E-Ticaret Siteleri İçin KVKK Uyum Rehberi
Bugün bir e-ticaret sitesi işletmek, sadece ürün satmaktan ibaret değil. Aynı zamanda müşterilerinizin kişisel verilerini topluyor, kullanıyor ve saklıyorsunuz. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bu süreçte size yol gösteriyor. Kanun, işinizi zorlaştırmak için değil, müşterilerinizle aranızda güven ve şeffaflık oluşturmanız için var.
Bu rehberde, KVKK’yı adım adım, anlaşılır bir dille anlatıyoruz. Üyelik formlarından ödeme sayfalarına, çerezlerden reklam e-postalarına kadar e-ticaretin her aşamasında nelere dikkat etmeniz gerektiğini, hiç hukuk bilmeyen birinin bile anlayacağı şekilde sadeleştirdik.
Temel Kural: KVKK bir kere yapılıp biten bir iş değil, sürekli dikkat etmeniz gereken bir süreçtir. Müşteri güveni kazanmanın en kestirme yoludur.
Kritik Ayrım: Aydınlatma yapmak her zaman zorunlu, ama açık rıza sadece bazı durumlarda gerekli. (Örneğin: Reklam maili göndermek için rıza şart.)
Olması Gerekenler: Kolay anlaşılır aydınlatma metni, çerez yönetim paneli, İYS’ye kayıt ve temel güvenlik önlemleri.
Fırsat: Verileri korumak, müşteri gözünde markanızı bir adım öne çıkarır.
1. E-Ticarette KVKK’nın 5 Altın Kuralı
KVKK’nın özü aslında çok basit: Müşterilerinizin verilerine, size nasıl davranılmasını istiyorsanız öyle davranın. İşte bu anlayışı somutlaştıran 5 ilke:
- Dürüst ve şeffaf olun: Verileri neden topladığınızı gizlemeyin. Küçük puntolarla geçiştirmeyin.
- Amacınız net olsun: “İleride lazım olur” diye veri toplamayın. Örneğin, adresi sadece kargo için istediyseniz, bunu pazarlama amaçlı kullanamazsınız.
- Sadece gerekli olanı isteyin: Sipariş için T.C. kimlik numarasına gerçekten ihtiyacınız var mı? Ne kadar az veri, o kadar az sorumluluk.
- Verileri güncel tutun: Müşterilerinize adres veya telefon değişikliği yapabilecekleri bir alan açın.
- Gereksiz yere saklamayın: Verileri sonsuza kadar elinizde tutamazsınız. Yasal süre dolunca silin veya anonim hale getirin.
2. Aydınlatma ve Açık Rıza: İkisi Farklı!
En çok karıştırılan iki kavram: Aydınlatma ve Açık Rıza. Gelin basitçe açıklayalım.
2.1. Aydınlatma Yükümlülüğü (Bilgi Verme Zorunluluğu)
Bir müşteriden veri alıyorsanız, ona mutlaka bilgi vermek zorundasınız. Bu, onay almak değil; bilgilendirmektir. Tıpkı bir ürünün etiketini okumak gibi.
Nasıl yapmalı?
- Katmanlı anlatın: Formun hemen üstünde kısa bir özet, “detaylı bilgi” linki ile uzun metne yönlendirin.
- Zamanında yapın: Veriyi almadan hemen önce bilgilendirin.
- Neler olmalı? Kim olduğunuz, veriyi neden istediğiniz, kimlerle paylaşabileceğiniz ve müşterinin hakları (verisini silme, düzeltme gibi).
2.2. Açık Rıza (İzin)
Her veri işleme için izin almanız gerekmez. Sadece kanundaki diğer sebepler (sözleşme, yasal zorunluluk gibi) yoksa izin alırsınız.
E-Ticarette izin gereken durumlar:
- Reklam, kampanya maili veya SMS’i göndermek (ETK onayı ile birlikte).
- Verileri yurt dışına aktarmak (örneğin sunucu yurtdışındaysa).
- Müşteri alışkanlıklarını analiz edip özel reklam göstermek (profil oluşturma).
- Hassas veri işlemek (çok nadir, örneğin sağlık ürünü satışında engellilik durumu).
Geçerli bir izin nasıl olmalı?
- Konu net olmalı: “Tüm verilerimi işleyebilirsiniz” gibi toptancı izin geçersiz.
