Makale
Elektronik ticarette toplanan kişisel veriler, e-ticaret sitelerince belirli yasal şartlara dayalı olarak işlenmektedir. Bu makalede, e-ticarette işlenen kimlik, iletişim, ödeme gibi veri türleri ile bu verilerin 6698 sayılı Kanun kapsamındaki hukuka uygunluk sebepleri hukuki bir perspektifle incelenmektedir.
E-Ticarette İşlenen Kişisel Veri Türleri ve Yasal İşleme Şartları
Bilişim teknolojilerindeki gelişmelerle birlikte geleneksel ticaretin yerini alan elektronik ticaret, günümüzde bireylerin fiziksel olarak bir araya gelmeden mal ve hizmet alışverişi yapmasına olanak tanımaktadır. Bu işlemlerin doğası gereği, alıcılar ve elektronik ticaret hizmet sağlayıcılar arasında yoğun bir veri akışı gerçekleşmektedir. Elektronik ticaret platformları, sundukları hizmetleri gerçekleştirebilmek ve kullanıcı deneyimini artırmak için çeşitli kişisel veri türlerini işlemektedir. Ancak, ekonominin en değerli kaynağı haline gelen bu verilerin işlenmesi, bireylerin mahremiyeti açısından riskler de barındırmaktadır. Bu nedenle, e-ticaret sitelerinde kullanıcıların kişisel verilerinin hukuka uygun şekilde işlenmesi, güven ortamının tesisi için hayati öneme sahiptir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, elektronik ticarette verilerin işlenebilmesi için temel ilkelere uyulmasının yanı sıra, kanunda öngörülen yasal veri işleme şartlarından en az birinin bulunması zorunludur. İşletmelerin hukuki süreçlerini sağlam temellere oturtması için e-ticarette işlenen veri türlerini ve yasal dayanaklarını doğru tespit etmeleri gerekmektedir.
Elektronik Ticarette İşlenen Kişisel Veri Türleri
Elektronik ticarette, mal veya hizmetin sunulabilmesi için alıcının fiziksel, ruhsal özelliklerinden finansal bilgilerine kadar pek çok farklı kişisel veri kategorisi toplanmaktadır. Bu kapsamda en sık karşılaşılan verilerin başında kimlik verileri ve iletişim verileri gelmektedir. Sözleşmenin kurulması, üyelik işlemlerinin tamamlanması ve işlemi yapanın tespit edilmesi amacıyla ad, soyad, doğum tarihi ve gerekli olduğu durumlarda T. C. kimlik numarası işlenmektedir. Fatura düzenlenmesi, siparişin teslimi ve şikayet başvuruları gibi istisnai durumlar dışında daha az müdahaleci yöntemler tercih edilmelidir. Bununla birlikte, ürünlerin teslim edilmesi veya pazarlama kampanyalarının bildirilmesi gibi amaçlarla kullanıcıların e-posta adresi, telefon numarası ve ikametgah adresi gibi iletişim bilgileri de e-ticaret sitelerinin veri tabanlarında yer almaktadır.
Ayrıca, alıcıya sunulan hizmetin doğasına ve kullanılan platformun özelliklerine göre farklı veri türleri de elektronik ticaretin bir parçasıdır. İşletmelerin sunduğu hizmetleri daha iyi hedefleyebilmesi adına alıcıların cihazlarından elde edilen konum verileri, satın alınan ürünün niteliğine dair içerik verileri ve internet bağlantısına ilişkin log kayıtlarını kapsayan işlem güvenliği verileri sıklıkla işlenmektedir. Online alışverişin en kritik adımı olan ödeme aşamasında ise kredi kartı, banka kartı ve banka hesap bilgileri gibi ödeme verileri işlenmektedir. Bu verilerin yetkisiz kişilerin eline geçmesini önlemek için yüksek teknolojik standartlar uygulanmalıdır. Bazen alınan hizmetin niteliği gereği (örneğin özel bir diyet veya sağlık ürünü alınması), kişilerin fizyolojik yapısına dair ipuçları veren sağlık verileri gibi özel nitelikli kişisel veriler de işleme faaliyetine konu olabilmektedir.
