Makale
Bu makale, e-ticaret süreçlerinde tüketicilerden toplanan kimlik, iletişim, ödeme ve lokasyon gibi kişisel verilerin hukuki niteliğini incelemektedir. İlgili verilerin işlenmesi sırasında uyulması gereken hukuka uygunluk, şeffaflık, veri minimizasyonu ve amaçla sınırlılık gibi temel KVKK ilkeleri hukuki bir perspektifle değerlendirilmektedir.
E-Ticarette İşlenen Kişisel Veriler ve Veri İşleme İlkeleri
Elektronik ticaretin hızla yaygınlaşması, geleneksel alışveriş alışkanlıklarını dijital platformlara taşırken, kişisel verilerin işlenmesi konusunu da hukuki uyuşmazlıkların merkezine yerleştirmiştir. Bir e-ticaret platformu üzerinden kurulan mesafeli satış sözleşmelerinin ifa edilebilmesi, faturanın düzenlenmesi veya malın teslimi gibi gereklilikler, kullanıcıların en hassas bilgilerinin çevrim içi ortama aktarılmasını zorunlu kılmaktadır. İşletmelerin küresel pazarda rekabet avantajı elde etmek amacıyla kişilik profilleri (profilleme) oluşturması, tüketicilerin özel hayatının gizliliğini riske atabilmektedir. Bu noktada, e-ticaret pazar yerlerinde toplanan verilerin salt ekonomik bir değere indirgenmemesi ve Kişisel Verilerin Korunması Kanunu (KVKK) standartlarında sıkı bir denetime tabi tutulması hukuki bir zorunluluktur. İlgili kişilerin açık rızaları veya kanuni istisnalar kapsamında işlenen bu verilerin, yalnızca hukuka uygunluk temelinde değil, aynı zamanda e-ticaretin doğasına uygun bir biçimde, evrensel veri koruma ilkeleri gözetilerek işlenmesi gerekmektedir. Hukuk büromuzun uzmanlık alanlarından olan bu husus, e-ticaret aktörleri için kritik bir hukuki uyum sürecini ifade etmektedir.
E-Ticaret Faaliyetlerinde İşlenen Kişisel Veriler
E-ticaret platformlarında kullanıcıların kayıt, sipariş, ödeme ve teslimat aşamalarında farklı nitelikte kişisel verileri işlenmektedir. Platformlara üyelik aşamasında toplanan verilerin, hukuki düzenlemeler sınırları içinde kalması esastır. Bu kapsamda e-ticaret süreçlerinde toplanan başlıca veri kategorileri şunlardır:
- Kimlik Verileri: Ad, soyadı ve T. C. kimlik numarası gibi kişiyi tanımlayan temel verilerdir. Fatura düzenlemelerinde Vergi Usul Kanunu gereği dahi T. C. kimlik numarasının alınması her durumda katı bir zorunluluk değildir.
- İletişim Verileri: Sözleşmenin ifası ve teslimat için elzem olan adres, telefon ve elektronik posta adreslerini kapsar.
- Ödeme Verileri: Kredi kartı veya dijital cüzdan numaralarını içerir, kopyalanmaları yahut saklanmaları son derece katı güvenlik kurallarına tabidir.
- Pasif Olarak Toplanan Veriler: Kullanıcının aktif rıza beyanı olmadan sistem tarafından teknik olarak arka planda elde edilen IP adresleri, log kayıtları ve çerezlerdir.
Tüm bu verilerin elde edilmesi, tüketicilerin açık rızası veya kanuni bir sözleşme şartının ifası hukuki sebebine dayanmalıdır.
Sağlık Verileri ve Çerezlerin (Cookies) Hukuki Durumu
E-ticaret faaliyetleri kapsamında rutin verilerin dışında, kişilerin özel nitelikli kişisel verilerinin de işlenmesi ihtimal dâhilindedir. Örneğin; diyetisyen takviyeleri, diyabetik ürünler veya akıllı sağlık ölçüm cihazlarının satışı sırasında kullanıcılardan elde edilen sağlık verileri, KVKK kapsamında çok daha sıkı yasal korumalara tabidir. Bu tür özel nitelikli verilerin işlenmesi, kural olarak tüketicinin açık rızasına ve ekstra idari ile teknik tedbirlerin alınmasına dayanmak zorundadır. Öte yandan, e-ticaret sitelerinde kullanıcıların alışkanlıklarını takip etmek amacıyla yaygın olarak kullanılan çerezler (cookies) de kişisel veri mahiyetindedir. Sitenin temel fonksiyonları için mutlak zorunlu olan çerezler dışında kalan analitik, performans veya pazarlama çerezlerinin kullanımı için ilgili kişinin aktif ve aydınlatılmış rızasının alınması şarttır. Hukuka aykırı çerez kullanımı veya sağlık verilerinin izinsiz olarak profilleme amacıyla kullanılması, e-ticaret işletmelerini idari yaptırımlarla karşı karşıya bırakacaktır.
Kişisel Verilerin İşlenmesinde Temel Hukuk İlkeleri
E-ticaret platformlarının topladıkları kişisel verileri işlerken uymak zorunda oldukları en temel kural, hukuka ve dürüstlük kurallarına uygunluk ilkesidir. Bu ilke, hakkın kötüye kullanılmamasını, şeffaflığı ve kullanıcının makul beklentilerinin dışına çıkılmamasını zorunlu kılar. İkinci önemli kural, kişisel verilerin doğru ve gerektiğinde güncel tutulmasıdır. Örneğin, hatalı bir teslimat adresi veya telefon numarası nedeniyle tüketicinin mağdur olması, platformun ticari itibarını zedeleyebileceği gibi hukuki sorumluluk da doğurur. Bir diğer aşama ise, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesidir. "Kullanıcı deneyimini artırmak" gibi muğlak ifadeler hukuki belirlilik standartlarını karşılamaz; veri işleme amacının spesifik ve yasal temellere dayalı olması gerekir.
Veri Minimizasyonu ve Sınırlı Süreyle Muhafaza
Veri sorumlusu konumundaki e-ticaret işletmeleri, kişisel verileri yalnızca işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde toplamalıdır. Hukuk doktrininde veri minimizasyonu olarak adlandırılan bu kural uyarınca, örneğin yalnızca ürün teslimatı yapacak bir e-ticaret platformunun, müşterisinin sağlık verilerini veya detaylı kimlik bilgilerini talep etmesi ölçülülük ilkesine açıkça aykırıdır. İhtiyaç duyulmayan, amaca hizmet etmeyen veya ileride kullanılma ihtimaline binaen varsayımsal olarak veri toplanması hukuka aykırılık teşkil eder. İşlenen verilerin, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi de e-ticaretin temel şartlarındandır. Veri sorumluları, verilerin yasal saklama süreleri dolduğunda veya işleme amacı ortadan kalktığında bu verileri güvenli yöntemlerle silmek, yok etmek veya anonim hale getirmekle yükümlüdür.