GDPR ile ilgili SSS

GDPR ile ilgili sıkça sorulan sorular hakkında bilgi edinin. Bu açıklamalar yalnızca bilgilendirme amaçlıdır, profesyonel ve yasal öneri niteliği taşımaz. Ülkenize ve koşullarınıza özel bilgiler için lütfen bağımsız yasal danışmanlık alın.

Shopify neden ödeme aşamasına "Hüküm ve Koşullar ile Gizlilik Politikasını Kabul Ediyorum" ifadesinin bulunduğu bir onay kutusu eklemiyor?

Shopify olarak GDPR'yi son derece özenli bir şekilde ele aldık ve platformumuzu, satıcılarımıza GDPR gibi gizlilik ve veri koruma yasalarına uygun, birinci sınıf bir ticaret deneyimi sunacak şekilde tasarladık.

Müşterilerden verilerinin işlenmesine yönelik açık ve bilinçli bir şekilde verilmiş bir onay alma süreci düzgün şekilde uygulandığında, müşteriye şeffaflık sağlayıp güvenini kazanmanın faydalı bir yolu olabilir. Ancak bu süreç düzgün şekilde uygulanmazsa onay kutuları müşterinin kafasını karıştırabilir, yanlış beklentiler yaratabilir ve hatta GDPR'ye tabi satıcılar için yasal sorunlara neden olabilir. Bu endişeler nedeniyle, ödeme iş akışımızı, ödeme aşamasına "Hüküm ve Koşullar ile Gizlilik Politikasını Kabul Ediyorum" gibi bir onay kutusu ekleyecek şekilde değiştirmemeyi tercih ettik.

Özellikle GDPR, müşterinin bilinçli bir şekilde onay vermiş olması durumu da dahil birçok nedenle satıcıların, müşteri kişisel verilerini toplayıp işleyebileceğini açıkça belirtir. Ancak GDPR, kişisel verilerin, müşterinin onayından ayrı ve bağımsız olarak işlenmesi gerekebileceği aşağıdaki gibi durumların da söz konusu olabileceğinin farkındadır:

Satıcılar, müşterilerinin verilerini işleyebilecekleri farklı yöntemler için bu yasal dayanakların birçoğundan yararlanabilir. Örneğin, bir satıcının, siparişi göndermek ve satıcının müşteriyle olan sözleşmesinin gerekliliklerini yerine getirmek için müşterinin kargo adresini kullanması gerekebilir. Benzer şekilde, bir satıcının, mahkeme celbine yanıt vermek veya vergi denetimi bağlamında kullanmak üzere kişisel verileri işlemesi yasal açıdan gerekli olabilir. Bir satıcı, diğer yasal menfaatler doğrultusunda da kişisel verileri işleyebilir.

Bununla birlikte, Avrupa'daki düzenleyici makamlar bu farklı gerekçeler arasındaki en önemli unsurun onay olduğunu belirtmektedir. Özellikle düzenleyici makamlar bir satıcının, belirli bir amaçla veri işleme onayı istedikten sonra artık yukarıdaki yasal dayanaklardan (sözleşmeler veya yasal menfaatler) yararlanamayacağını vurgulamaktadır. Ayrıca düzenleyici makamlar, onay hususunun ürün veya hizmet almanın bir koşulu haline getirilmemesi gerektiğini belirtmektedir.

Tüm bunlar neden önemli? Şimdi bir satıcının, ödeme aşamasına "Hüküm ve Koşullar ile Gizlilik Politikasını Kabul Ediyorum" ifadesinin bulunduğu bir onay kutusu eklemesi halinde neler olabileceğini bir düşünelim. Müşteri, onay vermeyi tercih etmezse (veya GDPR kapsamında kişilere verilmiş olan, onayı verdikten sonra geri çekme hakkından yararlanırsa) satıcı artık yukarıda listelenen diğer gerekçelerden yararlanamaz. Bu nedenle satıcı, GDPR kapsamında satıcının bir siparişi işlemek veya göndermek için müşterinin kişisel verilerini yasal olarak işleyemeyeceği bir konumda olabilir. Ayrıca satıcının, ödeme aşamasını değiştirip bu onay kutusunu, işlemin tamamlanması için zorunlu hale getirmesi durumunda onay vermek, ürün veya hizmet almanın bir ön koşulu haline gelmiş olur ve GDPR kapsamında zaten geçerli olmayabilir.

