E-ticaret hukuku KVKK uyumu, 2024 sonrasında artan denetimler ve yükselen ceza miktarlarıyla Türk e-ticaret işletmeleri için artık göz ardı edilemeyecek bir öncelik hâline gelmiştir. Kişisel Verilerin Korunması Kanunu (KVKK) ile Mesafeli Sözleşmeler Yönetmeliği kapsamındaki yükümlülükleri yerine getirmeyen işletmeler ciddi idari para cezalarıyla karşılaşmakta, itibar kaybı yaşamaktadır. Bu rehber, e-ticaret sitenizi yasal uyuma taşıyacak pratik adımları ele almaktadır.
KVKK Nedir ve E-Ticaret İşletmelerine Yükümlülükleri
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girmiş ve Avrupa'daki GDPR ile paralel koruma standartları getirmiştir. E-ticaret işletmeleri, müşteri adı-soyadı, e-posta adresi, teslimat adresi, telefon numarası ve ödeme geçmişi gibi kişisel verileri işlediğinden 'veri sorumlusu' sıfatını taşır. Bu sıfat, verinin toplanması, saklanması, işlenmesi ve silinmesi aşamalarında çeşitli yasal yükümlülükler doğurmaktadır. Veri Sorumluları Sicili'ne (VERBİS) kayıt, yıllık net cirosu beş yüz milyon TL'yi aşan ya da yurt dışına veri aktaran işletmeler için zorunludur; ancak KVKK kapsamındaki yükümlülükler tüm işletmeler için geçerlidir.
- Açık rıza zorunluluğu: Pazarlama e-postası göndermek, profil oluşturmak veya üçüncü taraflarla veri paylaşmak için açık, özgür ve aydınlatılmış rıza alınmalıdır.
- Aydınlatma metni: Veri toplamadan önce kullanıcıya hangi verinin neden toplandığını, kimlerle paylaşılacağını ve saklama süresini açıklayan bir metin sunulmalıdır.
- Veri minimizasyonu: Yalnızca hizmet için zorunlu olan veriler toplanmalı; sipariş için gerekmiyorsa doğum tarihi veya TC kimlik numarası talep edilmemelidir.
- Veri güvenliği: SSL zorunluluğu, şifreli veri tabanı, erişim yetkilendirmesi ve düzenli güvenlik güncellemeleri teknik tedbirlerin temelini oluşturur.
Çerez Politikası Zorunlulukları
KVKK ve ilgili ikincil mevzuat kapsamında e-ticaret siteleri, kullanıcının açık rızası olmaksızın analitik, pazarlama veya hedefleme çerezlerini yerleştirememektedir. Yalnızca zorunlu çerezler (oturum yönetimi, sepet hatırlama) rızaya gerek duyulmaksızın kullanılabilir. Siteye ilk girişte kullanıcıya çerez kategorilerini (zorunlu, işlevsel, analitik, pazarlama) ayrı ayrı kabul edip reddetme imkânı sunan bir onay panosu (cookie banner veya cookie consent manager) sunulmalıdır. 'Tümünü Kabul Et' butonu kadar belirgin bir 'Tümünü Reddet' seçeneği bulunmak zorundadır. OneTrust, Cookiebot veya yerli alternatifler bu yönetimi otomatikleştirir.
Mesafeli Satış Sözleşmesinin Zorunlu Unsurları
Mesafeli Sözleşmeler Yönetmeliği, tüketicinin sözleşme öncesinde bilgilendirilmesini ve onayının alınmasını zorunlu kılmaktadır. Mesafeli satış sözleşmesinde bulunması gereken unsurlar şunlardır: satıcının unvanı, adresi ve iletişim bilgileri; ürün veya hizmetin temel özellikleri; toplam fiyat (tüm vergiler ve teslimat ücreti dahil); ödeme, teslimat ve iade koşulları; cayma hakkı ve kullanım prosedürü; varsa teknik koruma önlemleri ile dijital içerik uyumluluğu. Sözleşme, sipariş onayından önce kullanıcının okuyup kabul ettiğini işaretleyeceği bir checkbox ile sunulmalı; ardından e-posta yoluyla kalıcı bir kopyası iletilmelidir.
14 Günlük Cayma (İade) Hakkı
Tüketicinin 7'den 14'e yükseltilen cayma hakkı süresi, 2022 yılında yürürlüğe giren değişiklikle standart hâle gelmiştir. Tüketici, ürünü teslim aldıktan itibaren on dört gün içinde hiçbir gerekçe göstermeksizin sözleşmeden cayabilir. Satıcı, iade bildiriminden itibaren on dört gün içinde ödemeyi iade etmek, tüketici ise bildirimi takip eden on gün içinde ürünü kargoya vermek zorundadır. Cayma hakkının kısıtlandığı ürün kategorileri yasada listelenmiştir: hızla bozulabilir ürünler, tüketicinin talebine göre kişiselleştirilen ürünler, ambalajı açılmış hijyenik ürünler ve dijital içerikler bu kapsama girer.
Gizlilik Politikası ve Veri Sorumlusu Yükümlülükleri
Gizlilik politikası, KVKK'nın 10. maddesi kapsamındaki aydınlatma yükümlülüğünü yerine getiren temel belgedir. Sadece şablon indirip yayınlamak yeterli değildir; politikanın gerçek veri işleme pratiklerinizi yansıtması gerekir. Politikada mutlaka yer alması gereken başlıklar şunlardır: toplanan veri kategorileri, işleme amaçları ve hukuki dayanakları, veri aktarımı yapılan üçüncü taraflar (kargo şirketleri, ödeme aracıları, reklam platformları), saklama süreleri ve veri sahibinin hakları (erişim, düzeltme, silme, itiraz). İlgili kişi başvurularını (veri silme ve erişim talepleri) otuz gün içinde yanıtlamak zorunludur; bunun için bir başvuru formu veya özel bir e-posta adresi belirlemeniz önerilir.
Cezalar, Riskler ve Uyum Kontrol Listesi
Kişisel Verileri Koruma Kurulu (KVKK Kurulu), 2024 yılında verilen kararlarla e-ticaret şirketlerine birkaç yüz bin TL ile birkaç milyon TL arasında değişen idari para cezaları uygulamıştır. Veri ihlali bildirimi yükümlülüğü de önemli bir risk noktasıdır; ihlalden haberdar olunmasından itibaren yetmiş iki saat içinde Kurul'a bildirim yapılmalıdır. Uyum kontrol listesinde şu maddeler yer almalıdır: VERBİS kaydı (zorunlu ise), aydınlatma metni, açık rıza mekanizmaları, çerez onay panosu, gizlilik politikası, mesafeli satış sözleşmesi, ön bilgilendirme formu, iade prosedürü, veri güvenliği teknik tedbirleri ve ilgili kişi başvuru kanalı.
Sık Sorulan Sorular
KVKK kapsamında küçük ölçekli e-ticaret siteleri de yükümlü mü?
Evet. KVKK, işletme büyüklüğünden bağımsız olarak kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır. VERBİS kaydı eşik değerleri kısmi muafiyet sağlasa da aydınlatma, rıza, gizlilik politikası ve veri güvenliği yükümlülükleri küçük ölçekli işletmeler için de geçerlidir.
Mesafeli satış sözleşmesi her siparişte tekrar imzalatılmalı mı?
Her sipariş sırasında sözleşme koşullarının kullanıcıya sunulması ve onaylanması gerekmektedir. Genellikle ödeme adımında 'Mesafeli Satış Sözleşmesini okudum ve onaylıyorum' şeklinde bir checkbox bu yükümlülüğü karşılar. Hesap açılışında tek seferlik imzalama yeterli değildir.
İade kabul etmeme politikası uygulanabilir mi?
Yasal cayma hakkı kapsamındaki ürünler için iade reddi mümkün değildir; bu tüketiciye tanınan vazgeçilmez bir haktır. Ancak hızla bozulabilir gıdalar, özel üretim ürünler ve ambalajı açılmış hijyenik ürünler gibi yasal istisna kategorilerinde satıcı iade kabul etmeyebilir. Bu istisnaların sözleşmede açıkça belirtilmesi zorunludur.
Veri ihlali durumunda ne yapılmalı?
Veri ihlalini öğrendiğiniz andan itibaren yetmiş iki saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. Bildirimin gecikmesi ve ihlalden etkilenen bireyleri bilgilendirmemek ek yaptırımlara zemin hazırlar. İhlal sürecinde delil koruma, etkilenen sistemleri izole etme ve hukuk danışmanlığı almak öncelikli adımlardır.
Sonuç
E-ticaret hukuku KVKK uyumu, yalnızca ceza riskini azaltmakla kalmaz; müşteri güvenini pekiştirir ve uzun vadeli marka değeri inşasına katkı sağlar. Uyum, bir defaya mahsus bir proje değil; değişen mevzuata paralel olarak güncellenmesi gereken canlı bir süreçtir. Toserof Tech. olarak e-ticaret büyüme stratejiniz için iletişime geçin.