Sizin de bildiğiniz üzere, artık kişisel verilerimizin korunmasına dair bir kanunumuz mevcut. Kişisel verileri depolama, işleme ve üçüncü kişilerle paylaşma eylemlerini belli kurallara tabi kılan bu kanun, bu yıl 7 Nisan’da Resmi Gazete ’de yayınlandı ve yürürlüğe girdi. Ancak bazı düzenlemeler için yürürlük tarihi olarak 7 Ekim 2016 belirlenmişti. Bu tarih ile de verilerin üçüncü kişilere ve yurtdışına aktarımı, veri sorumlusuna başvuru hakkı, şikâyet hakkı ve yaptırımlara ilişkin düzenlemeler yürürlüğe girmiş oldu.
Gizlilik bildirimi şart! E-ticaret sitelerinde bulunması gereken hukuki metinlerden geçtiğimiz aylarda bahsetmiştim, gizlilik protokolü de bunlardan biri. Ancak hala eskisi gibi sıradan bir gizlilik bildirimi yayınlıyorsanız, bu gizlilik bildiriminin kapsamının biraz daha genişletilmesi gerekecek. Yukarıda bahsettiğim kanuna uyumluluğunuzu ortaya koymanız, kullanıcıları yani tüketicileri bu anlamda açıkça bilgilendiriyor olmanız önemli. Diğer yandan onların da bu metni okuduğu, anladığı ve kabul ettiğine dair onay vermeleri gerekiyor.
Kullanıcının hakları: Kullanıcının yeni kanuna göre verilerin işlenip işlenmediğini, hangi verilerinin ne amaçla işlendiğini, hangi verilerinin, ne amaçla kimlerle paylaşıldığını, hangi yöntem ve amaçlarla kişisel verilerin elde edildiğini, yurtiçi veya yurtdışında kimlerle paylaşıldığını artık bilme hakkı var.
Bunların yanında bu veriler ile ilgili verdiği rızaları geri alma, buna bir son verme, verilerin silinmesini veya yok edilmesini isteme hatta zarar doğdu ise zararın tazminini talep etme hakkı da bulunuyor.
Dolayısıyla hem onay almak gerekiyor, hem de kullanıcılara bu sorgulama hakkını tanımak gerekiyor.
Onay nasıl alınacak dersek, yazılı onay almak için, kullanıcıya bu tür sözleşmeleri onayladığına dair bir onay kutusu sunulması en pratik çözümdür. Böylece yazılı olarak onların onayını almış olursunuz. Pek çok sitede kullanıcı sözleşmesi ile gizlilik bildirimi için aynı anda onay alındığına tanık olabilirsiniz, ancak yeni kişisel veriler kanunu oldukça detaylı yükümlülük getirdiğinden, bu sözleşmeler için ayrı ayrı onay almanız daha kesin olacaktır. Nitekim açık rıza almak, verilerin işlenmesi için bu kanunla getirilen şartlardan biri.
Ancak bunun istisnaları da düzenlenmiş, örneğin bu veriyi kişi kendisi açıklayıp alenileştirmiş ise veya hizmeti verebilmek için doğrudan bu veriye ihtiyaç varsa rıza zorunluluğu bulunmuyor. Diğer istisnai haller için kanunun detaylı bir şekilde incelenmesi yerinde olacaktır. Tam tersi şekilde açık rıza olmadan işlenemeyecek veriler de yine kanunda düzenlenmiştir; örneğin kişileri ırk, din, dil, cinsiyet gibi sınıflandırmaya yetecek şekilde veya biyometrik vs gibi hassas veriler söz konusu ise, nitelikli sayılıyor ve işlenmesi için rıza almak kesin şart.
Kullanıcılara sorgulama hakkını tanımak gerekiyor dedik, bu nasıl olacak dersek; Bunun için de gizlilik bildiriminizde mutlaka kullanıcıların kanuni haklarını ileri sürebilmesi ve size sorularını sorabilmesi için bir iletişim e-posta adresine yer vermeniz gerekiyor. Gelen talep ve soruları ise 30 gün içinde ücretsiz cevaplamak gerekiyor, ancak tabi bu talebin cevabı için gereken işlemler maliyet gerektiriyorsa, kanunen bunu talep etme hakkınız saklı tutulmuş. Fakat haksız durumda olduğunuz ispatlanırsa ücreti de iade etmeniz gerekiyor.
Peki ya yurtdışı? Kanunda getirilen düzenlemelere göre; kişisel verileri sadece yurtiçinde değil, yurtdışına da aktarmak için de açıkça rıza almak gerekiyor. Örneğin hizmet servis sağlayıcınızın yurtdışında olması durumunda verilerin buraya aktarılabileceğini, depolanabileceğini, burada işlenebileceğini rıza verilmesi beklenen koşullara eklemiş olmanız gerekir. Ancak elbette o ülke mevzuatının da bu verileri koruyor olması gerekiyor.
Bu kadarı yeterli mi? Tüm bu düzenlemelerin yanında gizlilik politikanızda elbette, çerezlerin nasıl kullanıldığı, kredi kartı bilgilerinin saklanıp saklanmadığı, sistem güvenliği için alınan önlemler, başka sitelere bağlantı verilmesi halinde sorumluluk gibi hak ve yükümlülükleri de içeriyor olması gerekir. Ancak şu aşamada, kişisel veriler kanununda düzenlenen gereklilikler yerine getirilmez ise, hakkınızda şikayet olabilir ve tazminat talebinde bulunulabilir. Diğer yandan kanunda düzenlenen inceleme ve denetlemelere tabi olabilir, hakkınızda TCK gereği de yaptırım uygulanabilir.
‘ Bu yazı ilk olarak E-ticaret Çağı dergisinin Aralık 2016 sayısında yayınlanmıştır.’