Bu karmaşıklık nedeniyle çok sayıda düzenleyici makam, uygun olmayabileceği durumlarda onay istemeye veya onay doğrultusunda hareket etmeye karşı uyarılarda bulunmaktadır. Örneğin, Birleşik Krallık Information Commissioner's Office şu önerileri sunar:

"İnsanlara verilerini nasıl kullanacağınıza ilişkin gerçek bir tercih hakkı ve denetim sunabiliyor, güvenlerini ve katılımlarını kazanmak istiyorsanız onay istemek, uygun bir süreçtir. Ancak gerçek bir tercih hakkı veremiyorsanız onay istemek uygun değildir. Kişisel verileri onay olmadığında da işlemeye devam ediyorsanız onay istemek yanıltıcı ve doğal olarak haksız bir uygulama olabilir.

Onay vermeyi bir hizmetin ön koşulu haline getirirseniz bunun uygun bir yasal dayanak teşkil etmesi pek olası değildir.

Kişiler üzerinde yetki sahibi olan devlet makamları, işverenler ve diğer kuruluşlar, onayın özgürce verildiğini gösterebileceklerinden emin olmadıkları sürece onay isteme sürecini uygulamamalıdır."

Satıcılarımızı desteklemek ve olumsuz yasal sonuçlardan kaçınmalarına yardımcı olmak için elimizden geleni yapmak istiyoruz. Bununla birlikte, satıcıların, müşterilerinin güvenini kazandığından emin olmak istediğinin de bilincindeyiz. Bu nedenle, satıcıların Sepet sayfasına (Ödeme sayfasına değil) "Hüküm ve Koşulları Kabul Ediyorum" gibi bir onay kutusu ekleyebilmesini sağladık. Bunu nasıl yapacağınızla ilgili bilgi edinmek için lütfen yardım belgelerimize bakın.

Not: Bu SSS bölümünde, bir ödemenin tamamlanması için izin almayı sağlayan bir onay kutusu ele alınmaktadır. Özellikle hassas içerikleri olan verileri gösterme veya toplama gibi diğer nedenlerle de onay almak isteyebilirsiniz.

Neden Shopify ile Veri İşleme Sözleşmesi (DPA) imzalayamıyorum?

GDPR, veri işleyenlerin, kişisel verileri işlemek için her bir veri sorumlusuna iletilen yazılı bir sözleşmeye (elektronik biçimlerdeki sözleşmeler de dahildir) tabi olmasını gerektirir. Bu sözleşmelerde, hangi kişisel verilerin işlendiğinin yanı sıra işleyen ile sorumlunun yükümlülükleri ve hakları da belirtilmelidir. Bu sözleşmelere genellikle Veri İşleme Sözleşmeleri (DPA) adı verilir. Temel olarak DPA, verilerin sorumlusu satıcı olduğundan Shopify'ın, kendisine verilen kişisel verileri yalnızca satıcının belirttiği şekilde işleyebileceğinin belirtildiği bir sözleşmedir.

Bu gerekliliği yerine getirmek için Shopify, Hizmet Şartlarımıza bir Veri İşleme Eki ilave etmiştir. (Hizmet Şartlarına ilave edildiğinden ve kendi başına bir sözleşme niteliği taşımadığından bu "Sözleşme" değil, "Ek" olarak adlandırılmaktadır.)

