KVKK

İnternet siteleri için KVKK uyumu

Bir veri sorumlusunun Kişisel Verilerin Korunması Kanunu’nun öngördüğü şartları sağlaması her zaman tek başına mümkün olmaz. Hele ki çok çalışanı olan ya da karmaşık organizasyon yapısı olan veya hassas veriler işleyen veri sorumluları için bu daha da zor olur. Peki ya web siteleri? Bir internet sitesinde KVKK uyumu nasıl sağlanabilir? Bu konuyu sizin için hem de kendi web sitem üzerinden örneklendirerek yazdım.

Kimler KVKK kapsamında?

KVKK kapsamını daha önce detaylıca açıklamıştım: https://mustafabaysal.com/kvkk-kapsami/

Yazıdan da görebileceğiniz üzere; eğer kişisel verileri otomatik yolla işleyen bir gerçek ya da tüzel kişi iseniz, Kanun kapsamına giren gruplardan birisi de siz oldunuz demektir.

O halde şu soruyu sorarak işe başlamalısınız: İnternet sitesi sahibi olarak ben de otomatik yollarla kişisel veri işliyor muyum?

Bu soruya sizin yerinize ben cevap verebilirim: EVET.

İlgili Makaleler

Web sitesinde işlenen kişisel veriler

Bir web sitesinde hangi kişisel veriler işlenir? Bu sorunun cevabı elbette siteden siteye değişecektir; fakat aşağıda yazılı ziyaretçiye ait kişisel bilgilerin birçok internet sitesinde ortak olarak işlendiğini söyleyebiliriz:

  • Ziyaretçinin IP adresi
  • Tarayıcı bilgisi
  • Şehir / yer bilgisi
  • Hangi sayfaları ziyaret ettiği

Özellikle e ticaret sitelerinde yukarıdakiler ek olarak çok daha fazla kişisel veri elde edilir:

  • Adı soyadı
  • Cinsiyeti
  • Doğum tarihi
  • Satın alma geçmişi
  • Kredi kartı ve banka bilgileri
  • Adres bilgisi
  • Kıyafet bedeni
  • Ayakkabı numarası
  • E-posta adresi
  • Telefon numarası

Yukarıdaki örnekler neredeyse sınırsız olarak çoğaltılabilir. Ancak hiçbir verinin işlenmediği zannedilen kişisel bloglarda dahi en azından ilk bölümdeki kişisel veriler işlenmektedir.

internet sitesi kvkk

İnternet sitesinde KVKK uyumu nasıl olur?

İnternet siteleri de Kanun karşısında nihayetinde birer veri sorumlusundan ibarettir. Yani yükümlülükler ve haklar bakımından bir market, eczane ya da bakkal sahibi olmakla arasında bir fark bulunmaz.

Bunun anlamı; internet sitesi sahiplerinin de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun talep ettiği şartları sağlamakla mükellef olduğudur. Ancak teoride kolay gibi görünen bu iş pratikte çok ama çok zordur.

İnternet sitelerinde aydınlatma yükümlülüğü

Aslında bir internet sitesi için KVKK uyum sürecinin belki de gerçekleştirilmesi en kolay adımı bir aydınlatma metni hazırlanmasıdır.

Hazırlanan bu metnin web sitesinin görünür bir tarafında olması ve ziyaretçilerin kolayca bu metne ulaşması yeterli olacaktır.

İnternet sitelerinde açık rıza sorunu

Web sitelerinin sıkıntı yaşadığı ve yaşayacağı asıl alan burasıdır. 6698 sayılı Kanun’a göre, bir kişisel veri henüz işlenmeden ÖNCE ilgili kişi hem bilgilendirilmeli hem de açık rızası alınmalıdır.

Bunun için internet sitelerinin yaptığı en büyük ve yaygın hata, ziyaretçi siteye girdiğinde aşağıdaki gibi bir pop-up pencere çıkararak, ziyaretçiden açık rıza ve aydınlatma metni onayı almaya çalışmasıdır:

web sitesi kvkk onayı

Halbuki böyle bir onay KVKK’nın mantığına terstir. Kişisel Verileri Korumu Kurumu, açık rızanın şarta bağlanamayacağını ve tam olarak hangi konuda verildiğinin belirtilmesi gerektiğini söylemektedir:

https://kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi

https://kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar

Açık rıza nasıl olmalı?

Bir kere, ziyaretçinin karşısına çıkan “Sitemizi kullanarak, çerezleri kullanmamızı kabul edersiniz” ibaresi kesinlikle yasanın ruhuna aykırıdır.

Olması gereken; bu tür bir onayda ziyaretçiye seçenek sunmaktır. Bu seçenek örneğin şöyle sunulabilir:

“…… kabul ediyorsanız TAMAM’a basabilirsiniz; TAMAM’a basmadığınız müddetçe kişisel verileriniz işlenmeyecektir.”