| Veri Türü | E-Ticarette Kullanım Alanı ve Yasal Niteliği |
|---|---|
| Kimlik Verileri | Üyelik işlemleri ve fatura düzenlenmesi aşamasında işlenen ad, soyad ve kimlik numarası gibi verilerdir. |
| İletişim Verileri | Siparişin teslimi ve ticari elektronik ileti gönderimi için kullanılan telefon, adres ve e-posta adresidir. |
| Ödeme Verileri | Satış sözleşmesi kapsamında ödemenin alınabilmesi için işlenen kredi kartı ve banka hesap bilgileridir. |
| İşlem Güvenliği Verileri | Sisteme erişim sağlayan IP adresi, log kayıtları ve cihaz bilgilerini kapsayan teknik sistem verileridir. |
| Çerezler | Kullanıcının site içi davranışlarını analiz ederek profilleme ve reklam sunmak amacıyla toplanan izleme verileridir. |
Elektronik Ticarette Kişisel Verilerin Yasal İşleme Şartları
Elektronik ticaret platformlarında kişisel verilerin toplanması ve işlenmesi sürecinin, 6698 sayılı KVKK’nın 5. maddesinde sayılan hukuka uygunluk sebeplerinden en az birine dayanması zorunludur. Kişisel veri işlemenin en temel yasal şartı ilgili kişinin açık rızası şartıdır. Elektronik ticarette açık rıza alınırken, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve kullanıcının özgür iradesiyle verilmiş olması şarttır. E-ticaret sitelerinde hizmetin sunulmasının, zorunlu olmayan çerezlerin kabulüne veya pazarlama iletilerine onay verilmesi şartına bağlanması özgür iradeyi sakatladığından hukuka aykırı kabul edilmektedir. İlgili kişilere, tıpkı onay verirken olduğu gibi rızalarını kolayca geri çekme imkanı da sunulmalıdır. Ayrıca, rıza süreci ile aydınlatma yükümlülüğü birbirinden ayrı tutulmalı, metinler iç içe geçirilmeden şeffaf bir biçimde sunulmalıdır.
Açık Rıza Dışındaki Hukuka Uygunluk Sebepleri
KVKK kapsamında e-ticaret siteleri, belirli durumlarda açık rızaya ihtiyaç duymaksızın da veri işleyebilir. Bunların başında sözleşmenin kurulması veya ifası gelmektedir. Mesafeli satış veya üyelik sözleşmeleri kapsamında, satılan ürünün teslimi için adres bilgilerinin kargo firmasına aktarılması veya siparişin teyidi için iletişim bilgilerinin kullanılması sözleşmenin ifası bağlamında yasal bir işlemedir. Bunun yanında, Vergi Usul Kanunu uyarınca fatura düzenlenmesi gibi durumlar, veri sorumlusunun hukuki yükümlülüğü ve kanunlarda açıkça öngörülme şartlarına dayanır. Ayrıca, şikayet yönetimi veya olası yasal takipler için sözleşme ve fatura gibi kayıtların zamanaşımı süresince saklanması, bir hakkın tesisi, kullanılması veya korunması şartı çerçevesinde hukuka uygun kabul edilmektedir.
Elektronik ticaret şirketlerinin kendi iç işleyişlerini geliştirmesi, dolandırıcılığın önlenmesi ve müşteri ilişkilerinin yönetilmesi gibi amaçlar doğrultusunda da veriler işlenebilmektedir. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati, e-ticaret süreçlerinde sıkça başvurulan bir yasal dayanaktır. İnternet sitesinin düzgün çalışması için zorunlu olan çerezlerin kullanımı veya tüketici değerlendirmelerindeki bilgilerin iş süreçlerini iyileştirmek için analizi bu kapsama girer. Son olarak, kullanıcının ikinci el eşya satışı gibi amaçlarla kendi bilgilerini e-ticaret platformunda yayınlaması, ilgili kişinin kendisi tarafından alenileştirme şartını doğurur. Ancak bu alenileştirme, verilerin alenileştirilme amacı dışında farklı pazarlama senaryolarında kullanılmasına hukuki zemin oluşturmaz.