Satıcı olarak, Shopify'ın hizmetlerine kaydolduğunuzda Hizmet Şartlarını (dolayısıyla Veri İşleme Ekini) onaylamış olur ve bu hizmetleri kullanmaya devam ederek Hizmet Şartlarında yapılan tüm güncellemeleri (örneğin, Veri İşleme Ekini ilave eden güncellememiz) kabul etmiş olursunuz.

Hizmet Şartlarının, ikamet ettiğiniz yargı bölgesinin yasalarına değil, Ontario yasalarına tabi olduğunu göz önünde bulundurmanız gerekir. Bu nedenle, GDPR gibi diğer bölgesel yasalar işletmenizi ve verileri işleme biçiminizi ele alıp hizmet sağlayıcılarınızla (Shopify gibi) bağlayıcı bir sözleşmenizin olmasını gerektirebiliyor olsa da bu bölgesel yasaların, bir sözleşmenin bağlayıcı olup olmadığını belirtmesi gerekmez. Bizimle bir sözleşmenizin mevcut olması durumunda DPA'nın bağlayıcı bir sözleşme olup olmadığına, Ontario yasalarına başvurularak karar verilir.

Sonuç olarak, yargı bölgeniz bir sözleşmenin (DPA gibi) imzalanmasını gerektirse bile DPA'nız açısından bunun bir önemi olmayabilir. Ontario yasaları uyarınca, şartlarımız güncellendikten sonra hizmetimizi kullanmaya devam ettiğinizde hem Shopify'ın hem de sizin değiştirilen yeni Hizmet Şartlarına tabi olacağınızı düşünüyoruz. Shopify'ı kullanmaya devam ettiğinizde bizimle, GDPR'nin gerektirdiği şekilde Veri İşleme Ekini içeren bağlayıcı bir sözleşme imzalamış olduğunuza inanıyoruz.

Not: Üzerinde anlaşmaya varılan bir DPA'yı imzalamış bir Shopify Plus satıcısıysanız bu DPA, online DPA'mızın yerine geçer.

GDPR veya yerel gizlilik yasaları konusunda başka sorularım varsa ne yapmam gerekir?

Gizlilik veya veri koruma yasasında uzmanlaşmış yerel bir avukatla iletişime geçin.

Shopify'ın uygulamaları konusunda daha fazla bilgi edinmek için kiminle iletişime geçebilirim?

Shopify'ın uygulamaları hakkında daha fazla bilgi edinmek için privacy@shopify.com adresiyle iletişime geçin.

Mağazamı barındırması için Shopify'ı kullanırsam işletmem GDPR'ye uygun olur mu?

Hayır. Bu, otomatik bir şekilde olmaz. Shopify'ın işlemleri GDPR'ye uygun olsa ve Shopify, satıcılarının uygunluğuna yardımcı olmaya yönelik araçlar sağlıyor olsa da işletmesinin, faaliyet gösterdiği yargı bölgesinin yasalarına uygunluğunu sağlamak satıcının kendi sorumluluğundadır.

Yalnızca Shopify'ın platformunu kullanmak bir şirketin GDPR uygunluğunu garanti altına almaz.

Shopify, Standart Sözleşme Maddeleri imzalar mı?

Hayır Teknik raporumuzun (İngilizce) Veri aktarımları bölümünde açıklandığı şekilde, Shopify, veri akışlarını Shopify'ın Avrupa'daki İrlanda satış ortağına satıcılar tarafından veri aktarılabileceği şekilde yapılandırmıştır. Bu nedenle, Standart Sözleşme Maddeleri Avrupa'daki bir taraf ile Avrupa'da olmayan bir taraf arasındaki aktarımlar için onaylandığından uygun değildir.

Ayrıca doğrudan Shopify Inc.'ye yönelik aktarımlarda bu tür durumlar için Shopify, Avrupa Komisyonu'nun, Kanada gizlilik yasasına ilişkin Shopify Inc.'yi Kanada kuruluşu olarak tanımlayan yeterlilik kararını uygular.

Shopify ile satış yapmaya hazır mısınız?

Ücretsiz olarak dene