Anasayfa/ Makale/ E-Ticarette İşlenen Kişisel Veriler ve Veri İşleme İlkeleri

E-Ticarette İşlenen Kişisel Veriler ve Veri İşleme İlkeleri

Bu makale, e-ticaret süreçlerinde tüketicilerden toplanan kimlik, iletişim, ödeme ve lokasyon gibi kişisel verilerin hukuki niteliğini incelemektedir. İlgili verilerin işlenmesi sırasında uyulması gereken hukuka uygunluk, şeffaflık, veri minimizasyonu ve amaçla sınırlılık gibi temel KVKK ilkeleri hukuki bir perspektifle değerlendirilmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
HUKUKA AYKIRILIK KVKK

Elektronik ticaretin hızla yaygınlaşması, geleneksel alışveriş alışkanlıklarını dijital platformlara taşırken, kişisel verilerin işlenmesi konusunu da hukuki uyuşmazlıkların merkezine yerleştirmiştir. Bir e-ticaret platformu üzerinden kurulan mesafeli satış sözleşmelerinin ifa edilebilmesi, faturanın düzenlenmesi veya malın teslimi gibi gereklilikler, kullanıcıların en hassas bilgilerinin çevrim içi ortama aktarılmasını zorunlu kılmaktadır. İşletmelerin küresel pazarda rekabet avantajı elde etmek amacıyla kişilik profilleri (profilleme) oluşturması, tüketicilerin özel hayatının gizliliğini riske atabilmektedir. Bu noktada, e-ticaret pazar yerlerinde toplanan verilerin salt ekonomik bir değere indirgenmemesi ve Kişisel Verilerin Korunması Kanunu (KVKK) standartlarında sıkı bir denetime tabi tutulması hukuki bir zorunluluktur. İlgili kişilerin açık rızaları veya kanuni istisnalar kapsamında işlenen bu verilerin, yalnızca hukuka uygunluk temelinde değil, aynı zamanda e-ticaretin doğasına uygun bir biçimde, evrensel veri koruma ilkeleri gözetilerek işlenmesi gerekmektedir. Hukuk büromuzun uzmanlık alanlarından olan bu husus, e-ticaret aktörleri için kritik bir hukuki uyum sürecini ifade etmektedir.

E-Ticaret Faaliyetlerinde İşlenen Kişisel Veriler

E-ticaret platformlarında kullanıcıların kayıt, sipariş, ödeme ve teslimat aşamalarında farklı nitelikte kişisel verileri işlenmektedir. Platformlara üyelik aşamasında toplanan verilerin, hukuki düzenlemeler sınırları içinde kalması esastır. Bu kapsamda e-ticaret süreçlerinde toplanan başlıca veri kategorileri şunlardır:

  • Kimlik Verileri: Ad, soyadı ve T. C. kimlik numarası gibi kişiyi tanımlayan temel verilerdir. Fatura düzenlemelerinde Vergi Usul Kanunu gereği dahi T. C. kimlik numarasının alınması her durumda katı bir zorunluluk değildir.
  • İletişim Verileri: Sözleşmenin ifası ve teslimat için elzem olan adres, telefon ve elektronik posta adreslerini kapsar.
  • Ödeme Verileri: Kredi kartı veya dijital cüzdan numaralarını içerir, kopyalanmaları yahut saklanmaları son derece katı güvenlik kurallarına tabidir.
  • Pasif Olarak Toplanan Veriler: Kullanıcının aktif rıza beyanı olmadan sistem tarafından teknik olarak arka planda elde edilen IP adresleri, log kayıtları ve çerezlerdir.

Tüm bu verilerin elde edilmesi, tüketicilerin açık rızası veya kanuni bir sözleşme şartının ifası hukuki sebebine dayanmalıdır.

Sağlık Verileri ve Çerezlerin (Cookies) Hukuki Durumu

E-ticaret faaliyetleri kapsamında rutin verilerin dışında, kişilerin özel nitelikli kişisel verilerinin de işlenmesi ihtimal dâhilindedir. Örneğin; diyetisyen takviyeleri, diyabetik ürünler veya akıllı sağlık ölçüm cihazlarının satışı sırasında kullanıcılardan elde edilen sağlık verileri, KVKK kapsamında çok daha sıkı yasal korumalara tabidir. Bu tür özel nitelikli verilerin işlenmesi, kural olarak tüketicinin açık rızasına ve ekstra idari ile teknik tedbirlerin alınmasına dayanmak zorundadır. Öte yandan, e-ticaret sitelerinde kullanıcıların alışkanlıklarını takip etmek amacıyla yaygın olarak kullanılan çerezler (cookies) de kişisel veri mahiyetindedir. Sitenin temel fonksiyonları için mutlak zorunlu olan çerezler dışında kalan analitik, performans veya pazarlama çerezlerinin kullanımı için ilgili kişinin aktif ve aydınlatılmış rızasının alınması şarttır. Hukuka aykırı çerez kullanımı veya sağlık verilerinin izinsiz olarak profilleme amacıyla kullanılması, e-ticaret işletmelerini idari yaptırımlarla karşı karşıya bırakacaktır.