- Ne için izin verdiğini bilmeli: Aydınlatma metnini okuduğunu varsayıyoruz, yani bilgili olmalı.
- Özgür iradeyle vermeli: Üye olmak için “SMS almayı kabul ediyorum” kutucuğunu zorunlu kılamazsınız. İkisi ayrı kutucuk olmalı ve biri önceden işaretli olmamalı.
3. Hangi Veriyi, Hangi Sebeple İşliyorsunuz?
KVKK, her veri işleme için bir “dayanak” arar. İşte e-ticarette en sık kullanılan dayanaklar ve örnekleri:
| Süreç / Faaliyet | İşlenen Başlıca Veriler | Dayanak (KVKK m.5) | Basit Açıklama |
|---|---|---|---|
| Üyelik işlemleri | Ad, soyad, e-posta, şifre | Sözleşme kurulması | Üyelik sözleşmesi yapıyorsanız, bu veriler olmadan olmaz. |
| Sipariş ve kargo | Ad, adres, telefon, sipariş detayı | Sözleşmenin ifası | Siparişi teslim etmek için bu bilgiler şart. |
| Fatura kesme | Ad, TC (bazen), fatura adresi | Yasal zorunluluk | Vergi kanunları fatura kesmeyi zorunlu kılar. |
| Ödeme işlemi | Kredi kartı bilgileri (genelde ödeme kuruluşuna gider) | Sözleşmenin ifası | Ödeme olmadan sipariş tamamlanmaz. (Kart bilgilerini siz saklamayın, ödeme kuruluşuna yönlendirin.) |
| Müşteri hizmetleri | Ad, iletişim bilgisi, talep içeriği | Sözleşme veya meşru menfaat | Şikayet veya soruyu çözmek için gerekli. |
| Reklam ve pazarlama (mail/SMS) | E-posta, telefon, alışveriş geçmişi | Açık Rıza | Reklam göndermek için mutlaka izin almalısınız. |
| Site güvenliği ve log kayıtları | IP adresi, ziyaret saati, yapılan işlemler | Meşru menfaat ve yasal yükümlülük | Sitenizi korumak ve yasalara uymak için log tutmak gerekir. |
4. Çerezler (Cookies) ve İzin Süreci
Çerezler, web sitenizin düzgün çalışmasını sağlayan küçük dosyalardır. Ama bazı çerezler müşteriyi takip eder, profil çıkarır. İşte burada devreye giriyoruz.
4.1. Hangi Çerez, Ne Kadar İzin İster?
- Zorunlu çerezler: Site çalışsın diye gerekli (sepet, oturum). Bunlar için izin almazsınız, dayanak “sözleşme” veya “meşru menfaat”tir.
- İşlevsellik çerezleri: Dil tercihi, bölge seçimi gibi. Duruma göre izin gerekebilir.
- Performans çerezleri: Google Analytics gibi, siteyi nasıl kullandığınızı analiz eder. Dikkatli olunmalı.
- Reklam çerezleri: Sizi takip edip ilginize göre reklam gösterir. Bunun için mutlaka açık rıza almalısınız.
4.2. Çerez Banner’ı (Çerez Bildirimi) Nasıl Olmalı?
Sitenize giren birine çerez sorduğunuz o küçük pencere. İşte olmazsa olmazları:
- Kısa bilgi: Çerez kullandığınızı söyleyin, detaylı politika linki verin.
- Seçenek sunun: Sadece “Kabul Et” değil, “Reddet” veya “Ayarlar” da olsun. Kullanıcı reddedebilmeli.
- Varsayılan kapalı olsun: Reklam çerezleri, kullanıcı onay vermeden çalışmamalı.
- Geri alma imkanı: Kullanıcı daha sonra fikrini değiştirip izni geri alabilmeli. Sayfa altına “Çerez Ayarları” linki koyun.
5. Reklam E-postaları ve ETK Kuralları
E-ticaretin olmazsa olmazı pazarlama mailleri ve SMS’ler. Bu konuda KVKK dışında bir de ETK (Elektronik Ticaret Kanunu) var.
5.1. İzin Alma (Opt-in)
Ticari ileti (reklam, kampanya) göndermek için önceden izin almak zorundasınız. Bu izin, diğer sözleşmelerden ayrı, açık ve net bir onay olmalı.