İşte yasanın ruhuna uygun olan açık rıza ancak böyle alınabilir. Böylece ziyaretçiye açık rıza verme ya da vermeme seçenekleri sunulmuş olur. Aksi takdirde alınan onay, görüntüden başka bir anlam ifade etmeyecektir.

internet sitesi kvkk uyumu nasıl olmalı?

Web sitelerinde KVKK ile ilgili teknik sorunlar

Buraya kadar işin nasıl olması gerektiğini açıkladım; ancak madalyonun bir de diğer yüzü var. Bu yüz teknik ve yazılımsal bir yüz ve herkesin bunun altındak kalkması mümkün değil.

Evet, yazılım dünyasında her şey mümkün ve bir web sitesinin özel bir yazılım yaptırarak yukarıda belirttiğim şekilde bir onay alması mümkün.

Fakat şu bir gerçek ki; internet üzerinde yer alan sitelerin belki ancak binde biri bu yetiye ve maddi güce sahiptir.

Şu an içinde gezindiğiniz mustafabaysal.com gibi kişisel blogların ve web sitelerinin bunları yapmaya gücü yetmeyecektir. Gelin, bu durumu kendi web sitem üzerinden örneklendireyim.

Örnek bir web sitesinde KVKK uygulaması

Mustafabaysal.com sitesinde hiçbir kişisel veriyi işlememeye gayret ediyorum. Bunun nedeni, mevzuatı bilmem ve sorumluluk almak istememem. Bu nedenle web sitemde reklam yok, e-posta aboneliği sistemi yok ve hatta siteme abonelikleri dahi kapattım.

Çünkü benimki gibi hiçbir geliri olmayan bir web sitesinin, yukarıda belirttiğim gibi açık rıza alacak bir sistemi yaptırması onbinlerce liraya mal olacaktır. Bu nasıl bir sistem olmalı?

  • Her ziyaretçinin IP’sini tespit etmeli ve aynı IP tekrar geldiğinde aynı soruları ona sormamalı
  • Yeni IP ziyareti olduğunda bir POP-up çıkarmalı ve bu Pop-up ziyaretçiyi aydınlatma metnine yönlendirecek bir link içermeli.
  • Aynı zamanda bu Pop-up bir de “ziyaretçi açık rıza metni”ne bağlantı vermeli
  • Yine Pop-up’ta ziyaretçiye isterse açık rıza metni kapsamında kişisel verilerinin işlenmesine ONAY vermesi ya da ONAY VERMEMESİ bir seçenek olarak sunulmalı.
  • Bu yazılım, onay veren IP’ler için ayrı ve onay vermeyen IP’ler için ayrı web sitelerini / sayfaları / yazıları / üyelik sistemini ziyaretçiye sunmalıdır.
  • Böylece onay vermeyen ziyaretçinin hiçbir bilgisini kaydetmemeli, onun abone olmasına ya da yorum yazmasına ya da iletişim formunu doldurmasına izin vermemelidir.

Yukarıda yazdıklarım size abartı mı geldi? Abartı gibi göründüğünü biliyorum; fakat olması gerekenin kesinlikle bu olduğunu söylemeliyim.

internet sitesi aydınlatma metni örneği

Ucu açık açık rıza alınması

İnternet sitelerinde yer alan açık rıza metinleri TORBA metinler olmamalı ve tam olarak hangi kişisel veriler işleniyorsa, bunlarla sınırlı ve bunların işlenme amaçları ile hukuki sebeplerini açıklayıcı olmalıdır.

“Tüm kişisel verilerimin işlenmesine onay veriyorum” şeklinde alınan bir açık rıza yok hükmünde kabul edilecektir.

İnternet sitesi aydınlatma metni örneği

Aydınlatma metni; birtakım temel bilgileri içermesi gereken bir metindir. Haliyle, aydınlatma metni birçok web sitesi için benzer şekilde olabilir.

Bu nedenle sitemizde de yer alan aydınlatma metni, birçok web sitesinde pekâlâ kullanılabilir. Tabi; isim ve adres gibi bilgileri değiştirmeyi unutmamalısınız.

https://drive.google.com/file/d/1UVAZvvAen6JTRAqACBjuLqdEJsyg6ub0/view?usp=sharing

İnternet sitesi açık rıza metni örneği

Üzülerek söylemeliyim ki; böyle örnek ve maktu bir metin yoktur. Çünkü her web sitesinin işlediği kişisel veri farklıdır ve açık rıza metninin tam da her kişisel veriye ilişkin bilgileri içerecek şekilde hazırlanması gerekir.