Kişisel Verilerin İşlenmesinde Temel Hukuk İlkeleri

E-ticaret platformlarının topladıkları kişisel verileri işlerken uymak zorunda oldukları en temel kural, hukuka ve dürüstlük kurallarına uygunluk ilkesidir. Bu ilke, hakkın kötüye kullanılmamasını, şeffaflığı ve kullanıcının makul beklentilerinin dışına çıkılmamasını zorunlu kılar. İkinci önemli kural, kişisel verilerin doğru ve gerektiğinde güncel tutulmasıdır. Örneğin, hatalı bir teslimat adresi veya telefon numarası nedeniyle tüketicinin mağdur olması, platformun ticari itibarını zedeleyebileceği gibi hukuki sorumluluk da doğurur. Bir diğer aşama ise, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesidir. "Kullanıcı deneyimini artırmak" gibi muğlak ifadeler hukuki belirlilik standartlarını karşılamaz; veri işleme amacının spesifik ve yasal temellere dayalı olması gerekir.

Veri Minimizasyonu ve Sınırlı Süreyle Muhafaza

Veri sorumlusu konumundaki e-ticaret işletmeleri, kişisel verileri yalnızca işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde toplamalıdır. Hukuk doktrininde veri minimizasyonu olarak adlandırılan bu kural uyarınca, örneğin yalnızca ürün teslimatı yapacak bir e-ticaret platformunun, müşterisinin sağlık verilerini veya detaylı kimlik bilgilerini talep etmesi ölçülülük ilkesine açıkça aykırıdır. İhtiyaç duyulmayan, amaca hizmet etmeyen veya ileride kullanılma ihtimaline binaen varsayımsal olarak veri toplanması hukuka aykırılık teşkil eder. İşlenen verilerin, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi de e-ticaretin temel şartlarındandır. Veri sorumluları, verilerin yasal saklama süreleri dolduğunda veya işleme amacı ortadan kalktığında bu verileri güvenli yöntemlerle silmek, yok etmek veya anonim hale getirmekle yükümlüdür.

İnternetten alışveriş yaparken sürekli TC kimlik numaramı istiyorlar, vermek zorunda mıyım? expand_more
Elektronik ticaret platformlarının sizden talep ettiği kişisel verilerin belirli, açık ve meşru amaçlara dayanması gerekmektedir. Fatura düzenlemeleri kapsamında Vergi Usul Kanunu gerekçe gösterilse dahi, her durumda T. C. kimlik numaranızın alınması katı bir zorunluluk teşkil etmez. Veri sorumluları, işlemsel gereklilikler dışında kalan kimlik bilgilerinizi zorunlu tutamaz ve bu verileri ancak hukuka uygunluk sebepleri dâhilinde işleyebilir. Bu bağlamda, salt bir alışveriş işlemi için orantısız ve gereksiz veri toplanması veri minimizasyonu ilkesine açıkça aykırıdır.
Sadece bir ürün alacağım ama site benden gereksiz bir sürü özel bilgi istiyor, bu yasal mı? expand_more
E-ticaret işletmeleri, kişisel verileri yalnızca işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde toplamakla yükümlüdür. Hukuk doktrininde "veri minimizasyonu" olarak adlandırılan bu temel ilke uyarınca, örneğin yalnızca ürün teslimatı yapacak bir platformun gereksiz bilgilerinizi veya sağlık verilerinizi talep etmesi ölçülülük kuralına kesinlikle aykırıdır. İleride lazım olabileceği varsayımıyla, amaca hizmet etmeyen verilerin toplanması hukuka aykırılık oluşturmaktadır. Dolayısıyla, e-ticaret süreçlerinde toplanan verilerin işlemin doğasına ve evrensel veri koruma ilkelerine uygun olması yasal bir zorunluluktur.
Alışveriş sitelerine girince sürekli çerez onayı çıkıyor, her şeyi onaylamak şart mı? expand_more
E-ticaret sitelerinin temel fonksiyonlarını yerine getirebilmesi için mutlak zorunlu olan çerezler dışında kalan analitik, performans veya pazarlama çerezlerinin kullanımı ancak sizin aktif ve aydınlatılmış rızanız ile mümkündür. Bu tür izleme teknolojileri kişisel veri mahiyetinde olduğundan, bunları onaylamanız kesinlikle zorunlu tutulamaz. Hukuka aykırı şekilde çerez kullanılması veya izinsiz profilleme yapılması durumunda e-ticaret işletmeleri ciddi idari yaptırımlarla karşı karşıya kalacaktır. İşletmeler, dürüstlük ve şeffaflık ilkeleri gereği kullanıcının makul beklentilerinin dışına çıkmamalıdır.
Eski üye olduğum ve alışveriş yapmadığım bir site verilerimi sonsuza kadar saklayabilir mi? expand_more
E-ticaret platformları, işledikleri kişisel verileri yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaca hizmet edecek süre kadar muhafaza edebilirler. Yasal saklama süreleri dolduğunda yahut verinin işlenmesini gerektiren amaç tamamen ortadan kalktığında, şirketlerin bu bilgileri elinde tutması hukuka aykırıdır. Veri sorumluları söz konusu sürelerin bitiminde kişisel verilerinizi güvenli yöntemler kullanarak silmek, yok etmek veya anonim hale getirmekle kanunen yükümlüdür. Bu kural, özel hayatınızın gizliliğinin korunması ve verilerinizin hukuka aykırı şekilde muhafaza edilmemesi adına kritik bir güvencedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir