulukları, ödeme altyapısı ve kişisel veri güvenliği eksenlerinde birden fazla düzenlemeye tabi olur.
| Mevzuat | Ne Düzenler? | E-Ticarette Tipik Etki Alanı |
|---|---|---|
| 6563 sayılı Kanun (E-Ticaretin Düzenlenmesi Hakkında) | Elektronik ticari iletişim, hizmet sağlayıcı/aracı hizmet sağlayıcı, bilgilendirme yükümlülükleri, sözleşme süreçleri, yaptırımlar | SMS/e-posta pazarlama, üyelik süreçleri, platform yükümlülükleri, tüketici bilgilendirmeleri |
| 6698 sayılı KVKK | Kişisel verilerin işlenme şartları, aydınlatma, veri güvenliği tedbirleri, veri sahibi hakları | Çerezler, profil çıkarma, müşteri verisi, log/iz kayıtları, veri ihlali yönetimi |
| 5651 sayılı Kanun | İçerik/yer/erişim sağlayıcılar ve sosyal ağ sağlayıcıların yükümlülükleri | Platform sorumluluğu, içerik yönetimi, talep/başvuru süreçleri, kayıt yükümlülükleri |
| 5809 sayılı Elektronik Haberleşme Kanunu | Elektronik haberleşme sektörü, tüketici hakları, işletmeci yükümlülükleri | Özellikle haberleşme altyapısı/operatör tarafında çerez/erişim gibi işleme faaliyetleri |
| 6493 sayılı Kanun | Ödeme hizmetleri, ödeme sistemleri, elektronik para kuruluşları | Ödeme akışları, ödeme altyapısı entegrasyonları, güvenli ödeme süreçleri |
| 5070 sayılı Elektronik İmza Kanunu | E-imzanın hukuki/teknik çerçevesi, sertifika hizmet sağlayıcıları | Sözleşmelerde e-imza kullanımı, onay ve imza süreçleri, doğrulama |
Ayrıca ikincil mevzuat (yönetmelikler/tebliğler/kılavuzlar) ve sektörel düzenlemeler (ör. finans, sigorta, enerji, bankacılık gibi) faaliyet alanına göre ek yükümlülükler doğurabilir. Gümrük, fikri mülkiyet, rekabet ve vergi mevzuatı da çoğu e-ticaret modeli için pratikte önemlidir.
2. Üçüncü Taraf Bağlantılar, İçerik ve Lisanslar
Bir web sitesi sahibi, izinsiz olarak üçüncü taraf web sitelerine bağlantı verebilir mi?
Genel yaklaşım; internet kullanıcılarını üçüncü taraf web sitelerinin ana sayfasına yönlendiren bağlantıların, içerik internette ücretsiz ve erişilebilir şekilde sunuluyorsa her durumda “önceden izin” şartına bağlı olmamasıdır. Eser sahibi, herhangi bir teknolojik kısıtlama olmaksızın çevrimiçi ortamda ücretsiz erişilebilir bir içerik sunuyorsa, kullanıcıların erişimi konusunda zımni bir rızanın varlığı varsayılabilir.
Uygulama önerisi
- Üçüncü taraf linklerini kaynak gösterimi ve kullanıcıyı bilgilendirme ile sunun.
- Bağlantıların “resmî kaynak” olup olmadığını netleştirin (özellikle mevzuat ve uyum içeriklerinde).
- Gerekiyorsa “harici site” uyarısı ve gizlilik notu ekleyin.
3. Elektronik İmzalar
Kanun dijital veya e-imzaları nasıl tanır?
Türkiye, AB’nin 1999/43/EC Direktifinden büyük ölçüde etkilenerek 5070 sayılı Elektronik İmza Kanunu’nu 2004 yılında yürürlüğe almıştır. Bu çerçevede e-imza; uygun teknik altyapı ve sertifika hizmet sağlayıcıları üzerinden üretildiğinde, birçok işlemde yazılı imza ile benzer hukuki sonuçlar doğurabilir.
Uygulamada e-imza; sözleşmelerin imzalanması, onay süreçlerinin kayıt altına alınması, kimlik doğrulama ve yetkilendirme gibi alanlarda e-ticaret şirketlerine önemli kolaylıklar sağlar. Özellikle uzaktan satış sözleşmeleri, tedarikçi sözleşmeleri ve kurumsal onay süreçlerinde e-imza süreçleri operasyonu hızlandırabilir.
4. Müşteri Profili Oluşturma: Çerezlerle Hedefli Reklam ve KVKK
Çerezler aracılığıyla müşteri profili oluşturma, Türkiye’de temel olarak kişisel verilerin korunması kapsamında değerlendirilir. Çerezler; diğer bilgilerle birleştirildiğinde bireyleri tanımlayabiliyorsa kişisel veri olarak nitelendirilebilir. Bu nedenle çerez kullanımı sadece “teknik” bir konu değil; aydınlatma, hukuki dayanak ve rıza yönetimi konusu haline gelir.
Hangi düzenlemeler ilişkilidir?
- Elektronik Haberleşme Kanunu (2002/58/EC yaklaşımına paralel hükümler): Özellikle yetkili işletmeciler/operatörler gibi belirli aktörleri kapsar.
- KVKK: Elektronik haberleşme kapsamı dışında kalan diğer tarafların çerezler yoluyla yaptığı işleme faaliyetlerinde temel çerçevedir.
Uygulamada kritik ayrım: Zorunlu çerezler vs. pazarlama/profil çerezleri
Sitenin çalışması için gerekli (zorunlu) çerezlerde sözleşmenin ifası veya meşru menfaat gibi farklı değerlendirmeler gündeme gelebilir. Ancak amaç pazarlama, profil oluşturma veya hedefli reklam ise, veri sorumlularının kural olarak açık rıza ve kapsamlı aydınlatma temeline dayanması beklenir.