Yine de örnek bir açık rıza metnini şu yazımızda bulabilirsiniz: https://mustafabaysal.com/acik-riza-kvkk/

WordPress KVKK eklentisi

Google üzerinden yapılan aramalarda karşıma böyle bir arama çıktı: WordPress KVKK eklentisi. Tam da yazının ilgili kısmında açıkladığım nedenlerle, böyle bir eklenti hiçbir işe yaramayacaktır.

Çünkü bu eklentiler temel olarak kişiden bir onay istemekte ve ziyaretçiye seçenek sunmamaktadır. Bu sitede benim kullanmadığım gibi, wordpress tabanlı site yöneticilerine tavsiyem o olur ki; lütfen böyle bir eklenti kullanarak site kaynaklarını boş yere tüketmeyin.

SONUÇ

Web sitesinin KVKK yükümlülüğü çok basit gibi görünse bile; kanaatimce tüm veri sorumluları arasında EN ZOR süreç olabilir.

Çünkü web sitesinde otomatik yolla işlenen ve kimisi site sahibinin bilgisinde (iletişim formu, üyelik sistem, e-posta aboneliği gibi) iken kimisi site sahibinin bilgisi haricinde olan (Adsense reklamları, IP bilgileri, çerez kullanımı, analiytics bilgileri gibi) o kadar çok kişisel veri vardır ki; çok ciddi yazılımsal yatırım yapmadan işin içinden çıkmak mümkün değildir.

Son olarak tekrar belirtmek isterim ki; internet sitesine koyulacak bir aydınlatma metni ya da ziyaretçiden alınan peşin/genel çerez kullanım onayları, web sitesinin kendini kandırmasından başka bir anlama gelmez.

Tam da bu nedenledir ki kişisel web sitemde ben; iletişim formu kullanmıyorum, e-posta aboneliği almıyorum, reklam/sponsorluk yayınlamıyorum ve siteye üyelik kabul etmiyorum. Böylece bir nebze de olsa KVKK uyumunu, adeta kişisel veri işlemeyerek, sağlamaya çalışıyorum

Bu konuda hem yorumlarınızı hem de sorularınızı merakla bekliyorum. Ayrıca web sitenizde hangi kişisel verilerin işlendiğini bulamıyorsanız, lütfen yorumlardan bana ulaşın, ücretsiz olarak size yardımcı olmaya çalışacağım (Not: KVKK danışmanlığı avukatların yapabileceği bir iştir ve bir avukattan bu konuda profesyonel yardım almanızı öneririm. Ben size ancak temel anlamda yol gösterebilirim).

12 adımda kvkk kitabı mustafa baysal

Mustafa BAYSAL

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK. Nasıl mı? Hemen üste bakın :)

İlgili Makaleler

4 Yorum

  1. Bilgilendirme için teşekkürler. Yazınıza kısmen katılıyorum eklenti dışında. WordPress altyapılı sitelerde kullanılabilir bir çok eklenti var. Ayrıca ayarları düzgün yapıldığı taktirde kullanıcıya açıkça seçme imkanı da veriyor. Kabul edilmediği taktirde, ne analytics ne de adsense kişiselleştirilmiş reklam kodları devreye giriyor. Reklam olmaması adına eklentiyi paylaşmıyorum zaten ücretsiz. Biraz araştırırsanız kolaylıkla bulabilirsiniz.

    1. Merhaba, çok değerli bir bilgi vermişsiniz. Keşke adını da verseydiniz 🙂 Birçok kimse faydalanırdı.

  2. Merhaba, hangi eklentiyi kullanayım derken yazınız karşıma çıktı. Yıllardır yayında olan blog sitemde çok ihtiyacım olmuyor. Yorum yapanların ad ve mail harici bir bilgisini tutmuyorum. Ve muhtemelen bir süre sonra yorumunu da unutuyorlardır. Tabi bu haliyle de risk var. Yok demem. Ama özellikle üyelikle veri işleyenler için bu kolay bir durum. Üyelik esnasında şartları kabul etmeyenlerin üyelik butonu aktif olmaz. Yani üye olamazlar. Üye olduktan sonrada fikrinden vazgeçenlerde üyeliğini silebilirler. Üyelik olmadan toplanan verilerde zaten sınırlı ve kişisel olması zor bir ihtimal olacaktır. Keşke arkadaş belirttiği eklentinin adını paylaşşaydı.

    1. Merhaba, katkınız için çok teşekkür ederim. Ben de eklentiyi gerçekten merak ettim. Umarım, böyle bir eklenti vardır ve birileri bunu bizimle paylaşır. Böylece ben de kullanmak isterim. Çünkü KVKK çok önemli bir süreç ve ne yazık ki çok ciddi rakamlarda idari para cezalarını içeriyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Göz Atın
Kapalı
Başa dön tuşu