- Ayrı kutu: Üyelik formunda, reklam izni için ayrı bir kutu olmalı ve önceden işaretli gelmemeli.
- Net irade: Kullanıcı kutuyu işaretlemeli; önceden işaretli kutu geçersiz.
İstisna: Müşteri sizinle iletişime geçmişse ve aldığı ürün/hizmetle ilgili bilgi mesajı (örnek: kargo gecikmesi) gönderebilirsiniz. Ama bu istisna reklam için geçerli değil.
5.2. İYS (İleti Yönetim Sistemi)
Ticari ileti gönderen herkes İYS’ye kaydolmak zorunda. Aldığınız izinleri bu sisteme yükleyin ve gönderim öncesi sorgulama yapın.
5.3. Ret Hakkı (Vazgeçme)
Her mesajın sonunda “abonelikten çık” veya “RET yaz gönder” gibi bir yöntem olmalı. Ret geldiğinde 3 iş günü içinde iletişimi durdurun.
6. Veri Güvenliği İçin Pratik Önlemler
KVKK size “verileri koru” der. Peki pratikte ne yapmalısınız?
6.1. Teknik Önlemler
- SSL sertifikası: Adres çubuğunda kilit işareti olsun. HTTPS şart.
- Erişim kontrolü: Müşteri verilerine sadece ihtiyacı olan çalışanlar erişebilsin. Güçlü şifreler, mümkünse iki adımlı doğrulama.
- Güncellemeler: E-ticaret altyapınızı, eklentileri sürekli güncelleyin, güvenlik yamalarını kaçırmayın.
- Ödeme güvenliği: Kredi kartı bilgilerini kendi sunucunuzda SAKLAMAYIN. Ödeme kuruluşlarına (PayTR, Iyzico vb.) yönlendirin veya PCI-DSS uyumlu altyapı kullanın.
- Yedekleme: Düzenli yedek alın ve yedekten dönüş testi yapın (fidye yazılıma karşı).
- Log kayıtları: Kim, ne zaman, ne yapmış kayıt altına alın. Gerektiğinde delil olarak kullanın.
6.2. İdari Önlemler
- Veri envanteri: Hangi veriyi, nerede, neden sakladığınızı listeleyin. Ne zaman sileceğinizi de not edin.
- Politikalar hazırlayın: Saklama ve imha politikası, güvenlik politikası gibi belgeler oluşturun.
- Çalışanları eğitin: KVKK ve güvenlik konusunda personelinizi bilinçlendirin. En zayıf halka insandır.
- Tedarikçi sözleşmeleri: Kargo, yazılım, bulut hizmeti aldığınız firmalarla yaptığınız sözleşmelere veri güvenliği maddeleri ekleyin.
- Veri ihlali planı: Bir saldırı veya sızıntı olursa ne yapacağınızı önceden belirleyin. KVKK’ya ihlali 72 saat içinde bildirmeniz gerekir.
7. Sık Sorulan Sorular
Sitem çok küçük, KVKK bana da mı uygulanır?
Evet. KVKK, büyük küçük demeden kişisel veri işleyen herkes için geçerli. Sadece VERBİS’e kayıt için belirli bir çalışan sayısı veya mali büyüklük aranıyor, ama kanunun diğer kuralları (aydınlatma, güvenlik) herkes için bağlayıcı.
Adresi kargoya veriyorum, bu veri aktarımı mı?
Evet, bu bir veri aktarımıdır. Aydınlatma metninde kargo firmalarına veri aktarılacağını belirtmelisiniz. Ama bu aktarım için ayrıca izin almanıza gerek yok; “sözleşmenin ifası” dayanağı yeterli.
Misafir olarak alışveriş yapanın verileri ne olacak?
Onların verilerini de aynı kurallar korur. Sadece sipariş için işleyin, yasal süre sonunda silin. Pazarlama için kullanamazsınız.
Hazır altyapı kullanıyorum (Ticimax, İdeosoft vb.), sorumluluk bende mi onlarda mı?
Veri sorumlusu sizsiniz, çünkü verileri toplama amacını siz belirliyorsunuz. Altyapı firması “veri işleyen” konumunda. Kanun öncelikle sizi muhatap alır. Ama onların da KVKK’ya uygun araçlar sunması gerekir.