Hangi çerez, hangi amaç, hangi süre, hangi üçüncü taraf? Net ve katmanlı anlatım.
Zorunlu olmayan çerezlerde aktif tercih ve kolay geri alma (opt-out/withdraw).
Çerez listesi, üçüncü taraf SDK/piksel, hedefleme araçları ve versiyon takibi.
Gereksiz ölçümlerden kaçın; veri saklama süresi ve erişimi kısıtla.
5. Veri İhlali ve Siber Güvenlik
E-ticarete özel veri ihlali bildirimi veya siber güvenlik yasaları var mı?
KVKK; kişisel verilerin hukuka aykırı erişimini veya işlenmesini önlemek için veri sorumlularının gerekli teknik ve organizasyonel önlemleri almasını şart koşar. Ayrıca ihlalden etkilenen kişilerin tespitinden sonra, veri sahiplerinin mümkün olan en kısa sürede bilgilendirilmesi beklenir. Buna ek olarak, E-Ticarette Hizmet Sağlayıcılar ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik de hizmet sağlayıcı ve aracı hizmet sağlayıcıların kişisel veri güvenliği ihlallerini önlemeye yönelik tedbirler almasını gerektirir.
6. Veri İhlallerini Önlemek ve Siber Güvenliği Sağlamak İçin Tedbirler
KVKK, kontrolörlerin gerekli tüm teknik ve organizasyonel önlemleri uygulaması gerektiğini vurgularken, “nasıl” sorusunu şirketin risk değerlendirmesine bırakır. Bu nedenle doğru başlangıç; riskleri ve tehditleri belirlemektir.
Risk temelli yaklaşım (başlangıç adımları)
- Hassas/özel nitelikli veri işlenip işlenmediğini ve bu veriler için beklenen gizlilik düzeyini değerlendirin.
- Bir ihlalin olası etkilerini (müşteri, itibar, finansal, operasyonel) senaryo bazlı analiz edin.
- Veri akışlarını (toplama–işleme–saklama–aktarımı) çıkarın ve zayıf noktaları belirleyin.
Organizasyonel tedbirler
- Farkındalık ve eğitim: Çalışanların sosyal mühendislik, oltalama, parola hijyeni, veri paylaşımı konusunda eğitilmesi.
- Politika ve prosedür: Kişisel veri güvenliği politikası, olay müdahale planı, erişim yönetimi prosedürü.
- Rol ve sorumluluk: Olay müdahalesinde kim ne yapacak? Onay zinciri ve iletişim planı.
Teknik tedbirler (pratik örnekler)
- Yama yönetimi: Güvenlik duvarı, sistem ve uygulama güncellemeleri; bilinen zafiyetlerin kapatılması.
- Loglama ve izleme: Günlük kayıtlarının tutulması, anomali tespiti ve raporlama mekanizması kurulması.
- Şifreleme: Uluslararası kabul görmüş şifreleme yöntemleri; anahtar yönetimi ve gerektiğinde anahtar imhası.
- Çok faktörlü kimlik doğrulama (MFA): Yönetici panelleri, ödeme/CRM sistemleri, bulut hesapları için zorunlu kılma.
- Yedekleme ve izolasyon: Ayrı yedekleme sunucuları, fiziksel güvenlik, yalnızca yetkili yöneticinin kontrolü.
- Fiziksel güvenlik: Kişisel veri içeren cihazların güvenli ortamda tutulması, erişim kayıtları.
7. Sık Sorulan Sorular (SSS)
Türkiye’de e-ticaretin ana kanunu hangisidir?
E-ticari iletişim, hizmet sağlayıcı/aracı hizmet sağlayıcı ve bilgilendirme yükümlülükleri açısından ana çerçeveyi 6563 sayılı Kanun belirler. Ancak KVKK, 5651, 6493 ve 5070 gibi diğer kanunlar da süreçlere göre devreye girer.
Çerezler her zaman kişisel veri sayılır mı?
Çerezler tek başına her zaman kişisel veri olmayabilir; ancak diğer bilgilerle birleştirildiğinde kişiyi tanımlayabiliyorsa kişisel veri niteliği kazanabilir. Bu nedenle çerez amaçları ve kapsamı netleştirilmelidir.
Hedefli reklam ve profil çıkarma için açık rıza gerekir mi?
Pazarlama veya profil oluşturma amacıyla çerez/benzeri izleme teknolojileri kullanılacaksa, kural olarak açık rıza ve aydınlatma temelinde ilerlenmesi beklenir. Zorunlu çerezler ise ayrı değerlendirilir.
Veri ihlali olursa ilk yapılacaklar neler?
İhlalin etkisini sınırlamak (izolasyon), kapsamı belirlemek (hangi veri/kaç kişi), delilleri korumak, gerekli bildirim ve bilgilendirme süreçlerini başlatmak ve tekrarını önleyici aksiyon planı çıkarmak kritik adımlardır.
Üçüncü taraf sitelere link vermek için izin gerekir mi?
Genel olarak, internette serbestçe erişilebilir içeriklere ana sayfa linki vermek her zaman önceden izin gerektirmez. Ancak teknik kısıtlar, telif/marka kullanımı ve yanıltıcı yönlendirme gibi durumlarda ek riskler oluşabilir.
E-imza e-ticarette nerelerde işime yarar?
Tedarikçi sözleşmeleri, kurumsal onay süreçleri, uzaktan imzalama, sözleşme arşivleme ve doğrulama akışlarında operasyonu hızlandırır. Sağlam tasarım için doğrulama, loglama ve sertifika yönetimini de planlamak gerekir.
